Оповещения системы безопасности — справочное руководство

В этой статье перечислены оповещения системы безопасности, которые могут поступать от Microsoft Defender для облака и всех включенных планов Microsoft Defender. Оповещения, отображаемые в вашей среде, зависят от защищаемых ресурсов, служб и настроенной конфигурации.

В нижней части этой страницы приведена таблица с описанием цепочки нарушения безопасности Microsoft Defender для облака в соответствии с версией 9 матрицы MITRE ATT&CK.

Узнайте, как реагировать на эти оповещения.

Узнайте, как экспортировать оповещения.

Примечание

Время, требуемое для отображения оповещений из разных источников, может отличаться. Например, для отображения оповещений, требующих анализа сетевого трафика, может потребоваться больше времени, чем для оповещений, связанных с выполнением подозрительных процессов на виртуальных машинах.

Оповещения для компьютеров Windows

Microsoft Defender для серверов (план 2) предоставляет уникальные обнаружения и оповещения, а также оповещения Microsoft Defender для конечной точки. Оповещения, предоставляемые для компьютеров Windows.

Дополнительные сведения и примечания

Оповещение (тип оповещения) Описание Тактика MITRE
(дополнительные сведения)
Severity
A logon from a malicious IP has been detected. [seen multiple times] (Обнаружен вход с вредоносного IP-адреса) [встречается несколько раз] Произошла успешная удаленная проверка подлинности учетной записи [account] и процесса [process], однако IP-адрес входа (x.x.x.x) ранее был объявлен вредоносным или подозрительным. Возможно, произошла успешная атака. Файлы с расширениями SCR — это файлы экранных заставок, которые обычно хранятся и выполняются из системного каталога Windows. - Высокий
Addition of Guest account to Local Administrators group (Добавление гостевой учетной записи в группу локальных администраторов) При анализе данных узла обнаружено добавление встроенной гостевой учетной записи в группу локальных администраторов в %{скомпрометированный_узел}, который тесно связан с действием злоумышленника. - Средний
An event log was cleared (Журнал событий очищен) Журналы компьютера указывают на наличие операций очистки журнала подозрительных событий пользователем: %{имя_пользователя} на компьютере %{CompromisedEntity}. Журнал %{канал_журнала} был удален. - Informational
Antimalware Action Failed (Не удалось выполнить действие по защите от вредоносных программ) Функция Microsoft Antimalware обнаружила ошибку при выполнении действия с вредоносной или другой потенциально нежелательной программой. - Средний
Antimalware Action Taken (Предпринято действие по защите от вредоносных программ) Функция Microsoft Antimalware для Azure выполнила действие для защиты этого компьютера от вредоносных или других потенциально нежелательных программ. - Средний
Исключение широких файлов защиты от вредоносных программ на вашей виртуальной машине
(VM_AmBroadFilesExclusion)
При анализе операций Azure Resource Manager в подписке на виртуальной машине было обнаружено исключение файлов из расширения антивредоносного ПО с правилом исключения широкого диапазона. Такое исключение практически отключает защиту от вредоносных программ.
Злоумышленники могут исключить файлы из проверки антивредоносного ПО на виртуальной машине, чтобы предотвратить их обнаружение при запуске произвольного кода или заражения компьютера вредоносными программами.
- Средний
Защита от вредоносных программ отключена, код на вашей виртуальной машине выполняется
(VM_AmDisablementAndCodeExecution)
Отключение антивредоносного ПО происходит во время выполнения кода на виртуальной машине. При анализе операций Azure Resource Manager в подписке было обнаружено это действие.
Злоумышленники могут отключать проверки на наличие антивредоносных программ на виртуальной машине, чтобы предотвратить их обнаружение при запуске неавторизованных средств или заражении компьютера вредоносными программами.
- Высокий
Защита от вредоносных программ на вашей виртуальной машине отключена
(VM_AmDisablement)
На виртуальной машине отключено антивредоносное ПО. При анализе операций Azure Resource Manager в подписке было обнаружено это действие.
Злоумышленники могут отключить антивредоносную программу на виртуальной машине, чтобы предотвратить обнаружение.
Уклонение от защиты Средний
Исключение файлов защиты от вредоносных программ и выполнение кода на вашей виртуальной машине
(VM_AmFileExclusionAndCodeExecution)
Во время выполнения кода на виртуальной машине с помощью расширения пользовательских скриптов из средства проверки антивредоносного ПО был исключен файл. При анализе операций Azure Resource Manager в подписке было обнаружено это действие.
Злоумышленники могут исключить файлы из проверки антивредоносного ПО на виртуальной машине, чтобы предотвратить их обнаружение при запуске неавторизованных инструментов или заражении компьютера вредоносными программами.
Обход защиты, выполнение Высокий
Исключение файлов защиты от вредоносных программ и выполнение кода на вашей виртуальной машине
(VM_AmTempFileExclusionAndCodeExecution)
При анализе операций Azure Resource Manager в подписке на виртуальной машине было обнаружено исключение временных файлов из расширения антивредоносного ПО одновременно с выполнением кода с помощью расширения пользовательских скриптов.
Злоумышленники могут исключить файлы из проверки антивредоносного ПО на виртуальной машине, чтобы предотвратить их обнаружение при запуске произвольного кода или заражения компьютера вредоносными программами.
Обход защиты, выполнение Высокий
Исключение файлов защиты от вредоносных программ на вашей виртуальной машине
(VM_AmTempFileExclusion)
На виртуальной машине из средства проверки антивредоносного ПО был исключен файл. При анализе операций Azure Resource Manager в подписке было обнаружено это действие.
Злоумышленники могут исключить файлы из проверки антивредоносного ПО на виртуальной машине, чтобы предотвратить их обнаружение при запуске неавторизованных инструментов или заражении компьютера вредоносными программами.
Уклонение от защиты Средний
На вашей виртуальной машине была отключена защита от вредоносного ПО в режиме реального времени
(VM_AmRealtimeProtectionDisabled)
При анализе операций Azure Resource Manager в подписке на виртуальной машине обнаружено отключение защиты в реальном времени расширения антивредоносного ПО.
Злоумышленники могут отключать защиту в реальном времени из проверки антивредоносного ПО на виртуальной машине, чтобы предотвратить обнаружение при запуске произвольного кода или заражении компьютера вредоносными программами.
Уклонение от защиты Средний
Защита от вредоносных программ в режиме реального времени на вашей виртуальной машине была временно отключена
(VM_AmTempRealtimeProtectionDisablement)
При анализе операций Azure Resource Manager в подписке на виртуальной машине обнаружено временное отключение защиты в реальном времени расширения антивредоносного ПО.
Злоумышленники могут отключать защиту в реальном времени из проверки антивредоносного ПО на виртуальной машине, чтобы предотвратить обнаружение при запуске произвольного кода или заражении компьютера вредоносными программами.
Уклонение от защиты Средний
Защита от вредоносных программ в режиме реального времени была временно отключена, пока код выполнялся на вашей виртуальной машине
(VM_AmRealtimeProtectionDisablementAndCodeExec)
При анализе операций Azure Resource Manager в подписке на виртуальной машине было обнаружено временное отключение защиты в режиме реального времени расширения антивредоносного ПО одновременно с выполнением кода с помощью расширения пользовательских скриптов.
Злоумышленники могут отключать защиту в реальном времени из проверки антивредоносного ПО на виртуальной машине, чтобы предотвратить обнаружение при запуске произвольного кода или заражении компьютера вредоносными программами.
- Высокий
Сканирование на предмет наличия вредоносных программ заблокировано для файлов, потенциально связанных с кампаниями вредоносного ПО на вашей виртуальной машине (предварительная версия)
(VM_AmMalwareCampaignRelatedExclusion)
На вашей виртуальной машине было обнаружено правило исключения, чтобы предотвратить сканирование расширением защиты от вредоносных программ определенных файлов, которые подозреваются в связи с кампанией вредоносных программ. Правило было обнаружено путем анализа операций Azure Resource Manager в вашей подписке. Злоумышленники могут исключить файлы из сканирования на наличие вредоносных программ, чтобы предотвратить обнаружение при запуске произвольного кода или заражении машины вредоносным ПО. Уклонение от защиты Средний
Защита от вредоносных программ на вашей виртуальной машине временно отключена
(VM_AmTemporarilyDisablement)
На виртуальной машине временно отключено антивредоносное ПО. При анализе операций Azure Resource Manager в подписке было обнаружено это действие.
Злоумышленники могут отключить антивредоносную программу на виртуальной машине, чтобы предотвратить обнаружение.
- Средний
Исключение необычных файлов для защиты от вредоносных программ на вашей виртуальной машине
(VM_UnusualAmFileExclusion)
При анализе операций Azure Resource Manager в подписке на виртуальной машине было обнаружено нестандартное исключение файлов из расширения антивредоносного ПО.
Злоумышленники могут исключить файлы из проверки антивредоносного ПО на виртуальной машине, чтобы предотвратить их обнаружение при запуске произвольного кода или заражения компьютера вредоносными программами.
Уклонение от защиты Средний
Связь с подозрительным доменом, обнаруженным посредством аналитики угроз
(AzureDNS_ThreatIntelSuspectDomain)
Обнаружен обмен данными с подозрительным доменом путем анализа транзакций DNS из ресурса и их сравнения с известными вредоносными доменами, идентифицируемыми каналами аналитики угроз. Обмен данными с вредоносными доменами часто осуществляется злоумышленниками и может свидетельствовать о компрометации ресурса. Начальный доступ, сохраняемость, выполнение, управление и контроль, несанкционированное использование Средний
Расширение пользовательского сценария с подозрительной командой на вашей виртуальной машине
(VM_CustomScriptExtensionSuspiciousCmd)
При анализе операций Azure Resource Manager в подписке на виртуальной машине было обнаружено расширение пользовательских скриптов с подозрительными командами.
Злоумышленники могут использовать расширение пользовательских скриптов для выполнения вредоносного кода на виртуальной машине с помощью Azure Resource Manager.
Выполнение Средний
Расширение пользовательского сценария с подозрительной точкой входа в вашу виртуальную машину
(VM_CustomScriptExtensionSuspiciousEntryPoint)
При анализе операций Azure Resource Manager в подписке на виртуальной машине было обнаружено расширение пользовательских скриптов с подозрительной точкой входа. Точка входа относится к подозрительному репозиторию GitHub.
Злоумышленники могут использовать расширения пользовательских скриптов для выполнения вредоносного кода на виртуальной машине с помощью Azure Resource Manager.
Выполнение Средний
Расширение пользовательского сценария с подозрительной полезной нагрузкой на вашей виртуальной машине
(VM_CustomScriptExtensionSuspiciousPayload)
При анализе операций Azure Resource Manager в подписке на виртуальной машине было обнаружено расширение пользовательских скриптов с полезными данными подозрительного репозитория GitHub.
Злоумышленники могут использовать расширения пользовательских скриптов для выполнения вредоносного кода на виртуальной машине с помощью Azure Resource Manager.
Выполнение Средний
Detected actions indicative of disabling and deleting IIS log files (Обнаружены действия, которые свидетельствуют об отключении и удалении файлов журнала IIS) При анализе данных узла обнаружены действия, которые указывают, что файлы журнала IIS отключены или удалены. - Средний
Detected anomalous mix of upper and lower case characters in command-line (Обнаружено аномальное сочетание символов верхнего и нижнего регистра в командной строке) При анализе данных узла %{скомпрометированный_узел} обнаружена командная строка с аномальным сочетанием символов верхнего и нижнего регистра. Хотя этот тип шаблона может быть безопасным, он также часто используется злоумышленниками, которые пытаются обойти чувствительные к регистру или хэшированию правила при выполнении административных задач на скомпрометированном узле. - Средний
Detected change to a registry key that can be abused to bypass UAC (Обнаружено изменение раздела реестра, который дает возможность обхода UAC) При анализе данных узла %{скомпрометированный_узел} обнаружено, что раздел реестра, который можно использовать для обхода UAC (контроль учетных записей), был изменен. Такая конфигурация, хотя и может быть безопасной, часто используется злоумышленниками при попытке перейти от непривилегированного (стандартный пользователь) к привилегированному (например, администратор) доступу к скомпрометированному узлу. - Средний
Detected decoding of an executable using built-in certutil.exe tool (Обнаружено декодирование исполняемого файла с помощью встроенного средства certutil.exe) При анализе данных узла %{скомпрометированный_узел} обнаружено, что встроенная служебная программа администратора certutil.exe использовалась для декодирования исполняемого файла, а не целевого объекта, относящегося к управлению сертификатами и данными сертификатов. Злоумышленники злоупотребляют функциональностью допустимых инструментов администратора для выполнения вредоносных действий, например, используют certutil.exe для декодирования вредоносного исполняемого файла, который впоследствии будет выполнен. - Высокий
Detected enabling of the WDigest UseLogonCredential registry key (Обнаружено включение раздела реестра WDigest UseLogonCredential) При анализе данных узла обнаружено изменение параметра UseLogonCredential в разделе реестра HKLM\SYSTEM\ CurrentControlSet\Control\SecurityProviders\WDigest\. В частности, этот ключ был обновлен для того, чтобы учетные данные для входа сохранялись в виде открытого текста в памяти LSA. После включения злоумышленник может создавать дампы паролей в виде открытого текста из памяти LSA с помощью средств сбора учетных данных, таких как Mimikatz. - Средний
Detected encoded executable in command line data (Обнаружен закодированный исполняемый файл в данных командной строки) При анализе данных узла %{скомпрометированный_узел} обнаружен исполняемый файл в кодировке Base-64. Ранее это было связано со злоумышленниками, пытающимися самостоятельно создавать исполняемые файлы в режиме реального времени через последовательность команд, чтобы не позволить системе обнаружить вторжения. Таким образом ни одна из отдельных команд не выдаст оповещение. Это может быть допустимое действие или признак скомпрометированного узла. - Высокий
Detected obfuscated command line (Обнаружена командная строка с маскированием) Злоумышленники используют все более сложные методы запутывания, чтобы избежать обнаружения при доступе к базовым данным. При анализе данных узла %{скомпрометированный_узел} обнаружены подозрительные индикаторы маскирования в командной строке. - Informational
Detected Petya ransomware indicators (Обнаружены индикаторы программы-шантажиста Petya) При анализе данных узла %{скомпрометированный_узел} обнаружены индикаторы, связанные с программой-шантажистом Petya. Подробнее см. в разделе https://aka.ms/petya-blog. Просмотрите командную строку, связанную с этим оповещением, и сообщите о нем в службу безопасности. - Высокий
Detected possible execution of keygen executable (Обнаружено возможное выполнение исполняемого файла создания ключей) При анализе данных узла %{скомпрометированный_узел} обнаружено выполнение процесса, имя которого указывает на средство создания ключей. Такие средства обычно применяются для неограниченного использования механизмов лицензирования программного обеспечения, но их загрузка часто связана с другим вредоносным программным обеспечением. Известно, что группа действий GOLD использует такие средства создания ключей, чтобы получать скрытый доступ к черным входам узлов, которые скомпрометированы. - Средний
Detected possible execution of malware dropper (Обнаружено возможное выполнение загрузчика вредоносных программ) При анализе данных узла % {скомпрометированный_узел} обнаружено имя файла, которое ранее сопоставлено с одним из методов установки вредоносных программ на скомпрометированном узле в группе действий GOLD. - Высокий
Detected possible local reconnaissance activity (Обнаружена возможная локальная рекогносцировка) При анализе данных узла %{скомпрометированный_узел} обнаружено сочетание команд systeminfo, которые ранее были связаны с одним из методов выполнения рекогносцировки группы действий GOLD. Хотя systeminfo.exe является допустимым средством Windows, случай выполнения его дважды подряд встречается редко. -
Detected potentially suspicious use of Telegram tool (Обнаружено потенциально подозрительное использование средства Telegram) При анализе данных узла обнаружена установка Telegram, бесплатной облачной службы обмена мгновенными сообщениями, которая существует как для мобильных, так и для настольных систем. Злоумышленники могут использовать эту службу, чтобы передавать вредоносные двоичные файлы на любой другой компьютер, телефон или планшет. - Средний
Detected suppression of legal notice displayed to users at logon (Обнаружено подавление юридической информации, отображаемой для пользователей при входе в систему) При анализе данных узла %{скомпрометированный_узел} обнаружены изменения в разделе реестра, которые определяют, отображается ли юридическая информация пользователям при входе в систему. Анализ безопасности корпорации Майкрософт определил, что это общее действие, выполняемое злоумышленниками после того, как узел скомпрометирован. - Низкий
Detected suspicious combination of HTA and PowerShell (Обнаружено подозрительное сочетание HTA и PowerShell) Файл mshta.exe (узел приложений Microsoft HTML), который является подписанным двоичным файлом корпорации Майкрософт, используется злоумышленниками для запуска вредоносных команд PowerShell. Злоумышленники часто прибегают к внедрению файла HTA со встроенным сценарием VBScript. Когда жертва переходит к файлу HTA и запускает его, выполняются команды и скрипты PowerShell, которые он содержит. При анализе данных узла %{скомпрометированный_узел} обнаружен файл mshta.exe, запускающий команды PowerShell. - Средний
Detected suspicious commandline arguments (Обнаружены подозрительные аргументы командной строки) При анализе данных узла %{скомпрометированный_узел} обнаружены подозрительные аргументы командной строки, которые использовались в сочетании с обратной оболочкой, применяемой группой действий HYDROGEN. - Высокий
Detected suspicious commandline used to start all executables in a directory (Обнаружена подозрительная командная строка, используемая для запуска всех исполняемых файлов в каталоге) При анализе данных узла обнаружен подозрительный процесс, выполняемый в %{скомпрометированный_узел}. Командная строка указывает на попытку запуска всех исполняемых файлов (EXE), которые могут находиться в каталоге. Это может указывать на скомпрометированный узел. - Средний
Detected suspicious credentials in commandline (Обнаружены подозрительные учетные данные в командной строке) При анализе данных узла %{скомпрометированный_узел} обнаружен подозрительный пароль, используемый для выполнения файла в группе действий BORON. Известно, что эта группа действий использовала обнаруженный пароль для выполнения вредоносных программ Pirpi на скомпрометированном узле. - Высокий
Detected suspicious document credentials (Обнаружены подозрительные учетные данные документов) При анализе данных узла %{скомпрометированный_узел} обнаружен подозрительный предварительно вычисляемый хэш пароля, используемый вредоносными программами для выполнения файла. Известно, что группа действий HYDROGEN использовала этот пароль для выполнения вредоносных программ на скомпрометированном узле. - Высокий
Detected suspicious execution of VBScript.Encode command (Обнаружено подозрительное выполнение команды VBScript.Encode) При анализе данных узла %{скомпрометированный_узел} обнаружено выполнение команды VBScript.Encoded. Она кодирует скрипты в нечитаемый текст, что затрудняет для пользователей проверку кода. Исследование защиты от угроз Майкрософт показывает, что злоумышленники часто используют закодированные файлы VBscript в процессе атаки на системы, чтобы избежать обнаружения. Это может быть допустимое действие или признак скомпрометированного узла. - Средний
Detected suspicious execution via rundll32.exe (Обнаружено подозрительное выполнение с помощью rundll32.exe) При анализе данных узла %{скомпрометированный_узел} обнаружен rundll32.exe, который использовался для выполнения процесса с необычным именем, соответствующим схеме именования процессов, используемой злоумышленниками для установки вредоносного ПО первого уровня на скомпрометированный узел. - Высокий
Detected suspicious file cleanup commands (Обнаружены подозрительные команды очистки файлов) При анализе данных узла %{скомпрометированный_узел} обнаружено сочетание команд systeminfo, которые ранее были связаны с одним из методов выполнения действия самоочистки после вмешательства группы действий GOLD. Хотя systeminfo.exe является допустимым инструментом Windows, случай выполнения его дважды подряд, после чего следует команда удаления, встречается редко. - Высокий
Detected suspicious file creation (Обнаружено создание подозрительного файла) При анализе данных узла %{скомпрометированный_узел} обнаружено создание или выполнение процесса, который ранее указывал на действие после вмешательства, выполненное в группе действий BARIUM. Эта группа действий, как известно, использует указанный метод для загрузки дополнительных вредоносных программ на скомпрометированный узел после открытия вложения в поддельном документе. - Высокий
Detected suspicious named pipe communications (Обнаружен подозрительный обмен данными по именованному каналу) При анализе данных узла %{скомпрометированный_узел} обнаружено, что данные записаны в локальный именованный канал из команды консоли Windows. Злоумышленники используют именованные каналы для выполнения задач и связи с вредоносным объектом. Это может быть допустимое действие или признак скомпрометированного узла. - Высокий
Detected suspicious network activity (Обнаружена подозрительная сетевая активность) При анализе сетевого трафика %{скомпрометированный_узел} обнаружена подозрительная сетевая активность. Такой трафик, хотя он и может быть неопасным, обычно используется злоумышленником для связи с вредоносными серверами для загрузки инструментов, управления и контроля, а также кражи данных. Типичные действия, связанные с атаками, включают в себя копирование средств удаленного администрирования на скомпрометированный узел и получения данных пользователя из него. - Низкий
Detected suspicious new firewall rule (Обнаружено подозрительное новое правило брандмауэра) При анализе данных узла обнаружено, что было добавлено новое правило брандмауэра с помощью netsh.exe, чтобы разрешить трафик из исполняемого файла в подозрительном расположении. - Средний
Detected suspicious use of Cacls to lower the security state of the system (Обнаружено подозрительное использование CACLS для снижения уровня безопасности системы) Злоумышленники используют множество способов, таких как метод подбора, целевой фишинг и т. д., для первоначальной компрометации и закрепления в сети. После первоначальной компрометации они часто стараются снизить параметры безопасности системы. CACLS — сокращение от списка управления доступом к изменениям. Это встроенная служебная программа командной строки Microsoft Windows, которая часто используется для изменения разрешений безопасности в папках и файлах. Очень часто двоичный файл используется злоумышленниками для снижения параметров безопасности системы. Это осуществляется путем предоставления всем пользователям полного доступа к некоторым системным двоичным файлам, таким как ftp.exe, net.exe, wscript.exe и т. д. При анализе данных узла %{скомпрометированный_узел} обнаружено подозрительное использование Cacls для снижения безопасности системы. - Средний
Detected suspicious use of FTP -s Switch (Обнаружено подозрительное использование параметра FTP -s) При анализе данных о создании процесса на узле %{Compromised Host} обнаружено использование параметра FTP -s:filename. Этот параметр используется для указания файла сценария FTP для запуска клиента. Известно, что вредоносные программы или вредоносные процессы используют этот параметр FTP (-s:filename), чтобы указать файл сценария, который настроен для подключения к удаленному FTP-серверу и скачивания дополнительных вредоносных двоичных файлов. - Средний
Detected suspicious use of Pcalua.exe to launch executable code (Обнаружено подозрительное использование Pcalua.exe для запуска исполняемого кода) При анализе данных узла %{скомпрометированный_узел} обнаружено использование pcalua.exe для запуска исполняемого кода. Pcalua.exe является компонентом помощника по совместимости программ Microsoft Windows, который обнаруживает проблемы совместимости во время установки или выполнения программы. Злоумышленники злоупотребляют функциональностью допустимых инструментов администратора для выполнения вредоносных действий, например используют pcalua.exe с параметром -a для запуска вредоносных исполняемых файлов либо локально, либо из удаленных общих ресурсов. - Средний
Detected the disabling of critical services (Обнаружено отключение критически важных служб) Анализ данных узла %{скомпрометированный_узел} обнаружил выполнение команды net.exe, которая использовалась для остановки критических служб, таких как SharedAccess или центр безопасности Windows. Остановка любой из этих служб может свидетельствовать о вредоносном поведении. - Средний
Digital currency mining related behavior detected (Обнаружено поведение, связанное с майнингом цифровых валют) При анализе данных узла %{скомпрометированный_узел} обнаружено выполнение процесса или команды, которые обычно связаны с майнингом цифровых валют. - Высокий
Dynamic PS script construction (Обнаружено динамическое создание скрипта PS) При анализе данных узла %{скомпрометированный_узел} обнаружен скрипт PowerShell, создаваемый динамически. Злоумышленники используют этот метод для постепенного создания скрипта, чтобы избежать систем IDS. Это может быть допустимое действие или признак того, что один из ваших компьютеров был скомпрометирован. - Средний
Executable found running from a suspicious location (Обнаружен исполняемый файл, работающий из подозрительного расположения) При анализе данных узла %{скомпрометированный_узел} обнаружен исполняемый файл, который выполняется из общего расположения с известными подозрительными файлами. Этот исполняемый файл может быть допустимым действием или признаком скомпрометированного узла. - Высокий
Fileless attack behavior detected (Обнаружено поведение бесфайловой атаки)
(VM_FilelessAttackBehavior.Windows)
В памяти указанного процесса содержится поведение, обычно используемое для бесфайловых атак. К такому поведению относится:
1) Обнаружение кода оболочки, который представляет собой небольшой фрагмент кода, обычно используемый в качестве атакующего кода для обнаружения уязвимости программного обеспечения.
2) Активные сетевые подключения. Дополнительные сведения см. в разделе NetworkConnections ниже.
3) Вызовы функций защищенных интерфейсов операционной системы. Сведения о возможностях ОС см. ниже.
4) Поток, запущенный в динамически выделенном сегменте кода. Это распространенный шаблон атаки путем внедрения.
Уклонение от защиты Низкий
Fileless attack technique detected (Обнаружен метод бесфайловой атаки)
(VM_FilelessAttackTechnique.Windows)
Память указанного ниже процесса содержит свидетельство о методе бесфайловой атаки. Бесфайловые атаки используются злоумышленниками для выполнения кода и обхода системы безопасности. К такому поведению относится:
1) Обнаружение кода оболочки, который представляет собой небольшой фрагмент кода, обычно используемый в качестве атакующего кода для обнаружения уязвимости программного обеспечения.
2) Исполняемый образ, внедренный в процесс, например при атаке путем внедрения кода.
3) Активные сетевые подключения. Дополнительные сведения см. в разделе NetworkConnections ниже.
4) Вызовы функций защищенных интерфейсов операционной системы. Сведения о возможностях ОС см. ниже.
5) Метод скрытия процесса, используемый вредоносной программой, которая загружает в систему допустимый процесс, выступающий в качестве контейнера для злонамеренного кода.
6) Поток, запущенный в динамически выделенном сегменте кода. Это распространенный шаблон атаки путем внедрения.
Обход защиты, выполнение Высокий
Fileless attack toolkit detected (Обнаружен набор средств для бесфайловой атаки)
(VM_FilelessAttackToolkit.Windows)
В памяти указанного процесса содержится набор средств [toolkit name], используемый для бесфайловых атак. Наборы средств для бесфайловых атак используют методы, которые сокращают или исключают трассировку вредоносных программ на диске и значительно снижают вероятность обнаружения с помощью решений для проверки диска на наличие вредоносных программ. К такому поведению относится:
1) хорошо известные наборы средств и программное обеспечение для майнинга криптовалют;
2) код оболочки, который представляет собой небольшой фрагмент кода, обычно используемый в качестве атакующего кода при использовании уязвимости программного обеспечения;
3) внедренный вредоносный исполняемый файл в памяти процесса.
Обход защиты, выполнение Средний
High risk software detected (Обнаружено опасное программное обеспечение) При анализе данных узла %{скомпрометированный_узел} обнаружено использование программного обеспечения, связанного с установкой вредоносных программ в прошлом. Для распространения вредоносных программ используется метод их упаковки в другие безопасные средства, такие как в этом оповещении. При использовании этих средств вредоносная программа может быть установлена в фоновом режиме без вмешательства пользователя. - Средний
Local Administrators group members were enumerated (Перечислены участники группы локальных администраторов) Журналы компьютеров указывают на успешное перечисление в группе %{доменное_имя_перечисляемой_группы}%{имя_перечесляемой_группы}. В частности, %{доменное_имя_перечисляемой_группы}%{имя_перечисляемого_пользователя} удаленно перечисляет участников группы %{доменное_имя_перечисляемой_группы}%{имя_перечесляемой_группы}. Это действие может быть либо допустимым действием, либо указывать на то, что компьютер в вашей организации скомпрометирован и использовался для атаки методом рекогносцировки %{vmname}. - Informational
Malicious firewall rule created by ZINC server implant [seen multiple times] (Вредоносное правило брандмауэра, созданное вредоносным сервером ZINC [встречается несколько раз]) Правило брандмауэра создано с использованием методов, соответствующих известному субъекту ZINC. Возможно, это правило использовалось для открытия порта в %{скомпрометированный_узел}, чтобы обеспечить передачу данных контроля и управления. Это поведение было замечено [x] раз сегодня на следующих компьютерах: [имена_компьютеров]. - Высокий
Malicious SQL activity (Вредоносное действие SQL) Журналы компьютера указывают на то, что %{имя_процесса} выполнялся учетной записью %{имя_пользователя}. Это действие считается вредоносным. - Высокий
Multiple Domain Accounts Queried (Запрошено несколько доменных учетных записей) При анализе данных узла обнаружено, что в течение короткого периода времени было запрошено необычное количество отдельных учетных записей домена в %{скомпрометированный_узел}. Такой тип активности допустим, но также может свидетельствовать о компрометации. - Средний
Possible credential dumping detected [seen multiple times] (Обнаружено возможное создание дампа учетных данных [встречается несколько раз]) При анализе данных обнаружено использование собственного средства Windows (например, sqldumper.exe), которое позволяет извлекать учетные данные из памяти. Злоумышленники часто используют эти методы для извлечения учетных данных, которые затем используются для бокового смещения и повышения привилегий. Это поведение было замечено [x] раз сегодня на следующих компьютерах: [имена_компьютеров]. - Средний
Potential attempt to bypass AppLocker detected (Обнаружена потенциальная попытка обхода AppLocker) При анализе данных узла %{скомпрометированный_узел} обнаружена потенциальная попытка обхода ограничений AppLocker. AppLocker можно настроить для реализации политики, ограничивающей, какие исполняемые объекты разрешено запускать в системе Windows. Шаблон командной строки, подобный описанному в этом оповещении, ранее был связан с попытками злоумышленника обойти политику AppLocker, используя доверенные исполняемые файлы (разрешенные политикой AppLocker) для выполнения ненадежного кода. Это может быть допустимое действие или признак скомпрометированного узла. - Высокий
PsExec execution detected (Обнаружено выполнение PsExec)
(VM_RunByPsExec)
Анализ данных узла указывает на то, что процесс %{имя_процесса} был выполнен программой PsExec. PsExec может использоваться для удаленного выполнения процессов. Этот метод может использоваться для вредоносных целей. Боковое смещение, выполнение Informational
Ransomware indicators detected [seen multiple times] (Обнаружены индикаторы программ-шантажистов [встречается несколько раз]) Анализ данных узла свидетельствует о подозрительных действиях, обычно связанных с программой-шантажистом, блокирующей экран и выполняющей шифрование. На экране блокировки будет выведено полноэкранное сообщение, запрещающее интерактивное использование узла и доступ к его файлам. Программа-шантажист предотвращает доступ путем шифрования файлов данных. В обоих случаях обычно отображается сообщение программы-шантажиста, в котором запрашивается платеж, чтобы восстановить доступ к файлу. Это поведение было замечено [x] раз сегодня на следующих компьютерах: [имена_компьютеров]. - Высокий
Ransomware indicators detected (Обнаружены индикаторы программ-шантажистов) Анализ данных узла свидетельствует о подозрительных действиях, обычно связанных с программой-шантажистом, блокирующей экран и выполняющей шифрование. На экране блокировки будет выведено полноэкранное сообщение, запрещающее интерактивное использование узла и доступ к его файлам. Программа-шантажист предотвращает доступ путем шифрования файлов данных. В обоих случаях обычно отображается сообщение программы-шантажиста, в котором запрашивается платеж, чтобы восстановить доступ к файлу. - Высокий
Rare SVCHOST service group executed (Выполнен процесс SVCHOST в группе редких служб)
(VM_SvcHostRunInRareServiceGroup)
Системный процесс SVCHOST выполняется в группе редких служб. Вредоносные программы часто используют SVCHOST для маскировки своих вредоносных действий. Обход защиты, выполнение Informational
Sticky keys attack detected (Обнаружена атака методом залипающих клавиш) Анализ данных узла указывает, что злоумышленник, возможно, внедряет двоичный код доступа (например, залипающие клавиши, экранную клавиатуру, экранный диктор), чтобы получить несанкционированный доступ к узлу %{скомпрометированный_узел}. - Средний
Successful brute force attack (Успешная атака методом подбора)
(VM_LoginBruteForceSuccess)
Обнаружено несколько попыток входа из одного источника. Некоторые из них успешно прошли проверку подлинности на узле.
Это напоминает атаку типа hit-and-run, при которой злоумышленник выполняет многочисленные попытки проверки подлинности, чтобы найти действующие учетные данные.
Несанкционированное использование Умеренно высокий
Suspect integrity level indicative of RDP hijacking (Подозрительный уровень целостности, свидетельствующий о перехвате RDP) При анализе данных узла обнаружено, что tscon.exe работает с системными привилегиями. Это может свидетельствовать о том, что злоумышленник атаковал этот двоичный файл, чтобы переключить контекст на любого другого пользователя, выполнившего вход на этом узле. Это известный метод атаки для взлома дополнительных учетных записей пользователей и последующего перемещения по сети. - Средний
Suspect service installation (Установка подозрительной службы) При анализе данных узла была обнаружена установка файла tscon.exe в качестве службы. Этот двоичный файл, запускаемый в качестве службы, потенциально позволяет злоумышленнику с легкостью переключаться на любого другого вошедшего в систему пользователя на этом узле путем захвата соединений RDP. Это известный метод злоумышленников для компрометации дополнительных учетных записей пользователей и перемещения по сети. - Средний
Suspected Kerberos Golden Ticket attack parameters observed (Обнаружена возможная атака с помощью "золотого билета" Kerberos) При анализе данных узла обнаружены параметры командной строки, соответствующие атаке с помощью "золотого билета" Kerberos. - Средний
Suspicious Account Creation Detected (Обнаружено создание подозрительной учетной записи) При анализе данных узла %{скомпрометированный_узел} обнаружено создание или использование локальной учетной записи %{имя_подозрительной_учетной_записи}. Это имя учетной записи точно напоминает стандартную учетную запись Windows или имя группы %{похожее_на_имя_учетной_записи}. Это потенциально фальшивая учетная запись, созданная злоумышленником, поэтому она так называется, чтобы избежать обнаружения администратором. - Средний
Suspicious Activity Detected (Обнаружено подозрительное действие)
(VM_SuspiciousActivity)
При анализе данных узла обнаружена последовательность из одного или нескольких процессов, выполняющихся на компьютере %{имя_компьютера}, которые были связаны с вредоносными действиями. Хотя отдельные команды могут выглядеть безвредными, предупреждение вызывается на основе агрегирования этих команд. Это может быть допустимое действие или признак скомпрометированного узла. Выполнение Средний
Suspicious authentication activity (Подозрительные действия проверки подлинности)
(VM_LoginBruteForceValidUserFailed)
Хотя ни одна из них не была успешной, некоторые были распознаны узлом. Это напоминает атаку с перебором по словарю, при которой злоумышленник выполняет многочисленные попытки проверки подлинности с помощью словаря стандартных имен учетных записей и паролей, чтобы найти допустимые учетные данные для доступа к узлу. Это означает, что некоторые имена учетных записей узлов могут существовать в хорошо известном словаре имен учетных записей. Проверка Средний
Suspicious code segment detected (Обнаружено оповещение о подозрительном сегменте кода) Указывает на то, что сегмент кода выделен нестандартными способами, которые используются, например, при отражающем внедрении и скрытии процесса. Кроме того, оповещение позволяет проверить дополнительные характеристики обработанного сегмента кода, чтобы предоставить контекст относительно возможностей и поведения этого сегмента. - Средний
Suspicious command execution (Выполнение подозрительной команды)
(VM_SuspiciousCommandLineExecution)
Журналы компьютеров указывают на подозрительное выполнение командной строки пользователем %{имя_пользователя}. Выполнение Высокий
Suspicious double extension file executed (Выполнен файл с подозрительным двойным расширением) Анализ данных узла указывает на выполнение процесса с подозрительным двойным расширением. Это расширение может обманным путем заставить пользователей открыть файлы, а также указывать на наличие вредоносных программ в системе. - Высокий
Suspicious download using Certutil detected [seen multiple times] (Обнаружена подозрительная загрузка с помощью команды certutil (встречается несколько раз)) При анализе данных узла %{скомпрометированный_узел} обнаружено, что встроенная служебная программа администратора certutil.exe использовалась для скачивания двоичного файла, а не целевого объекта, относящегося к управлению сертификатами и данными сертификатов. Злоумышленники злоупотребляют функциональностью допустимых инструментов администратора для выполнения вредоносных действий, например используют certutil.exe для скачивания и декодирования вредоносного исполняемого файла, который впоследствии будет выполнен. Это поведение было замечено [x] раз сегодня на следующих компьютерах: [имена_компьютеров]. - Средний
Suspicious download using Certutil detected (Обнаружена подозрительная загрузка с помощью команды certutil) При анализе данных узла %{скомпрометированный_узел} обнаружено, что встроенная служебная программа администратора certutil.exe использовалась для скачивания двоичного файла, а не целевого объекта, относящегося к управлению сертификатами и данными сертификатов. Злоумышленники злоупотребляют функциональностью допустимых инструментов администратора для выполнения вредоносных действий, например используют certutil.exe для скачивания и декодирования вредоносного исполняемого файла, который впоследствии будет выполнен. - Средний
Подозрительный сбой при выполнении расширения пользовательского скрипта на вашей виртуальной машине
(VM_CustomScriptExtensionSuspiciousFailure)
При анализе операций Azure Resource Manager в подписке на виртуальной машине был обнаружен подозрительный сбой расширения пользовательских скриптов.
Такие сбои могут быть связаны с вредоносными сценариями, запущенными этим расширением.
Выполнение Средний
Suspicious PowerShell Activity Detected (Обнаружены подозрительные действия PowerShell) При анализе данных узла обнаружен скрипт PowerShell, выполняющийся на % {скомпрометированный_узел}, который содержит общие функции с известными подозрительными скриптами. Этот сценарий может быть допустимым действием или признаком скомпрометированного узла. - Высокий
Suspicious PowerShell cmdlets executed (Выполнены подозрительные командлеты PowerShell) Анализ данных узла указывает на выполнение известных вредоносных командлетов PowerShell PowerSploit. - Средний
Suspicious process executed [seen multiple times] (Выполнен подозрительный процесс [встречается несколько раз]) Журналы компьютера указывают на то, что на компьютере запущен подозрительный процесс %{подозрительный_процесс}, который часто связан с попытками злоумышленников получить доступ к учетным данным. Это поведение было замечено [x] раз сегодня на следующих компьютерах: [имена_компьютеров]. - Высокий
Suspicious process executed (Выполнение подозрительных процессов) Журналы компьютера указывают на то, что на компьютере запущен подозрительный процесс %{подозрительный_процесс}, который часто связан с попытками злоумышленников получить доступ к учетным данным. - Высокий
Suspicious process name detected [seen multiple times] (Обнаружено подозрительные имя процесса [встречается несколько раз]) При анализе данных узла %{скомпрометированный_узел} обнаружен процесс с подозрительным именем, например соответствующий известному средству злоумышленника, или имя процесса похожее на средства злоумышленника, которые пытаются спрятать на виду. Этот процесс может быть допустимым действием или признаком того, что один из ваших компьютеров был скомпрометирован. Это поведение было замечено [x] раз сегодня на следующих компьютерах: [имена_компьютеров]. - Средний
Suspicious process name detected (Обнаружен процесс с подозрительным именем) При анализе данных узла %{скомпрометированный_узел} обнаружен процесс с подозрительным именем, например соответствующий известному средству злоумышленника, или имя процесса похожее на средства злоумышленника, которые пытаются спрятать на виду. Этот процесс может быть допустимым действием или признаком того, что один из ваших компьютеров был скомпрометирован. - Средний
Suspicious process termination burst (Подозрительный всплеск завершения процессов)
(VM_TaskkillBurst)
Анализ данных узла указывает на подозрительный всплеск завершения процессов в %{имя_компьютера}. В частности процессы %{количество_команд} были завершены между %{начало} и %{окончание}. Уклонение от защиты Низкий
Suspicious Screensaver process executed (Выполнен подозрительный процесс экранной заставки)
(VM_SuspiciousScreenSaverExecution)
Обнаружен процесс %{имя_процесса}, который выполнялся из необычного расположения. Файлы с расширениями SCR — это файлы экранных заставок, которые обычно хранятся и выполняются из системного каталога Windows. Обход защиты, выполнение Средний
Suspicious SQL activity (Подозрительные действия SQL) Журналы компьютера указывают на то, что %{имя_процесса} выполнялся учетной записью %{имя_пользователя}. Это действие редко выполняется в этой учетной записи. - Средний
Suspicious SVCHOST process executed (Выполнение подозрительных процессов SVCHOST) Обнаружен системный процесс SVCHOST, выполненный в ненормальном контексте. Вредоносные программы часто используют SVCHOST для маскировки своих вредоносных действий. - Высокий
Suspicious system process executed (Выполнение подозрительных системных процессов)
(VM_SystemProcessInAbnormalContext)
Обнаружен системный процесс %{имя_процесса}, выполненный в ненормальном контексте. Вредоносные программы часто используют этот процесс для маскировки своих вредоносных действий. Обход защиты, выполнение Высокий
Suspicious Volume Shadow Copy Activity (Действие теневого копирования подозрительного тома) При анализе данных узла в ресурсе обнаружено действие удаления теневого копирования. Теневая копия тома (VSC) является важным артефактом, который хранит моментальные снимки данных. Некоторые вредоносные программы и особенно программы-шантажисты нацелены на VSC, чтобы саботировать стратегии резервного копирования. - Высокий
Suspicious WindowPosition registry value detected (Обнаружено подозрительное значение реестра WindowPosition) При анализе данных узла %{скомпрометированный_узел} обнаружено предпринятое изменение конфигурации реестра WindowPosition, которое может указывать на сокрытие окон приложений в невидимых разделах рабочего стола. Это может быть допустимое действие или указание на скомпрометированный компьютер. Этот тип действия ранее был связан с известными рекламным ПО (или нежелательным программным обеспечением), например Win32/OneSystemCare, Win32/SystemHealer и вредоносными программами, такими как Win32/Creprote. Если значение WindowPosition равно 201329664, (шестнадцатеричный код: 0x0c00 0c00, соответствующий оси X = 0c00 и оси Y = 0c00), окно консольного приложения будет помещено в невидимый раздел экрана пользователя в области, скрытой на видимой панели меню "Пуск". Известные подозрительные шестнадцатеричные значения включают в себя в том числе c000c000. - Низкий
Suspiciously named process detected (Обнаружен процесс с подозрительным именем) При анализе данных узла %{скомпрометированный_узел} обнаружен процесс, имя которого очень похоже, но отличается от очень часто выполняемого процесса (%{похожее__имя_процесса}). Несмотря на то, что этот процесс может быть безопасным, злоумышленники иногда скрывают свои вредоносные средства у всех на виду, присваивая им имена, идентичные допустимым процессам. - Средний
Нетипичный сброс конфигурации на вашей виртуальной машине
(VM_VMAccessUnusualConfigReset)
При анализе операций Azure Resource Manager в подписке на виртуальной машине был обнаружен нестандартный сброс конфигурации.
Хотя это действие может быть допустимым, злоумышленники могут пытаться использовать расширение для доступа к виртуальной машине для сброса конфигурации виртуальной машины и ее компрометации.
Доступ к четным данным Средний
Нетипичный сброс конфигурации на вашей виртуальной машине
(VM_CustomScriptExtensionUnusualDeletion)
При анализе операций Azure Resource Manager в подписке на виртуальной машине было обнаружено нестандартное удаление расширения пользовательских скриптов.
Злоумышленники могут использовать расширения пользовательских скриптов для выполнения вредоносного кода на виртуальной машине с помощью Azure Resource Manager.
Выполнение Средний
Нетипичное выполнение расширения пользовательского скрипта на вашей виртуальной машине
(VM_CustomScriptExtensionUnusualExecution)
При анализе операций Azure Resource Manager в подписке на виртуальной машине было обнаружено нестандартное выполнение расширения пользовательских скриптов.
Злоумышленники могут использовать расширения пользовательских скриптов для выполнения вредоносного кода на виртуальной машине с помощью Azure Resource Manager.
Выполнение Средний
Unusual process execution detected (Обнаружено выполнение необычных процессов) При анализе данных узла %{скомпрометированный_узел} обнаружено выполнение необычного процесса пользователем %{имя_пользователя}. Такие учетные записи, как %{имя_пользователя}, обычно выполняют ограниченный набор операций, поэтому это выполнение было признано необычным и может быть подозрительным. - Высокий
Необычный сброс пароля пользователя на вашей виртуальной машине
(VM_VMAccessUnusualPasswordReset)
При анализе операций Azure Resource Manager в подписке на виртуальной машине был обнаружен нестандартный сброс пароля пользователя.
Хотя это действие может быть допустимым, злоумышленники могут пытаться использовать расширение для доступа к виртуальной машине для сброса учетных данных локального пользователя виртуальной машины и ее компрометации.
Доступ к четным данным Средний
Сброс необычного пользовательского ключа SSH на вашей виртуальной машине
(VM_VMAccessUnusualSSHReset)
При анализе операций Azure Resource Manager в подписке на виртуальной машине был обнаружен нестандартный сброс ключа SSH пользователя.
Хотя это действие может быть допустимым, злоумышленники могут пытаться использовать расширение для доступа к виртуальной машине для сброса ключа SSH учетной записи пользователя на виртуальной машине и компрометации виртуальной машины.
Доступ к четным данным Средний
VBScript HTTP object allocation detected (Обнаружено распределение объектов VBScript HTTP) Обнаружено создание файла VBScript с помощью командной строки. Следующий скрипт содержит команду выделения HTTP-объекта. Это действие можно использовать для загрузки вредоносных файлов. - Высокий
Windows registry persistence method detected (Обнаружен метод сохраняемости реестра Windows)
(VM_RegistryPersistencyKey)
При анализе данных узла была обнаружена попытка сохранить исполняемый файл в реестре Windows. Вредоносные программы часто используют такой подход, чтобы сохраниться в случае загрузки. Сохраняемость Низкий

Оповещения для компьютеров Linux

Microsoft Defender для серверов (план 2) предоставляет уникальные обнаружения и оповещения, а также оповещения Microsoft Defender для конечной точки. Оповещения, предоставляемые для компьютеров Linux.

Дополнительные сведения и примечания

Оповещение (тип оповещения) Описание Тактика MITRE
(дополнительные сведения)
Severity
Файл журнала был удален Анализ данных узла указывает, что файл журнала команд был удален. Злоумышленники могут сделать это, чтобы скрыть свои следы. Операция выполнена пользователем %{имя_пользователя}. - Средний
Access of htaccess file detected (Обнаружен доступ к файлу htaccess)
(VM_SuspectHtaccessFileAccess)
Анализ данных узла %{скомпрометированный_узел} выявил возможную манипуляцию с файлом htaccess. Htaccess — это важный файл конфигурации, позволяющий вносить несколько изменений на веб-сервер, на котором работает веб-приложение Apache, включая базовую функцию перенаправления или более сложные функции, такие как обычная защита паролем. Злоумышленники часто изменяют файлы htaccess на скомпрометированных компьютерах, чтобы гарантировать их сохраняемость. Сохраняемость, обход защиты, выполнение Средний
Исключение широких файлов защиты от вредоносных программ на вашей виртуальной машине
(VM_AmBroadFilesExclusion)
При анализе операций Azure Resource Manager в подписке на виртуальной машине было обнаружено исключение файлов из расширения антивредоносного ПО с правилом исключения широкого диапазона. Такое исключение практически отключает защиту от вредоносных программ.
Злоумышленники могут исключить файлы из проверки антивредоносного ПО на виртуальной машине, чтобы предотвратить их обнаружение при запуске произвольного кода или заражения компьютера вредоносными программами.
- Средний
Защита от вредоносных программ отключена, код на вашей виртуальной машине выполняется
(VM_AmDisablementAndCodeExecution)
Отключение антивредоносного ПО происходит во время выполнения кода на виртуальной машине. При анализе операций Azure Resource Manager в подписке было обнаружено это действие.
Злоумышленники могут отключать проверки на наличие антивредоносных программ на виртуальной машине, чтобы предотвратить их обнаружение при запуске неавторизованных средств или заражении компьютера вредоносными программами.
- Высокий
Защита от вредоносных программ на вашей виртуальной машине отключена
(VM_AmDisablement)
На виртуальной машине отключено антивредоносное ПО. При анализе операций Azure Resource Manager в подписке было обнаружено это действие.
Злоумышленники могут отключить антивредоносную программу на виртуальной машине, чтобы предотвратить обнаружение.
Уклонение от защиты Средний
Исключение файлов защиты от вредоносных программ и выполнение кода на вашей виртуальной машине
(VM_AmFileExclusionAndCodeExecution)
Во время выполнения кода на виртуальной машине с помощью расширения пользовательских скриптов из средства проверки антивредоносного ПО был исключен файл. При анализе операций Azure Resource Manager в подписке было обнаружено это действие.
Злоумышленники могут исключить файлы из проверки антивредоносного ПО на виртуальной машине, чтобы предотвратить их обнаружение при запуске неавторизованных инструментов или заражении компьютера вредоносными программами.
Обход защиты, выполнение Высокий
Исключение файлов защиты от вредоносных программ и выполнение кода на вашей виртуальной машине
(VM_AmTempFileExclusionAndCodeExecution)
При анализе операций Azure Resource Manager в подписке на виртуальной машине было обнаружено исключение временных файлов из расширения антивредоносного ПО одновременно с выполнением кода с помощью расширения пользовательских скриптов.
Злоумышленники могут исключить файлы из проверки антивредоносного ПО на виртуальной машине, чтобы предотвратить их обнаружение при запуске произвольного кода или заражения компьютера вредоносными программами.
Обход защиты, выполнение Высокий
Исключение файлов защиты от вредоносных программ на вашей виртуальной машине
(VM_AmTempFileExclusion)
На виртуальной машине из средства проверки антивредоносного ПО был исключен файл. При анализе операций Azure Resource Manager в подписке было обнаружено это действие.
Злоумышленники могут исключить файлы из проверки антивредоносного ПО на виртуальной машине, чтобы предотвратить их обнаружение при запуске неавторизованных инструментов или заражении компьютера вредоносными программами.
Уклонение от защиты Средний
На вашей виртуальной машине была отключена защита от вредоносного ПО в режиме реального времени
(VM_AmRealtimeProtectionDisabled)
При анализе операций Azure Resource Manager в подписке на виртуальной машине обнаружено отключение защиты в реальном времени расширения антивредоносного ПО.
Злоумышленники могут отключать защиту в реальном времени из проверки антивредоносного ПО на виртуальной машине, чтобы предотвратить обнаружение при запуске произвольного кода или заражении компьютера вредоносными программами.
Уклонение от защиты Средний
Защита от вредоносных программ в режиме реального времени на вашей виртуальной машине была временно отключена
(VM_AmTempRealtimeProtectionDisablement)
При анализе операций Azure Resource Manager в подписке на виртуальной машине обнаружено временное отключение защиты в реальном времени расширения антивредоносного ПО.
Злоумышленники могут отключать защиту в реальном времени из проверки антивредоносного ПО на виртуальной машине, чтобы предотвратить обнаружение при запуске произвольного кода или заражении компьютера вредоносными программами.
Уклонение от защиты Средний
Защита от вредоносных программ в режиме реального времени была временно отключена, пока код выполнялся на вашей виртуальной машине
(VM_AmRealtimeProtectionDisablementAndCodeExec)
При анализе операций Azure Resource Manager в подписке на виртуальной машине было обнаружено временное отключение защиты в режиме реального времени расширения антивредоносного ПО одновременно с выполнением кода с помощью расширения пользовательских скриптов.
Злоумышленники могут отключать защиту в реальном времени из проверки антивредоносного ПО на виртуальной машине, чтобы предотвратить обнаружение при запуске произвольного кода или заражении компьютера вредоносными программами.
- Высокий
Сканирование на предмет наличия вредоносных программ заблокировано для файлов, потенциально связанных с кампаниями вредоносного ПО на вашей виртуальной машине (предварительная версия)
(VM_AmMalwareCampaignRelatedExclusion)
На вашей виртуальной машине было обнаружено правило исключения, чтобы предотвратить сканирование расширением защиты от вредоносных программ определенных файлов, которые подозреваются в связи с кампанией вредоносных программ. Правило было обнаружено путем анализа операций Azure Resource Manager в вашей подписке. Злоумышленники могут исключить файлы из сканирования на наличие вредоносных программ, чтобы предотвратить обнаружение при запуске произвольного кода или заражении машины вредоносным ПО. Уклонение от защиты Средний
Защита от вредоносных программ на вашей виртуальной машине временно отключена
(VM_AmTemporarilyDisablement)
На виртуальной машине временно отключено антивредоносное ПО. При анализе операций Azure Resource Manager в подписке было обнаружено это действие.
Злоумышленники могут отключить антивредоносную программу на виртуальной машине, чтобы предотвратить обнаружение.
- Средний
Исключение необычных файлов для защиты от вредоносных программ на вашей виртуальной машине
(VM_UnusualAmFileExclusion)
При анализе операций Azure Resource Manager в подписке на виртуальной машине было обнаружено нестандартное исключение файлов из расширения антивредоносного ПО.
Злоумышленники могут исключить файлы из проверки антивредоносного ПО на виртуальной машине, чтобы предотвратить их обнаружение при запуске произвольного кода или заражения компьютера вредоносными программами.
Уклонение от защиты Средний
Attempt to stop apt-daily-upgrade.timer service detected [seen multiple times] (Обнаружена попытка завершения службы таймера apt-daily-upgrade.timer [встречается несколько раз]) При анализе данных узла %{скомпрометированный_узел} обнаружена попытка завершения работы службы apt-daily-upgrade.timer. В некоторых недавних атаках было замечено, что злоумышленники останавливают эту службу, чтобы загрузить вредоносные файлы и получить права выполнения для атаки. Это поведение было замечено [x] раз сегодня на следующих компьютерах: [имена_компьютеров]. - Низкий
Attempt to stop apt-daily-upgrade.timer service detected (Обнаружена попытка завершения службы таймера apt-daily-upgrade.timer)
(VM_TimerServiceDisabled)
При анализе данных узла %{скомпрометированный_узел} обнаружена попытка завершения работы службы apt-daily-upgrade.timer. В некоторых недавних атаках было замечено, что злоумышленники останавливают эту службу, чтобы загрузить вредоносные файлы и получить права выполнения для атаки. Уклонение от защиты Низкий
Behavior similar to common Linux bots detected [seen multiple times] (Обнаружено поведение, похожее на распространенные программы-роботы Linux [встречается несколько раз]) При анализе данных узла {скомпрометированный_узел} обнаружено выполнение процесса или команды, которые обычно связаны с распространенными ботнетами Linux. Это поведение было замечено [x] раз сегодня на следующих компьютерах: [имена_компьютеров]. - Средний
Behavior similar to common Linux bots detected (Обнаружено поведение, похожее на распространенные программы-роботы Linux)
(VM_CommonBot)
При анализе данных узла {скомпрометированный_узел} обнаружено выполнение процесса или команды, которые обычно связаны с распространенными ботнетами Linux. Выполнение, сбор данных, контроль и управление Средний
Behavior similar to Fairware ransomware detected [seen multiple times] (Обнаружено поведение, аналогичное атаке программы-шантажиста Fairware (встречается несколько раз)) При анализе данных узла %{скомпрометированный_узел} обнаружено выполнение команд rm -rf, применяемых к подозрительным расположениям. Так как команда rm -rf рекурсивно удаляет файлы, она обычно используется в отдельных папках. В этом случае она используется в расположении, которое может удалить большой объем данных. Известно, что программа-шантажист Fairware выполняет команды rm -rf в этой папке. Это поведение было замечено [x] раз сегодня на следующих компьютерах: [имена_компьютеров]. - Средний
Behavior similar to Fairware ransomware detected (Поведение, аналогичное атаке программы-шантажиста Fairware)
(VM_FairwareMalware)
При анализе данных узла %{скомпрометированный_узел} обнаружено выполнение команд rm -rf, применяемых к подозрительным расположениям. Так как команда rm -rf рекурсивно удаляет файлы, она обычно используется в отдельных папках. В этом случае она используется в расположении, которое может удалить большой объем данных. Известно, что программа-шантажист Fairware выполняет команды rm -rf в этой папке. Выполнение Средний
Behavior similar to ransomware detected [seen multiple times] (Обнаружено поведение, аналогичное обнаружению атаки программы-шантажиста [встречается несколько раз]) При анализе данных узла %{скомпрометированный_узел} обнаружено выполнение файлов, имеющих сходство с известной программой-шантажистом, которая может препятствовать доступу пользователей к своим системным или личным файлам и требовать оплаты для восстановления доступа. Это поведение было замечено [x] раз сегодня на следующих компьютерах: [имена_компьютеров]. - Высокий
Связь с подозрительным доменом, обнаруженным посредством аналитики угроз
(AzureDNS_ThreatIntelSuspectDomain)
Обнаружен обмен данными с подозрительным доменом путем анализа транзакций DNS из ресурса и их сравнения с известными вредоносными доменами, идентифицируемыми каналами аналитики угроз. Обмен данными с вредоносными доменами часто осуществляется злоумышленниками и может свидетельствовать о компрометации ресурса. Начальный доступ, сохраняемость, выполнение, управление и контроль, несанкционированное использование Средний
Container with a miner image detected (Обнаружен контейнер с образом программы-майнера)
(VM_MinerInContainerImage)
Журналы компьютеров указывают на выполнение контейнера Docker, который запускает образ, связанный с майнингом цифровых валют. Выполнение Высокий
Майнинг криптовалюты
(VM_CryptoCoinMinerExecution)
При анализе данных об узле или устройстве обнаружен процесс, который запускается так же, как и процесс майнинга криптовалюты. Выполнение Средний
Расширение пользовательского сценария с подозрительной командой на вашей виртуальной машине
(VM_CustomScriptExtensionSuspiciousCmd)
При анализе операций Azure Resource Manager в подписке на виртуальной машине было обнаружено расширение пользовательских скриптов с подозрительными командами.
Злоумышленники могут использовать расширение пользовательских скриптов для выполнения вредоносного кода на виртуальной машине с помощью Azure Resource Manager.
Выполнение Средний
Расширение пользовательского сценария с подозрительной точкой входа в вашу виртуальную машину
(VM_CustomScriptExtensionSuspiciousEntryPoint)
При анализе операций Azure Resource Manager в подписке на виртуальной машине было обнаружено расширение пользовательских скриптов с подозрительной точкой входа. Точка входа относится к подозрительному репозиторию GitHub.
Злоумышленники могут использовать расширения пользовательских скриптов для выполнения вредоносного кода на виртуальной машине с помощью Azure Resource Manager.
Выполнение Средний
Расширение пользовательского сценария с подозрительной полезной нагрузкой на вашей виртуальной машине
(VM_CustomScriptExtensionSuspiciousPayload)
При анализе операций Azure Resource Manager в подписке на виртуальной машине было обнаружено расширение пользовательских скриптов с полезными данными подозрительного репозитория GitHub.
Злоумышленники могут использовать расширения пользовательских скриптов для выполнения вредоносного кода на виртуальной машине с помощью Azure Resource Manager.
Выполнение Средний
Detected anomalous mix of upper and lower case characters in command line (Обнаружено аномальное сочетание символов верхнего и нижнего регистра в командной строке) При анализе данных узла %{скомпрометированный_узел} обнаружена командная строка с аномальным сочетанием символов верхнего и нижнего регистра. Хотя этот тип шаблона может быть безопасным, он также часто используется злоумышленниками, которые пытаются обойти чувствительные к регистру или хэшированию правила при выполнении административных задач на скомпрометированном узле. - Средний
Detected file download from a known malicious source [seen multiple times] (Обнаружено скачивание файла из известного вредоносного источника [обнаружено несколько раз])
(VM_SuspectDownload)
При анализе данных узла было обнаружено скачивание файла из известного источника вредоносных программ в %{скомпрометированный_узел}. Это поведение было обнаружено более [x] раз сегодня на следующих компьютерах: [имена_компьютеров]. Повышение привилегий, выполнение, кража данных, контроль и управление Средний
Detected file download from a known malicious source (Обнаружено скачивание файла из известного вредоносного источника) При анализе данных узла было обнаружено скачивание файла из известного источника вредоносных программ в %{скомпрометированный_узел}. - Средний
Detected persistence attempt [seen multiple times] (Обнаружена попытка сохранения [встречается несколько раз]) При анализе данных узла %{скомпрометированный_узел} обнаружена установка скрипта запуска для однопользовательского режима. Крайне редко, чтобы какой-либо допустимый процесс выполнялся в таком режиме, поэтому это может указывать, что злоумышленник добавил вредоносный процесс на каждый уровень выполнения, чтобы гарантировать сохраняемость. Это поведение было замечено [x] раз сегодня на следующих компьютерах: [имена_компьютеров]. - Средний
Detected persistence attempt (Обнаружена попытка сохранения)
(VM_NewSingleUserModeStartupScript)
При анализе данных узла обнаружено, что был установлен скрипт запуска для однопользовательского режима.
Так как это редкость, чтобы какой-либо допустимый процесс выполнялся в таком режиме, это может означать, что злоумышленник добавил вредоносный процесс на каждый уровень выполнения, чтобы гарантировать сохраняемость.
Сохраняемость Средний
Detected suspicious file download [seen multiple times] (Обнаружено подозрительное скачивание файла [встречается несколько раз]) При анализе данных узла обнаружено подозрительное скачивание удаленных файлов в %{скомпрометированный_узел}. Это поведение было замечено 10 раз сегодня на следующих компьютерах: [имена_компьютеров]. - Низкий
Detected suspicious file download (Обнаружено скачивание подозрительного файла)
(VM_SuspectDownloadArtifacts)
При анализе данных узла обнаружено подозрительное скачивание удаленных файлов в %{скомпрометированный_узел}. Сохраняемость Низкий
Detected suspicious network activity (Обнаружена подозрительная сетевая активность) При анализе сетевого трафика %{скомпрометированный_узел} обнаружена подозрительная сетевая активность. Такой трафик, хотя он и может быть неопасным, обычно используется злоумышленником для связи с вредоносными серверами для загрузки инструментов, управления и контроля, а также кражи данных. Типичные действия, связанные с атаками, включают в себя копирование средств удаленного администрирования на скомпрометированный узел и получения данных пользователя из него. - Низкий
Detected suspicious use of the useradd command [seen multiple times] (Обнаружено подозрительное использование команды useradd [встречается несколько раз]) При анализе данных узла обнаружено подозрительное выполнение команды useradd в %{скомпрометированный_узел}. Это поведение было замечено [x] раз сегодня на следующих компьютерах: [имена_компьютеров]. - Средний
Detected suspicious use of the useradd command (Обнаружено подозрительное использование команды useradd)
(VM_SuspectUserAddition)
При анализе данных узла обнаружено подозрительное выполнение команды useradd в %{скомпрометированный_узел}. Сохраняемость Средний
Digital currency mining related behavior detected (Обнаружено поведение, связанное с майнингом цифровых валют) При анализе данных узла %{скомпрометированный_узел} обнаружено выполнение процесса или команды, которые обычно связаны с майнингом цифровых валют. - Высокий
Disabling of auditd logging [seen multiple times] (Отключение ведения журнала аудита [обнаружено несколько раз]) Система аудита Linux позволяет отслеживать сведения, относящиеся к безопасности в системе. Она записывает как можно больше сведений о событиях, происходящих в системе. Отключение ведения журнала аудита может препятствовать обнаружению нарушений политик безопасности, используемых в системе. Это поведение было замечено [x] раз сегодня на следующих компьютерах: [имена_компьютеров]. - Низкий
Обнаружена операция сборки Docker на узле Kubernetes
(VM_ImageBuildOnNode)
Журналы компьютеров указывают на операцию сборки образа контейнера на узле Kubernetes. Хотя такое поведение может быть допустимым, злоумышленники могут создавать свои вредоносные образы локально, чтобы избежать обнаружения. Уклонение от защиты Низкий
Executable found running from a suspicious location (Обнаружен исполняемый файл, работающий из подозрительного расположения)
(VM_SuspectExecutablePath)
При анализе данных узла %{скомпрометированный_узел} обнаружен исполняемый файл, который выполняется из общего расположения с известными подозрительными файлами. Этот исполняемый файл может быть допустимым действием или признаком скомпрометированного узла. Выполнение Высокий
Exploitation of Xorg vulnerability [seen multiple times] (Использование уязвимости Xorg [встречается несколько раз]) При анализе данных узла % {скомпрометированный_узел} обнаружен пользователь Xorg с подозрительными аргументами. Злоумышленники могут использовать этот метод при попытке повышения привилегий. Это поведение было замечено [x] раз сегодня на следующих компьютерах: [имена_компьютеров]. - Средний
Доступ к управляющей программе Docker через TCP-сокет
(VM_ExposedDocker)
Журналы компьютера указывают, что управляющая программа Docker (dockerd) предоставляет TCP-сокет. По умолчанию в конфигурации Docker не используется шифрование или проверка подлинности при включенном TCP-сокете. Это обеспечивает полный доступ к управляющей программе Docker любым пользователям, у которых есть доступ к соответствующему порту. Execution, Exploitation Средний
Failed SSH brute force attack (Сбой атаки методом подбора SSH)
(VM_SshBruteForceFailed)
Были обнаружены неудачные атаки методом подбора со стороны злоумышленников: %{злоумышленники}. Злоумышленники со следующими именами пользователей пытались получить доступ к узлу: %{учетные_записи_используемые_при_входе_в_систему}. Проверка Средний
Fileless Attack Behavior Detected (Обнаружено поведение бесфайловой атаки)
(VM_FilelessAttackBehavior.Linux)
В памяти указанного ниже процесса содержится поведение, обычно используемое для бесфайловых атак.
К такому поведению относится: {список_наблюдаемых_поведений}
Выполнение Низкий
Fileless Attack Technique Detected (Обнаружен метод бесфайловой атаки)
(VM_FilelessAttackTechnique.Linux)
Память указанного ниже процесса содержит свидетельство о методе бесфайловой атаки. Бесфайловые атаки используются злоумышленниками для выполнения кода и обхода системы безопасности.
К такому поведению относится: {список_наблюдаемых_поведений}
Выполнение Высокий
Fileless Attack Toolkit Detected (Обнаружен набор средств для бесфайловой атаки)
(VM_FilelessAttackToolkit.Linux)
В памяти указанного ниже процесса содержится набор средств {имя_набора_средств}, используемый для бесфайловых атак. Наборы средств для бесфайловых атак обычно не оставляют следов в файловой системе, что затрудняет их обнаружение традиционными антивирусными программами.
К такому поведению относится: {список_наблюдаемых_поведений}
Обход защиты, выполнение Высокий
Hidden file execution detected (Обнаружено выполнение скрытого файла) Анализ данных узла указывает, что скрытый файл был выполнен пользователем %{имя_пользователя}. Это может быть допустимое действие или признак скомпрометированного узла. - Informational
Indicators associated with DDOS toolkit detected [seen multiple times] (Обнаружены индикаторы, связанные со средством для DDoS-атак [встречается несколько раз]) При анализе данных узла %{скомпрометированный_узел} обнаружены имена файлов, которые входят в набор средств, связанных с вредоносными программами, которые могут запускать DDoS-атаки, открывать порты и службы и получать полный контроль над зараженной системой. Это также может быть допустимым действием. Это поведение было замечено [x] раз сегодня на следующих компьютерах: [имена_компьютеров]. - Средний
Indicators associated with DDOS toolkit detected (Обнаружены индикаторы, связанные с набором средств для DDoS атак)
(VM_KnownLinuxDDoSToolkit)
При анализе данных узла %{скомпрометированный_узел} обнаружены имена файлов, которые входят в набор средств, связанных с вредоносными программами, которые могут запускать DDoS-атаки, открывать порты и службы и получать полный контроль над зараженной системой. Это также может быть допустимым действием. Сохраняемость, горизонтальное распространение, выполнение, несанкционированное использование Средний
Local host reconnaissance detected [seen multiple times] (Обнаружена атака методом рекогносцировки на локальном узле [встречается несколько раз]) При анализе данных узла {скомпрометированный_узел} обнаружено выполнение команды, которая обычно связана с рекогносцировкой с помощью ботнетов Linux. Это поведение было замечено [x] раз сегодня на следующих компьютерах: [имена_компьютеров]. - Средний
Local host reconnaissance detected (Обнаружена атака методом рекогносцировки на локальном узле)
(VM_LinuxReconnaissance)
При анализе данных узла {скомпрометированный_узел} обнаружено выполнение команды, которая обычно связана с рекогносцировкой с помощью ботнетов Linux. Обнаружение Средний
Manipulation of host firewall detected [seen multiple times] (Обнаружено управление брандмауэром узла [встречается несколько раз])
(VM_FirewallDisabled)
Анализ данных узла на %{скомпрометированный_узел} выявил возможную манипуляцию с брандмауэром на узле. Злоумышленники часто отключают его для захвата данных. Это поведение было замечено [x] раз сегодня на следующих компьютерах: [имена_компьютеров]. Обход защиты, кража данных Средний
Manipulation of host firewall detected (Обнаружено управление брандмауэром узла) Анализ данных узла на %{скомпрометированный_узел} выявил возможную манипуляцию с брандмауэром на узле. Злоумышленники часто отключают его для захвата данных. - Средний
MITRE Caldera agent detected (Обнаружен агент MITRE Caldera)
(VM_MitreCalderaTools)
Журналы компьютера указывают на то, что на %{скомпрометированный_узел} запущен подозрительный процесс %{подозрительный_процесс}. Часто это связано с агентом MITRE 54ndc47, который может использоваться злонамеренно для атак на другие компьютеры. Все Средний
New SSH key added [seen multiple times] (Добавлен новый ключ SSH [встречается несколько раз])
(VM_SshKeyAddition)
В файл санкционированных ключей добавлен новый ключ SSH. Это поведение было замечено [x] раз сегодня на следующих компьютерах: [имена_компьютеров]. Сохраняемость Низкий
New SSH key added (Добавлен ключ SSH) В файл санкционированных ключей добавлен новый ключ SSH. - Низкий
Possible attack tool detected [seen multiple times] (Обнаружено возможное средство атаки [встречается несколько раз]) Журналы компьютера указывают на то, что на %{скомпрометированный_узел} запущен подозрительный процесс %{подозрительный_процесс}. Это средство часто связано со злоумышленниками, которые каким-либо образом атакуют другие компьютеры. Это поведение было замечено [x] раз сегодня на следующих компьютерах: [имена_компьютеров]. - Средний
Possible attack tool detected (Обнаружено возможное средство атаки)
(VM_KnownLinuxAttackTool)
Журналы компьютера указывают на то, что на %{скомпрометированный_узел} запущен подозрительный процесс %{подозрительный_процесс}. Это средство часто связано со злоумышленниками, которые каким-либо образом атакуют другие компьютеры. Выполнение, сбор данных, контроль и управление, проверка Средний
Possible backdoor detected [seen multiple times] (Обнаружен возможный черный ход [встречается несколько раз]) При анализе данных узла обнаружен подозрительный загружаемый файл, который затем выполняется на %{скомпрометированный_узел} в вашей подписке. Это действие ранее было связано с установкой черного хода. Это поведение было замечено [x] раз сегодня на следующих компьютерах: [имена_компьютеров]. - Средний
Possible credential access tool detected [seen multiple times] (Обнаружено возможное средство доступа к учетным данным [встречается несколько раз]) Журналы компьютера указывают на то, что на %{скомпрометированный_узел} запущено средство доступа к учетным данным с помощью процесса %{подозрительный_процесс}. Это средство часто используют злоумышленники, которые пытаются получить доступ к учетным данным. Это поведение было замечено [x] раз сегодня на следующих компьютерах: [имена_компьютеров]. - Средний
Possible credential access tool detected (Обнаружено возможное средство доступа к учетным данным)
(VM_KnownLinuxCredentialAccessTool)
Журналы компьютера указывают на то, что на %{скомпрометированный_узел} запущено средство доступа к учетным данным с помощью процесса %{подозрительный_процесс}. Это средство часто используют злоумышленники, которые пытаются получить доступ к учетным данным. Доступ к четным данным Средний
Possible data exfiltration [seen multiple times] (Возможная кража данных [встречается несколько раз]) При анализе данных узла %{скомпрометированный_узел} обнаружено возможное условие исходящего трафика данных. Злоумышленники часто выводят данные из скомпрометированных ими компьютеров. Это поведение было замечено [x] раз сегодня на следующих компьютерах: [имена_компьютеров]. - Средний
Possible data exfiltration (Возможная кража данных)
(VM_DataEgressArtifacts)
При анализе данных узла %{скомпрометированный_узел} обнаружено возможное условие исходящего трафика данных. Злоумышленники часто выводят данные из скомпрометированных ими компьютеров. Сбор, кража данных Средний
Possible exploitation of Hadoop Yarn (Возможное несанкционированное использование Hadoop Yarn)
(VM_HadoopYarnExploit)
При анализе данных узла %{скомпрометированный_узел} обнаружена возможность несанкционированного использования службы Hadoop Yarn. Несанкционированное использование Средний
Possible exploitation of the mailserver detected (Обнаружена возможность несанкционированного использования почтового сервера)
(VM_MailserverExploitation )
При анализе данных узла по %{скомпрометированный_узел} обнаружены необычные операции от имени учетной записи почтового сервера. Несанкционированное использование Средний
Possible Log Tampering Activity Detected [seen multiple times] (Обнаружено возможное действие несанкционированного изменения данных журнала [встречается несколько раз]) При анализе данных узла %{Compromised Host} обнаружено возможное удаление файлов, которые отслеживают действия пользователя во время выполнения операции. Злоумышленники часто пытаются избегать обнаружения и скрывают вредоносные действия, удаляя такие файлы журналов. Это поведение было замечено [x] раз сегодня на следующих компьютерах: [имена_компьютеров]. - Средний
Possible Log Tampering Activity Detected (Обнаружено потенциальное изменение данных журнала)
(VM_SystemLogRemoval)
При анализе данных узла %{Compromised Host} обнаружено возможное удаление файлов, которые отслеживают действия пользователя во время выполнения операции. Злоумышленники часто пытаются избегать обнаружения и скрывают вредоносные действия, удаляя такие файлы журналов. Уклонение от защиты Средний
Possible malicious web shell detected [seen multiple times] (Обнаружена вредоносная веб-оболочка [встречается несколько раз])
(VM_Webshell)
При анализе данных узла %{скомпрометированный_узел} обнаружено возможное использование веб-оболочки. Злоумышленники часто загружают веб-оболочку на компьютер, который ими скомпрометирован, чтобы гарантировать сохраняемость и получить возможность дальнейшего доступа. Это поведение было замечено [x] раз сегодня на следующих компьютерах: [имена_компьютеров]. Сохраняемость, несанкционированное использование Средний
Possible malicious web shell detected (Обнаружена возможная вредоносная веб-оболочка) При анализе данных узла %{скомпрометированный_узел} обнаружено возможное использование веб-оболочки. Злоумышленники часто загружают веб-оболочку на компьютер, который ими скомпрометирован, чтобы гарантировать сохраняемость и получить возможность дальнейшего доступа. - Средний
Possible password change using crypt-method detected [seen multiple times] (Обнаружена возможная смена пароля с помощью метода шифрования [встречается несколько раз]) Анализ данных узла %{скомпрометированный_узел} обнаружил смену пароля с помощью метода шифрования. Злоумышленники могут внести это изменение, чтобы продолжить доступ и гарантировать сохраняемость после компрометации. Это поведение было замечено [x] раз сегодня на следующих компьютерах: [имена_компьютеров]. - Средний
Potential overriding of common files [seen multiple times] (Возможное переопределение общих файлов [встречается несколько раз]) При анализе данных узла обнаружены общие исполняемые файлы, перезаписанные на %{скомпрометированный_узел}. Злоумышленники будут перезаписывать общие файлы, чтобы скрыть свои действия или получить возможность дальнейшего доступа. Это поведение было замечено [x] раз сегодня на следующих компьютерах: [имена_компьютеров]. - Средний
Potential overriding of common files (Возможное переопределение общих файлов)
(VM_OverridingCommonFiles)
При анализе данных узла обнаружены общие исполняемые файлы, перезаписанные на %{скомпрометированный_узел}. Злоумышленники будут перезаписывать общие файлы, чтобы скрыть свои действия или получить возможность дальнейшего доступа. Сохраняемость Средний
Potential port forwarding to external IP address [seen multiple times] (Потенциальная переадресация портов на внешний IP-адрес [встречается несколько раз]) При анализе данных узла %{скомпрометированный_узел} обнаружена инициация перенаправления портов на внешний IP-адрес. Это поведение было замечено [x] раз сегодня на следующих компьютерах: [имена_компьютеров]. - Средний
Potential port forwarding to external IP address (Потенциальная переадресация портов на внешний IP-адрес)
(VM_SuspectPortForwarding)
При анализе данных узла обнаружена инициация перенаправления портов на внешний IP-адрес. Кража данных, контроль и управление Средний
Potential reverse shell detected [seen multiple times] (Обнаружена потенциальная обратная оболочка [встречается несколько раз]) При анализе данных узла %{скомпрометированный_узел} обнаружено возможное использование обратной оболочки. Она используется для того, чтобы скомпрометированный компьютер связывался с компьютером, принадлежащим злоумышленнику. Это поведение было замечено [x] раз сегодня на следующих компьютерах: [имена_компьютеров]. - Средний
Potential reverse shell detected (Обнаружена потенциальная обратная оболочка)
(VM_ReverseShell)
При анализе данных узла %{скомпрометированный_узел} обнаружено возможное использование обратной оболочки. Она используется для того, чтобы скомпрометированный компьютер связывался с компьютером, принадлежащим злоумышленнику. Exfiltration, Exploitation Средний
Privileged command run in container (Привилегированная команда запущена в контейнере)
(VM_PrivilegedExecutionInContainer)
Журналы компьютера указывают на то, что привилегированная команда была запущена в контейнере Docker. Привилегированная команда имеет расширенные привилегии на главном компьютере. Повышение привилегий Низкий
Privileged Container Detected (Обнаружен привилегированный контейнер)
(VM_PrivilegedContainerArtifacts)
Журналы компьютера указывают на то, что работает привилегированный контейнер Docker. Привилегированный контейнер имеет полный доступ к ресурсам узла. В случае компрометации злоумышленник может использовать привилегированный контейнер для получения доступа к главному компьютеру. Повышение привилегий, выполнение Низкий
Process associated with digital currency mining detected [seen multiple times] (Обнаружен процесс, связанный с майнингом цифровых валют [встречается несколько раз]) При анализе данных узла %{скомпрометированный_узел} обнаружено выполнение процесса, который обычно связан с майнингом цифровых валют. Это поведение было замечено более 100 раз сегодня на следующих компьютерах: [имена компьютеров]. - Средний
Process associated with digital currency mining detected (Обнаружен процесс, связанный с майнингом цифровых валют) При анализе данных узла обнаружено выполнение процесса, который обычно связан с майнингом цифровых валют. Несанкционированное использование, выполнение Средний
Process seen accessing the SSH authorized keys file in an unusual way (Обнаружен необычный процесс доступа к файлу санкционированных ключей SSH)
(VM_SshKeyAccess)
Доступ к файлу с санкционированными ключами SSH осуществлялся с помощью метода, который используется известными вредоносными программами. Такой доступ может означать, что злоумышленник пытается получить постоянный доступ к компьютеру. - Низкий
Python encoded downloader detected [seen multiple times] (Обнаружен загрузчик в кодировке Python [встречается несколько раз]) При анализе данных узла %{скомпрометированный_узел} обнаружено выполнение кода Python, который скачивает и запускает код из удаленного расположения. Это может свидетельствовать о вредоносных действиях. Это поведение было замечено [x] раз сегодня на следующих компьютерах: [имена_компьютеров]. - Низкий
Screenshot taken on host [seen multiple times] (На узле выполнен снимок экрана [встречается несколько раз]) При анализе данных узла %{скомпрометированный_узел} обнаружен пользователь средства для создания снимков экрана. Злоумышленники могут использовать эти средства для доступа к частным данным. Это поведение было замечено [x] раз сегодня на следующих компьютерах: [имена_компьютеров]. - Низкий
Script extension mismatch detected [seen multiple times] (Обнаружено несоответствие расширений скриптов [встречается несколько раз]) При анализе данных узла %{скомпрометированный_узел} обнаружено несоответствие между интерпретатором скриптов и расширением файла сценария, предоставленного в качестве источника данных. Это часто связано с выполнением скриптов злоумышленников. Это поведение было замечено [x] раз сегодня на следующих компьютерах: [имена_компьютеров]. - Средний
Script extension mismatch detected (Обнаружено несоответствие расширений скриптов)
(VM_MismatchedScriptFeatures)
При анализе данных узла %{скомпрометированный_узел} обнаружено несоответствие между интерпретатором скриптов и расширением файла сценария, предоставленного в качестве источника данных. Это часто связано с выполнением скриптов злоумышленников. Уклонение от защиты Средний
Shellcode detected [seen multiple times] (Обнаружен код оболочки [встречается несколько раз]) Анализ данных узла %{скомпрометированный_узел} указывает на создание кода оболочки из командной строки. Этот процесс может быть допустимым действием или признаком того, что один из ваших компьютеров был скомпрометирован. Это поведение было замечено [x] раз сегодня на следующих компьютерах: [имена_компьютеров]. - Средний
SSH server is running inside a container (Сервер SSH работает в контейнере)
(VM_ContainerSSH)
Журналы компьютера указывают, что сервер SSH работает в контейнере Docker. Хотя такое поведение может быть намеренным, оно часто указывает на то, что контейнер неправильно настроен или его безопасность нарушена. Выполнение Средний
Successful SSH brute force attack (Успешная атака SSH методом подбора)
(VM_SshBruteForceSuccess)
При анализе данных узла обнаружена успешная атака методом подбора. Обнаружено несколько попыток входа с %{IP-адрес_злоумышленника}. Успешно выполнен вход с этого IP-адреса для следующих пользователей: %{учетные_записи_выполнившие_успешный_вход_на_узел}. Это означает, что узел может быть скомпрометирован и контролироваться вредоносным субъектом. Несанкционированное использование Высокий
Suspect Password File Access (Возможный доступ к файлу паролей)
(VM_SuspectPasswordFileAccess)
Анализ данных узла обнаружил подозрительный доступ к зашифрованным паролям пользователей. Сохраняемость Informational
Suspicious Account Creation Detected (Обнаружено создание подозрительной учетной записи) При анализе данных узла %{скомпрометированный_узел} обнаружено создание или использование локальной учетной записи %{имя_подозрительной_учетной_записи}. Это имя учетной записи точно напоминает стандартную учетную запись Windows или имя группы %{похожее_на_имя_учетной_записи}. Это потенциально фальшивая учетная запись, созданная злоумышленником, поэтому она так называется, чтобы избежать обнаружения администратором. - Средний
Suspicious compilation detected [seen multiple times] (Обнаружена подозрительная компиляция [обнаружено несколько раз]) При анализе данных узла %{скомпрометированный_узел} обнаружена подозрительная компиляция. Злоумышленники, как правило, компилируют эксплойты на компьютере, скомпрометированном для повышения привилегий. Это поведение было замечено [x] раз сегодня на следующих компьютерах: [имена_компьютеров]. - Средний
Suspicious compilation detected (Обнаружена подозрительная компиляция)
(VM_SuspectCompilation)
При анализе данных узла %{скомпрометированный_узел} обнаружена подозрительная компиляция. Злоумышленники, как правило, компилируют эксплойты на компьютере, скомпрометированном для повышения привилегий. Эскалация привилегий, несанкционированное использование Средн.
Suspicious DNS Over Https (Возможно использование DNS по протоколу HTTPS)
(VM_SuspiciousDNSOverHttps)
Анализ данных узла указывает на нестандартное использование вызова DNS по протоколу HTTPS. Этот метод применяется злоумышленниками для скрытия вызовов к подозрительным или вредоносным веб-сайтам. Обход защиты, кража данных Средний
Подозрительный сбой при выполнении расширения пользовательского скрипта на вашей виртуальной машине
(VM_CustomScriptExtensionSuspiciousFailure)
При анализе операций Azure Resource Manager в подписке на виртуальной машине был обнаружен подозрительный сбой расширения пользовательских скриптов.
Такие сбои могут быть связаны с вредоносными сценариями, запущенными этим расширением.
Выполнение Средний
Suspicious kernel module detected [seen multiple times] (Обнаружен подозрительный модуль ядра [встречается несколько раз]) При анализе данных узла %{скомпрометированный_узел} обнаружен файл общего объекта, загружаемый в качестве модуля ядра. Это может быть допустимое действие или признак того, что один из ваших компьютеров был скомпрометирован. Это поведение было замечено [x] раз сегодня на следующих компьютерах: [имена_компьютеров]. - Средний
Suspicious password access [seen multiple times] (Доступ с помощью подозрительного пароля [встречается несколько раз]) Анализ данных узла обнаружил подозрительный доступ к зашифрованным паролям пользователей на %{скомпрометированный_узел}. Это поведение было замечено [x] раз сегодня на следующих компьютерах: [имена_компьютеров]. - Informational
Доступ с помощью подозрительного пароля Анализ данных узла обнаружил подозрительный доступ к зашифрованным паролям пользователей на %{скомпрометированный_узел}. - Informational
Suspicious PHP execution detected (Обнаружено выполнение подозрительного процесса PHP)
(VM_SuspectPhp)
Журналы компьютера указывают на то, что выполняется подозрительный процесс PHP. Действие включало в себя попытку выполнить команды операционной системы или код PHP из командной строки с помощью процесса PHP. Хотя такое поведение может быть допустимым, в веб-приложениях такое поведение часто наблюдается во вредоносных действиях, таких как попытки заражения веб-сайтов с помощью веб-оболочек. Выполнение Средний
Suspicious request to Kubernetes API (Подозрительный запрос к API Kubernetes)
(VM_KubernetesAPI)
Журналы компьютера указывают на то, что был сделан подозрительный запрос к API Kubernetes. Запрос был отправлен с узла Kubernetes, возможно, из одного из контейнеров, запущенных в узле. Хотя такое поведение может быть допустимым, оно может указывать на то, что в узле выполняется скомпрометированный контейнер. LateralMovement Средний
Suspicious request to the Kubernetes Dashboard (Подозрительный запрос к панели мониторинга Kubernetes)
(VM_KubernetesDashboard)
Журналы компьютера указывают на то, что был сделан подозрительный запрос к панели мониторинга Kubernetes. Запрос был отправлен с узла Kubernetes, возможно, из одного из контейнеров, запущенных в узле. Хотя такое поведение может быть допустимым, оно может указывать на то, что в узле выполняется скомпрометированный контейнер. LateralMovement Средний
Threat Intel Command Line Suspect Domain (Командная строка Intel: угроза, подозрительный домен)
(VM_ThreatIntelCommandLineSuspectDomain)
Процесс "PROCESSNAME" на узле "HOST" установил соединение с расположением, которое было отмечено как вредоносное или необычное. Это признак возможной компрометации. Первоначальный доступ Средний
Нетипичный сброс конфигурации на вашей виртуальной машине
(VM_VMAccessUnusualConfigReset)
При анализе операций Azure Resource Manager в подписке на виртуальной машине был обнаружен нестандартный сброс конфигурации.
Хотя это действие может быть допустимым, злоумышленники могут пытаться использовать расширение для доступа к виртуальной машине для сброса конфигурации виртуальной машины и ее компрометации.
Доступ к четным данным Средний
Нетипичный сброс конфигурации на вашей виртуальной машине
(VM_CustomScriptExtensionUnusualDeletion)
При анализе операций Azure Resource Manager в подписке на виртуальной машине было обнаружено нестандартное удаление расширения пользовательских скриптов.
Злоумышленники могут использовать расширения пользовательских скриптов для выполнения вредоносного кода на виртуальной машине с помощью Azure Resource Manager.
Выполнение Средний
Нетипичное выполнение расширения пользовательского скрипта на вашей виртуальной машине
(VM_CustomScriptExtensionUnusualExecution)
При анализе операций Azure Resource Manager в подписке на виртуальной машине было обнаружено нестандартное выполнение расширения пользовательских скриптов.
Злоумышленники могут использовать расширения пользовательских скриптов для выполнения вредоносного кода на виртуальной машине с помощью Azure Resource Manager.
Выполнение Средний
Необычный сброс пароля пользователя на вашей виртуальной машине
(VM_VMAccessUnusualPasswordReset)
При анализе операций Azure Resource Manager в подписке на виртуальной машине был обнаружен нестандартный сброс пароля пользователя.
Хотя это действие может быть допустимым, злоумышленники могут пытаться использовать расширение для доступа к виртуальной машине для сброса учетных данных локального пользователя виртуальной машины и ее компрометации.
Доступ к четным данным Средний
Сброс необычного пользовательского ключа SSH на вашей виртуальной машине
(VM_VMAccessUnusualSSHReset)
При анализе операций Azure Resource Manager в подписке на виртуальной машине был обнаружен нестандартный сброс ключа SSH пользователя.
Хотя это действие может быть допустимым, злоумышленники могут пытаться использовать расширение для доступа к виртуальной машине для сброса ключа SSH учетной записи пользователя на виртуальной машине и компрометации виртуальной машины.
Доступ к четным данным Средний

Оповещения для службы приложений Azure

Дополнительные сведения и примечания

Оповещение (тип оповещения) Описание Тактика MITRE
(дополнительные сведения)
Severity
An attempt to run Linux commands on a Windows App Service (Попытка выполнить команды Linux в службе приложений Windows)
(AppServices_LinuxCommandOnWindows)
При анализе процессов службы приложений обнаружена попытка выполнить команду Linux в службе приложений Windows. Это действие выполнялось веб-приложением. Такое поведение часто встречается, когда используются уязвимости в общем веб-приложении.
(Действует для Службы приложений в Windows)
- Средний
В аналитике угроз обнаружен IP-адрес, подключенный к интерфейсу FTP Службы приложений Azure.
(AppServices_IncomingTiClientIpFtp)
Журнал FTP Службы приложений Azure содержит сведения о подключении с исходного адреса, указанного в веб-канале аналитики угроз. Во время этого подключения пользователь обратился к указанным страницам.
(Действует для Службы приложений в Windows и Linux)
Первоначальный доступ Средний
Attempt to run high privilege command detected (Обнаружена попытка запуска команды с высоким уровнем привилегий)
(AppServices_HighPrivilegeCommand)
При анализе процессов Службы приложений обнаружена попытка выполнить команду, для которой требуются высокие привилегии.
Команда выполнена в контексте веб-приложения. Хотя такое поведение может быть допустимым, в веб-приложениях такое поведение часто наблюдается для вредоносных действий.
(Действует для Службы приложений в Windows)
- Средний
Связь с подозрительным доменом, обнаруженным посредством аналитики угроз
(AzureDNS_ThreatIntelSuspectDomain)
Обнаружен обмен данными с подозрительным доменом путем анализа транзакций DNS из ресурса и их сравнения с известными вредоносными доменами, идентифицируемыми каналами аналитики угроз. Обмен данными с вредоносными доменами часто осуществляется злоумышленниками и может свидетельствовать о компрометации ресурса. Начальный доступ, сохраняемость, выполнение, управление и контроль, несанкционированное использование Средний
Connection to web page from anomalous IP address detected (Обнаружено подключение к веб-странице с аномальным IP-адресом)
(AppServices_AnomalousPageAccess)
Журнал действий Службы приложений Azure содержит сведения об аномальном подключении к конфиденциальной веб-странице с указанного исходного IP-адреса. Это может означать, что кто-то пытается выполнить атаку методом подбора на страницах администрирования веб-приложения. Это также может быть результатом использования нового IP-адреса, используемого полномочным пользователем. Если исходный IP-адрес является доверенным, можно отключить это оповещение для этого ресурса. Сведения о подавлении оповещений системы безопасности см. в разделе Отключение оповещений из Microsoft Defender для облака.
(Действует для Службы приложений в Windows и Linux)
Первоначальный доступ Низкий
Обнаружена недействительная запись DNS для ресурса Службы приложений
(AppServices_DanglingDomain)
Обнаружена запись DNS, указывающая на недавно удаленный ресурс службы приложений (недействительная запись DNS). Это может привести к перенаправлению поддомена. Перенаправление поддомена позволяет вредоносным субъектам перенаправлять трафик, предназначенный для домена организации, на сайт, выполняющий вредоносные действия.
(Действует для Службы приложений в Windows и Linux)
- Высокий
Detected encoded executable in command line data (Обнаружен закодированный исполняемый файл в данных командной строки)
(AppServices_Base64EncodedExecutableInCommandLineParams)
При анализе данных узла {скомпрометированный_узел} обнаружен исполняемый файл в кодировке Base-64. Ранее это было связано со злоумышленниками, пытающимися самостоятельно создавать исполняемые файлы в режиме реального времени через последовательность команд, чтобы не позволить системе обнаружить вторжения. Таким образом ни одна из отдельных команд не выдаст оповещение. Это может быть допустимое действие или признак скомпрометированного узла.
(Действует для Службы приложений в Windows)
Обход защиты, выполнение Высокий
Detected file download from a known malicious source (Обнаружено скачивание файла из известного вредоносного источника)
(AppServices_SuspectDownload)
Анализ данных хоста обнаружил загрузку файла из известного источника вредоносного ПО на вашем хосте.
(Действует для Службы приложений в Linux)
Повышение привилегий, выполнение, кража данных, контроль и управление Средний
Detected suspicious file download (Обнаружено скачивание подозрительного файла)
(AppServices_SuspectDownloadArtifacts)
При анализе данных узла обнаружено подозрительное скачивание удаленных файлов.
(Действует для Службы приложений в Linux)
Сохраняемость Средний
Digital currency mining related behavior detected (Обнаружено поведение, связанное с майнингом цифровых валют)
(AppServices_DigitalCurrencyMining)
При анализе данных узла Inn-Flow-WebJobs обнаружено выполнение процесса или команды, которые обычно связаны с майнингом цифровых валют.
(Действует для Службы приложений в Windows и Linux)
Выполнение Высокий
Executable decoded using certutil (Исполняемый файл декодирован с помощью средства CertUtil)
(AppServices_ExecutableDecodedUsingCertutil)
При анализе данных на %{скомпрометированная_сущность} обнаружено, что встроенная служебная программа администратора certutil.exe использовалась для декодирования исполняемого файла, а не целевого объекта, относящегося к управлению сертификатами и данными сертификатов. Злоумышленники злоупотребляют функциональностью допустимых инструментов администратора для выполнения вредоносных действий, например, используют certutil.exe для декодирования вредоносного исполняемого файла, который впоследствии будет выполнен.
(Действует для Службы приложений в Windows)
Обход защиты, выполнение Высокий
Fileless Attack Behavior Detected (Обнаружено поведение бесфайловой атаки)
(AppServices_FilelessAttackBehaviorDetection)
В памяти указанного ниже процесса содержится поведение, обычно используемое для бесфайловых атак.
К такому поведению относится: {список_наблюдаемых_поведений}
(Действует для Службы приложений в Windows и Linux)
Выполнение Средний
Fileless Attack Technique Detected (Обнаружен метод бесфайловой атаки)
(AppServices_FilelessAttackTechniqueDetection)
Память указанного ниже процесса содержит свидетельство о методе бесфайловой атаки. Бесфайловые атаки используются злоумышленниками для выполнения кода и обхода системы безопасности.
К такому поведению относится: {список_наблюдаемых_поведений}
(Действует для Службы приложений в Windows и Linux)
Выполнение Высокий
Fileless Attack Toolkit Detected (Обнаружен набор средств для бесфайловой атаки)
(AppServices_FilelessAttackToolkitDetection)
В памяти указанного ниже процесса содержится набор средств {имя_набора_средств}, используемый для бесфайловых атак. Наборы средств для бесфайловых атак обычно не оставляют следов в файловой системе, что затрудняет их обнаружение традиционными антивирусными программами.
К такому поведению относится: {список_наблюдаемых_поведений}
(Действует для Службы приложений в Windows и Linux)
Обход защиты, выполнение Высокий
Microsoft Defender for Cloud test alert for App Service (not a threat) (Тестовое оповещение Microsoft Defender для облака для службы приложений (не угроза))
(AppServices_EICAR)
Это тестовое оповещение, созданное службой Microsoft Defender для облака. Дополнительные действия не требуются.
(Действует для Службы приложений в Windows и Linux)
- Высокий
Обнаружено сканирование NMap
(AppServices_Nmap)
Журнал действий Службы приложений Azure указывает на возможное наличие веб-отпечатка в ресурсе Службы приложений.
Обнаруженное подозрительные действие связано с NMAP. Злоумышленники часто используют это средство для проверки веб-приложений на наличие уязвимостей.
(Действует для Службы приложений в Windows и Linux)
PreAttack Средний
Phishing content hosted on Azure Webapps (Фишинговое содержимое, размещенное в веб-приложениях Azure)
(AppServices_PhishingContent)
URL-адрес, используемый для фишинговой атаки, обнаружен на веб-сайте Службы приложений Azure. Этот URL-адрес был частью фишинговой атаки, отправленной клиентам Microsoft 365. Содержимое, как правило, вынуждает посетителей вводить свои корпоративные учетные данные или финансовую информацию на поддельном веб-сайте.
(Действует для Службы приложений в Windows и Linux)
Коллекция Высокий
PHP file in upload folder (Файл PHP в папке отправки)
(AppServices_PhpInUploadFolder)
Журнал действий Службы приложений Azure содержит сведения о доступе к подозрительной странице PHP, расположенной в папке отправки.
Этот тип папки обычно не содержит файлы PHP. Наличие такого типа файлов может свидетельствовать о несанкционированном использовании с помощью преимуществ уязвимостей произвольной загрузки файлов.
(Действует для Службы приложений в Windows и Linux)
Выполнение Средний
Обнаружено потенциальное скачивание криптомайнера
(AppServices_CryptoCoinMinerDownload)
Анализ данных хоста обнаружил загрузку файла, связанного, как правило, с майнингом цифровой валюты.
(Действует для Службы приложений в Linux)
Обход защиты, контроль и управление, несанкционированное использование Средний
Possible data exfiltration detected (Обнаружена возможная кража данных)
(AppServices_DataEgressArtifacts)
При анализе данных узла или устройства обнаружено возможное условие исходящего трафика данных. Злоумышленники часто выводят данные из скомпрометированных ими компьютеров.
(Действует для Службы приложений в Linux)
Сбор, кража данных Средний
Обнаружена возможная недействительная запись DNS для ресурса Службы приложений
(AppServices_PotentialDanglingDomain)
Обнаружена запись DNS, указывающая на недавно удаленный ресурс службы приложений (недействительная запись DNS). Это может привести к перенаправлению поддомена. Перенаправление поддомена позволяет вредоносным субъектам перенаправлять трафик, предназначенный для домена организации, на сайт, выполняющий вредоносные действия. В этом случае найдена текстовая запись с идентификатором проверки домена. Такие записи не связаны с возможным перенаправлением поддомена, но мы рекомендуем удалить недействительный домен. Если оставить запись DNS, указывающую на поддомен, вы рискуете, так как любой пользователь в вашей организации может удалить TXT-файл или запись в будущем.
(Действует для Службы приложений в Windows и Linux)
- Низкий
Potential reverse shell detected (Обнаружена потенциальная обратная оболочка)
(AppServices_ReverseShell)
При анализе данных узла обнаружено возможное использование обратной оболочки. Она используется для того, чтобы скомпрометированный компьютер связывался с компьютером, принадлежащим злоумышленнику.
(Действует для Службы приложений в Linux)
Exfiltration, Exploitation Средний
Raw data download detected (Обнаружена загрузка необработанных данных)
(AppServices_DownloadCodeFromWebsite)
При анализе процессов службы приложений обнаружена попытка скачать код с веб-сайтов необработанных данных, таких как Pastebin. Это действие выполнялось процессом PHP. Это поведение связано с попыткой загрузки веб-оболочек или других вредоносных компонентов в Службу приложений.
(Действует для Службы приложений в Windows)
Выполнение Средний
Saving curl output to disk detected (Обнаружено сохранение выходных данных curl на диск)
(AppServices_CurlToDisk)
Анализ процессов службы приложений обнаружил выполнение команды curl, с помощью которой выходные данные были сохранены на диске. Хотя такое поведение может быть допустимым, в веб-приложениях такое поведение часто наблюдается во вредоносных действиях, таких как попытки заражения веб-сайтов с помощью веб-оболочек.
(Действует для Службы приложений в Windows)
- Низкий
Spam folder referrer detected (Обнаружены ссылки на папку с нежелательной почтой)
(AppServices_SpamReferrer)
Журнал действий Службы приложений Azure указывает на веб-активность, которая была идентифицирована как исходящая с веб-сайта, связанного с нежелательной почтой. Это может произойти, если ваш веб-сайт скомпрометирован и используется для рассылки нежелательной почты.
(Действует для Службы приложений в Windows и Linux)
- Низкий
Suspicious access to possibly vulnerable web page detected (Обнаружен подозрительный доступ к потенциально уязвимой веб-странице)
(AppServices_ScanSensitivePage)
Журнал действий Службы приложений указывает, что был получен доступ к веб-странице, которая кажется конфиденциальной. Это подозрительное действие поступает с IP-адреса, который демонстрирует характерное для веб-сканера поведение доступа.
Подобные действия часто связаны с попыткой злоумышленника сканировать сеть, чтобы попытаться получить доступ к конфиденциальным или уязвимым веб-страницам.
(Действует для Службы приложений в Windows и Linux)
- Низкий
Подозрительная ссылка на доменное имя
(AppServices_CommandlineSuspectDomain)
При анализе данных узла обнаружена ссылка на подозрительное доменное имя. Такое действие, хотя и может быть допустимым поведением пользователя, часто указывает на скачивание или выполнение вредоносного ПО. К типичным действиям, связанным с активностью злоумышленников, можно отнести загрузку и выполнение дополнительного вредоносного ПО или средств удаленного администрирования.
(Действует для Службы приложений в Linux)
Извлечение Низкий
Suspicious download using Certutil detected (Обнаружена подозрительная загрузка с помощью команды certutil)
(AppServices_DownloadUsingCertutil)
При анализе данных узла {имя} обнаружено, что встроенная служебная программа администратора certutil.exe использовалась для скачивания двоичного файла, а не целевого объекта, относящегося к управлению сертификатами и данными сертификатов. Злоумышленники злоупотребляют функциональностью допустимых инструментов администратора для выполнения вредоносных действий, например используют certutil.exe для скачивания и декодирования вредоносного исполняемого файла, который впоследствии будет выполнен.
(Действует для Службы приложений в Windows)
Выполнение Средний
Suspicious PHP execution detected (Обнаружено выполнение подозрительного процесса PHP)
(AppServices_SuspectPhp)
Журналы компьютера указывают на то, что выполняется подозрительный процесс PHP. Действие включало в себя попытку выполнить команды операционной системы или код PHP из командной строки с помощью процесса PHP. Хотя такое поведение может быть допустимым, в веб-приложениях такое поведение часто наблюдается во вредоносных действиях, таких как попытки заражения веб-сайтов с помощью веб-оболочек.
(Действует для Службы приложений в Windows и Linux)
Выполнение Средний
Suspicious PowerShell cmdlets executed (Выполнены подозрительные командлеты PowerShell)
(AppServices_PowerShellPowerSploitScriptExecution)
Анализ данных узла указывает на выполнение известных вредоносных командлетов PowerShell PowerSploit.
(Действует для Службы приложений в Windows)
Выполнение Средний
Suspicious process executed (Выполнение подозрительных процессов)
(AppServices_KnownCredential AccessTools)
Журналы компьютера указывают, что на компьютере запущен подозрительный процесс %{путь_к_процессу}, который часто связан с попытками злоумышленников получить доступ к учетным данным.
(Действует для Службы приложений в Windows)
Доступ к четным данным Высокий
Suspicious process name detected (Обнаружен процесс с подозрительным именем)
(AppServices_ProcessWithKnownSuspiciousExtension)
При анализе данных узла {имя} обнаружен процесс с подозрительным именем, например соответствующий известному вредоносному средству, или имя процесса, похожее на средства злоумышленника, которые пытаются спрятать на видном месте. Этот процесс может быть допустимым действием или признаком того, что один из ваших компьютеров был скомпрометирован.
(Действует для Службы приложений в Windows)
Persistence, DefenseEvasion Средний
Suspicious SVCHOST process executed (Выполнение подозрительных процессов SVCHOST)
(AppServices_SVCHostFromInvalidPath)
Обнаружен системный процесс SVCHOST, выполненный в ненормальном контексте. Вредоносные программы часто используют SVCHOST для маскировки вредоносных действий.
(Действует для Службы приложений в Windows)
Обход защиты, выполнение Высокий
Suspicious User Agent detected (Обнаружен подозрительный агент пользователя)
(AppServices_UserAgentInjection)
Журнал действий службы приложений Azure указывает на запросы с подозрительным агентом пользователя. Такое поведение может указывать на попытки использования уязвимости в приложении службы приложений.
(Действует для Службы приложений в Windows и Linux)
Первоначальный доступ Средний
Suspicious WordPress theme invocation detected (Обнаружен подозрительный вызов темы WordPress)
(AppServices_WpThemeInjection)
Журнал действий Службы приложений Azure указывает на возможное действие вставки кода в ресурсе службы приложений.
Обнаруженное подозрительное действие напоминает шаблон управления темой WordPress для поддержки выполнения кода на стороне сервера, за которым следует прямой веб-запрос для вызова файла управляемой темы.
Этот тип активности может быть частью атаки на WordPress.
Если в ресурсе Службы приложений не размещается сайт WordPress, он не будет уязвим для этого конкретного эксплойта внедрения кода, и вы можете отключить это оповещение для ресурса. Сведения о подавлении оповещений системы безопасности см. в разделе Отключение оповещений из Microsoft Defender для облака.
(Действует для Службы приложений в Windows и Linux)
Выполнение Высокий
Vulnerability scanner detected (Обнаружен сканер уязвимостей)
(AppServices_DrupalScanner)
Журнал действий Службы приложений Azure указывает, что в ресурсе Службы приложений был использован сканер возможных уязвимостей.
Обнаруженные подозрительные действия похожи на действия средств, атакующих системы управления содержимым (CMS).
Если в ресурсе службы приложений не размещается сайт Drupal, он не будет уязвим для этого конкретного эксплойта внедрения кода, и вы можете отключить это оповещение для ресурса. Сведения о подавлении оповещений системы безопасности см. в разделе Отключение оповещений из Microsoft Defender для облака.
(Действует для Службы приложений в Windows)
PreAttack Средний
Vulnerability scanner detected (Обнаружен сканер уязвимостей)
(AppServices_JoomlaScanner)
Журнал действий Службы приложений Azure указывает, что в ресурсе Службы приложений был использован сканер возможных уязвимостей.
Обнаруженные подозрительные действия напоминают действия служб, атакующих приложения Joomla.
Если в ресурсе Службы приложений не размещается сайт Joomla, он не будет уязвим для этого конкретного эксплойта внедрения кода, и вы можете отключить это оповещение для ресурса. Сведения о подавлении оповещений системы безопасности см. в разделе Отключение оповещений из Microsoft Defender для облака.
(Действует для Службы приложений в Windows и Linux)
PreAttack Средний
Vulnerability scanner detected (Обнаружен сканер уязвимостей)
(AppServices_WpScanner)
Журнал действий Службы приложений Azure указывает, что в ресурсе Службы приложений был использован сканер возможных уязвимостей.
Обнаруженные подозрительные действия похожи на действия средств, атакующих приложения WordPress.
Если в ресурсе Службы приложений не размещается сайт WordPress, он не будет уязвим для этого конкретного эксплойта внедрения кода, и вы можете отключить это оповещение для ресурса. Сведения о подавлении оповещений системы безопасности см. в разделе Отключение оповещений из Microsoft Defender для облака.
(Действует для Службы приложений в Windows и Linux)
PreAttack Средний
Web fingerprinting detected (Обнаружены веб-отпечатки)
(AppServices_WebFingerprinting)
Журнал действий Службы приложений Azure указывает на возможное наличие веб-отпечатка в ресурсе Службы приложений.
Обнаруженное подозрительное действие связано со средством, которое называется Blind Elephant. Средство снимает отпечатки с веб-серверов и пытается обнаружить установленные приложения и их версии.
Злоумышленники часто используют это средство для проверки веб-приложений на наличие уязвимостей.
(Действует для Службы приложений в Windows и Linux)
PreAttack Средний
Веб-сайт помечен как вредоносный в канале Threat Intelligence
(AppServices_SmartScreen)
Ваш веб-сайт, указанный ниже, помечен как вредоносный программой Windows SmartScreen. Если вы считаете этот результат ложноположительным, обратитесь в службу поддержки Windows SmartScreen по указанной ссылке для отзывов.
(Действует для Службы приложений в Windows и Linux)
Коллекция Средний

Оповещения для контейнеров — кластеры Kubernetes

Microsoft Defender для контейнеров генерирует оповещения системы безопасности на уровне кластера и на базовых узлах кластера, отслеживая как уровень управления (сервер API), так и контейнерную рабочую нагрузку. Оповещения системы безопасности уровня управления можно распознать по префиксу K8S_ типа оповещения. Оповещения системы безопасности для рабочей нагрузки среды выполнения в кластерах можно распознать по префиксу K8S.NODE_ типа оповещения. Все оповещения поддерживаются только в Linux, если не указано иное.

Дополнительные сведения и примечания

Оповещение (тип оповещения) Описание Тактика MITRE
(дополнительные сведения)
Severity
Attempt to create a new Linux namespace from a container detected (Обнаружена попытка создать новое пространство имен Linux из контейнера)
(K8S.NODE_NamespaceCreation) 1
При анализе процессов, выполняемых в контейнере в кластере Kubernetes, обнаружена попытка создать новое пространство имен Linux. Это поведение может быть допустимым, но может и указывать на то, что злоумышленник пытается выйти из контейнера на узел. Некоторые эксплойты CVE-2022-0185 используют этот метод. PrivilegeEscalation Средний
A history file has been cleared (Файл журнала был удален)
(K8S.NODE_HistoryFileCleared) 1
Анализ процессов, выполняемых в контейнере или непосредственно в узле Kubernetes, обнаружил, что файл журнала команд был очищен. Злоумышленники могли сделать это, чтобы скрыть свои следы. Операция была выполнена указанной учетной записью пользователя. DefenseEvasion Средний
Аномальное действие управляемого удостоверения, связанного с Kubernetes (предварительная версия)
(K8S_AbnormalMiAcitivty)
При анализе операций Azure Resource Manager выли выявлены аномальные действия управляемого удостоверения, используемого надстройкой AKS. Выявленное действие не согласуется с действиями связанной надстройки. Это действие может быть допустимым, однако, такое поведение может указывать на то, что удостоверение было получено злоумышленником, возможно, из скомпрометированного контейнера в кластере Kubernetes. Боковое смещение Средний
Обнаружена аномальная операция учетной записи службы Kubernetes
(K8S_ServiceAccountRareOperation)
При анализе журнала аудита Kubernetes были выявлены аномальные действия учетной записи службы в кластере Kubernetes. Учетная запись службы использовалась для операции, которая не является распространенной для этой учетной записи службы. Это действие может быть допустимым, однако, такое поведение может указывать на то, что учетная запись службы используется для вредоносных целей. Боковое смещение, доступ к учетным данным Средний
An uncommon connection attempt detected (Обнаружена нетипичная попытка подключения)
(K8S.NODE_SuspectConnection) 1
Анализ процессов, выполняемых в контейнере или непосредственно в узле Kubernetes, обнаружил нетипичную попытку подключения с использованием протокола SOCKS. В нормальном режиме работы такое происходит очень редко, однако это известный прием злоумышленников, пытающихся обойти средства обнаружения сетевого уровня. Выполнение, утечка, эксплуатация Средний
Anomalous pod deployment (Preview) (Аномальное развертывание pod (предварительная версия))
(K8S_AnomalousPodDeployment) 3
Анализ журнала аудита Kubernetes обнаружил развертывание pod, и это действие является аномальным с учетом предыдущих действий по развертыванию pod. Это действие считается аномалией с учетом взаимосвязей между различными признаками операции развертывания. В число отслеживаемых признаков входят используемый реестр образов контейнеров, учетная запись, выполняющая развертывание, день недели, периодичность развертывания pod в этой учетной записи, агент пользователя, используемый в операции, использование пространства имен, в котором часто выполняется развертывание pod, и другие особенности. Основные причины возникновения этого оповещения об аномальной операции подробно описаны в расширенных свойствах оповещения. Выполнение Средний
Attempt to stop apt-daily-upgrade.timer service detected (Обнаружена попытка завершения службы таймера apt-daily-upgrade.timer)
(K8S.NODE_TimerServiceDisabled) 1
Анализ процессов, выполняемых в контейнере или непосредственно в узле Kubernetes, обнаружил попытку остановить службу apt-daily-upgrade.timer. Было замечено, что злоумышленники останавливают эту службу, чтобы загрузить вредоносные файлы и получить права выполнения для атаки. Такое действие также может возникнуть, если служба обновляется с использованием обычных административных операций. DefenseEvasion Informational
Behavior similar to common Linux bots detected (Preview) (Обнаружено поведение, похожее на распространенные программы-роботы Linux (предварительная версия))
(K8S.NODE_CommonBot)
Анализ процессов, выполняемых в контейнере или непосредственно в узле Kubernetes, обнаружил выполнение процесса, обычно связанного с распространенными ботнетами Linux. Выполнение, сбор данных, контроль и управление Средний
Behavior similar to Fairware ransomware detected (Поведение, аналогичное атаке программы-шантажиста Fairware)
(K8S.NODE_FairwareMalware) 1
При анализе процессов, выполняющихся в контейнере, обнаружено выполнение команд rm -rf для подозрительных расположений. Так как команда rm -rf рекурсивно удаляет файлы, она обычно используется в отдельных папках. В этом случае она используется в расположении, которое может удалить большой объем данных. Известно, что программа-шантажист Fairware выполняет команды rm -rf в этой папке. Выполнение Средний
Command within a container running with high privileges (Команда в контейнере выполняется с высоким уровнем привилегий)
(K8S.NODE_PrivilegedExecutionInContainer) 1
Журналы компьютера указывают на то, что привилегированная команда была запущена в контейнере Docker. Привилегированная команда имеет расширенные привилегии на главном компьютере. PrivilegeEscalation Низкий
Container running in privileged mode (Контейнер работает в привилегированном режиме)
(K8S.NODE_PrivilegedContainerArtifacts) 1
Анализ процессов, выполняемых в контейнере или непосредственно в узле Kubernetes, обнаружил выполнение команды Docker, запускающей привилегированный контейнер. Привилегированный контейнер имеет полный доступ к объекту pod размещения или ресурсу узла. В случае компрометации злоумышленник может использовать привилегированный контейнер для получения доступа к объекту pod или узлу размещения. PrivilegeEscalation, Execution Низкий
Container with a sensitive volume mount detected (Обнаружен контейнер с подключенным конфиденциальным томом)
(K8S_SensitiveMount)
Анализ журнала аудита Kubernetes обнаружил новый контейнер с подключением к конфиденциальному тому. Обнаруженный том имеет тип hostPath, который подключает конфиденциальный файл или папку из узла к контейнеру. Если контейнер скомпрометирован, злоумышленник может воспользоваться этим подключением для получения доступа к узлу. Повышение привилегий Средний
Обнаружено изменение CoreDNS в Kubernetes
(K8S_CoreDnsModification) 23
В ходе анализа журнала аудита Kubernetes обнаружено изменение конфигурации CoreDNS. Конфигурацию CoreDNS можно изменить, переопределив ее configmap. Хотя это действие может быть допустимым, если у злоумышленников есть разрешения на изменение configmap, они могут изменить поведение DNS-сервера кластера и скомпрометировать его. Боковое смещение Низкий
Обнаружено создание конфигурации веб-перехватчика допуска
(K8S_AdmissionController) 3
В ходе анализа журнала аудита Kubernetes обнаружена новая конфигурация веб-перехватчика допуска. Kubernetes имеет два встроенных универсальных контроллера допуска: MutatingAdmissionWebhook и ValidatingAdmissionWebhook. Поведение этих контроллеров допуска определяется веб-перехватчиком допуска, который пользователь развертывает в кластере. Использование таких контроллеров допуска может быть допустимым, но злоумышленники могут использовать такие веб-перехватчики для изменения запросов (в случае с MutatingAdmissionWebhook) или проверки запросов и получения конфиденциальных сведений (в случае с ValidatingAdmissionWebhook). Доступ к учетным данным, сохраняемость Низкий
Detected file download from a known malicious source (Обнаружено скачивание файла из известного вредоносного источника)
(K8S.NODE_SuspectDownload) 1
Анализ процессов, выполняемых в контейнере или непосредственно в узле Kubernetes, обнаружил загрузку файла из источника, часто используемого для распространения вредоносных программ. Повышение привилегий, выполнение, кража данных, контроль и управление Средний
Detected suspicious file download (Обнаружено скачивание подозрительного файла)
(K8S.NODE_SuspectDownloadArtifacts) 1
Анализ процессов, выполняемых в контейнере или непосредственно в узле Kubernetes, обнаружил подозрительную загрузку удаленного файла. Сохраняемость Низкий
Detected suspicious use of the nohup command (Обнаружено подозрительное использование команды nohup)
(K8S.NODE_SuspectNohup) 1
Анализ процессов, выполняемых в контейнере или непосредственно в узле Kubernetes, обнаружил подозрительное использование команды nohup. Было замечено, что злоумышленники запускают команду nohup для выполнения скрытых файлов из временного каталога, чтобы позволить своим исполняемым файлам работать в фоновом режиме. Эта команда редко применяется к скрытым файлам, расположенным во временном каталоге. Persistence, DefenseEvasion Средний
Detected suspicious use of the useradd command (Обнаружено подозрительное использование команды useradd)
(K8S.NODE_SuspectUserAddition) 1
Анализ процессов, выполняемых в контейнере или непосредственно в узле Kubernetes, обнаружил подозрительное использование команды useradd. Сохраняемость Средний
Digital currency mining container detected (Обнаружен контейнер для майнинга цифровых валют)
(K8S_MaliciousContainerImage) 3
Анализ журнала аудита Kubernetes обнаружил контейнер с образом, связанным со средством для майнинга цифровых валют. Выполнение Высокий
Digital currency mining related behavior detected (Обнаружено поведение, связанное с майнингом цифровых валют)
(K8S.NODE_DigitalCurrencyMining) 1
Анализ процессов, выполняемых в контейнере или непосредственно в узле Kubernetes, обнаружил выполнение процесса или команды, обычно связанных с майнингом цифровой валюты. Выполнение Высокий
Обнаружена операция сборки Docker на узле Kubernetes
(K8S.NODE_ImageBuildOnNode) 1
Анализ процессов, выполняющихся в контейнере или прямо на узле Kubernetes, указывает на выполнение операции сборки образа контейнера на узле Kubernetes. Хотя такое поведение может быть допустимым, злоумышленники могут создавать свои вредоносные образы локально, чтобы избежать обнаружения. DefenseEvasion Низкий
Excessive role permissions assigned in Kubernetes cluster (Preview) (Избыточные разрешения роли, назначенные в кластере Kubernetes (предварительная версия))
(K8S_ServiceAcountPermissionAnomaly) 3
При анализе журналов аудита Kubernetes обнаружено назначение избыточных разрешений роли для кластера. Указанные разрешения для назначенных ролей не являются стандартными для конкретной учетной записи службы. Эта проверка учитывает предыдущие назначения ролей для той же учетной записи службы в кластерах, отслеживаемых службой Azure, тома каждого разрешения, а также влияние конкретного разрешения. В модели обнаружения аномалий, используемой в этом оповещении, учитывается, как именно это разрешение используется во всех кластерах, отслеживаемых службой Microsoft Defender для облака. Повышение привилегий Низкий
Executable found running from a suspicious location (Preview) (Обнаружен исполняемый файл, работающий из подозрительного расположения (предварительная версия))
(K8S.NODE_SuspectExecutablePath)
Анализ процессов, выполняемых в контейнере или непосредственно в узле Kubernetes, обнаружил исполняемый файл, выполняемый из расположения, связанного с известными подозрительными файлами. Этот исполняемый файл может быть допустимым действием или признаком скомпрометированной системы. Выполнение Средний
Exposed Kubeflow dashboard detected (Обнаружена уязвимая панель мониторинга Kubeflow)
(K8S_ExposedKubeflow)
При анализе журнала аудита Kubernetes обнаружена уязвимость входящего трафика Istio со стороны подсистемы балансировки нагрузки в кластере, где выполняется Kubeflow. Это действие может открыть доступ к панели мониторинга Kubeflow из Интернета. Если панель мониторинга доступна через Интернет, злоумышленники смогут получить к ней доступ и запустить вредоносные контейнеры или код в кластере. Дополнительные сведения см. в следующей статье: https://aka.ms/exposedkubeflow-blog. Первоначальный доступ Средний
Exposed Kubernetes dashboard detected (Обнаружена доступная панель мониторинга Kubernetes)
(K8S_ExposedDashboard)
Анализ журнала аудита Kubernetes обнаружил уязвимость информационной панели Kubernetes со стороны службы балансировки нагрузки. Доступная панель мониторинга разрешает доступ без проверки подлинности к управлению кластером и представляют угрозу безопасности. Первоначальный доступ Высокий
Exposed Kubernetes service detected (Обнаружена уязвимая служба Kubernetes)
(K8S_ExposedService)
При анализе журнала аудита Kubernetes обнаружена уязвимость службы со стороны подсистемы балансировки нагрузки. Эта служба связана с конфиденциальным приложением, которое позволяет выполнять в кластере важные операции, такие как запуск процессов на узле или создание новых контейнеров. Иногда служба не требует выполнять проверку подлинности. В таком случае предоставление доступа из Интернета представляет угрозу безопасности. Первоначальный доступ Средний
Exposed Redis service in AKS detected (В AKS обнаружена уязвимая служба)
(K8S_ExposedRedis)
При анализе журнала аудита Kubernetes обнаружена уязвимость службы Redis со стороны подсистемы балансировки нагрузки. В таком случае предоставление доступа из Интернета представляет угрозу безопасности. Первоначальный доступ Низкий
Indicators associated with DDOS toolkit detected (Обнаружены индикаторы, связанные с набором средств для DDoS атак)
(K8S.NODE_KnownLinuxDDoSToolkit) 1
Анализ процессов, выполняемых в контейнере или непосредственно в узле Kubernetes, обнаружил имена файлов из набора средств, связанного с вредоносными программами, которые могут запускать DDoS-атаки, открывать порты и службы и получать полный контроль над зараженной системой. Это также может быть допустимым действием. Сохраняемость, боковое смещение, выполнение, несанкционированное использование Средний
Обнаружены запросы API Kubernetes с IP-адреса прокси-сервера
(K8S_TI_Proxy) 3
В ходе анализа журнала аудита Kubernetes обнаружены запросы API к кластеру с IP-адреса, связанного с прокси-службами, такими как TOR. Хотя такое поведение может быть допустимым, оно часто проявляется в злонамеренных действиях, когда злоумышленники пытаются скрыть свой исходный IP-адрес. Выполнение Низкий
Удалены события Kubernetes
(K8S_DeleteEvents) 23
Defender для облака обнаружил, что некоторые события Kubernetes были удалены. События Kubernetes — это объекты в Kubernetes, которые содержат сведения об изменениях в кластере. Злоумышленники могут удалить эти события, чтобы скрыть свои операции в кластере. Уклонение от защиты Низкий
Обнаружено средство тестирования на проникновение Kubernetes
(K8S_PenTestToolsKubeHunter)
В ходе анализа журнала аудита Kubernetes обнаружено использование средства тестирования на проникновение Kubernetes в кластере AKS. Хотя такое поведение может быть допустимым, злоумышленники могут использовать такие общедоступные средства для вредоносных целей. Выполнение Низкий
Manipulation of host firewall detected (Обнаружено управление брандмауэром узла)
(K8S.NODE_FirewallDisabled) 1
Анализ процессов, выполняемых в контейнере или непосредственно в узле Kubernetes, обнаружил возможную манипуляцию с брандмауэром в узле. Злоумышленники часто отключают его для захвата данных. Обход защиты, кража данных Средний
Тестовое оповещение Microsoft Defender для облака (не угроза).
(K8S.NODE_EICAR) 1
Это тестовое оповещение, созданное службой Microsoft Defender для облака. Дополнительные действия не требуются. Выполнение Высокий
New container in the kube-system namespace detected ( Обнаружен новый контейнер в пространстве имен kube-system)
(K8S_KubeSystemContainer) 3
В ходе анализа журнала аудита Kubernetes обнаружен новый контейнер в пространстве имен kube-system, который не является контейнером, обычно выполняемым в этом пространстве имен. Пространства имен kube-system не должны содержать пользовательские ресурсы. Злоумышленники могут использовать это пространство имен, чтобы скрыть вредоносные компоненты. Сохраняемость Низкий
New high privileges role detected (Обнаружена новая роль с высоким уровнем привилегий)
(K8S_HighPrivilegesRole) 3
При анализе журнала аудита Kubernetes обнаружена новая роль с высоким уровнем привилегий. Привязка к роли с высоким уровнем привилегий предоставляет пользователю или группе повышенные привилегии в кластере. Ненужные привилегии могут привести к повышению привилегий в кластере. Сохраняемость Низкий
Possible attack tool detected (Обнаружено возможное средство атаки)
(K8S.NODE_KnownLinuxAttackTool) 1
Анализ процессов, выполняемых в контейнере или непосредственно в узле Kubernetes, обнаружил вызов подозрительного средства. Это средство часто связано со злоумышленниками, которые атакуют другие компьютеры. Выполнение, сбор данных, контроль и управление, проверка Средний
Обнаружен возможный черный ход
(K8S.NODE_LinuxBackdoorArtifact) 1
Анализ процессов, выполняемых в контейнере или непосредственно в узле Kubernetes, обнаружил скачивание и выполнение подозрительного файла. Это действие ранее было связано с установкой черного хода. Сохраняемость,обход защиты,выполнение Средний
Possible command line exploitation attempt (Возможная попытка использования командной строки)
(K8S.NODE_ExploitAttempt) 1
Анализ процессов, выполняемых в контейнере или непосредственно в узле Kubernetes, обнаружил возможную попытку эксплуатации известной уязвимости. Несанкционированное использование Средний
Possible credential access tool detected (Обнаружено возможное средство доступа к учетным данным)
(K8S.NODE_KnownLinuxCredentialAccessTool) 1
Анализ процессов, выполняемых в контейнере или непосредственно в узле Kubernetes, обнаружил, что в контейнере может быть запущено известное средство доступа к учетным данным, указанное в соответствующем процессе и строке журнала командной строки. Это средство часто используют злоумышленники, которые пытаются получить доступ к учетным данным. CredentialAccess Средний
Обнаружено потенциальное скачивание криптомайнера
(K8S.NODE_CryptoCoinMinerDownload) 1
Анализ процессов, выполняемых в контейнере или непосредственно в узле Kubernetes, обнаружил скачивание файла, обычно связанного с майнингом цифровой валюты. Обход защиты, контроль и управление, несанкционированное использование Средний
Possible data exfiltration detected (Обнаружена возможная кража данных)
(K8S.NODE_DataEgressArtifacts) 1
Анализ процессов, выполняемых в контейнере или непосредственно в узле Kubernetes, обнаружил возможное состояние исходящих данных. Злоумышленники часто выводят данные из скомпрометированных ими компьютеров. Сбор, кража данных Средний
Possible Log Tampering Activity Detected (Обнаружено потенциальное изменение данных журнала)
(K8S.NODE_SystemLogRemoval) 1
Анализ процессов, выполняемых в контейнере или непосредственно в узле Kubernetes, обнаружил возможное удаление файлов, которые отслеживают действия пользователя в ходе его работы. Злоумышленники часто пытаются избегать обнаружения и скрывают вредоносные действия, удаляя такие файлы журналов. DefenseEvasion Средний
Possible password change using crypt-method detected (Обнаружена возможная смена пароля с помощью метода шифрования)
(K8S.NODE_SuspectPasswordChange) 1
Анализ процессов, выполняемых в контейнере или непосредственно в узле Kubernetes обнаружил изменение пароля с использованием метода шифрования. Злоумышленники могут внести это изменение, чтобы сохранить доступ и гарантировать сохраняемость после компрометации. CredentialAccess Средний
Potential port forwarding to external IP address (Потенциальная переадресация портов на внешний IP-адрес)
(K8S.NODE_SuspectPortForwarding) 1
Анализ процессов, выполняемых в контейнере или непосредственно в узле Kubernetes, обнаружил запуск порта с переадресацией на внешний IP-адрес. Кража данных, контроль и управление Средний
Potential reverse shell detected (Обнаружена потенциальная обратная оболочка)
(K8S.NODE_ReverseShell) 1
Анализ процессов, выполняемых в контейнере или непосредственно в узле Kubernetes, обнаружил возможную обратную оболочку. Она используется для того, чтобы скомпрометированный компьютер связывался с компьютером, принадлежащим злоумышленнику. Exfiltration, Exploitation Средний
Privileged container detected (Обнаружен привилегированный контейнер)
(K8S_PrivilegedContainer)
Анализ журнала аудита Kubernetes обнаружил новый привилегированный контейнер. Привилегированный контейнер имеет доступ к ресурсам узла и нарушает изоляцию между контейнерами. В случае компрометации злоумышленник может использовать привилегированный контейнер для получения доступа к узлу. Повышение привилегий Низкий
Process associated with digital currency mining detected (Обнаружен процесс, связанный с майнингом цифровых валют)
(K8S.NODE_CryptoCoinMinerArtifacts) 1
При анализе процессов, выполняющихся в контейнере, обнаружено выполнение процесса, который обычно связан с майнингом цифровых валют. Execution, Exploitation Средний
Process seen accessing the SSH authorized keys file in an unusual way (Обнаружен необычный процесс доступа к файлу санкционированных ключей SSH)
(K8S.NODE_SshKeyAccess) 1
Доступ к файлу с санкционированными ключами SSH осуществлялся с помощью метода, который используется известными вредоносными программами. Такой доступ может означать, что злоумышленник пытается получить постоянный доступ к компьютеру. Неизвестно Низкий
Role binding to the cluster-admin role detected (Обнаружена привязка роли к роли администратора кластера)
(K8S_ClusterAdminBinding)
В ходе анализа журнала аудита Kubernetes обнаружена новая привязка к роли администратора кластера, которая предоставляет права администратора. Ненужные права администратора могут привести к повышению привилегий в кластере. Сохраняемость Низкий
Security-related process termination detected (Обнаружено завершение процесса, связанное с безопасностью)
(K8S.NODE_SuspectProcessTermination) 1
Анализ процессов, выполняемых в контейнере или непосредственно в узле Kubernetes, обнаружил попытку завершить процессы, связанные с мониторингом безопасности в контейнере. Злоумышленники часто пытаются завершить такие процессы после компрометации узла, используя заранее определенные скрипты. Сохраняемость Низкий
SSH server is running inside a container (Сервер SSH работает в контейнере)
(K8S.NODE_ContainerSSH) 1
При анализе процессов, выполняющихся в контейнере, обнаружен сервер SSH, запущенный внутри контейнера. Выполнение Средний
Suspicious file timestamp modification (Подозрительные изменения отметки времени файла)
(K8S.NODE_TimestampTampering) 1
Анализ процессов, выполняемых в контейнере или непосредственно в узле Kubernetes, обнаружил подозрительное изменение метки времени. Злоумышленники часто копируют метки времени из существующих допустимых файлов в новые средства, чтобы избежать обнаружения этих недавно удаленных файлов. Persistence, DefenseEvasion Низкий
Suspicious request to Kubernetes API (Подозрительный запрос к API Kubernetes)
(K8S.NODE_KubernetesAPI) 1
Анализ процессов, выполняющихся в контейнере, указывает на то, что был сделан подозрительный запрос к API Kubernetes. Запрос был отправлен из контейнера в кластере. Хотя такое поведение может быть допустимым, оно может указывать на то, что в узле выполняется скомпрометированный контейнер. LateralMovement Средний
Suspicious request to the Kubernetes Dashboard (Подозрительный запрос к панели мониторинга Kubernetes)
(K8S.NODE_KubernetesDashboard) 1
Анализ процессов, выполняющихся в контейнере, указывает на то, что был сделан подозрительный запрос к панели мониторинга Kubernetes. Запрос был отправлен из контейнера в кластере. Хотя такое поведение может быть допустимым, оно может указывать на то, что в узле выполняется скомпрометированный контейнер. LateralMovement Средний
Potential crypto coin miner started (Потенциальный запуск криптовалютного майнера)
(K8S.NODE_CryptoCoinMinerExecution) 1
Анализ процессов, выполняемых в контейнере или непосредственно в узле Kubernetes, обнаружил запуск процесса способом, обычно связанным с майнингом цифровой валюты. Выполнение Средний
Доступ с помощью подозрительного пароля
(K8S.NODE_SuspectPasswordFileAccess) 1
Анализ процессов, выполняемых в контейнере или непосредственно в узле Kubernetes, обнаружил подозрительную попытку получить доступ к зашифрованным паролям пользователей. Сохраняемость Informational
Suspicious use of DNS over HTTPS (Подозрительное использование DNS через HTTPS)
(K8S.NODE_SuspiciousDNSOverHttps) 1
Анализ процессов, выполняемых в контейнере или непосредственно в узле Kubernetes, обнаружил необычное использование вызова DNS по HTTPS. Этот метод применяется злоумышленниками для скрытия вызовов к подозрительным или вредоносным веб-сайтам. Обход защиты, кража данных Средний
Обнаружено возможное подключение к вредоносному расположению.
(K8S.NODE_ThreatIntelCommandLineSuspectDomain) 1
Анализ процессов, выполняемых в контейнере или непосредственно в узле Kubernetes, обнаружил подключение к расположению, известному как вредоносное или необычное. Это признак возможной компрометации. InitialAccess Средний
Possible malicious web shell detected (Обнаружена возможная вредоносная веб-оболочка)
(K8S.NODE_Webshell) 1
При анализе процессов, выполняющихся в контейнере, обнаружено возможное использование веб-оболочки. Злоумышленники часто загружают веб-оболочку на скомпрометированный ими вычислительный ресурс, чтобы гарантировать сохраняемость и получить возможность дальнейшего несанкционированного использования. Сохраняемость, несанкционированное использование Средний
Внезапное появление нескольких команд рекогносцировки может указывать на начальное действие после компрометации
(K8S.NODE_ReconnaissanceArtifactsBurst) 1
При анализе данных узла или устройства обнаружено выполнение нескольких команд рекогносцировки, связанных со сбором сведений о системе или узле и выполненных злоумышленниками после первоначальной компрометации. Discovery, Collection Низкий
Подозрительное скачивание и запуск
(K8S.NODE_DownloadAndRunCombo) 1
При анализе процессов, выполняемых в контейнере или непосредственно на узле Kubernetes, обнаружено скачивание и запуск подозрительного файла в одной и той же команде. Это действие не всегда является злонамеренным. Однако это очень распространенный метод, который злоумышленники используют для проникновения вредоносных файлов в компьютеры жертв. DefenseEvasion, CommandAndControl, Exploitation Средний
Майнинг цифровой валюты
(K8S.NODE_CurrencyMining) 1
При анализе транзакций DNS был обнаружен майнинг криптовалюты. Такое действие, хотя и может быть допустимым поведением пользователя, часто используется злоумышленниками для компрометации ресурсов. К типичным действиям, связанным с активностью злоумышленников, можно отнести загрузку и выполнение общих средств добычи. Извлечение Низкий
Обнаружен доступ к файлу kubeconfig агента kubelet
(K8S.NODE_KubeConfigAccess) 1
При анализе процессов, выполняемых на узле кластера Kubernetes, обнаружен доступ к файлу kubeconfig. Файл kubeconfig, обычно используемый процессом Kubelet, содержит учетные данные для сервера API кластера Kubernetes. Доступ к этому файлу часто связан с попытками злоумышленников получить доступ к этим учетным данным или со средствами проверки безопасности, которые проверяют доступность файла. CredentialAccess Средний
Обнаружен доступ к облачной службе метаданных
(K8S.NODE_ImdsCall) 1
При анализе процессов, выполняемых в контейнере, обнаружен доступ к облачной службе метаданных для получения маркера удостоверения. Как правило, контейнер не выполняет эту операцию. Хотя такое поведение может быть допустимым, злоумышленники могут использовать этот метод для доступа к облачным ресурсам после получения предварительного доступа к выполняющемуся контейнеру. CredentialAccess Средний
MITRE Caldera agent detected (Обнаружен агент MITRE Caldera)
(K8S.NODE_MitreCalderaTools) 1
Анализ процессов, выполняемых в контейнере или непосредственно в узле Kubernetes, обнаружил подозрительный процесс. Часто это связано с агентом MITRE 54ndc47, который может злонамеренно использоваться для атак на другие компьютеры. Сохраняемость, повышение привилегий, обход защиты, доступ к учетным данным, обнаружение, боковое смещение, выполнение, сбор данных, утечка, контроль и управление, проверка, несанкционированное использование Средний

1.Предварительная версия для кластеров, отличных от AKS. Это оповещение общедоступно для кластеров AKS, но для других сред, таких как Azure Arc, EKS и GKE, оно предоставляется в предварительной версии.

2.Ограничения на кластеры GKE. GKE использует политику аудита Kubernetes, которая поддерживает не все типы оповещений. В результате это оповещение системы безопасности, основанное на событиях аудита Kubernetes, не поддерживается для кластеров GKE.

3. Это оповещение поддерживается в узлах и контейнерах Windows.

Оповещения для Базы данных SQL Azure и Azure Synapse Analytics

Дополнительные сведения и примечания

Предупреждение Описание Тактика MITRE
(дополнительные сведения)
Severity
A possible vulnerability to SQL Injection (Возможная уязвимость при внедрении кода SQL)
(SQL.VM_VulnerabilityToSqlInjection
SQL.DB_VulnerabilityToSqlInjection
SQL.MI_VulnerabilityToSqlInjection
SQL.DW_VulnerabilityToSqlInjection)
Приложение создало ошибочную инструкцию SQL в базе данных. Это может указывать на возможную уязвимость к атакам путем внедрения кода SQL. Существует две причины создания инструкции с ошибкой. Из-за дефекта в коде приложения может создаваться инструкция SQL с ошибкой. Код приложения или хранимые процедуры не очищают ввод данных пользователя при создании ошибочной инструкции SQL, которая может быть использована для внедрения кода SQL. PreAttack Средний
Attempted logon by a potentially harmful application (Попытка входа потенциально опасного приложения)
(SQL.DB_HarmfulApplication
SQL.VM_HarmfulApplication
SQL.MI_HarmfulApplication
SQL.DW_HarmfulApplication)
Попытка доступа потенциально опасного приложения к серверу SQL Server "{имя}". PreAttack Высокий
Log on from an unusual Azure Data Center (Вход из необычного центра обработки данных Azure)
(SQL.DB_DataCenterAnomaly
SQL.VM_DataCenterAnomaly
SQL.DW_DataCenterAnomaly
SQL.MI_DataCenterAnomaly)
В шаблоне доступа внесено изменение в SQL Server после входа на сервер из необычного центра обработки данных Azure. Иногда оповещение определяет допустимые действия (новое приложение или службу Azure). В других случаях оповещение обнаруживает вредоносное действие (злоумышленника, работающего со скомпрометированного ресурса в Azure). Проверка Низкий
Log on from an unusual location (Вход из необычного расположения)
(SQL.DB_GeoAnomaly
SQL.VM_GeoAnomaly
SQL.DW_GeoAnomaly
SQL.MI_GeoAnomaly)
В шаблоне доступа внесено изменение в SQL Server после входа на сервер из необычного географического расположения. Иногда предупреждение определяет допустимые действия (новое приложение, обслуживание разработчиком). В других случаях оповещение обнаруживает угрозу (бывшего сотрудника, внешнего злоумышленника). Несанкционированное использование Средний
Отсутствие входа основного пользователя на протяжении 60 дней
(SQL.DB_PrincipalAnomaly
SQL.VM_PrincipalAnomaly
SQL.DW_PrincipalAnomaly
SQL.MI_PrincipalAnomaly)
За последние 60 дней основной пользователь ни разу не входил в вашу базу данных. Если эта база данных является новой либо это ожидаемое поведение, вызванное недавними изменениями списка пользователей, осуществляющих доступ к базе данных, Defender для облака определит существенные изменения в шаблонах доступа и попытается предотвратить ложные срабатывания в будущем. Несанкционированное использование Средний
Вход с подозрительного IP-адреса
(SQL.VM_SuspiciousIpAnomaly)
Доступ к ресурсу был успешно получен с IP-адреса, который аналитика угроз Майкрософт связала с подозрительными действиями. PreAttack Средний
Potential SQL Brute Force attempt (Потенциальная попытка атаки на SQL методом подбора) Возникло слишком большое число неудачных попыток входа с другими учетными данными. В некоторых случаях предупреждения обнаруживают выполнение теста на проникновение. В других случаях — атаку методом подбора. Проверка Высокий
Потенциальная атака путем внедрения кода SQL
(SQL.DB_PotentialSqlInjection
SQL.VM_PotentialSqlInjection
SQL.MI_PotentialSqlInjection
SQL.DW_PotentialSqlInjection
Synapse.SQLPool_PotentialSqlInjection)
Произошел активный эксплойт определенной уязвимости приложения к внедрению кода SQL. Это означает, что злоумышленник пытается внедрить вредоносные инструкции SQL с помощью кода уязвимого приложения или хранимых процедур. PreAttack Высокий
Potentially Unsafe Action (Потенциально небезопасное действие)
(SQL.DB_UnsafeCommands
SQL.MI_UnsafeCommands
SQL.DW_UnsafeCommands)
Предпринята попытка потенциально небезопасного действия в базе данных "{имя}" на сервере "{имя}". - Высокий
Предполагаемая атака методом подбора с использованием допустимого пользователя На вашем ресурсе обнаружена потенциальная атака методом подбора. Злоумышленник использует сопоставление безопасности допустимого пользователя, обладающего разрешениями на вход. PreAttack Высокий
Предполагаемая атака подбором пароля На вашем сервере SQL "{имя}" обнаружена потенциальная атака методом подбора. PreAttack Высокий
Предполагаемая успешная атака методом подбора
(SQL.DB_BruteForce
SQL.VM_BruteForce
SQL.DW_BruteForce
SQL.MI_BruteForce)
После очевидной атаки методом подбора на ресурсе произошла успешная попытка входа. PreAttack Высокий
Unusual export location (Необычное расположение экспорта) С вашего сервера SQL Server "{имя}" извлечен большой объем данных в необычное расположение. Извлечение Высокий

Оповещения для реляционных баз данных с открытым исходным кодом

Дополнительные сведения и примечания

Оповещение (тип оповещения) Описание Тактика MITRE
(дополнительные сведения)
Severity
Предполагаемая атака методом подбора с использованием допустимого пользователя
(SQL.PostgreSQL_BruteForce
SQL.MariaDB_BruteForce
SQL.MySQL_BruteForce)
На вашем ресурсе обнаружена потенциальная атака методом подбора. Злоумышленник использует действующего пользователя (имя пользователя), у которого имеются права на вход. PreAttack Высокий
Предполагаемая успешная атака методом подбора
(SQL.PostgreSQL_BruteForce
SQL.MySQL_BruteForce
SQL.MariaDB_BruteForce)
Успешный вход произошел после явной атаки методом подбора на ваш ресурс. PreAttack Высокий
Предполагаемая атака подбором пароля
("SQL.MySQL_BruteForce")
На вашем сервере SQL "{имя}" обнаружена потенциальная атака методом подбора. PreAttack Высокий
Attempted logon by a potentially harmful application (Попытка входа потенциально опасного приложения)
(SQL.PostgreSQL_HarmfulApplication
SQL.MariaDB_HarmfulApplication
SQL.MySQL_HarmfulApplication)
Потенциально опасное приложение попыталось получить доступ к вашему ресурсу. PreAttack Высокий
Отсутствие входа основного пользователя на протяжении 60 дней
(SQL.PostgreSQL_PrincipalAnomaly
SQL.MariaDB_PrincipalAnomaly
SQL.MySQL_PrincipalAnomaly)
За последние 60 дней основной пользователь ни разу не входил в вашу базу данных. Если эта база данных является новой либо это ожидаемое поведение, вызванное недавними изменениями списка пользователей, осуществляющих доступ к базе данных, Defender для облака определит существенные изменения в шаблонах доступа и попытается предотвратить ложные срабатывания в будущем. Несанкционированное использование Средний
Вход с домена, который не использовался в течение 60 дней
(SQL.MariaDB_DomainAnomaly
SQL.PostgreSQL_DomainAnomaly
SQL.MySQL_DomainAnomaly)
Пользователь осуществил вход на ваш ресурс из домена, из которого другие пользователи не подключались в течение последних 60 дней. Если этот ресурс является новым либо это ожидаемое поведение, вызванное недавними изменениями списка пользователей, осуществляющих доступ к ресурсу, Defender для облака определит существенные изменения в шаблонах доступа и попытается предотвратить ложные срабатывания в будущем. Несанкционированное использование Средний
Log on from an unusual Azure Data Center (Вход из необычного центра обработки данных Azure)
(SQL.PostgreSQL_DataCenterAnomaly
SQL.MariaDB_DataCenterAnomaly
SQL.MySQL_DataCenterAnomaly)
Кто-то осуществил вход на ваш ресурс из необычного центра обработки данных Azure. Проверка Низкий
Вход от необычного поставщика облачных услуг
(SQL.PostgreSQL_CloudProviderAnomaly
SQL.MariaDB_CloudProviderAnomaly
SQL.MySQL_CloudProviderAnomaly)
Кто-то осуществил вход на ваш ресурс через поставщика облачных услуг, который не был активен последние 60 дней. Злоумышленникам не составит труда и не займет много времени получить одноразовые вычислительные мощности для использования в своих кампаниях. Если это ожидаемый алгоритм поведения, вызванный недавним переходом на нового поставщика облачных услуг, Defender для облака со временем обучится распознавать ложные срабатывания и попытается предотвратить их в будущем. Несанкционированное использование Средний
Log on from an unusual location (Вход из необычного расположения)
(SQL.MariaDB_GeoAnomaly
SQL.PostgreSQL_GeoAnomaly
SQL.MySQL_GeoAnomaly)
Кто-то осуществил вход на ваш ресурс из необычного центра обработки данных Azure. Несанкционированное использование Средний
Вход с подозрительного IP-адреса
(SQL.PostgreSQL_SuspiciousIpAnomaly
SQL.MariaDB_SuspiciousIpAnomaly
SQL.MySQL_SuspiciousIpAnomaly)
Доступ к ресурсу был успешно получен с IP-адреса, который аналитика угроз Майкрософт связала с подозрительными действиями. PreAttack Средний

Оповещение для Resource Manager

Дополнительные сведения и примечания

Оповещение (тип оповещения) Описание Тактика MITRE
(дополнительные сведения)
Severity
Операция Azure Resource Manager с подозрительного IP-адреса
(ARM_OperationFromSuspiciousIP)
Microsoft Defender для Resource Manager обнаружил операцию с IP-адреса, который был помечен как подозрительный в каналах аналитики угроз. Выполнение Средний
Операция Azure Resource Manager с подозрительного IP-адреса прокси-сервера
(ARM_OperationFromSuspiciousProxyIP)
Microsoft Defender для Resource Manager обнаружил операцию управления ресурсами с IP-адреса, связанного с прокси-службами, такими как TOR. Причиной может быть правомерное поведение, но часто это бывает при злонамеренных действиях, когда злоумышленники пытаются скрыть свой исходный IP-адрес. Уклонение от защиты Средний
Набор инструментов эксплуатации MicroBurst, используемый для перечисления ресурсов в ваших подписках
(ARM_MicroBurst.AzDomainInfo)
В подписке был запущен модуль сбора сведений MicroBurst. Это средство можно использовать для обнаружения ресурсов, разрешений и структур сети. Такое действие обнаружено при анализе операций в журналах действий Azure и при операциях управления ресурсами в подписке. - Высокий
Набор инструментов эксплуатации MicroBurst, используемый для перечисления ресурсов в ваших подписках
(ARM_MicroBurst.AzureDomainInfo)
В подписке был запущен модуль сбора сведений MicroBurst. Это средство можно использовать для обнаружения ресурсов, разрешений и структур сети. Такое действие обнаружено при анализе операций в журналах действий Azure и при операциях управления ресурсами в подписке. - Высокий
Набор средств эксплуатации MicroBurst, используемый для выполнения кода на вашей виртуальной машине
(ARM_MicroBurst.AzVMBulkCMD)
Для выполнения кода на виртуальных машинах использован набор средств для взлома MicroBurst. При анализе операций Azure Resource Manager в подписке было обнаружено это действие. Выполнение Высокий
Набор средств эксплуатации MicroBurst, используемый для выполнения кода на вашей виртуальной машине
(RM_MicroBurst.AzureRmVMBulkCMD)
Для выполнения кода на виртуальных машинах использован набор средств для взлома MicroBurst. При анализе операций Azure Resource Manager в подписке было обнаружено это действие. - Высокий
Набор средств эксплуатации MicroBurst, используемый для извлечения ключей из хранилищ ключей Azure
(ARM_MicroBurst.AzKeyVaultKeysREST)
Для извлечения ключей из хранилищ ключей Azure использован набор средств для взлома MicroBurst. Такое действие обнаружено при анализе операций в журналах действий Azure и при операциях управления ресурсами в подписке. - Высокий
Набор средств эксплуатации MicroBurst, используемый для извлечения ключей к вашим учетным записям хранения
(ARM_MicroBurst.AZStorageKeysREST)
Для извлечения ключей в учетные записи хранения использован набор средств для взлома MicroBurst. Такое действие обнаружено при анализе операций в журналах действий Azure и при операциях управления ресурсами в подписке. Коллекция Высокий
Набор средств эксплуатации MicroBurst, используемый для извлечения секретов из ваших хранилищ ключей Azure
(ARM_MicroBurst.AzKeyVaultSecretsREST)
Для извлечения секретов из хранилищ ключей Azure использован набор средств для взлома MicroBurst. Такое действие обнаружено при анализе операций в журналах действий Azure и при операциях управления ресурсами в подписке. - Высокий
Набор средств эксплуатации PowerZure, используемый для повышения уровня доступа из Azure AD в Azure
(ARM_PowerZure.AzureElevatedPrivileges)
Для повышения прав доступа из Azure Active Directory в Azure использован набор средств для взлома PowerZure. Это действие было обнаружено при анализе операций Azure Resource Manager в клиенте. - Высокий
Набор инструментов эксплуатации PowerZure, используемый для перечисления ресурсов
(ARM_PowerZure.GetAzureTargets)
Для перечисления ресурсов от имени допустимой учетной записи пользователя в организации использовался набор средств для взлома PowerZure. При анализе операций Azure Resource Manager в подписке было обнаружено это действие. Коллекция Высокий
Набор средств эксплуатации PowerZure, используемый для перечисления контейнеров хранения, общих ресурсов и таблиц
(ARM_PowerZure.ShowStorageContent)
Для перечисления хранилищ общих папок, таблиц и контейнеров использован набор средств для взлома PowerZure. При анализе операций Azure Resource Manager в подписке было обнаружено это действие. - Высокий
Набор средств эксплуатации PowerZure, используемый для выполнения Runbook в вашей подписке
(ARM_PowerZure.StartRunbook)
Для выполнения модуля Runbook использован набор средств для взлома PowerZure. При анализе операций Azure Resource Manager в подписке было обнаружено это действие. - Высокий
Набор средств эксплуатации PowerZure, используемый для извлечения содержимого Runbook
(ARM_PowerZure.AzureRunbookContent)
Для извлечения содержимого модулей Runbook использован набор средств для взлома PowerZure. При анализе операций Azure Resource Manager в подписке было обнаружено это действие. Коллекция Высокий
ПРЕДВАРИТЕЛЬНАЯ ВЕРСИЯ — действие, выполняемое с рискованного IP-адреса
(ARM.MCAS_ActivityFromAnonymousIPAddresses)
Была обнаружена активность с IP-адреса, который был идентифицирован как анонимный прокси-IP-адрес.
Эти прокси-серверы используют пользователи, желающие скрыть IP-адреса своих устройств. Иногда их используют злоумышленники. Это обнаружение использует алгоритм машинного обучения, который уменьшает количество "ложных срабатываний" (например, ошибочно помеченных IP-адресов, которые часто используются корпоративными пользователями).
Требуется действующая лицензия Microsoft Defender для облачных приложений.
- Средний
PREVIEW - Activity from infrequent country (ПРЕДВАРИТЕЛЬНАЯ ВЕРСИЯ — действия из редко упоминаемой страны)
(ARM.MCAS_ActivityFromInfrequentCountry)
Произошло действие в расположении, которое давно или никогда не посещалось ни одним пользователем в организации.
Это обнаружение изучает расположения, где выполнялись предыдущие действия, чтобы определить новые редко упоминаемые расположения. Механизм обнаружения аномалий хранит информацию о предыдущих расположениях, используемых пользователями в организации.
Требуется действующая лицензия Microsoft Defender для облачных приложений.
- Средний
PREVIEW - Azurite toolkit run detected (Предварительная версия — обнаружен запуск набора средств Azurite)
(ARM_Azurite)
В вашей среде обнаружен запуск известного набора облачных средств для атаки методом рекогносцировки. Средство Azurite может использоваться злоумышленником (или тестировщиком уязвимостей) для сопоставления ресурсов подписок и обнаружения небезопасных конфигураций. Коллекция Высокий
PREVIEW - Impossible travel activity (ПРЕДВАРИТЕЛЬНАЯ ВЕРСИЯ — неосуществимое перемещение)
(ARM.MCAS_ImpossibleTravelActivity)
Произошло два действия пользователя (в одном или нескольких сеансах), выполняемых в географически отдаленных расположениях. Они произошли в течение периода времени, недостаточного для того, чтобы переместиться из первого расположения во второе. Это означает, что другой пользователь использует те же учетные данные.
Это обнаружение использует алгоритм машинного обучения, который игнорирует очевидные "ложные срабатывания", такие как VPN и расположения, которые постоянно используют другие пользователи в организации, и позволяет получить результаты, соответствующие невозможным условиям перемещения. В обнаружении предусмотрен первоначальный период обучения — 7 дней, в течение которых оно изучает последовательность действий нового пользователя.
Требуется действующая лицензия Microsoft Defender для облачных приложений.
- Средний
PREVIEW - Suspicious management session using an inactive account detected (Предварительная версия — обнаружен подозрительный сеанс управления с использованием неактивной учетной записи)
(ARM_UnusedAccountPersistence)
При анализе журналов действий подписки обнаружено подозрительное поведение. Субъект, который не используется в течение длительного периода времени, теперь выполняет действия, которые могут обеспечить сохраняемость для злоумышленника. Сохраняемость Средний
PREVIEW - Suspicious management session using PowerShell detected (Предварительная версия — обнаружен подозрительный сеанс управления с использованием PowerShell)
(ARM_UnusedAppPowershellPersistence)
При анализе журналов действий подписки обнаружено подозрительное поведение. Субъект, который не регулярно использует PowerShell для управления средой подписки, теперь использует PowerShell и выполняет действия, которые могут обеспечить сохраняемость для злоумышленника. Сохраняемость Средний
PREVIEW – Suspicious management session using Azure portal detected (Предварительная версия — обнаружен подозрительный сеанс управления с использованием портала Azure)
(ARM_UnusedAppIbizaPersistence)
При анализе журналов действий подписки обнаружено подозрительное поведение. Участник, который регулярно не использует портал Azure (Ibiza) для управления средой подписки (не использовал портал Azure для управления в течение последних 45 дней или подписку, которая им активно управляется), теперь использует портал Azure и выполняет действия, которые могут обеспечить сохраняемость для злоумышленника. Сохраняемость Средний
Для вашей подписки подозрительным способом создана привилегированная настраиваемая роль (предварительная версия)
(ARM_PrivilegedRoleDefinitionCreation)
Служба Microsoft Defender Azure для Resource Manager обнаружила подозрительное создание определения привилегированной настраиваемой роли в вашей подписке. Возможно, эта операция была выполнена правомерным пользователем из вашей организации. Однако это оповещение может также означать, что учетная запись в вашей организации была взломана и что субъект угрозы пытается создать привилегированную роль, чтобы использовать ее в дальнейшем и избегать обнаружения. Эскалация привилегий, обход защиты Низкий
Обнаружено подозрительное назначение ролей Azure (предварительная версия)
(ARM_AnomalousRBACRoleAssignment)
Служба Microsoft Defender для Resource Manager определила подозрительное назначение ролей Azure или назначение ролей, выполненное с помощью PIM (Управление привилегированными пользователями) в клиенте. Это может указывать на то, что учетная запись в вашей организации была скомпрометирована. Обнаруженные операции позволяют администраторам предоставить субъектам доступ к ресурсам Azure. Хотя это действие может быть легитимным, злоумышленник может использовать назначение ролей для повышения разрешений с целью дальнейшего развития атаки. Горизонтальное перемещение, обход защиты Низкий (PIM) / Высокий
Suspicious invocation of a high-risk 'Credential Access' operation detected (Preview) (Обнаружен подозрительный вызов операции доступа к учетным данным с высоким риском (предварительная версия))
(ARM_AnomalousOperation.CredentialAccess)
Microsoft Defender для Resource Manager обнаружил в подписке подозрительный вызов операции с высоким риском, что может означать попытку доступа к учетным данным. Обнаруженные операции обеспечивают администраторам эффективный доступ к их средам. Хотя это действие может быть законным, субъект угрозы может использовать такие операции для доступа к учетным данным с ограниченным доступом и компрометации ресурсов в вашей среде. Это может означать, что учетная запись скомпрометирована и используется с злонамеренно. Доступ к четным данным Средний
Suspicious invocation of a high-risk 'Data Collection' operation detected (Preview) (Обнаружен подозрительный вызов операции сбора данных с высоким риском (предварительная версия))
(ARM_AnomalousOperation.Collection)
Microsoft Defender для Resource Manager обнаружил в подписке подозрительный вызов операции с высоким риском, что может означать попытку сбора данных. Обнаруженные операции обеспечивают администраторам эффективное управление их средами. Хотя это действие может быть законным, субъект угрозы может использовать такие операции для сбора конфиденциальных данных о ресурсах в вашей среде. Это может означать, что учетная запись скомпрометирована и используется с злонамеренно. Коллекция Средний
Suspicious invocation of a high-risk 'Defense Evasion' operation detected (Preview) (Обнаружен подозрительный вызов операции обхода защиты с высоким риском (предварительная версия))
(ARM_AnomalousOperation.DefenseEvasion)
Microsoft Defender для Resource Manager обнаружил в подписке подозрительный вызов операции с высоким риском, что может означать попытку обхода защиты. Обнаруженные операции обеспечивают администраторам эффективное управление состоянием безопасности их сред. Хотя это действие может быть законным, субъект угрозы может использовать такие операции для предотвращения обнаружения при компрометации ресурсов в вашей среде. Это может означать, что учетная запись скомпрометирована и используется с злонамеренно. Уклонение от защиты Средний
Suspicious invocation of a high-risk 'Execution' operation detected (Preview) (Обнаружен подозрительный вызов операции выполнения с высоким риском (предварительная версия))
(ARM_AnomalousOperation.Execution)
Microsoft Defender для Resource Manager обнаружил в подписке подозрительный вызов операции с высоким риском на компьютере, что может означать попытку выполнения кода. Обнаруженные операции обеспечивают администраторам эффективное управление их средами. Хотя это действие может быть законным, субъект угрозы может использовать такие операции для доступа к учетным данным с ограниченным доступом и компрометации ресурсов в вашей среде. Это может означать, что учетная запись скомпрометирована и используется с злонамеренно. Выполнение Средний
Suspicious invocation of a high-risk 'Impact' operation detected (Preview) (Обнаружен подозрительный вызов операции воздействия с высоким риском (предварительная версия))
(ARM_AnomalousOperation.Impact)
Microsoft Defender для Resource Manager обнаружил в подписке подозрительный вызов операции с высоким риском, что может означать попытку изменения конфигурации. Обнаруженные операции обеспечивают администраторам эффективное управление их средами. Хотя это действие может быть законным, субъект угрозы может использовать такие операции для доступа к учетным данным с ограниченным доступом и компрометации ресурсов в вашей среде. Это может означать, что учетная запись скомпрометирована и используется с злонамеренно. Влияние Средний
Suspicious invocation of a high-risk 'Initial Access' operation detected (Preview) (Обнаружен подозрительный вызов операции первоначального доступа с высоким риском (предварительная версия))
(ARM_AnomalousOperation.InitialAccess)
Microsoft Defender для Resource Manager обнаружил в подписке подозрительный вызов операции с высоким риском, что может означать попытку доступа к ограниченным ресурсам. Обнаруженные операции обеспечивают администраторам эффективный доступ к их средам. Хотя это действие может быть законным, субъект угрозы может использовать такие операции для получения начального доступа к ресурсам с ограниченным доступом в вашей среде. Это может означать, что учетная запись скомпрометирована и используется с злонамеренно. Первоначальный доступ Средний
Suspicious invocation of a high-risk 'Lateral Movement' operation detected (Preview) (Обнаружен подозрительный вызов операции бокового смещения с высоким риском (предварительная версия))
(ARM_AnomalousOperation.LateralMovement)
Microsoft Defender для Resource Manager обнаружил в подписке подозрительный вызов операции с высоким риском, что может означать попытку бокового смещения. Обнаруженные операции обеспечивают администраторам эффективное управление их средами. Хотя это действие может быть законным, субъект угрозы может использовать такие операции для компрометации дополнительных ресурсов в вашей среде. Это может означать, что учетная запись скомпрометирована и используется с злонамеренно. Боковое смещение Средний
Suspicious invocation of a high-risk 'Persistence' operation detected (Preview) (Обнаружен подозрительный вызов операции сохранения состояния с высоким риском (предварительная версия))
(ARM_AnomalousOperation.Persistence)
Microsoft Defender для Resource Manager обнаружил в подписке подозрительный вызов операции с высоким риском, что может означать попытку обеспечения сохраняемости. Обнаруженные операции обеспечивают администраторам эффективное управление их средами. Хотя это действие может быть законным, субъект угрозы может использовать такие операции для обеспечения сохраняемости в вашей среде. Это может означать, что учетная запись скомпрометирована и используется с злонамеренно. Сохраняемость Средний
Suspicious invocation of a high-risk 'Privilege Escalation' operation detected (Preview) (Обнаружен подозрительный вызов операции повышения привилегий с высоким риском (предварительная версия))
(ARM_AnomalousOperation.PrivilegeEscalation)
Microsoft Defender для Resource Manager обнаружил в подписке подозрительный вызов операции с высоким риском, что может означать попытку повысить привилегии. Обнаруженные операции обеспечивают администраторам эффективное управление их средами. Хотя это действие может быть законным, субъект угрозы может использовать такие операции для повышения привилегий при компрометации ресурсов в вашей среде. Это может означать, что учетная запись скомпрометирована и используется с злонамеренно. Повышение привилегий Средний
Использование набора средств эксплуатации MicroBurst для запуска произвольного кода или извлечения учетных данных учетной записи службы автоматизации Azure
(ARM_MicroBurst.RunCodeOnBehalf)
Для запуска произвольного кода или переноса данных учетной записи службы автоматизации Azure использован набор средств для взлома MicroBurst. При анализе операций Azure Resource Manager в подписке было обнаружено это действие. Сохраняемость, доступ к учетным данным Высокий
Использование методов NetSPI для сохранения устойчивости в среде Azure
(ARM_NetSPI.MaintainPersistence)
Использование метода сохраняемости NetSPI для создания лазейки для веб-перехватчика и поддержания сохраняемости в среде Azure. При анализе операций Azure Resource Manager в подписке было обнаружено это действие. - Высокий
Использование набора средств эксплуатации PowerZure для запуска произвольного кода или извлечения учетных данных учетной записи службы автоматизации Azure
(ARM_PowerZure.RunCodeOnBehalf)
Обнаружена попытка использования набора средств для взлома PowerZure для запуска кода или переноса данных для входа учетной записи службы автоматизации Azure. При анализе операций Azure Resource Manager в подписке было обнаружено это действие. - Высокий
Использование функции PowerZure для сохранения устойчивости в среде Azure
(ARM_PowerZure.MaintainPersistence)
Обнаружено создание набором средств для взлома PowerZure лазейки для веб-перехватчика для поддержания сохраняемости в среде Azure. При анализе операций Azure Resource Manager в подписке было обнаружено это действие. - Высокий
Обнаружено подозрительное назначение классических ролей (предварительная версия)
(ARM_AnomalousClassicRoleAssignment)
Служба Microsoft Defender для Resource Manager определила подозрительное назначение классической роли в клиенте. Это может указывать на то, что учетная запись в вашей организации была скомпрометирована. Обнаруженные операции предназначены для обеспечения обратной совместимости с классическими ролями, которые больше не используются. Хотя это действие может быть легитимным, злоумышленник может использовать такое назначение для предоставления разрешений дополнительной учетной записи пользователя, находящейся под его контролем.  Горизонтальное перемещение, обход защиты Высокий

Оповещения для DNS

Дополнительные сведения и примечания

Оповещение (тип оповещения) Описание Тактика MITRE
(дополнительные сведения)
Severity
Аномальное использование сетевого протокола
(AzureDNS_ProtocolAnomaly)
В ходе анализа транзакций DNS в %{CompromisedEntity} обнаружено аномальное использование протокола. Несмотря на то, что такой трафик, возможно, является безопасным, он может указывать на неправильное использование этого общего протокола для обхода фильтрации трафика. Типичные действия, связанные с атаками, включают в себя копирование средств удаленного администрирования на скомпрометированный узел и получения данных пользователя из него. Извлечение -
Анонимность сетевой активности
(AzureDNS_DarkWeb)
В ходе анализа транзакций DNS в %{CompromisedEntity} обнаружено анонимную сетевую деятельность. Хотя такое действие может быть допустимым поведением пользователя, оно часто используется злоумышленниками, чтобы предупредить отслеживание и удалить следы сетевых взаимодействий. К типичным действиям, связанным с активностью злоумышленников, вероятно относится загрузка и выполнение вредоносного ПО или средств удаленного администрирования. Извлечение -
Анонимность сетевой активности с использованием веб-прокси
(AzureDNS_DarkWebProxy)
В ходе анализа транзакций DNS в %{CompromisedEntity} обнаружено анонимную сетевую деятельность. Хотя такое действие может быть допустимым поведением пользователя, оно часто используется злоумышленниками, чтобы предупредить отслеживание и удалить следы сетевых взаимодействий. К типичным действиям, связанным с активностью злоумышленников, вероятно относится загрузка и выполнение вредоносного ПО или средств удаленного администрирования. Извлечение -
Попытка установить связь с подозрительным доменом с sinkhole-сервером
(AzureDNS_SinkholedDomain)
При анализе транзакций DNS в %{CompromisedEntity} был обнаружен запрос на домен sinkhole. Такое действие, хотя и может быть допустимым поведением пользователя, часто указывает на скачивание или выполнение вредоносного ПО. К типичным действиям, связанным с активностью злоумышленников, можно отнести загрузку и выполнение дополнительного вредоносного ПО или средств удаленного администрирования. Извлечение -
Связь с возможным фишинговым доменом
(AzureDNS_PhishingDomain)
При анализе транзакций DNS в %{CompromisedEntity} был обнаружен запрос на домен, который, возможно, является фишинговым. Несмотря на то, что такая деятельность, возможно, и является безопасной, ее зачастую совершают злоумышленники с целью сбора учетных данных для удаленных служб. К типичным действиям, связанным с активностью злоумышленников, можно отнести использование учетных данных для допустимой службы. Извлечение -
Связь с подозрительным доменом, созданным алгоритмическим путем
(AzureDNS_DomainGenerationAlgorithm)
При анализе транзакций DNS в %{CompromisedEntity} было обнаружено возможное использование алгоритма создания домена. Несмотря на то, что такая деятельность, возможно, является безопасной, злоумышленники зачастую совершают ее для избежания сетевого мониторинга и фильтрации. К типичным действиям, связанным с активностью злоумышленников, вероятно относится загрузка и выполнение вредоносного ПО или средств удаленного администрирования. Извлечение -
Связь с подозрительным доменом, обнаруженным посредством аналитики угроз
(AzureDNS_ThreatIntelSuspectDomain)
Обнаружен обмен данными с подозрительным доменом путем анализа транзакций DNS из ресурса и их сравнения с известными вредоносными доменами, идентифицируемыми каналами аналитики угроз. Обмен данными с вредоносными доменами часто осуществляется злоумышленниками и может свидетельствовать о компрометации ресурса. Первоначальный доступ Средний
Связь с подозрительным случайным доменным именем
(AzureDNS_RandomizedDomain)
При анализе транзакций DNS в %{CompromisedEntity} было обнаружено использование подозрительных случайно созданных доменных имен. Несмотря на то, что такая деятельность, возможно, является безопасной, злоумышленники зачастую совершают ее для избежания сетевого мониторинга и фильтрации. К типичным действиям, связанным с активностью злоумышленников, вероятно относится загрузка и выполнение вредоносного ПО или средств удаленного администрирования. Извлечение -
Майнинг цифровой валюты
(AzureDNS_CurrencyMining)
При анализе транзакций DNS в %{CompromisedEntity} было обнаружено действие по добыче криптовалюты. Такое действие, хотя и может быть допустимым поведением пользователя, часто используется злоумышленниками для компрометации ресурсов. К типичным действиям, связанным с активностью злоумышленников, можно отнести загрузку и выполнение общих средств добычи. Извлечение -
Активация сигнатуры обнаружения сетевых вторжений
(AzureDNS_SuspiciousDomain)
При анализе транзакций DNS в %{CompromisedEntity} была обнаружена известная вредоносная сетевая сигнатура. Такое действие, хотя и может быть допустимым поведением пользователя, часто указывает на скачивание или выполнение вредоносного ПО. К типичным действиям, связанным с активностью злоумышленников, можно отнести загрузку и выполнение дополнительного вредоносного ПО или средств удаленного администрирования. Извлечение -
Возможная загрузка данных через DNS-туннель
(AzureDNS_DataInfiltration)
При анализе транзакций DNS в %{CompromisedEntity} обнаружено возможное использование туннеля DNS. Такое действие, хоть и может быть допустимым поведением пользователя, часто выполняется злоумышленниками, чтобы избежать сетевого мониторинга и фильтрации. К типичным действиям, связанным с активностью злоумышленников, вероятно относится загрузка и выполнение вредоносного ПО или средств удаленного администрирования. Извлечение -
Возможная кража данных через DNS-туннель
(AzureDNS_DataExfiltration)
При анализе транзакций DNS в %{CompromisedEntity} обнаружено возможное использование туннеля DNS. Такое действие, хоть и может быть допустимым поведением пользователя, часто выполняется злоумышленниками, чтобы избежать сетевого мониторинга и фильтрации. К типичным действиям, связанным с активностью злоумышленников, вероятно относится загрузка и выполнение вредоносного ПО или средств удаленного администрирования. Извлечение -
Возможная передача данных через DNS-туннель
(AzureDNS_DataObfuscation)
При анализе транзакций DNS в %{CompromisedEntity} обнаружено возможное использование туннеля DNS. Такое действие, хоть и может быть допустимым поведением пользователя, часто выполняется злоумышленниками, чтобы избежать сетевого мониторинга и фильтрации. К типичным действиям, связанным с активностью злоумышленников, вероятно относится загрузка и выполнение вредоносного ПО или средств удаленного администрирования. Exfiltration -

Оповещения для службы хранилища Azure

Дополнительные сведения и примечания

Оповещение (тип оповещения) Описание Тактика MITRE
(дополнительные сведения)
Severity
PREVIEW - Access from a suspicious application (ПРЕДВАРИТЕЛЬНАЯ ВЕРСИЯ — доступ из подозрительного приложения)
(Storage.Blob_SuspiciousApp)
Указывает, что подозрительное приложение успешно обращалось к контейнеру учетной записи хранения с проверкой подлинности.
Это может означать, что злоумышленник получил учетные данные, необходимые для доступа к учетной записи, и использует ее. Это также может свидетельствовать о проведении в вашей организации проверки на проникновение.
Область применения: Хранилище BLOB-объектов Azure, Azure Data Lake Storage 2-го поколения
Первоначальный доступ Средний
Доступ с подозрительного IP-адреса
(Storage.Blob_SuspiciousIp
Storage.Files_SuspiciousIp)
Указывает на то, что к учетной записи хранения был успешно получен доступ с IP-адреса, который считается подозрительным. Это оповещение создано с помощью Microsoft Threat Intelligence.
Подробнее о возможностях Microsoft Threat Intelligence.
Область применения: Хранилище BLOB-объектов Azure, Файлы Azure, Azure Data Lake Storage 2-го поколения
Первоначальный доступ Средний
PREVIEW – Phishing content hosted on a storage account (ПРЕДВАРИТЕЛЬНАЯ ВЕРСИЯ — фишинговое содержимое, размещенное в учетной записи хранения)
(Storage.Blob_PhishingContent
Storage.Files_PhishingContent)
URL-адрес, используемый в фишинговой атаке, указывает на учетную запись хранения Azure. Этот URL-адрес был частью фишинговой атаки, направленной на пользователей Microsoft 365.
Как правило, содержимое, размещенное на таких страницах, предназначено для того, чтобы посетители вводили корпоративные учетные данные или финансовые сведения в веб-форму, которая выглядит безопасно.
Это оповещение создано с помощью Microsoft Threat Intelligence.
Подробнее о возможностях Microsoft Threat Intelligence.
Область применения: Хранилище BLOB-объектов Azure, Файлы Azure
Коллекция Высокий
Учетная запись хранения определена как источник распространения вредоносных программ (ПРЕДВАРИТЕЛЬНАЯ ВЕРСИЯ)
(Storage.Files_WidespreadeAm)
Оповещения от антивредоносных программ указывают на то, что зараженные файлы хранятся в общей папке Azure, которая подключена к нескольким виртуальным машинам. Если злоумышленники получат доступ к виртуальной машине с подключенной общей папкой Azure, они могут использовать ее для распространения вредоносных программ на другие виртуальные машины, которые подключены к той же общей папке.
Область применения: Файлы Azure
Боковое смещение, выполнение Высокий
Обнаружена учетная запись хранения с потенциально конфиденциальными данными и общедоступным открытым контейнером (ПРЕДВАРИТЕЛЬНАЯ ВЕРСИЯ)
(Storage.Blob_OpenACL)
Политика доступа для контейнера в вашей учетной записи хранения была изменена, чтобы разрешить анонимный доступ. Это может привести к нарушению безопасности данных, если контейнер содержит конфиденциальные данные. Это оповещение основано на анализе журнала действий Azure.
Область применения: Хранилище BLOB-объектов Azure, Azure Data Lake Storage 2-го поколения
Повышение привилегий Средний
Authenticated access from a TOR exit node (Аутентифицированный доступ с выходного узла TOR)
(Storage.Blob_TorAnomaly
Storage.Files_TorAnomaly)
С IP-адреса, известного как активный выходной узел TOR (анонимизирующий прокси-сервер), успешно получен доступ к одному или нескольким контейнерам хранилища либо одной или нескольким общим папкам в вашей учетной записи хранения. Субъекты угроз используют TOR, чтобы усложнить трассировку активности. Доступ с проверкой подлинности с выходного узла TOR, скорее всего, указывает на то, что субъект угрозы пытается скрыть свое удостоверение.
Область применения: Хранилище BLOB-объектов Azure, Файлы Azure, Azure Data Lake Storage 2-го поколения
Первоначальный доступ Высокий или средний
Access from an unusual location to a storage account (Доступ из необычного расположения к учетной записи хранения)
(Storage.Blob_GeoAnomaly
Storage.Files_GeoAnomaly)
Указывает, что в шаблоне доступа было внесено изменение в учетную запись хранения Azure. Кто-то получил доступ к этой учетной записи с IP адреса, который был признан неизвестным при сравнении с последним действием. Либо злоумышленник получил доступ к учетной записи, либо допустимый пользователь подключился из нового или необычного географического расположения. Примером последнего является удаленное обслуживание нового приложения или разработчика.
Область применения: Хранилище BLOB-объектов Azure, Файлы Azure, Azure Data Lake Storage 2-го поколения
Несанкционированное использование Низкий
Unusual unauthenticated access to a storage container (Необычный доступ без проверки подлинности к контейнеру хранилища)
(Storage.Blob_AnonymousAccessAnomaly)
Доступ к этой учетной записи хранения осуществлялся без проверки подлинности, что указывает на изменение обычного шаблона доступа. Для доступа на чтение в этом контейнере обычно необходимо пройти проверку подлинности. Это может означать, что субъекту угрозы удалось воспользоваться открытым доступом на чтение в контейнерах хранилища в этих учетных записях хранения.
Область применения: хранилище BLOB-объектов Azure
Коллекция Низкий
Potential malware uploaded to a storage account (Потенциально вредоносная программа, отправленная в учетную запись хранения)
(Storage.Blob_MalwareHashReputation
Storage.Files_MalwareHashReputation)
Указывает на то, что большой двоичный объект, содержащий потенциально вредоносные программы, был передан в контейнер больших двоичных объектов или общую папку в учетной записи хранения. Это оповещение основано на анализе репутации хэшей, использующем возможности службы Microsoft Threat Intelligence, которая содержит хэши вирусов, программ-троянов, шпионских программ и программ-шантажистов. Потенциальные причины могут включать в себя намеренную отправку вредоносных программ злоумышленниками или непреднамеренную отправку потенциально вредоносного большого двоичного объекта законным пользователем.
Область применения: Хранилище BLOB-объектов Azure, Файлы Azure (только для транзакций с REST API)
Подробнее об анализе репутации хэшей Azure для вредоносных программ.
Подробнее о возможностях Microsoft Threat Intelligence.
Боковое смещение Высокий
Успешно обнаружены общедоступные контейнеры хранилища
(Storage.Blob_OpenContainersScanning.SuccessfulDiscovery)
За последний час с помощью скрипта или средства сканирования были успешно обнаружены открытые контейнеры хранилища в учетной записи хранения.

Как правило, это означает атаку с рекогносцировкой, в ходе которой субъект угрозы пытается получить список больших двоичных объектов путем подбора имен контейнеров в надежде найти неправильно настроенные открытые контейнеры хранилища с конфиденциальными данными.

Для поиска общедоступных открытых контейнеров субъект угрозы может использовать собственный скрипт или известные средства сканирования, например Microburst.

✔ Хранилище BLOB-объектов Azure
✖ Файлы Azure
✖ Azure Data Lake Storage 2-го поколения
Коллекция Средний
Успешно просканированы общедоступные контейнеры хранилища
(Storage.Blob_OpenContainersScanning.FailedAttempt)
За последний час был предпринят ряд неудачных попыток сканирования общедоступных открытых контейнеров хранилища.

Как правило, это означает атаку с рекогносцировкой, в ходе которой субъект угрозы пытается получить список больших двоичных объектов путем подбора имен контейнеров в надежде найти неправильно настроенные открытые контейнеры хранилища с конфиденциальными данными.

Для поиска общедоступных открытых контейнеров субъект угрозы может использовать собственный скрипт или известные средства сканирования, например Microburst.

✔ Хранилище BLOB-объектов Azure
✖ Файлы Azure
✖ Azure Data Lake Storage 2-го поколения
Коллекция Низкий
Unusual access inspection in a storage account (Необычная проверка доступа в учетной записи хранения)
(Storage.Blob_AccessInspectionAnomaly
Storage.Files_AccessInspectionAnomaly)
Указывает, что права на доступ к учетной записи хранения были проверены необычным образом по сравнению с последними действиями в этой учетной записи. Возможно злоумышленник выполнил рекогносцировку для атаки в будущем.
Область применения: Хранилище BLOB-объектов Azure, Файлы Azure
Коллекция Средний
Unusual amount of data extracted from a storage account (Необычный объем данных, извлеченных из учетной записи хранения)
(Storage.Blob_DataExfiltration.AmountOfDataAnomaly
Storage.Blob_DataExfiltration.NumberOfBlobsAnomaly
Storage.Files_DataExfiltration.AmountOfDataAnomaly
Storage.Files_DataExfiltration.NumberOfFilesAnomaly)
Указывает на то, что был извлечен необычно большой объем данных по сравнению с недавней активностью на этом контейнере хранения. Потенциальная причина заключается в том, что злоумышленник извлек большой объем данных из контейнера, содержащего хранилище BLOB-объектов.
Область применения: Хранилище BLOB-объектов Azure, Файлы Azure, Azure Data Lake Storage 2-го поколения
Извлечение Средний
Unusual application accessed a storage account (Необычное приложение, которое обращалось к учетной записи хранения)
(Storage.Blob_ApplicationAnomaly
Storage.Files_ApplicationAnomaly)
Указывает, что необычное приложение обращалось к этой учетной записи хранения. Потенциальная причина заключается в том, что злоумышленник получил доступ к вашей учетной записи хранения с помощью нового приложения.
Область применения: Хранилище BLOB-объектов Azure, Файлы Azure
Несанкционированное использование Средний
Unusual change of access permissions in a storage account (Необычное изменение разрешений на доступ в учетной записи хранения)
(Storage.Blob_PermissionsChangeAnomaly
Storage.Files_PermissionsChangeAnomaly)
Указывает, что разрешения на доступ к этому контейнеру хранилища были изменены необычным образом. Потенциальная причина заключается в том, что злоумышленник изменил разрешения контейнера, чтобы ослабить уровень безопасности или гарантировать сохраняемость.
Область применения: Хранилище BLOB-объектов Azure, Файлы Azure, Azure Data Lake Storage 2-го поколения
Сохраняемость Средний
Unusual data exploration in a storage account (Необычные исследования данных в учетной записи хранения)
(Storage.Blob_DataExplorationAnomaly
Storage.Files_DataExplorationAnomaly)
Указывает, что большие двоичные объекты или контейнеры в учетной записи хранения были перечислены неправильно по сравнению с недавней активностью в этой учетной записи. Возможно злоумышленник выполнил рекогносцировку для атаки в будущем.
Область применения: Хранилище BLOB-объектов Azure, Файлы Azure
Коллекция Средний
Unusual deletion in a storage account (Необычное удаление в учетной записи хранения)
(Storage.Blob_DeletionAnomaly
Storage.Files_DeletionAnomaly)
Указывает, что в учетной записи хранения произошла одна или несколько непредвиденных операций удаления по сравнению с последней операцией в этой учетной записи. Потенциальная причина заключается в том, что злоумышленник удалил данные из вашей учетной записи хранения.
Область применения: Хранилище BLOB-объектов Azure, Файлы Azure, Azure Data Lake Storage 2-го поколения
Извлечение Средний
Unusual upload of .cspkg to a storage account (Необычная отправка CSPKG-файла в учетную запись хранения)
(Storage.Blob_CspkgUploadAnomaly)
Указывает, что пакет Облачных служб Azure (CSPKG-файл) был передан в учетную запись хранения непривычным образом по сравнению с последними действиями в этой учетной записи. Потенциальная причина заключается в том, что злоумышленник готовится к развертыванию вредоносного кода из вашей учетной записи хранения в облачную службу Azure.
Область применения: Хранилище BLOB-объектов Azure, Azure Data Lake Storage 2-го поколения
Боковое смещение, выполнение Средний
Unusual upload of .exe to a storage account (Необычная отправка EXE-файла в учетную запись хранения)
(Storage.Blob_ExeUploadAnomaly
Storage.Files_ExeUploadAnomaly)
Указывает, что EXE-файл был передан в учетную запись хранения непривычным образом по сравнению с последними действиями в этой учетной записи. Потенциальная причина заключается в том, что злоумышленник передал вредоносный исполняемый файл в учетную запись хранения или что авторизованный пользователь передал исполняемый файл.
Область применения: Хранилище BLOB-объектов Azure, Файлы Azure, Azure Data Lake Storage 2-го поколения
Боковое смещение, выполнение Средний

Оповещения для Azure Cosmos DB

Дополнительные сведения и примечания

Оповещение (тип оповещения) Описание Тактика MITRE
(дополнительные сведения)
Severity
Доступ с выходного узла Tor
(CosmosDB_TorAnomaly)
С IP-адреса, известного как активный выходной узел TOR (анонимизирующий прокси-сервер), успешно получен доступ к этой учетной записи Azure Cosmos DB. Доступ с проверкой подлинности с выходного узла TOR, скорее всего, указывает на то, что субъект угрозы пытается скрыть свое удостоверение. Первоначальный доступ Высокий или средний
Доступ с подозрительного IP-адреса
(CosmosDB_SuspiciousIp)
Доступ к этой учетной записи Azure Cosmos DB был успешно осуществлен с IP-адреса, который был идентифицирован как угроза платформой Microsoft Threat Intelligence. Первоначальный доступ Средний
Доступ из необычного расположения
(CosmosDB_GeoAnomaly)
Доступ к этой учетной записи Azure Cosmos DB был успешно осуществлен из незнакомого расположения с использованием обычной схемы доступа.

Это означает, что злоумышленник получил доступ к учетной записи либо допустимый пользователь подключился из нового или необычного географического места.
Первоначальный доступ Низкий
Необычный объем извлеченных данных
(CosmosDB_DataExfiltrationAnomaly)
Из этой учетной записи Azure Cosmos DB был извлечен необычно большой объем данных. Это может означать, что субъект угрозы осуществил кражу данных. Извлечение Средний
Извлечение ключей учетных записей Azure Cosmos DB с помощью потенциально вредоносного скрипта
(CosmosDB_SuspiciousListKeys.MaliciousScript)
В подписке был запущен скрипт PowerShell, который выполнил подозрительную последовательность операций по получению списка ключей учетных записей Azure Cosmos DB в подписке. Субъекты угроз используют автоматизированные скрипты, такие как Microburst, для получения списка ключей и поиска учетных записей Azure Cosmos DB, к которым у них есть доступ.

Эта операция может означать, что безопасность удостоверений в вашей организации была нарушена и что субъект угрозы пытается скомпрометировать учетные записи Azure Cosmos DB в вашей среде для вредоносных атак.

Кроме того, злоумышленник внутри организации может пытаться получить доступ к конфиденциальным данным и выполнить боковое смещение.
Коллекция Высокий
Подозрительное извлечение ключей учетной записи Azure Cosmos DB (AzureCosmosDB_SuspiciousListKeys.SuspiciousPrincipal) Подозрительный источник извлек ключи доступа к учетной записи Azure Cosmos DB из подписки. Если этот источник не является авторизованным, это может иметь серьезные последствия. Извлеченный ключ доступа обеспечивает полный контроль над связанными базами данных и хранящимися в них данными. Просмотрите сведения о каждом конкретном оповещении, чтобы понять, почему источник был помечен как подозрительный. Доступ к четным данным high
Внедрение кода SQL: потенциальная кража данных
(CosmosDB_SqlInjection.DataExfiltration)
Для запроса контейнера в этой учетной записи Azure Cosmos DB использовался подозрительный оператор SQL.

Внедренная инструкция, возможно, осуществила кражу данных, к которым субъект угрозы не имеет права доступа.

В связи со структурой и возможностями запросов Azure Cosmos DB многие известные атаки, осуществляемые путем внедрения кода SQL, не работают в учетных записях Azure Cosmos DB. Однако вариант, используемый в этой атаке, может сработать, вследствие чего субъекты угроз могут осуществлять кражу данных.
Извлечение Средний
Внедрение кода SQL: попытка маскировки
(CosmosDB_SqlInjection.FailedFuzzingAttempt)
Для запроса контейнера в этой учетной записи Azure Cosmos DB использовался подозрительный оператор SQL.

Как и другие хорошо известные атаки путем внедрения кода SQL, эта атака не сможет скомпрометировать учетную запись Azure Cosmos DB.

Тем не менее это означает, что субъект угрозы пытается атаковать ресурсы в этой учетной записи, и ваше приложение может быть скомпрометировано.

Некоторые атаки путем внедрения кода SQL могут успешно применяться для кражи данных. Это означает, что если злоумышленник продолжит выполнять попытки внедрения кода SQL, то ему, возможно, удастся нарушить безопасность учетной записи Azure Cosmos DB и осуществить кражу данных.

Эту угрозу можно предотвратить с помощью параметризованных запросов.
Предварительная атака Низкий

Оповещения для сетевого уровня Azure

Дополнительные сведения и примечания

Оповещение (тип оповещения) Описание Тактика MITRE
(дополнительные сведения)
Severity
Network communication with a malicious machine detected (Обнаружено сетевое взаимодействие с вредоносной машиной)
(Network_CommunicationWithC2)
Анализ сетевого трафика обнаружил, что ваш компьютер (% IP-адресов {уязвимый_IP-адрес}) связывался с объектом, который предположительно является центром контроля и управления. Если скомпрометированный ресурс является подсистемой балансировки нагрузки или шлюзом приложений, то вероятная активность может указывать на то, что один или несколько ресурсов во внутреннем пуле (подсистемы балансировки нагрузки или шлюза приложений) связались с тем, что, возможно, является центром контроля и управления. Команды и управление Средний
Possible compromised machine detected (Обнаружен возможно скомпрометированный компьютер)
(Network_ResourceIpIndicatedAsMalicious)
Аналитика угроз указывает на то, что ваш компьютер (% IP-адресов {IP-адрес_компьютера}) может быть скомпрометирован вредоносной программой типа Conficker. Conficker — это компьютерный вирус-червь, который нацелен на операционную систему Microsoft Windows. Он был впервые обнаружен в ноябре 2008 года. Conficker заразил миллионы компьютеров, включая компьютеры в государственных учреждениях, частных компаниях и домашние компьютеры в более чем 200 странах и регионах, что сделало его распространение наиболее масштабным после вируса Welchia в 2003 году. Команды и управление Средний
Possible incoming %{Service Name} brute force attempts detected (Обнаружены возможные входящие попытки атаки методом подбора %{имя_службы})
(Generic_Incoming_BF_OneToOne)
Анализ сетевого трафика обнаружил входящий обмен данными %{имя_службы} с %{атакованный_IP-адрес}, связанный с ресурсом %{скомпрометированный_узел} от %{IP-адрес_злоумышленника}. Если скомпрометированный ресурс является подсистемой балансировки нагрузки или шлюзом приложений, потенциально входящий трафик перенаправляется в один или несколько ресурсов серверного пула (подсистему балансировки нагрузки или шлюз приложений). В частности, в примерах данных сети отображается подозрительная активность между % {время_начала} и %{время_окончания} на порту %{атакуемый_порт}. Эти атаки согласуются с попытками атаки серверов %{имя_службы} методом подбора. PreAttack Средний
Possible incoming SQL brute force attempts detected (Обнаружены возможные попытки атаки SQL-серверов методом подбора)
(SQL_Incoming_BF_OneToOne)
Анализ сетевого трафика обнаружил входящее соединение SQL с %{атакованный_IP-адрес}, связанным с ресурсом %{скомпрометированный_узел} от %{IP-адрес_злоумышленника}. Если скомпрометированный ресурс является подсистемой балансировки нагрузки или шлюзом приложений, потенциально входящий трафик перенаправляется в один или несколько ресурсов серверного пула (подсистему балансировки нагрузки или шлюз приложений). В частности, в примерах данных сети отображается подозрительная активность между % {время_начала} и {время_окончания}на порту %{номер_порта} (%{тип_службы_SQL}). Эти атаки согласуются с попытками атаки SQL-серверов методом подбора. PreAttack Средний
Possible outgoing denial-of-service attack detected (Обнаружение возможной исходящей атаки типа "отказ в обслуживании")
(DDOS)
Анализ сетевого трафика обнаружил аномальное исходящее действие, полученное от %{скомпрометированный_узел} ресурса в развертывании. Это действие может означать, что ваш ресурс был скомпрометирован и теперь он вовлечен в атаки типа "отказ в обслуживании" на внешние конечные точки. Если скомпрометированный ресурс является подсистемой балансировки нагрузки или шлюзом приложений, подозрительное действие может указывать на то, что один или несколько ресурсов в серверном пуле (балансировщика нагрузки или шлюза приложений) были скомпрометированы. Основываясь на объеме подключений, мы считаем, что следующие IP-адреса, возможно, являются целями DOS-атаки %{возможные_жертвы}. Обратите внимание, что связь с некоторыми из этих IP-адресов может быть допустимой. Влияние Средний
Suspicious incoming RDP network activity from multiple sources (Подозрительная входящая сетевая активность через RDP из нескольких источников)
(RDP_Incoming_BF_ManyToOne)
Анализ сетевого трафика обнаружил аномальную входящую связь протокола удаленного рабочего стола (RDP) с %{атакуемый_IP-адрес}, связанную с вашим ресурсом %{скомпрометированный_узел} из нескольких источников. Если скомпрометированный ресурс является подсистемой балансировки нагрузки или шлюзом приложений, потенциально входящий трафик перенаправляется в один или несколько ресурсов серверного пула (подсистему балансировки нагрузки или шлюз приложений). В частности, выборочные данные сети отображают %{количество_атакующих_IP-адресов} уникальных IP-адресов, подключаемых к вашему ресурсу, что считается ненормальным для этой среды. Это действие может указывать на попытку атаки вашей конечной точки RDP методом подбора с нескольких узлов (ботнет). PreAttack Средний
Suspicious incoming RDP network activity (Подозрительная входящая сетевая активность через RDP)
(RDP_Incoming_BF_OneToOne)
Анализ сетевого трафика обнаружил аномальное входящее подключение по протоколу удаленного рабочего стола (RDP) с %{атакованный_IP-адрес}, связанное с ресурсом %{скомпрометированный_узел} от %{IP-адрес_злоумышленника}. Если скомпрометированный ресурс является подсистемой балансировки нагрузки или шлюзом приложений, потенциально входящий трафик перенаправляется в один или несколько ресурсов серверного пула (подсистему балансировки нагрузки или шлюз приложений). В частности, выборочные данные сети отображают %{количество_подключений} входящих подключений к вашему ресурсу, что считается ненормальным для этой среды. Это действие может указывать на попытку атаки вашей конечной точки RDP методом подбора. PreAttack Средний
Suspicious incoming SSH network activity from multiple sources (Подозрительная входящая сетевая активность через SSH)
(SSH_Incoming_BF_ManyToOne)
Анализ сетевого трафика обнаружил аномальное входящее подключение по протоколу SSH с %{атакуемый_IP-адрес}, связанное с вашим ресурсом %{скомпрометированный_узел} из нескольких источников. Если скомпрометированный ресурс является подсистемой балансировки нагрузки или шлюзом приложений, потенциально входящий трафик перенаправляется в один или несколько ресурсов серверного пула (подсистему балансировки нагрузки или шлюз приложений). В частности, выборочные данные сети отображают %{количество_атакующих_IP-адресов} уникальных IP-адресов, подключаемых к вашему ресурсу, что считается ненормальным для этой среды. Это действие может указывать на попытку атаки вашей конечной точки SSH методом подбора из нескольких узлов (ботнет). PreAttack Средний
Suspicious incoming SSH network activity (Подозрительная входящая сетевая активность через SSH)
(SSH_Incoming_BF_OneToOne)
Анализ сетевого трафика обнаружил входящее аномальное подключение SSH %{атакованный_IP-адрес}, связанное с ресурсом %{скомпрометированный_узел} от %{IP-адрес_злоумышленника}. Если скомпрометированный ресурс является подсистемой балансировки нагрузки или шлюзом приложений, потенциально входящий трафик перенаправляется в один или несколько ресурсов серверного пула (подсистему балансировки нагрузки или шлюз приложений). В частности, выборочные данные сети отображают %{количество_подключений} входящих подключений к вашему ресурсу, что считается ненормальным для этой среды. Это действие может указывать на попытку атаки вашей конечной точки SSH методом подбора. PreAttack Средний
Suspicious outgoing %{Attacked Protocol} traffic detected (Обнаружен подозрительный исходящий трафик %{атакуемый_протокол})
(PortScanning)
При анализе сетевого трафика %{скомпрометированный_узел} обнаружена подозрительная сетевая активность на порту %{самый_распространенный_порт}. Если скомпрометированный ресурс является подсистемой балансировки нагрузки или шлюзом приложений, то вероятный исходящий трафик поступил от одного или нескольких ресурсов в серверном пуле (подсистемы балансировки нагрузки или шлюза приложений). Такое поведение может указывать на то, что ресурс принимает участие в попытках подбора или очистки портов %{атакуемый_протокол}. Обнаружение Средний
Suspicious outgoing RDP network activity to multiple destinations (Подозрительная исходящая сетевая активность через RDP к нескольким местам назначения)
(RDP_Outgoing_BF_OneToMany)
Анализ сетевого трафика обнаружил аномальную исходящую связь по протоколу удаленного рабочего стола (RDP) с несколькими адресатами, исходящими от %{скомпрометированный_узел} (%{IP-адрес_злоумышленника}) ресурса в вашем развертывании. Если скомпрометированный ресурс является подсистемой балансировки нагрузки или шлюзом приложений, то вероятный исходящий трафик поступил от одного или нескольких ресурсов в серверном пуле (подсистемы балансировки нагрузки или шлюза приложений). В частности, выборочные данные сети показывают, что ваш компьютер подключается к уникальным %{количество_атакуемых_портов} IP-адресам, что считается ненормальным для этой среды. Это действие может указывать на то, что ваш ресурс был скомпрометирован и теперь используется для атаки методом подбора внешних конечных точек RDP. Обратите внимание, что этот тип активности может привести к тому, что ваш IP-адрес будет помечен как вредоносный внешними сущностями. Обнаружение Высокий
Suspicious outgoing RDP network activity (Подозрительная исходящая сетевая активность через RDP)
(RDP_Outgoing_BF_OneToOne)
Анализ сетевого трафика обнаружил аномальную исходящую связь по протоколу удаленного рабочего стола (RDP) с %{атакуемый_IP-адрес}, исходящую от %{скомпрометированный_узел} (%{IP-адрес_злоумышленника}) ресурса в вашем развертывании. Если скомпрометированный ресурс является подсистемой балансировки нагрузки или шлюзом приложений, то вероятный исходящий трафик поступил от одного или нескольких ресурсов в серверном пуле (подсистемы балансировки нагрузки или шлюза приложений). В частности, выборочные данные сети показывают %{количество_подключений} исходящих подключений с вашего ресурса, что считается ненормальным для этой среды. Это действие может указывать на то, что ваша машина была скомпрометирована и теперь используется для атаки методом подбора внешних конечных точек RDP. Обратите внимание, что этот тип активности может привести к тому, что ваш IP-адрес будет помечен как вредоносный внешними сущностями. Боковое смещение Высокий
Suspicious outgoing SSH network activity to multiple destinations (Подозрительная исходящая сетевая активность через SSH к нескольким местам назначения)
(SSH_Outgoing_BF_OneToMany)
Анализ сетевого трафика обнаружил аномальную исходящую связь по протоколу SSH с несколькими адресатами, исходящими от %{скомпрометированный_узел} (%{IP-адрес_злоумышленника}) ресурса в вашем развертывании. Если скомпрометированный ресурс является подсистемой балансировки нагрузки или шлюзом приложений, то вероятный исходящий трафик поступил от одного или нескольких ресурсов в серверном пуле (подсистемы балансировки нагрузки или шлюза приложений). В частности, выборочные данные сети показывают, что ваш компьютер подключается к %{количество_атакуемых_портов} уникальным IP-адресам, что считается ненормальным для этой среды. Это действие может указывать на то, что ваш компьютер был скомпрометирован и теперь используется для атаки методом подбора внешних конечных точек SSH. Обратите внимание, что этот тип активности может привести к тому, что ваш IP-адрес будет помечен как вредоносный внешними сущностями. Обнаружение Средний
Suspicious outgoing SSH network activity (Подозрительная исходящая сетевая активность через SSH)
(SSH_Outgoing_BF_OneToOne)
Анализ сетевого трафика обнаружил аномальную связь по протоколу SSH %{атакуемый_IP-адрес}, исходящую от %{скомпрометированный_узел} (%{IP-адрес_злоумышленника}) ресурса в вашем развертывании. Если скомпрометированный ресурс является подсистемой балансировки нагрузки или шлюзом приложений, то вероятный исходящий трафик поступил от одного или нескольких ресурсов в серверном пуле (подсистемы балансировки нагрузки или шлюза приложений). В частности, выборочные данные сети показывают %{количество_подключений} исходящих подключений с вашего ресурса, что считается ненормальным для этой среды. Это действие может указывать на то, что ваш компьютер был скомпрометирован и теперь используется для атаки методом подбора внешних конечных точек SSH. Обратите внимание, что этот тип активности может привести к тому, что ваш IP-адрес будет помечен как вредоносный внешними сущностями. Боковое смещение Средний
Traffic detected from IP addresses recommended for blocking (Обнаружен трафик с IP-адресов, которые рекомендуется заблокировать) Defender для облака обнаружил входящий трафик с IP-адресов, которые рекомендуется заблокировать. Обычно это происходит, когда этот IP-адрес регулярно не обменивается данными с этим ресурсом. Кроме того, IP-адрес помечается как вредоносный с помощью источников аналитики угроз Defender для облака. Проверка Низкий

Оповещения для Azure Key Vault

Дополнительные сведения и примечания

Оповещение (тип оповещения) Описание Тактика MITRE
(дополнительные сведения)
Severity
Доступ с подозрительного IP-адреса к хранилищу ключей
(KV_SuspiciousIPAccess)
К хранилищу ключей был получен доступ с IP-адреса, который был идентифицирован аналитикой угроз Майкрософт как подозрительный. Это может означать, что ваша инфраструктура скомпрометирована. Рекомендуем провести дополнительное исследование. Подробнее о возможностях Microsoft Threat Intelligence. Доступ к четным данным Средний
Access from a TOR exit node to a key vault (Доступ из выходного узла TOR к хранилищу ключей)
(KV_TORAccess)
Доступ к хранилищу ключей осуществлялся из известного выходного узла TOR. Это может означать, что у субъекта угрозы есть доступ к хранилищу ключей и он использует сеть TOR для скрытия исходного расположения. Мы рекомендуем провести дополнительное расследование. Доступ к четным данным Средний
High volume of operations in a key vault (Большой объем операций в хранилище ключей)
(KV_OperationVolumeAnomaly)
Аномальное количество операций с хранилищем ключей, выполненных пользователем, субъектом-службой и (или) определенным хранилищем ключей. Этот аномальный шаблон действий может быть допустимым, но может также означать, что субъект угрозы получил доступ к хранилищу ключей и секретам, содержащимся в нем. Мы рекомендуем провести дополнительное расследование. Доступ к четным данным Средний
Suspicious policy change and secret query in a key vault (Подозрительные изменения политики и запрос секрета в хранилище ключей)
(KV_PutGetAnomaly)
Пользователь или субъект-служба выполнили аномальную операцию изменения политики хранилища, за которой последовала одна или несколько операций получения секрета. Этот шаблон обычно не выполнялся указанным пользователем или субъектом-службой. Это может быть допустимое действие, но также может означать, что субъект угрозы обновил политику хранилища ключей для доступа к ранее недоступным секретам. Мы рекомендуем провести дополнительное расследование. Доступ к четным данным Средний
Suspicious secret listing and query in a key vault (Подозрительный список и запрос секретов в хранилище ключей)
(KV_ListGetAnomaly)
Пользователь или субъект-служба выполнили аномальную операцию получения списка секретов, за которой последовала одна или несколько операций получения секрета. Этот шаблон обычно не выполнялся указанным пользователем или субъектом-службой и, как правило, он связан с созданием аварийного дампа секретов. Это может быть допустимое действие, но также может означать, что субъект угрозы получил доступ к хранилищу ключей и пытается обнаружить секреты, которые можно использовать для перемещения в сети и (или) получения доступа к конфиденциальным ресурсам. Мы рекомендуем провести дополнительное расследование. Доступ к четным данным Средний
Запрещен необычный доступ — пользователю запрещен доступ к большому количеству хранилищ ключей
(KV_AccountVolumeAccessDeniedAnomaly)
Пользователь или субъект-служба попытались получить доступ к аномально большому числу хранилищ ключей за последние 24 часа. Этот аномальный шаблон доступа может быть легитимным. Хотя доступ был запрещен, эти действия могут свидетельствовать о возможной попытке доступа к хранилищам ключей и находящимся в них секретам. Мы рекомендуем провести дополнительное расследование. Обнаружение Низкий
Запрещен необычный доступ — пользователю запрещен необычный доступ к хранилищу ключей
(KV_UserAccessDeniedAnomaly)
Пользователь, который обычно не обращается к хранилищу, предпринял попытку доступа к нему. Этот аномальный шаблон доступа может быть легитимным. Хотя доступ был запрещен, эти действия могут свидетельствовать о возможной попытке доступа к хранилищам ключей и находящимся в них секретам. Первоначальный доступ, обнаружение Низкий
Unusual application accessed a key vault (Необычное приложение, которое обращалось к хранилищу ключей)
(KV_AppAnomaly)
Доступ к хранилищу ключей был осуществлен субъектом-службой, который обычно не обращается к нему. Этот аномальный шаблон доступа может быть допустимым, но может также означать, что субъект угрозы получил доступ к хранилищу ключей при попытке обратиться к секретам, содержащимся в нем. Мы рекомендуем провести дополнительное расследование. Доступ к четным данным Средний
Unusual operation pattern in a key vault (Необычный шаблон операций в хранилище ключей)
(KV_OperationPatternAnomaly)
Аномальный шаблон операций с хранилищем ключей, выполненных пользователем, субъектом-службой и (или) определенным хранилищем ключей. Этот аномальный шаблон действий может быть допустимым, но может также означать, что субъект угрозы получил доступ к хранилищу ключей и секретам, содержащимся в нем. Мы рекомендуем провести дополнительное расследование. Доступ к четным данным Средний
Unusual user accessed a key vault (Необычный доступ к хранилищу ключей)
(KV_UserAnomaly)
Доступ к хранилищу ключей был осуществлен пользователем, который обычно не обращается к нему. Этот аномальный шаблон доступа может быть допустимым, но может также означать, что субъект угрозы получил доступ к хранилищу ключей при попытке обратиться к секретам, содержащимся в нем. Мы рекомендуем провести дополнительное расследование. Доступ к четным данным Средний
Unusual user-application pair accessed a key vault (Необычная пара "пользователь — приложение" обратилась к хранилищу ключей)
(KV_UserAppAnomaly)
Доступ к хранилищу ключей был осуществлен парой "пользователь — субъект-служба", которая обычно не обращается к нему. Этот аномальный шаблон доступа может быть допустимым, но может также означать, что субъект угрозы получил доступ к хранилищу ключей при попытке обратиться к секретам, содержащимся в нем. Мы рекомендуем провести дополнительное расследование. Доступ к четным данным Средний
User accessed high volume of key vaults (Обращение пользователя к большому числу хранилищ ключей)
(KV_AccountVolumeAnomaly)
Пользователь или субъект-служба обратились к аномально большому числу хранилищ ключей. Этот аномальный шаблон доступа может быть допустимым, но может также означать, что субъект угрозы получил доступ к нескольким хранилищам ключей при попытке обратиться к секретам, содержащимся в них. Мы рекомендуем провести дополнительное расследование. Доступ к четным данным Средний

Оповещения для службы защиты Azure от атак DDoS

Дополнительные сведения и примечания

Предупреждение Описание Тактика MITRE
(дополнительные сведения)
Severity
DDoS Attack detected for Public IP (Обнаружена DDoS-атака на общедоступный IP-адрес) Атака DDoS на ресурс с общедоступным IP-адресом обнаружена и устраняется. Проверка Высокий
DDoS Attack mitigated for Public IP (Устранена DDoS-атака на общедоступный IP-адрес) Устранена DDoS-атака на общедоступный IP-адрес. Проверка Низкий

Оповещения об инцидентах безопасности

Дополнительные сведения и примечания

Предупреждение Описание Тактика MITRE
(дополнительные сведения)
Severity
Security incident with shared process detected (Обнаружен инцидент безопасности с общим процессом) Инцидент, начавшийся в {время_начала_в_формате_UTC} и обнаруженный в {время_обнаружения_в_формате_UTC}, указывает на то, что злоумышленник выполнил {действие} с вашим ресурсом {узел}. - Высокий
Security incident detected on multiple resources (Обнаружен инцидент безопасности с несколькими ресурсами) Инцидент, начавшийся в {время_начала_в_формате_UTC} и обнаруженный в {время_обнаружения_в_формате_UTC}, указывает, что аналогичные методы атаки были применены на ваших облачных ресурсах {узел}. - Средний
Security incident detected from same source (Обнаружен инцидент безопасности с тем же источником) Инцидент, начавшийся в {время_начала_в_формате_UTC} и обнаруженный в {время_обнаружения_в_формате_UTC}, указывает на то, что злоумышленник выполнил {действие} с вашим ресурсом {узел}. - Высокий
Security incident detected on multiple machines (Обнаружен инцидент безопасности с несколькими компьютерами) Инцидент, начавшийся в {время_начала_в_формате_UTC} и обнаруженный в {время_обнаружения_в_формате_UTC}, указывает на то, что злоумышленник выполнил {действие} с вашим ресурсом {узел}. - Средний

тактик MITRE ATT&CK

Понимание намерения нападения может помочь вам расследовать и сообщить о событии. В рамках этого подхода во многих оповещениях Microsoft Defender для облака используется тактика MITRE.

Последовательность шагов, описывающих продвижение кибератаки от рекогносцировки до извлечения данных, часто называют "цепочкой нарушения безопасности".

Поддерживаемые Defender для облака намерения завершения цепочек основаны на версии 9 матрицы MITRE ATT&CK и описаны в таблице ниже.

Тактика Версия ATT&CK Описание
PreAttack Предварительная атака может быть либо попыткой доступа к определенному ресурсу независимо от вредоносных целей, либо неудачной попыткой получить доступ к целевой системе для сбора информации перед несанкционированным использованием. Обычно она определяется как попытка, исходящая из внешней сети, сканировать целевую систему и идентифицировать точку входа.
Первоначальный доступ Версия 7, версия 9 Первоначальный доступ представляет собой этап, на котором злоумышленнику удается закрепиться на атакуемом ресурсе. Этот этап относится к вычислительным узлам и ресурсам, таким как учетные записи пользователей, сертификаты и т. д. Злоумышленники могут управлять ресурсом после этого этапа.
Сохраняемость Версия 7, версия 9 Атаки типа "Сохраняемость" (Persistence) — это любой доступ, действие или изменение конфигурации в системе, позволяющие злоумышленнику получить устойчивое присутствие в этой системе. Атакующим часто приходится поддерживать доступ к системам через прерывания, такие как перезапуск системы, потеря учетных данных или другие сбои, которые потребуют перезапуска инструмента удаленного доступа или предоставления альтернативного черного хода для восстановления доступа.
Повышение привилегий Версия 7, версия 9 Повышение привилегий (Privilege escalation) — это результат действий, позволяющих злоумышленнику получить более высокий уровень разрешений в системе или сети. Некоторые инструменты или действия требуют более высокого уровня привилегий для работы и, вероятно, необходимы во многих точках на протяжении всей операции. Учетные записи пользователей с разрешениями на доступ к определенным системам или выполнение определенных функций, необходимых злоумышленникам для достижения их целей, также могут рассматриваться как повышение привилегий.
Уклонение от защиты Версия 7, версия 9 Обход защиты (Defense evasion) включает в себя методы, с помощью которых злоумышленник может избегать обнаружения или обходить другие средства защиты. Иногда эти действия совпадают с методиками (или вариантами) в других категориях, которые обладают дополнительными преимуществами для конкретного средства защиты или устранения рисков.
Доступ к четным данным Версия 7, версия 9 Атаки с получением учетных данных (Получение учетных данных) — это методы, позволяющие получать или контролировать учетные данные систем, доменов и служб, используемых в корпоративной среде, а также управлять ими. Злоумышленники, скорее всего, попытаются получить допустимые учетные данные от пользователей или из учетных записей администраторов (локальных системных администраторов или пользователей домена с правами администратора) для использования в сети. С достаточными правами доступа в сети злоумышленник может создавать учетные записи для последующего использования в среде.
Discovery Версия 7, версия 9 Атаки типа "Обнаружение" (Discovery) — это методы, позволяющие злоумышленнику получать сведения о системе и внутренней сети. Когда злоумышленники получают доступ к новой системе, они должны ориентироваться на то, что они теперь контролируют и какие выгоды можно получить от этой системы во время атаки. Операционная система предоставляет множество собственных средств, помогающих в этой фазе сбора информации после нарушения безопасности.
LateralMovement Версия 7, версия 9 "Горизонтальное смещение" (Lateral movement) — это методы, позволяющие злоумышленнику получать доступ к удаленным системам в сети и управлять ими, а также могут включать в себя выполнение средств на удаленных системах. Методы горизонтального смещения позволяют злоумышленнику собирать информацию из системы без использования дополнительных средств, таких как средство удаленного доступа. Злоумышленник может использовать горизонтальное смещение для многих целей, в том числе для удаленного выполнения инструментов, доступа к дополнительным системам, доступа к определенной информации или файлам, доступа к дополнительным учетным данным или для прямого воздействия.
Выполнение Версия 7, версия 9 Тактика атак типа "Выполнение" (Execution) — это методы, приводящие к выполнению контролируемого злоумышленником кода на локальной или удаленной системе. Эта тактика часто используется в сочетании с горизонтальным смещением для расширения доступа к удаленным системам в сети.
Коллекция Версия 7, версия 9 Коллекция состоит из приемов, используемых для определения и сбора информации, например конфиденциальных файлов из целевой сети до извлечения. Эта категория также включает в себя расположения в системе или сети, где злоумышленник может найти информацию для извлечения.
Команды и управление Версия 7, версия 9 Тактика атак типа "Командный центр" (Command and Control) — это методы, с помощью которых злоумышленники взаимодействуют с контролируемыми системами в целевой сети.
Извлечение Версия 7, версия 9 Извлечение данных — это методы и атрибуты, позволяющие или помогающие злоумышленнику извлекать файлы и сведения из целевой сети. Эта категория также включает в себя расположения в системе или сети, где злоумышленник может найти информацию для извлечения.
Влияние Версия 7, версия 9 События "Влияние", в основном, пытаются напрямую уменьшить доступность или целостность системы, службы или сети, включая обработку данных, влияющих на бизнес или операционные процессы. Это часто относится к таким методам, как вымогательство, искажение, манипулирование данными и другим.

Примечание

Для предварительных версий оповещений: предварительная версия дополнительных условий использования Azure включает дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не являются общедоступными по другим причинам.

Дальнейшие действия

Дополнительные сведения об оповещениях системы безопасности Microsoft Defender для облака см. в следующих статьях: