Оповещения для компьютеров Linux

В этой статье перечислены оповещения системы безопасности, которые вы можете получить для компьютеров Linux из Microsoft Defender для облака и любых включенных планов Microsoft Defender. Оповещения, отображаемые в вашей среде, зависят от защищаемых ресурсов, служб и настроенной конфигурации.

Примечание.

Некоторые из недавно добавленных оповещений, созданных Аналитика угроз Microsoft Defender и Microsoft Defender для конечной точки, могут быть незадокументированы.

Узнайте, как реагировать на эти оповещения.

Узнайте, как экспортировать оповещения.

Примечание.

Время, требуемое для отображения оповещений из разных источников, может отличаться. Например, для отображения оповещений, требующих анализа сетевого трафика, может потребоваться больше времени, чем для оповещений, связанных с выполнением подозрительных процессов на виртуальных машинах.

Оповещения компьютеров Linux

Microsoft Defender для серверов (план 2) предоставляет уникальные обнаружения и оповещения, а также оповещения Microsoft Defender для конечной точки. Оповещения, предоставляемые для компьютеров Linux.

Дополнительные сведения и примечания

A history file has been cleared (Файл журнала был удален)

Описание. Анализ данных узла указывает, что файл журнала команд был очищен. Злоумышленники могут сделать это, чтобы покрыть их трассировки. Операция выполнена пользователем %{имя_пользователя}.

Тактика MITRE: -

Серьезность: средний

Нарушение политики адаптивного управления приложениями было проверено

(VM_AdaptiveApplicationControlLinuxViolationAudited)

Описание. Приведенные ниже пользователи запускали приложения, которые нарушают политику управления приложениями вашей организации на этом компьютере. Это может предоставить компьютер уязвимостям вредоносных программ или приложений.

Тактика MITRE: Выполнение

Серьезность: информационная

Исключение широких файлов защиты от вредоносных программ на вашей виртуальной машине

(VM_AmBroadFilesExclusion)

Описание. Исключение файлов из расширения защиты от вредоносных программ с широким правилом исключения было обнаружено на виртуальной машине путем анализа операций Azure Resource Manager в подписке. Такое исключение практически отключает защиту от вредоносных программ. Злоумышленники могут исключить файлы из проверки антивредоносного ПО на виртуальной машине, чтобы предотвратить их обнаружение при запуске произвольного кода или заражения компьютера вредоносными программами.

Тактика MITRE: -

Серьезность: средний

Защита от вредоносных программ отключена, код на вашей виртуальной машине выполняется

(VM_AmDisablementAndCodeExecution)

Описание. Антивредоносная программа отключена одновременно с выполнением кода на виртуальной машине. При анализе операций Azure Resource Manager в подписке было обнаружено это действие. Злоумышленники могут отключать проверки на наличие антивредоносных программ на виртуальной машине, чтобы предотвратить их обнаружение при запуске неавторизованных средств или заражении компьютера вредоносными программами.

Тактика MITRE: -

Серьезность: высокий уровень

Защита от вредоносных программ на вашей виртуальной машине отключена

(VM_AmDisablement)

Описание. Антивредоносная программа отключена на виртуальной машине. При анализе операций Azure Resource Manager в подписке было обнаружено это действие. Злоумышленники могут отключить антивредоносную программу на виртуальной машине, чтобы предотвратить обнаружение.

Тактика MITRE: Оборона Evasion

Серьезность: средний

Исключение файлов защиты от вредоносных программ и выполнение кода на вашей виртуальной машине

(VM_AmFileExclusionAndCodeExecution)

Описание. Файл, исключенный из средства проверки защиты от вредоносных программ, в то же время, что и код был выполнен с помощью расширения пользовательского скрипта на виртуальной машине. При анализе операций Azure Resource Manager в подписке было обнаружено это действие. Злоумышленники могут исключить файлы из проверки антивредоносного ПО на виртуальной машине, чтобы предотвратить их обнаружение при запуске неавторизованных инструментов или заражении компьютера вредоносными программами.

Тактика MITRE: Оборона Evasion, Выполнение

Серьезность: высокий уровень

Исключение файла защиты от вредоносных программ и выполнение кода на виртуальной машине (временное)

(VM_AmTempFileExclusionAndCodeExecution)

Описание. Временное исключение файла из расширения защиты от вредоносных программ параллельно с выполнением кода с помощью расширения пользовательского скрипта было обнаружено на виртуальной машине путем анализа операций Azure Resource Manager в подписке. Злоумышленники могут исключить файлы из проверки антивредоносного ПО на виртуальной машине, чтобы предотвратить их обнаружение при запуске произвольного кода или заражения компьютера вредоносными программами.

Тактика MITRE: Оборона Evasion, Выполнение

Серьезность: высокий уровень

Исключение файлов защиты от вредоносных программ на вашей виртуальной машине

(VM_AmTempFileExclusion)

Описание. Файл, исключенный из сканера защиты от вредоносных программ на виртуальной машине. При анализе операций Azure Resource Manager в подписке было обнаружено это действие. Злоумышленники могут исключить файлы из проверки антивредоносного ПО на виртуальной машине, чтобы предотвратить их обнаружение при запуске неавторизованных инструментов или заражении компьютера вредоносными программами.

Тактика MITRE: Оборона Evasion

Серьезность: средний

На вашей виртуальной машине была отключена защита от вредоносного ПО в режиме реального времени

(VM_AmRealtimeProtectionDisabled)

Описание. Отключение защиты от вредоносных программ в режиме реального времени обнаружено на виртуальной машине путем анализа операций Azure Resource Manager в подписке. Злоумышленники могут отключать защиту в реальном времени из проверки антивредоносного ПО на виртуальной машине, чтобы предотвратить обнаружение при запуске произвольного кода или заражении компьютера вредоносными программами.

Тактика MITRE: Оборона Evasion

Серьезность: средний

Защита от вредоносных программ в режиме реального времени на вашей виртуальной машине была временно отключена

(VM_AmTempRealtimeProtectionDisablement)

Описание. Временное отключение расширения защиты от вредоносных программ в режиме реального времени было обнаружено на виртуальной машине путем анализа операций Azure Resource Manager в подписке. Злоумышленники могут отключать защиту в реальном времени из проверки антивредоносного ПО на виртуальной машине, чтобы предотвратить обнаружение при запуске произвольного кода или заражении компьютера вредоносными программами.

Тактика MITRE: Оборона Evasion

Серьезность: средний

Защита от вредоносных программ в режиме реального времени была временно отключена, пока код выполнялся на вашей виртуальной машине

(VM_AmRealtimeProtectionDisablementAndCodeExec)

Описание. Временное отключение расширения защиты от вредоносных программ в режиме реального времени параллельно с выполнением кода с помощью расширения пользовательского скрипта было обнаружено на виртуальной машине путем анализа операций Azure Resource Manager в подписке. Злоумышленники могут отключать защиту в реальном времени из проверки антивредоносного ПО на виртуальной машине, чтобы предотвратить обнаружение при запуске произвольного кода или заражении компьютера вредоносными программами.

Тактика MITRE: -

Серьезность: высокий уровень

Сканирование на предмет наличия вредоносных программ заблокировано для файлов, потенциально связанных с кампаниями вредоносного ПО на вашей виртуальной машине (предварительная версия)

(VM_AmMalwareCampaignRelatedExclusion)

Описание. Правило исключения было обнаружено на виртуальной машине, чтобы предотвратить сканирование некоторых файлов, которые подозреваются в том, что они связаны с кампанией вредоносных программ. Правило было обнаружено путем анализа операций Azure Resource Manager в вашей подписке. Злоумышленники могут исключить файлы из сканирования на наличие вредоносных программ, чтобы предотвратить обнаружение при запуске произвольного кода или заражении машины вредоносным ПО.

Тактика MITRE: Оборона Evasion

Серьезность: средний

Защита от вредоносных программ на вашей виртуальной машине временно отключена

(VM_AmTemporarilyDisablement)

Описание. Антивредоносная программа временно отключена на виртуальной машине. При анализе операций Azure Resource Manager в подписке было обнаружено это действие. Злоумышленники могут отключить антивредоносную программу на виртуальной машине, чтобы предотвратить обнаружение.

Тактика MITRE: -

Серьезность: средний

Исключение необычных файлов для защиты от вредоносных программ на вашей виртуальной машине

(VM_UnusualAmFileExclusion)

Описание. Необычное исключение файла из расширения защиты от вредоносных программ было обнаружено на виртуальной машине путем анализа операций Azure Resource Manager в вашей подписке. Злоумышленники могут исключить файлы из проверки антивредоносного ПО на виртуальной машине, чтобы предотвратить их обнаружение при запуске произвольного кода или заражения компьютера вредоносными программами.

Тактика MITRE: Оборона Evasion

Серьезность: средний

Behavior similar to ransomware detected [seen multiple times] (Обнаружено поведение, аналогичное обнаружению атаки программы-шантажиста [встречается несколько раз])

Описание. Анализ данных узла на %{Скомпрометированный узел} обнаружил выполнение файлов, которые имеют сходство известных программ-шантажистов, которые могут препятствовать пользователям получать доступ к своим системным или личным файлам, и требует оплаты выкупа для восстановления доступа. Это поведение было замечено [x] раз сегодня на следующих компьютерах: [имена_компьютеров].

Тактика MITRE: -

Серьезность: высокий уровень

Связь с подозрительным доменом, обнаруженным посредством аналитики угроз

(AzureDNS_ThreatIntelSuspectDomain)

Описание. Взаимодействие с подозрительным доменом было обнаружено путем анализа транзакций DNS из ресурса и сравнения с известными вредоносными доменами, идентифицированными веб-каналами аналитики угроз. Обмен данными с вредоносными доменами часто осуществляется злоумышленниками и может свидетельствовать о компрометации ресурса.

Тактика MITRE: начальный доступ, сохраняемость, выполнение, управление и управление, эксплуатация

Серьезность: средний

Container with a miner image detected (Обнаружен контейнер с образом программы-майнера)

(VM_MinerInContainerImage)

Описание. Журналы компьютеров указывают на выполнение контейнера Docker, на котором выполняется образ, связанный с интеллектуальным анализом цифровых валют.

Тактика MITRE: Выполнение

Серьезность: высокий уровень

Detected anomalous mix of upper and lower case characters in command line (Обнаружено аномальное сочетание символов верхнего и нижнего регистра в командной строке)

Описание. Анализ данных узла на %{Скомпрометированный узел} обнаружил командную строку с аномальным сочетанием символов верхнего и нижнего регистра. Хотя этот тип шаблона может быть безопасным, он также часто используется злоумышленниками, которые пытаются обойти чувствительные к регистру или хэшированию правила при выполнении административных задач на скомпрометированном узле.

Тактика MITRE: -

Серьезность: средний

Detected file download from a known malicious source (Обнаружено скачивание файла из известного вредоносного источника)

Описание. Анализ данных узла обнаружил скачивание файла из известного источника вредоносных программ на %{Скомпрометированный узел}.

Тактика MITRE: -

Серьезность: средний

Detected suspicious network activity (Обнаружена подозрительная сетевая активность)

Описание. Анализ сетевого трафика из %{Скомпрометированный узел} обнаружил подозрительное сетевое действие. Такой трафик, хотя он и может быть неопасным, обычно используется злоумышленником для связи с вредоносными серверами для загрузки инструментов, управления и контроля, а также кражи данных. Типичные действия, связанные с атаками, включают в себя копирование средств удаленного администрирования на скомпрометированный узел и получения данных пользователя из него.

Тактика MITRE: -

Серьезность: низкая

Digital currency mining related behavior detected (Обнаружено поведение, связанное с майнингом цифровых валют)

Описание. Анализ данных узла на %{Скомпрометированный узел} обнаружил выполнение процесса или команды, обычно связанной с интеллектуальным анализом цифровых валют.

Тактика MITRE: -

Серьезность: высокий уровень

Disabling of auditd logging [seen multiple times] (Отключение ведения журнала аудита [обнаружено несколько раз])

Описание. Система аудита Linux предоставляет способ отслеживания сведений, связанных с безопасностью в системе. Она записывает как можно больше сведений о событиях, происходящих в системе. Отключение ведения журнала аудита может препятствовать обнаружению нарушений политик безопасности, используемых в системе. Это поведение было замечено [x] раз сегодня на следующих компьютерах: [имена_компьютеров].

Тактика MITRE: -

Серьезность: низкая

Exploitation of Xorg vulnerability [seen multiple times] (Использование уязвимости Xorg [встречается несколько раз])

Описание. Анализ данных узла на %{Скомпрометированный узел} обнаружил пользователя Xorg с подозрительными аргументами. Злоумышленники могут использовать этот метод в попытках эскалации привилегий. Это поведение было замечено [x] раз сегодня на следующих компьютерах: [имена_компьютеров].

Тактика MITRE: -

Серьезность: средний

Failed SSH brute force attack (Сбой атаки методом подбора SSH)

(VM_SshBruteForceFailed)

Описание. Неудачные атаки подбора были обнаружены из следующих злоумышленников: %{Злоумышленники}. Злоумышленники со следующими именами пользователей пытались получить доступ к узлу: %{учетные_записи_используемые_при_входе_в_систему}.

Тактика MITRE: Пробовка

Серьезность: средний

Fileless attack behavior detected (Обнаружено поведение бесфайловой атаки)

(VM_FilelessAttackBehavior.Linux)

Описание. Память процесса, указанного ниже, содержит поведение, обычно используемое атаками без файлов. К такому поведению относится: {список_наблюдаемых_поведений}

Тактика MITRE: Выполнение

Серьезность: низкая

Fileless attack technique detected (Обнаружен метод бесфайловой атаки)

(VM_FilelessAttackTechnique.Linux)

Описание. Память процесса, указанного ниже, содержит доказательства метода атаки без файлов. Бесфайловые атаки используются злоумышленниками для выполнения кода и обхода системы безопасности. К такому поведению относится: {список_наблюдаемых_поведений}

Тактика MITRE: Выполнение

Серьезность: высокий уровень

Fileless attack toolkit detected (Обнаружен набор средств для бесфайловой атаки)

(VM_FilelessAttackToolkit.Linux)

Описание. Память процесса, указанного ниже, содержит набор средств атак без файлов: {ToolKitName}. Наборы средств атак без файлов обычно не имеют присутствия в файловой системе, что затрудняет обнаружение традиционным антивирусным программным обеспечением. К такому поведению относится: {список_наблюдаемых_поведений}

Тактика MITRE: Оборона Evasion, Выполнение

Серьезность: высокий уровень

Hidden file execution detected (Обнаружено выполнение скрытого файла)

Описание. Анализ данных узла указывает, что скрытый файл был выполнен %{имя пользователя}. Это может быть допустимое действие или признак скомпрометированного узла.

Тактика MITRE: -

Серьезность: информационная

New SSH key added [seen multiple times] (Добавлен новый ключ SSH [встречается несколько раз])

(VM_SshKeyAddition)

Описание. В файл авторизованных ключей добавлен новый ключ SSH. Это поведение было замечено [x] раз сегодня на следующих компьютерах: [имена_компьютеров].

Тактика MITRE: сохраняемость

Серьезность: низкая

New SSH key added (Добавлен ключ SSH)

Описание. В файл авторизованных ключей добавлен новый ключ SSH.

Тактика MITRE: -

Серьезность: низкая

Possible backdoor detected [seen multiple times] (Обнаружен возможный черный ход [встречается несколько раз])

Описание. Анализ данных узла обнаружил подозрительный файл, скачанный затем в подписке %{Скомпрометированный узел}. Это действие ранее было связано с установкой черного хода. Это поведение было замечено [x] раз сегодня на следующих компьютерах: [имена_компьютеров].

Тактика MITRE: -

Серьезность: средний

Possible exploitation of the mailserver detected (Обнаружена возможность несанкционированного использования почтового сервера)

(VM_MailserverExploitation )

Описание. Анализ данных узла на %{Скомпрометированный узел} обнаружил необычное выполнение под учетной записью почтового сервера.

Тактика MITRE: эксплуатация

Серьезность: средний

Possible malicious web shell detected (Обнаружена возможная вредоносная веб-оболочка)

Описание. Анализ данных узла на %{Скомпрометированный узел} обнаружил возможную веб-оболочку. Злоумышленники часто отправляют веб-оболочку на компьютер, который они скомпрометировали для получения сохраняемости или дальнейшей эксплуатации.

Тактика MITRE: -

Серьезность: средний

Possible password change using crypt-method detected [seen multiple times] (Обнаружена возможная смена пароля с помощью метода шифрования [встречается несколько раз])

Описание. Анализ данных узла на %{Скомпрометированный узел} обнаружил изменение пароля с помощью метода шифрования. Злоумышленники могут внести это изменение, чтобы продолжить доступ и гарантировать сохраняемость после компрометации. Это поведение было замечено [x] раз сегодня на следующих компьютерах: [имена_компьютеров].

Тактика MITRE: -

Серьезность: средний

Process associated with digital currency mining detected [seen multiple times] (Обнаружен процесс, связанный с майнингом цифровых валют [встречается несколько раз])

Описание. Анализ данных узла на %{Скомпрометированный узел} обнаружил выполнение процесса, обычно связанного с интеллектуальным анализом цифровых валют. Это поведение было замечено более 100 раз сегодня на следующих компьютерах: [имена компьютеров].

Тактика MITRE: -

Серьезность: средний

Process associated with digital currency mining detected (Обнаружен процесс, связанный с майнингом цифровых валют)

Описание. Анализ данных узла обнаружил выполнение процесса, который обычно связан с интеллектуальным анализом цифровых валют.

Тактика MITRE: эксплуатация, выполнение

Серьезность: средний

Python encoded downloader detected [seen multiple times] (Обнаружен загрузчик в кодировке Python [встречается несколько раз])

Описание. Анализ данных узла на %{Скомпрометированный узел} обнаружил выполнение закодированного Python, скачивающего и запускающего код из удаленного расположения. Это может быть признаком вредоносной активности. Это поведение было замечено [x] раз сегодня на следующих компьютерах: [имена_компьютеров].

Тактика MITRE: -

Серьезность: низкая

Screenshot taken on host [seen multiple times] (На узле выполнен снимок экрана [встречается несколько раз])

Описание. Анализ данных узла на %{Скомпрометированный узел} обнаружил пользователя средства отслеживания экрана. Злоумышленники могут использовать эти средства для доступа к частным данным. Это поведение было замечено [x] раз сегодня на следующих компьютерах: [имена_компьютеров].

Тактика MITRE: -

Серьезность: низкая

Shellcode detected [seen multiple times] (Обнаружен код оболочки [встречается несколько раз])

Описание. Анализ данных узла на %{Скомпрометированный узел} обнаружил, что код оболочки создается из командной строки. Этот процесс может быть допустимым действием или признаком того, что один из ваших компьютеров был скомпрометирован. Это поведение было замечено [x] раз сегодня на следующих компьютерах: [имена_компьютеров].

Тактика MITRE: -

Серьезность: средний

Successful SSH brute force attack (Успешная атака SSH методом подбора)

(VM_SshBruteForceSuccess)

Описание. Анализ данных узла обнаружил успешную атаку методом подбора. Обнаружено несколько попыток входа с %{IP-адрес_злоумышленника}. Успешно выполнен вход с этого IP-адреса для следующих пользователей: %{учетные_записи_выполнившие_успешный_вход_на_узел}. Это означает, что узел может быть скомпрометирован и контролироваться вредоносным субъектом.

Тактика MITRE: эксплуатация

Серьезность: высокий уровень

Suspicious Account Creation Detected (Обнаружено создание подозрительной учетной записи)

Описание. Анализ данных узла на %{Скомпрометированный узел} обнаружил создание или использование локальной учетной записи %{Подозрительное имя учетной записи}: это имя учетной записи в точности напоминает стандартное имя учетной записи Windows или имя группы "%{Аналогично имени учетной записи}". Это потенциально фальшивая учетная запись, созданная злоумышленником, поэтому она так называется, чтобы избежать обнаружения администратором.

Тактика MITRE: -

Серьезность: средний

Suspicious kernel module detected [seen multiple times] (Обнаружен подозрительный модуль ядра [встречается несколько раз])

Описание. Анализ данных узла на %{Скомпрометированный узел} обнаружил общий файл объекта, загруженный в виде модуля ядра. Это может быть допустимое действие или признак того, что один из ваших компьютеров был скомпрометирован. Это поведение было замечено [x] раз сегодня на следующих компьютерах: [имена_компьютеров].

Тактика MITRE: -

Серьезность: средний

Suspicious password access [seen multiple times] (Доступ с помощью подозрительного пароля [встречается несколько раз])

Описание. Анализ данных узла обнаружил подозрительный доступ к зашифрованным паролям пользователя на %{Скомпрометированный узел}. Это поведение было замечено [x] раз сегодня на следующих компьютерах: [имена_компьютеров].

Тактика MITRE: -

Серьезность: информационная

Доступ с помощью подозрительного пароля

Описание. Анализ данных узла обнаружил подозрительный доступ к зашифрованным паролям пользователя на %{Скомпрометированный узел}.

Тактика MITRE: -

Серьезность: информационная

Suspicious request to the Kubernetes Dashboard (Подозрительный запрос к панели мониторинга Kubernetes)

(VM_KubernetesDashboard)

Описание. Журналы компьютеров указывают на то, что подозрительный запрос был выполнен на панели мониторинга Kubernetes. Запрос был отправлен с узла Kubernetes, возможно, из одного из контейнеров, запущенных в узле. Хотя такое поведение может быть допустимым, оно может указывать на то, что в узле выполняется скомпрометированный контейнер.

Тактика MITRE: Боковоеmovement

Серьезность: средний

Нетипичный сброс конфигурации на вашей виртуальной машине

(VM_VMAccessUnusualConfigReset)

Описание. Необычный сброс конфигурации был обнаружен на виртуальной машине путем анализа операций Azure Resource Manager в подписке. Хотя это действие может быть законным, злоумышленники могут попытаться использовать расширение доступа к виртуальной машине, чтобы сбросить конфигурацию в виртуальной машине и скомпрометировать ее.

Тактика MITRE: доступ к учетным данным

Серьезность: средний

Необычный сброс пароля пользователя на вашей виртуальной машине

(VM_VMAccessUnusualPasswordReset)

Описание. Необычный сброс пароля пользователя был обнаружен на виртуальной машине путем анализа операций Azure Resource Manager в подписке. Хотя это действие может быть законным, злоумышленники могут попытаться использовать расширение доступа к виртуальной машине, чтобы сбросить учетные данные локального пользователя в виртуальной машине и скомпрометировать его.

Тактика MITRE: доступ к учетным данным

Серьезность: средний

Сброс необычного пользовательского ключа SSH на вашей виртуальной машине

(VM_VMAccessUnusualSSHReset)

Описание. Необычный сброс ключа SSH пользователя был обнаружен на виртуальной машине путем анализа операций Azure Resource Manager в подписке. Хотя это действие может быть законным, злоумышленники могут попытаться использовать расширение доступа к виртуальной машине для сброса ключа SSH учетной записи пользователя в виртуальной машине и скомпрометировать его.

Тактика MITRE: доступ к учетным данным

Серьезность: средний

Подозрительная установка расширения GPU на виртуальной машине (предварительная версия)

(VM_GPUDriverExtensionUnusualExecution)

Описание. Обнаружена подозрительная установка расширения GPU на виртуальной машине путем анализа операций Azure Resource Manager в подписке. Злоумышленники могут использовать расширение драйвера GPU для установки драйверов GPU на виртуальной машине с помощью Azure Resource Manager для выполнения шифрования.

Тактика MITRE: влияние

Серьезность: низкая

Примечание.

Для предварительных версий оповещений: предварительная версия дополнительных условий использования Azure включает дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не являются общедоступными по другим причинам.

Следующие шаги

• Оповещения системы безопасности в Microsoft Defender для облака
• Управление оповещениями системы безопасности и реагирование на них в Microsoft Defender для облака
• Непрерывный экспорт данных Defender для облака