Устаревшие оповещения системы безопасности
В этой статье перечислены устаревшие оповещения системы безопасности в Microsoft Defender для облака.
Устаревшие оповещения Defender для контейнеров
Следующие списки включают оповещения системы безопасности Defender для контейнеров, которые были устаревшими.
Manipulation of host firewall detected (Обнаружено управление брандмауэром узла)
(K8S.NODE_FirewallDisabled)
Описание. Анализ процессов, выполняемых в контейнере или непосредственно на узле Kubernetes, обнаружил возможное манипулирование брандмауэром на узле. Злоумышленники часто отключают его для захвата данных.
Тактика MITRE: DefenseEvasion, Эксфильтрация
Серьезность: средний
Suspicious use of DNS over HTTPS (Подозрительное использование DNS через HTTPS)
(K8S.NODE_SuspiciousDNSOverHttps)
Описание. Анализ процессов, выполняемых в контейнере или непосредственно на узле Kubernetes, обнаружил использование DNS-вызова по протоколу HTTPS редко. Этот метод применяется злоумышленниками для скрытия вызовов к подозрительным или вредоносным веб-сайтам.
Тактика MITRE: DefenseEvasion, Эксфильтрация
Серьезность: средний
Обнаружено возможное подключение к вредоносному расположению
(K8S.NODE_ThreatIntelCommandLineSuspectDomain)
Описание. Анализ процессов, выполняемых в контейнере или непосредственно на узле Kubernetes, обнаружил подключение к расположению, которое, как сообщается, является вредоносным или необычным. Это индикатор того, что может произойдить компрометация.
Тактика MITRE: InitialAccess
Серьезность: средний
Майнинг цифровой валюты
(K8S. NODE_CurrencyMining)
Описание. Анализ транзакций DNS обнаружил активность интеллектуального анализа цифровых валют. Такое действие, хотя и может быть допустимым поведением пользователя, часто используется злоумышленниками для компрометации ресурсов. К типичным действиям, связанным с активностью злоумышленников, можно отнести загрузку и выполнение общих средств добычи.
Серьезность: низкая
Устаревшие оповещения Defender для серверов Linux
VM_AbnormalDaemonTermination
Отображаемое имя оповещения: ненормальное завершение
Серьезность: низкая
VM_BinaryGeneratedFromCommandLine
Отображаемое имя оповещения: обнаружен подозрительный двоичный файл
Серьезность: средний
VM_CommandlineSuspectDomain подозрительные
Отображаемое имя оповещения: ссылка на доменное имя
Серьезность: низкая
VM_CommonBot
Отображаемое имя оповещений: поведение, аналогичное обнаружению распространенных ботов Linux
Серьезность: средний
VM_CompCommonBots
Отображаемое имя оповещения: обнаружены команды, аналогичные общим ботам Linux
Серьезность: средний
VM_CompSuspiciousScript
Отображаемое имя оповещения: обнаружен скрипт оболочки
Серьезность: средний
VM_CompTestRule
Отображаемое имя оповещения: оповещение о составном тестовом анализе
Серьезность: низкая
VM_CronJobAccess
Отображаемое имя оповещения: обнаружена обработка запланированных задач
Серьезность: информационная
VM_CryptoCoinMinerArtifacts
Отображаемое имя оповещения: обнаружен процесс, связанный с интеллектуальным анализом цифровых валют
Серьезность: средний
VM_CryptoCoinMinerDownload
Отображаемое имя оповещения: обнаружена возможная загрузка Cryptominer
Серьезность: средний
VM_CryptoCoinMinerExecution
Отображаемое имя оповещения: запущен потенциальный майнер монеты шифрования
Серьезность: средний
VM_DataEgressArtifacts
Отображаемое имя оповещения: обнаружена возможная утечка данных
Серьезность: средний
VM_DigitalCurrencyMining
Отображаемое имя оповещения: обнаружено поведение интеллектуального анализа цифровых валют
Серьезность: высокий уровень
VM_DownloadAndRunCombo
Отображаемое имя оповещения: подозрительное скачивание и выполнение действия
Серьезность: средний
VM_EICAR
Отображаемое имя оповещения: Microsoft Defender для облака тестовое оповещение (не угроза)
Серьезность: высокий уровень
VM_ExecuteHiddenFile
Отображаемое имя оповещения: выполнение скрытого файла
Серьезность: информационная
VM_ExploitAttempt
Отображаемое имя оповещения: возможная попытка эксплуатации командной строки
Серьезность: средний
VM_ExposedDocker
Отображаемое имя оповещения: предоставленная управляющая программа Docker в сокете TCP
Серьезность: средний
VM_FairwareMalware
Отображаемое имя оповещения: поведение, аналогичное обнаруженной программе-шантажистов Fairware
Серьезность: средний
VM_FirewallDisabled
Отображаемое имя оповещения: обнаружена обработка брандмауэра узла
Серьезность: средний
VM_HadoopYarnExploit
Отображаемое имя оповещения: возможная эксплуатация Hadoop Yarn
Серьезность: средний
VM_HistoryFileCleared
Отображаемое имя оповещений: файл журнала был удален
Серьезность: средний
VM_KnownLinuxAttackTool
Отображаемое имя оповещения: обнаружено возможное средство атаки
Серьезность: средний
VM_KnownLinuxCredentialAccessTool
Отображаемое имя оповещения: обнаружено возможное средство доступа к учетным данным
Серьезность: средний
VM_KnownLinuxDDoSToolkit
Отображаемое имя оповещения: обнаруженные индикаторы, связанные с набором средств DDOS
Серьезность: средний
VM_KnownLinuxScreenshotTool
Отображаемое имя оповещения: снимок экрана, сделанный на узле
Серьезность: низкая
VM_LinuxBackdoorArtifact
Отображаемое имя оповещения: обнаружена возможная обратная проверка
Серьезность: средний
VM_LinuxReconnaissance
Отображаемое имя оповещения: обнаружена разведка локального узла
Серьезность: средний
VM_MismatchedScriptFeatures
Отображаемое имя оповещения: обнаружено несоответствие расширения скрипта
Серьезность: средний
VM_MitreCalderaTools
Отображаемое имя оповещения: обнаружен агент MITRE Caldera
Серьезность: средний
VM_NewSingleUserModeStartupScript
Отображаемое имя оповещения: обнаруженная попытка сохраняемости
Серьезность: средний
VM_NewSudoerAccount
Отображаемое имя оповещения: учетная запись, добавленная в группу sudo
Серьезность: низкая
VM_OverridingCommonFiles
Отображаемое имя оповещения: потенциальное переопределение общих файлов
Серьезность: средний
VM_PrivilegedContainerArtifacts
Отображаемое имя оповещения: контейнер, работающий в привилегированном режиме
Серьезность: низкая
VM_PrivilegedExecutionInContainer
Отображаемое имя оповещения: команда в контейнере с высокими привилегиями
Серьезность: низкая
VM_ReadingHistoryFile
Отображаемое имя оповещения: необычный доступ к файлу журнала Bash
Серьезность: информационная
VM_ReverseShell
Отображаемое имя оповещения: обнаружена потенциальная обратная оболочка
Серьезность: средний
VM_SshKeyAccess
Отображаемое имя оповещения: процесс просмотра доступа к файлу авторизованных ключей SSH необычным образом
Серьезность: низкая
VM_SshKeyAddition
Отображаемое имя оповещения: добавлен новый ключ SSH
Серьезность: низкая
VM_SuspectCompilation
Отображаемое имя оповещения: обнаружена подозрительная компиляция
Серьезность: средний
VM_SuspectConnection
Отображаемое имя оповещения: обнаружена нечастойная попытка подключения
Серьезность: средний
VM_SuspectDownload
Отображаемое имя оповещения: обнаружен скачивание файла из известного вредоносного источника
Серьезность: средний
VM_SuspectDownloadArtifacts
Отображаемое имя оповещения: обнаружено подозрительное скачивание файла
Серьезность: низкая
VM_SuspectExecutablePath
Отображаемое имя оповещения: исполняемый файл, запущенный из подозрительного расположения
Серьезность: средний
VM_SuspectHtaccessFileAccess
Отображаемое имя оповещения: обнаружен доступ к файлу htaccess
Серьезность: средний
VM_SuspectInitialShellCommand
Отображаемое имя оповещения: подозрительная первая команда в оболочке
Серьезность: низкая
VM_SuspectMixedCaseText
Отображаемое имя оповещения: обнаружено аномальное сочетание символов верхнего и нижнего регистра в командной строке
Серьезность: средний
VM_SuspectNetworkConnection
Отображаемое имя оповещения: подозрительное сетевое подключение
Серьезность: информационная
VM_SuspectNohup
Отображаемое имя оповещения: обнаружено подозрительное использование команды nohup
Серьезность: средний
VM_SuspectPasswordChange
Отображаемое имя оповещения: возможное изменение пароля с помощью метода шифрования
Серьезность: средний
VM_SuspectPasswordFileAccess
Отображаемое имя оповещения: подозрительный доступ к паролям
Серьезность: информационная
VM_SuspectPhp
Отображаемое имя оповещения: обнаружено подозрительное выполнение PHP
Серьезность: средний
VM_SuspectPortForwarding
Отображаемое имя оповещения: потенциальное перенаправление портов на внешний IP-адрес
Серьезность: средний
VM_SuspectProcessAccountPrivilegeCombo
Отображаемое имя оповещения: процесс, выполняемый в учетной записи службы, стал корнем неожиданно
Серьезность: средний
VM_SuspectProcessTermination
Отображаемое имя оповещения: обнаружено завершение процесса, связанного с безопасностью
Серьезность: низкая
VM_SuspectUserAddition
Отображаемое имя оповещения: обнаружено подозрительное использование команды useradd
Серьезность: средний
VM_SuspiciousCommandLineExecution
Отображаемое имя оповещения: подозрительное выполнение команды
Серьезность: высокий уровень
VM_SuspiciousDNSOverHttps
Отображаемое имя оповещения: подозрительное использование DNS по протоколу HTTPS
Серьезность: средний
VM_SystemLogRemoval
Отображаемое имя оповещений: обнаружено возможное изменение журнала
Серьезность: средний
VM_ThreatIntelCommandLineSuspectDomain
Отображаемое имя оповещения: обнаружено возможное подключение к вредоносному расположению
Серьезность: средний
VM_ThreatIntelSuspectLogon
Отображаемое имя оповещения: обнаружен вход из вредоносного IP-адреса
Серьезность: высокий уровень
VM_TimerServiceDisabled
Отображаемое имя оповещения: попытка остановить службу apt-daily-upgrade.timer
Серьезность: информационная
VM_TimestampTampering
Отображаемое имя оповещения: изменение метки времени подозрительного файла
Серьезность: низкая
VM_Webshell
Отображаемое имя оповещения: обнаружена возможная вредоносная веб-оболочка
Серьезность: средний
Устаревшие оповещения Defender для серверов Windows
SCUBA_MULTIPLEACCOUNTCREATE
Отображаемое имя оповещения: подозрительное создание учетных записей на нескольких узлах
Серьезность: средний
SCUBA_PSINSIGHT_CONTEXT
Отображаемое имя оповещения: обнаружено подозрительное использование PowerShell
Серьезность: информационная
SCUBA_RULE_AddGuestToAdministrators
Отображаемое имя оповещения: добавление гостевой учетной записи в группу локальных администраторов
Серьезность: средний
SCUBA_RULE_Apache_Tomcat_executing_suspicious_commands
Отображаемое имя оповещения: Apache_Tomcat_executing_suspicious_commands
Серьезность: средний
SCUBA_RULE_KnownBruteForcingTools
Отображаемое имя оповещения: подозрительный процесс выполнен
Серьезность: высокий уровень
SCUBA_RULE_KnownCollectionTools
Отображаемое имя оповещения: подозрительный процесс выполнен
Серьезность: высокий уровень
SCUBA_RULE_KnownDefenseEvasionTools
Отображаемое имя оповещения: подозрительный процесс выполнен
Серьезность: высокий уровень
SCUBA_RULE_KnownExecutionTools
Отображаемое имя оповещения: подозрительный процесс выполнен
Серьезность: высокий уровень
SCUBA_RULE_KnownPassTheHashTools
Отображаемое имя оповещения: подозрительный процесс выполнен
Серьезность: высокий уровень
SCUBA_RULE_KnownSpammingTools
Отображаемое имя оповещения: подозрительный процесс выполнен
Серьезность: средний
SCUBA_RULE_Lowering_Security_Settings
Отображаемое имя оповещения: обнаружено отключение критически важных служб
Серьезность: средний
SCUBA_RULE_OtherKnownHackerTools
Отображаемое имя оповещения: подозрительный процесс выполнен
Серьезность: высокий уровень
SCUBA_RULE_RDP_session_hijacking_via_tscon
Отображаемое имя оповещения: уровень подозрительной целостности, указывающий на перехват RDP
Серьезность: средний
SCUBA_RULE_RDP_session_hijacking_via_tscon_service
Отображаемое имя оповещения: подозрительная установка службы
Серьезность: средний
SCUBA_RULE_Suppress_pesky_unauthorized_use_prohibited_notices
Отображаемое имя оповещения: обнаружено подавление юридического уведомления, отображаемое пользователям при входе в систему
Серьезность: низкая
SCUBA_RULE_WDigest_Enabling
Отображаемое имя оповещения: обнаружено включение раздела реестра WDigest UseLogonCredential
Серьезность: средний
VM.Windows_ApplockerBypass
Отображаемое имя оповещений: потенциальная попытка обойти обнаружение AppLocker
Серьезность: высокий уровень
VM.Windows_BariumKnownSuspiciousProcessExecution
Отображаемое имя оповещения: обнаружено подозрительное создание файла
Серьезность: высокий уровень
VM.Windows_Base64EncodedExecutableInCommandLineParams
Отображаемое имя оповещения: обнаружен исполняемый файл в кодировке в данных командной строки
Серьезность: высокий уровень
VM.Windows_CalcsCommandLineUse
Отображаемое имя оповещения: обнаружено подозрительное использование Cacls для снижения состояния безопасности системы
Серьезность: средний
VM.Windows_CommandLineStartingAllExe
Отображаемое имя оповещения: обнаружена подозрительная командная строка, используемая для запуска всех исполняемых файлов в каталоге
Серьезность: средний
VM.Windows_DisablingAndDeletingIISLogFiles
Отображаемое имя оповещения: обнаруженные действия, указывающие на отключение и удаление файлов журналов IIS
Серьезность: средний
VM.Windows_DownloadUsingCertutil
Отображаемое имя оповещения: подозрительное скачивание с помощью Certutil обнаружено
Серьезность: средний
VM.Windows_EchoOverPipeOnLocalhost
Отображаемое имя оповещения: обнаружено подозрительное взаимодействие с именованным каналом
Серьезность: высокий уровень
VM.Windows_EchoToConstructPowerShellScript
Отображаемое имя оповещения: создание динамического скрипта PowerShell
Серьезность: средний
VM.Windows_ExecutableDecodedUsingCertutil
Отображаемое имя оповещения: обнаружена декодирование исполняемого файла с помощью встроенного средства certutil.exe
Серьезность: средний
VM.Windows_FileDeletionIsSospisiousLocation
Отображаемое имя оповещения: обнаружено подозрительное удаление файла
Серьезность: средний
VM.Windows_KerberosGoldenTicketAttack
Отображаемое имя оповещения: наблюдаемые параметры атаки Kerberos Golden Ticket
Серьезность: средний
VM.Windows_KeygenToolKnownProcessName
Отображаемое имя оповещения: обнаружено возможное выполнение исполняемого файла keygen, подозрительного процесса, выполненного
Серьезность: средний
VM.Windows_KnownCredentialAccessTools
Отображаемое имя оповещения: подозрительный процесс выполнен
Серьезность: высокий уровень
VM.Windows_KnownSuspiciousPowerShellScript
Отображаемое имя оповещения: обнаружено подозрительное использование PowerShell
Серьезность: высокий уровень
VM.Windows_KnownSuspiciousSoftwareInstallation
Отображаемое имя оповещения: обнаружено программное обеспечение высокого риска
Серьезность: средний
VM.Windows_MsHtaAndPowerShellCombination
Отображаемое имя оповещения: обнаружено подозрительное сочетание HTA и PowerShell
Серьезность: средний
VM.Windows_MultipleAccountsQuery
Отображаемое имя оповещения: запросы нескольких учетных записей домена
Серьезность: средний
VM.Windows_NewAccountCreation
Отображаемое имя оповещения: обнаружена создание учетной записи
Серьезность: информационная
VM.Windows_ObfuscatedCommandLine
Отображаемое имя оповещения: обнаружена скрытая командная строка.
Серьезность: высокий уровень
VM.Windows_PcaluaUseToLaunchExecutable
Отображаемое имя оповещения: обнаружено подозрительное использование Pcalua.exe для запуска исполняемого кода
Серьезность: средний
VM.Windows_PetyaRansomware
Отображаемое имя оповещения: обнаруженные индикаторы программ-шантажистов Petya
Серьезность: высокий уровень
VM.Windows_PowerShellPowerSploitScriptExecution
Отображаемое имя оповещения: подозрительные командлеты PowerShell, выполненные
Серьезность: средний
VM.Windows_RansomwareIndication
Отображаемое имя оповещения: обнаруженные индикаторы программ-шантажистов
Серьезность: высокий уровень
VM.Windows_SqlDumperUsedSuspiciously
Отображаемое имя оповещений: обнаружена возможная дампа учетных данных [наблюдалось несколько раз]
Серьезность: средний
VM.Windows_StopCriticalServices
Отображаемое имя оповещения: обнаружено отключение критически важных служб
Серьезность: средний
VM.Windows_SubvertingAccessibilityBinary
Отображаемое имя оповещений: атака с помощью липких ключей обнаружила подозрительное создание учетной записи medium
VM.Windows_SuspiciousAccountCreation
Отображаемое имя оповещения: обнаружена подозрительная создание учетной записи
Серьезность: средний
VM.Windows_SuspiciousFirewallRuleAdded
Отображаемое имя оповещения: обнаружено подозрительное новое правило брандмауэра
Серьезность: средний
VM.Windows_SuspiciousFTPSSwitchUsage
Отображаемое имя оповещения: обнаружено подозрительное использование переключателя FTP -s
Серьезность: средний
VM.Windows_SuspiciousSQLActivity
Отображаемое имя оповещения: подозрительное действие SQL
Серьезность: средний
VM.Windows_SVCHostFromInvalidPath
Отображаемое имя оповещения: подозрительный процесс выполнен
Серьезность: высокий уровень
VM.Windows_SystemEventLogCleared
Отображаемое имя оповещения: журнал Безопасность Windows был очищен
Серьезность: информационная
VM.Windows_TelegramInstallation
Отображаемое имя оповещения: обнаружено потенциально подозрительное использование средства Telegram
Серьезность: средний
VM.Windows_UndercoverProcess
Отображаемое имя оповещения: обнаружен подозрительный именованный процесс
Серьезность: высокий уровень
VM.Windows_UserAccountControlBypass
Отображаемое имя оповещений: обнаружено изменение раздела реестра, которое можно использовать для обхода UAC
Серьезность: средний
VM.Windows_VBScriptEncoding
Отображаемое имя оповещения: обнаружено подозрительное выполнение команды VBScript.Encode
Серьезность: средний
VM.Windows_WindowPositionRegisteryChange
Отображаемое имя оповещения: обнаружено подозрительное значение реестра WindowPosition
Серьезность: низкая
VM.Windows_ZincPortOpenningUsingFirewallRule
Отображаемое имя оповещения: правило вредоносного брандмауэра, созданное имплантатом сервера ZINC
Серьезность: высокий уровень
VM_DigitalCurrencyMining
Отображаемое имя оповещения: обнаружено поведение интеллектуального анализа цифровых валют
Серьезность: высокий уровень
VM_MaliciousSQLActivity
Отображаемое имя оповещения: вредоносное действие SQL
Серьезность: высокий уровень
VM_ProcessWithDoubleExtensionExecution
Отображаемое имя оповещения: подозрительный двойной файл расширения выполнен
Серьезность: высокий уровень
VM_RegistryPersistencyKey
Отображаемое имя оповещения: обнаружен метод сохраняемости реестра Windows
Серьезность: низкая
VM_ShadowCopyDeletion
Отображаемое имя оповещения: исполняемый файл подозрительного действия теневого копирования тома, запущенный из подозрительного расположения
Серьезность: высокий уровень
VM_SuspectExecutablePath
Отображаемое имя оповещений: исполняемый файл, запущенный из подозрительного расположения, обнаружил аномальное сочетание символов верхнего и нижнего регистра в командной строке
Серьезность: информационная
Средняя
VM_SuspectPhp
Отображаемое имя оповещения: обнаружено подозрительное выполнение PHP
Серьезность: средний
VM_SuspiciousCommandLineExecution
Отображаемое имя оповещения: подозрительное выполнение команды
Серьезность: высокий уровень
VM_SuspiciousScreenSaverExecution
Отображаемое имя оповещений: выполнен подозрительный процесс экранного окна
Серьезность: средний
VM_SvcHostRunInRareServiceGroup
Отображаемое имя оповещения: редко выполненная группа служб SVCHOST
Серьезность: информационная
VM_SystemProcessInAbnormalContext
Отображаемое имя оповещения: подозрительный системный процесс выполнен
Серьезность: средний
VM_ThreatIntelCommandLineSuspectDomain
Отображаемое имя оповещения: обнаружено возможное подключение к вредоносному расположению
Серьезность: средний
VM_ThreatIntelSuspectLogon
Отображаемое имя оповещения: обнаружен вход из вредоносного IP-адреса
Серьезность: высокий уровень
VM_VbScriptHttpObjectAllocation
Отображаемое имя оповещения: обнаружено выделение объекта HTTP VBScript
Серьезность: высокий уровень
VM_TaskkillBurst
Отображаемое имя оповещения: подозрительное завершение процесса
Серьезность: низкая
VM_RunByPsExec
Отображаемое имя оповещения: обнаружено выполнение PsExec
Серьезность: информационная
Примечание.
Для предварительных версий оповещений: предварительная версия дополнительных условий использования Azure включает дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не являются общедоступными по другим причинам.