Оповещения для расширений виртуальной машины Azure
В этой статье перечислены оповещения системы безопасности, которые можно получить для расширений виртуальных машин Azure из Microsoft Defender для облака и всех включенных планов Microsoft Defender. Оповещения, отображаемые в вашей среде, зависят от защищаемых ресурсов, служб и настроенной конфигурации.
Примечание.
Некоторые из недавно добавленных оповещений, созданных Аналитика угроз Microsoft Defender и Microsoft Defender для конечной точки, могут быть незадокументированы.
Узнайте, как реагировать на эти оповещения.
Узнайте, как экспортировать оповещения.
Примечание.
Время, требуемое для отображения оповещений из разных источников, может отличаться. Например, для отображения оповещений, требующих анализа сетевого трафика, может потребоваться больше времени, чем для оповещений, связанных с выполнением подозрительных процессов на виртуальных машинах.
Оповещения о расширениях виртуальных машин Azure
Эти оповещения сосредоточены на обнаружении подозрительных действий расширений виртуальных машин Azure и предоставляет аналитические сведения о попытках злоумышленников компрометировать и выполнять вредоносные действия на виртуальных машинах.
Расширения виртуальных машин Azure — это небольшие приложения, которые выполняют после развертывания на виртуальных машинах и предоставляют такие возможности, как конфигурация, автоматизация, мониторинг, безопасность и многое другое. Хотя расширения являются мощным инструментом, они могут использоваться субъектами угроз для различных вредоносных намерений, например:
Сбор и мониторинг данных
Выполнение кода и развертывание конфигурации с высокими привилегиями
Сброс учетных данных и создание административных пользователей
Шифрование дисков
Узнайте больше о Defender для облака последних защитах от злоупотреблений расширениями виртуальных машин Azure.
Подозрительный сбой при установке расширения GPU в подписке (предварительная версия)
(VM_GPUExtensionSuspiciousFailure)
Описание. Подозрительное намерение установки расширения GPU на неподдерживаемых виртуальных машинах. Это расширение должно быть установлено на виртуальных машинах, оснащенных графическим процессором, и в этом случае виртуальные машины не оснащены такими. Эти сбои можно увидеть, когда вредоносные злоумышленники выполняют несколько установок такого расширения в целях шифрования.
Тактика MITRE: влияние
Серьезность: средний
Обнаружена подозрительная установка расширения GPU на виртуальной машине (предварительная версия)
(VM_GPUDriverExtensionUnusualExecution)
Описание. Обнаружена подозрительная установка расширения GPU на виртуальной машине путем анализа операций Azure Resource Manager в подписке. Злоумышленники могут использовать расширение драйвера GPU для установки драйверов GPU на виртуальной машине с помощью Azure Resource Manager для выполнения шифрования. Это действие считается подозрительным, так как поведение субъекта уходит от обычных шаблонов.
Тактика MITRE: влияние
Серьезность: низкая
Команда выполнения с подозрительным скриптом обнаружена на виртуальной машине (предварительная версия)
(VM_RunCommandSuspiciousScript)
Описание. Команда запуска с подозрительным скриптом обнаружена на виртуальной машине путем анализа операций Azure Resource Manager в подписке. Злоумышленники могут использовать команду run для выполнения вредоносного кода с высокими привилегиями на виртуальной машине с помощью Azure Resource Manager. Сценарий считается подозрительным, так как некоторые части были идентифицированы как потенциально вредоносные.
Тактика MITRE: Выполнение
Серьезность: высокий уровень
Обнаружено подозрительное несанкционированное использование команды запуска на виртуальной машине (предварительная версия)
(VM_RunCommandSuspiciousFailure)
Описание. Сбой подозрительного использования команды run Command и обнаружен на виртуальной машине путем анализа операций Azure Resource Manager в вашей подписке. Злоумышленники могут попытаться использовать команду run для выполнения вредоносного кода с высокими привилегиями на виртуальных машинах с помощью Azure Resource Manager. Это действие считается подозрительным, так как оно не было часто видно раньше.
Тактика MITRE: Выполнение
Серьезность: средний
Обнаружено подозрительное использование команды запуска на виртуальной машине (предварительная версия)
(VM_RunCommandSuspiciousUsage)
Описание. Подозрительное использование команды run было обнаружено на виртуальной машине путем анализа операций Azure Resource Manager в подписке. Злоумышленники могут использовать команду run для выполнения вредоносного кода с высокими привилегиями на виртуальных машинах с помощью Azure Resource Manager. Это действие считается подозрительным, так как оно не было часто видно раньше.
Тактика MITRE: Выполнение
Серьезность: низкая
Обнаружено подозрительное использование нескольких расширений мониторинга или сбора данных на виртуальных машинах (предварительная версия)
(VM_SuspiciousMultiExtensionUsage)
Описание. Подозрительное использование нескольких расширений мониторинга или сбора данных было обнаружено на виртуальных машинах путем анализа операций Azure Resource Manager в подписке. Злоумышленники могут злоупотреблять такими расширениями для сбора данных, мониторинга сетевого трафика и многого другого в подписке. Это использование считается подозрительным, так как оно не было часто видно раньше.
Серьезность: средний
Обнаружена подозрительная установка расширений шифрования дисков на виртуальных машинах (предварительная версия)
(VM_DiskEncryptionSuspiciousUsage)
Описание. Обнаружена подозрительная установка расширений шифрования дисков на виртуальных машинах путем анализа операций Azure Resource Manager в подписке. Злоумышленники могут злоупотреблять расширением шифрования дисков для развертывания полного шифрования дисков на виртуальных машинах с помощью Azure Resource Manager в попытке выполнить действие программы-шантажистов. Это действие считается подозрительным, так как оно не было часто видно раньше и из-за большого количества установок расширений.
Тактика MITRE: влияние
Серьезность: средний
Обнаружено подозрительное использование расширения VMAccess на виртуальных машинах (предварительная версия)
(VM_VMAccessSuspiciousUsage)
Описание. Подозрительное использование расширения VMAccess обнаружено на виртуальных машинах. Злоумышленники могут злоупотреблять расширением VMAccess, чтобы получить доступ и скомпрометировать виртуальные машины с высокими привилегиями, сбросив доступ или управляя административными пользователями. Это действие считается подозрительным, так как поведение субъекта отошел от обычных шаблонов, и из-за большого количества установок расширения.
Тактика MITRE: сохраняемость
Серьезность: средний
Расширение требуемой конфигурации состояния (DSC) с подозрительным скриптом обнаружено на виртуальной машине (предварительная версия)
(VM_DSCExtensionSuspiciousScript)
Описание. Расширение требуемой конфигурации состояния (DSC) с подозрительным скриптом было обнаружено на виртуальной машине путем анализа операций Azure Resource Manager в подписке. Злоумышленники могут использовать расширение Требуемой конфигурации состояния (DSC) для развертывания вредоносных конфигураций, таких как механизмы сохраняемости, вредоносные скрипты и многое другое с высокими привилегиями на виртуальных машинах. Сценарий считается подозрительным, так как некоторые части были идентифицированы как потенциально вредоносные.
Тактика MITRE: Выполнение
Серьезность: высокий уровень
Обнаружено подозрительное использование расширения требуемой конфигурации состояния (DSC) на виртуальных машинах (предварительная версия)
(VM_DSCExtensionSuspiciousUsage)
Описание. Подозрительное использование расширения Требуемой конфигурации состояния (DSC) было обнаружено на виртуальных машинах путем анализа операций Azure Resource Manager в подписке. Злоумышленники могут использовать расширение Требуемой конфигурации состояния (DSC) для развертывания вредоносных конфигураций, таких как механизмы сохраняемости, вредоносные скрипты и многое другое с высокими привилегиями на виртуальных машинах. Это действие считается подозрительным, так как поведение субъекта отошел от обычных шаблонов, и из-за большого количества установок расширения.
Тактика MITRE: Выполнение
Серьезность: низкая
Расширение пользовательских скриптов с подозрительным скриптом было обнаружено на виртуальной машине (предварительная версия)
(VM_CustomScriptExtensionSuspiciousCmd)
Описание. Пользовательское расширение скрипта с подозрительным скриптом было обнаружено на виртуальной машине путем анализа операций Azure Resource Manager в подписке. Злоумышленники могут использовать расширение пользовательского скрипта для выполнения вредоносного кода с высокими привилегиями на виртуальной машине с помощью Azure Resource Manager. Сценарий считается подозрительным, так как некоторые части были идентифицированы как потенциально вредоносные.
Тактика MITRE: Выполнение
Серьезность: высокий уровень
Подозрительный сбой при выполнении расширения пользовательского скрипта на вашей виртуальной машине
(VM_CustomScriptExtensionSuspiciousFailure)
Описание. Подозрительный сбой пользовательского расширения скрипта был обнаружен на виртуальной машине путем анализа операций Azure Resource Manager в подписке. Такие сбои могут быть связаны с вредоносными скриптами, выполняемыми этим расширением.
Тактика MITRE: Выполнение
Серьезность: средний
Нетипичный сброс конфигурации на вашей виртуальной машине
(VM_CustomScriptExtensionUnusualDeletion)
Описание. Необычное удаление расширения пользовательского скрипта было обнаружено на виртуальной машине путем анализа операций Azure Resource Manager в подписке. Злоумышленники могут использовать расширения пользовательских скриптов для выполнения вредоносного кода на виртуальных машинах с помощью Azure Resource Manager.
Тактика MITRE: Выполнение
Серьезность: средний
Нетипичное выполнение расширения пользовательского скрипта на вашей виртуальной машине
(VM_CustomScriptExtensionUnusualExecution)
Описание. Необычное выполнение расширения пользовательского скрипта было обнаружено на виртуальной машине путем анализа операций Azure Resource Manager в подписке. Злоумышленники могут использовать расширения пользовательских скриптов для выполнения вредоносного кода на виртуальных машинах с помощью Azure Resource Manager.
Тактика MITRE: Выполнение
Серьезность: средний
Расширение пользовательского сценария с подозрительной точкой входа в вашу виртуальную машину
(VM_CustomScriptExtensionSuspiciousEntryPoint)
Описание. Пользовательское расширение скрипта с подозрительной точкой входа было обнаружено на виртуальной машине путем анализа операций Azure Resource Manager в подписке. Точка входа относится к подозрительному репозиторию GitHub. Злоумышленники могут использовать расширения пользовательских скриптов для выполнения вредоносного кода на виртуальных машинах с помощью Azure Resource Manager.
Тактика MITRE: Выполнение
Серьезность: средний
Расширение пользовательского сценария с подозрительной полезной нагрузкой на вашей виртуальной машине
(VM_CustomScriptExtensionSuspiciousPayload)
Описание. Пользовательское расширение скрипта с полезными данными из подозрительного репозитория GitHub было обнаружено на виртуальной машине путем анализа операций Azure Resource Manager в подписке. Злоумышленники могут использовать расширения пользовательских скриптов для выполнения вредоносного кода на виртуальных машинах с помощью Azure Resource Manager.
Тактика MITRE: Выполнение
Серьезность: средний
Примечание.
Для предварительных версий оповещений: предварительная версия дополнительных условий использования Azure включает дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не являются общедоступными по другим причинам.
Следующие шаги
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по