Оповещения системы безопасности — справочное руководство

Статья
03/17/2024

В этой статье перечислены оповещения системы безопасности, которые вы можете получить от Microsoft Defender для облака и всех включенных планов Microsoft Defender. Оповещения, отображаемые в вашей среде, зависят от защищаемых ресурсов, служб и настроенной конфигурации.

В нижней части этой страницы есть таблица, описывающая цепочку убийств Microsoft Defender для облака, выровненную с версией 9 матрицы MITRE ATT&CK.

Узнайте, как реагировать на эти оповещения.

Узнайте, как экспортировать оповещения.

Примечание.

Время, требуемое для отображения оповещений из разных источников, может отличаться. Например, для отображения оповещений, требующих анализа сетевого трафика, может потребоваться больше времени, чем для оповещений, связанных с выполнением подозрительных процессов на виртуальных машинах.

Оповещения для компьютеров Windows

Microsoft Defender для серверов (план 2) предоставляет уникальные обнаружения и оповещения, а также оповещения Microsoft Defender для конечной точки. Оповещения, предоставляемые для компьютеров Windows.

Дополнительные сведения и примечания

A logon from a malicious IP has been detected. [seen multiple times] (Обнаружен вход с вредоносного IP-адреса) [встречается несколько раз]

Описание. Произошла успешная удаленная проверка подлинности для учетной записи [учетная запись] и процесс [процесс], однако IP-адрес входа (x.x.x.x.x) ранее сообщался как вредоносный или очень необычный. Возможно, произошла успешная атака. Файлы с расширениями SCR — это файлы экранных заставок, которые обычно хранятся и выполняются из системного каталога Windows.

Тактика MITRE: -

Серьезность: высокий уровень

Нарушение политики адаптивного управления приложениями было проверено

VM_AdaptiveApplicationControlWindowsViolationAudited

Описание. Приведенные ниже пользователи запускали приложения, которые нарушают политику управления приложениями вашей организации на этом компьютере. Это может предоставить компьютер уязвимостям вредоносных программ или приложений.

Тактика MITRE: Выполнение

Серьезность: информационная

Addition of Guest account to Local Administrators group (Добавление гостевой учетной записи в группу локальных администраторов)

Описание. Анализ данных узла обнаружил добавление встроенной гостевой учетной записи в группу локальных Администратор istrators на %{Скомпрометированный узел}, которая строго связана с действием злоумышленника.

Тактика MITRE: -

Серьезность: средний

An event log was cleared (Журнал событий очищен)

Описание. Журналы компьютеров указывают на операцию очистки журнала подозрительных событий пользователем: "%{имя пользователя}" на компьютере: "%{Компрометация}". Журнал %{канал_журнала} был удален.

Тактика MITRE: -

Серьезность: информационная

Antimalware Action Failed (Не удалось выполнить действие по защите от вредоносных программ)

Описание. Антивредоносная программа Майкрософт столкнулась с ошибкой при принятии действия по вредоносным программам или другому потенциально нежелательному программному обеспечению.

Тактика MITRE: -

Серьезность: средний

Antimalware Action Taken (Предпринято действие по защите от вредоносных программ)

Тактика MITRE: Оборона Evasion

Серьезность: средний

Защита от вредоносных программ на вашей виртуальной машине временно отключена

(VM_AmTemporarilyDisablement)

Описание. Антивредоносная программа временно отключена на виртуальной машине. При анализе операций Azure Resource Manager в подписке было обнаружено это действие. Злоумышленники могут отключить антивредоносную программу на виртуальной машине, чтобы предотвратить обнаружение.

Тактика MITRE: -

Серьезность: средний

Исключение необычных файлов для защиты от вредоносных программ на вашей виртуальной машине

(VM_UnusualAmFileExclusion)

Описание. Необычное исключение файла из расширения защиты от вредоносных программ было обнаружено на виртуальной машине путем анализа операций Azure Resource Manager в вашей подписке. Злоумышленники могут исключить файлы из проверки антивредоносного ПО на виртуальной машине, чтобы предотвратить их обнаружение при запуске произвольного кода или заражения компьютера вредоносными программами.

Тактика MITRE: Оборона Evasion

Серьезность: средний

Связь с подозрительным доменом, обнаруженным посредством аналитики угроз

Detected suspicious use of Pcalua.exe to launch executable code (Обнаружено подозрительное использование Pcalua.exe для запуска исполняемого кода)

Описание. Анализ данных узла на %{Скомпрометированный узел} обнаружил использование pcalua.exe для запуска исполняемого кода. Pcalua.exe является компонентом Microsoft Windows "Помощник по совместимости программ", который обнаруживает проблемы совместимости во время установки или выполнения программы. Злоумышленники злоупотребляют функциональностью допустимых инструментов администратора для выполнения вредоносных действий, например используют pcalua.exe с параметром -a для запуска вредоносных исполняемых файлов либо локально, либо из удаленных общих ресурсов.

Тактика MITRE: -

Серьезность: средний

Detected the disabling of critical services (Обнаружено отключение критически важных служб)

Описание. Анализ данных узла на %{Скомпрометированный узел} обнаружил выполнение команды "net.exe остановить" для остановки критически важных служб, таких как SharedAccess или приложение Безопасность Windows. Остановка любой из этих служб может свидетельствовать о вредоносном поведении.

Тактика MITRE: -

Серьезность: средний

Описание. Анализ данных узла на %{Скомпрометированный узел} обнаружил выполнение процесса или команды, обычно связанной с интеллектуальным анализом цифровых валют.

Тактика MITRE: -

Серьезность: высокий уровень

Dynamic PS script construction (Обнаружено динамическое создание скрипта PS)

Описание. Анализ данных узла на %{Скомпрометированный узел} обнаружил скрипт PowerShell, который создается динамически. Злоумышленники используют этот метод для постепенного создания скрипта, чтобы избежать систем IDS. Это может быть допустимое действие или признак того, что один из ваших компьютеров был скомпрометирован.

Тактика MITRE: -

Серьезность: средний

Executable found running from a suspicious location (Обнаружен исполняемый файл, работающий из подозрительного расположения)

Описание. Анализ данных узла обнаружил исполняемый файл на %{Скомпрометированный узел}, работающий из расположения в общем с известными подозрительными файлами. Этот исполняемый файл может быть допустимым действием или признаком скомпрометированного узла.

Тактика MITRE: -

Серьезность: высокий уровень

Fileless attack behavior detected (Обнаружено поведение бесфайловой атаки)

(VM_FilelessAttackBehavior.Windows)

Описание. Память указанного процесса содержит поведение, обычно используемое атаками без файлов. К такому поведению относится:

кода оболочки, который представляет собой небольшой фрагмент кода, обычно используемый в качестве атакующего кода для обнаружения уязвимости программного обеспечения;
Активные сетевые подключения. Дополнительные сведения см. в разделе NetworkConnections ниже.
Вызовы функций к интерфейсам конфиденциальной операционной системы безопасности. Сведения о возможностях ОС см. ниже.
Содержит поток, запущенный в динамически выделенном сегменте кода. Это распространенный шаблон атаки путем внедрения.

Тактика MITRE: Оборона Evasion

Серьезность: низкая

Fileless attack technique detected (Обнаружен метод бесфайловой атаки)

(VM_FilelessAttackTechnique.Windows)

кода оболочки, который представляет собой небольшой фрагмент кода, обычно используемый в качестве атакующего кода для обнаружения уязвимости программного обеспечения;
Исполняемый образ, внедренный в процесс, например при атаке внедрения кода.
Активные сетевые подключения. Дополнительные сведения см. в разделе NetworkConnections ниже.
Вызовы функций к интерфейсам конфиденциальной операционной системы безопасности. Сведения о возможностях ОС см. ниже.
Процесс пустея, который является методом, используемым вредоносными программами, в которых законный процесс загружается в систему, чтобы выступать в качестве контейнера для враждебного кода.
Содержит поток, запущенный в динамически выделенном сегменте кода. Это распространенный шаблон атаки путем внедрения.

Тактика MITRE: Оборона Evasion, Выполнение

Серьезность: высокий уровень

Fileless attack toolkit detected (Обнаружен набор средств для бесфайловой атаки)

(VM_FilelessAttackToolkit.Windows)

Описание. Память указанного процесса содержит набор средств атак без файлов: [имя набора средств]. Наборы средств для бесфайловых атак используют методы, которые сокращают или исключают трассировку вредоносных программ на диске и значительно снижают вероятность обнаружения с помощью решений для проверки диска на наличие вредоносных программ. К такому поведению относится:

Известные наборы средств и программное обеспечение для интеллектуального анализа криптографии.
кода оболочки, который представляет собой небольшой фрагмент кода, обычно используемый в качестве атакующего кода для обнаружения уязвимости программного обеспечения;
Внедрен вредоносный исполняемый файл в память процесса.

Описание. Системный процесс SVCHOST наблюдался при выполнении редкой группы служб. Вредоносные программы часто используют SVCHOST для маскировки своих вредоносных действий.

Тактика MITRE: Оборона Evasion, Выполнение

Серьезность: информационная

Sticky keys attack detected (Обнаружена атака методом залипающих клавиш)

Описание. Анализ данных узла указывает, что злоумышленник может подорвать двоичный файл специальных возможностей (например, липкие клавиши, экранная клавиатура, экранный диктор) для предоставления обратного доступа к узлу %{Скомпрометированный узел}.

Тактика MITRE: -

Серьезность: средний

Successful brute force attack (Успешная атака методом подбора)

(VM_LoginBruteForceSuccess)

Описание. Несколько попыток входа были обнаружены из одного источника. Некоторые из них успешно прошли проверку подлинности на узле. Это напоминает атаку типа hit-and-run, при которой злоумышленник выполняет многочисленные попытки проверки подлинности, чтобы найти действующие учетные данные.

Тактика MITRE: эксплуатация

Серьезность: средний или высокий

Suspect integrity level indicative of RDP hijacking (Подозрительный уровень целостности, свидетельствующий о перехвате RDP)

Описание. Анализ данных узла обнаружил tscon.exe, запущенные с правами СИСТЕМЫ. Это может свидетельствовать о том, что злоумышленник злоупотребляет этим двоичным файлом, чтобы переключить контекст на любого другого пользователя, вошедшего в систему на этом узле. Это известный метод злоумышленника, чтобы компрометировать больше учетных записей пользователей и перемещаться по сети позже.

Тактика MITRE: -

Серьезность: средний

Suspect service installation (Установка подозрительной службы)

Описание. Анализ данных узла обнаружил установку tscon.exe в качестве службы: этот двоичный файл, запускаемый как служба, потенциально позволяет злоумышленнику тривиально переключаться на любого другого пользователя, вошедшего в систему на этом узле, путем перехвата подключений RDP; это известный метод злоумышленника для компрометации дополнительных учетных записей пользователей и перемещения по сети.

Тактика MITRE: -

Серьезность: средний

Suspected Kerberos Golden Ticket attack parameters observed (Обнаружена возможная атака с помощью "золотого билета" Kerberos)

Описание. Анализ данных узла обнаружил параметры командной строки в соответствии с атакой Kerberos Golden Ticket.

Тактика MITRE: -

Серьезность: средний

Описание. Указывает, что сегмент кода был выделен с помощью нестандартных методов, таких как отражение внедрения и очистка процесса. Оповещение предоставляет дополнительные характеристики сегмента кода, который был обработан для обеспечения контекста возможностей и поведения указанного сегмента кода.

Тактика MITRE: -

Серьезность: средний

Suspicious double extension file executed (Выполнен файл с подозрительным двойным расширением)

Описание. Анализ данных узла указывает на выполнение процесса с подозрительным двойным расширением. Это расширение может заставить пользователей думать о том, что файлы безопасно открываться и могут указывать на наличие вредоносных программ в системе.

Тактика MITRE: -

Серьезность: высокий уровень

Suspicious download using Certutil detected [seen multiple times] (Обнаружена подозрительная загрузка с помощью команды certutil (встречается несколько раз))

Описание. Анализ данных узла на %{Скомпрометированный узел} обнаружил использование certutil.exe, встроенной служебной программы администратора для скачивания двоичного файла вместо основной цели, связанной с управлением сертификатами и данными сертификатов. Злоумышленники злоупотребляют функциональностью допустимых инструментов администратора для выполнения вредоносных действий, например используют certutil.exe для скачивания и декодирования вредоносного исполняемого файла, который впоследствии будет выполнен. Это поведение было замечено [x] раз сегодня на следующих компьютерах: [имена_компьютеров].

Тактика MITRE: -

Серьезность: средний

Тактика MITRE: -

Серьезность: высокий уровень

Suspicious process name detected [seen multiple times] (Обнаружено подозрительные имя процесса [встречается несколько раз])

Описание. Анализ данных узла на %{Скомпрометированный узел} обнаружил процесс, имя которого подозрительно, например, соответствующее известному инструменту злоумышленника или именованному таким образом, что предлагает средства злоумышленника, которые пытаются скрыться в обычном виде. Этот процесс может быть допустимым действием или признаком того, что один из ваших компьютеров был скомпрометирован. Это поведение было замечено [x] раз сегодня на следующих компьютерах: [имена_компьютеров].

Тактика MITRE: -

Серьезность: средний

(VM_SystemProcessInAbnormalContext)

Описание: системный процесс %{имя процесса} был замечен в ненормальном контексте. Вредоносные программы часто используют этот процесс для маскировки своих вредоносных действий.

Тактика MITRE: Оборона Evasion, Выполнение

Серьезность: высокий уровень

Suspicious Volume Shadow Copy Activity (Действие теневого копирования подозрительного тома)

Описание. Анализ данных узла обнаружил действие удаления теневого копирования в ресурсе. Теневая копия тома (VSC) является важным артефактом, который хранит моментальные снимки данных. Некоторые вредоносные программы и особенно программы-шантажисты нацелены на VSC, чтобы саботировать стратегии резервного копирования.

Тактика MITRE: -

Серьезность: высокий уровень

Suspicious WindowPosition registry value detected (Обнаружено подозрительное значение реестра WindowPosition)

Описание. Анализ данных узла на %{Скомпрометированный узел} обнаружил попытку изменения конфигурации реестра WindowPosition, которые могут указывать на скрытие окон приложений в невидимых разделах рабочего стола. Это может быть допустимое действие или указание на скомпрометированный компьютер. Этот тип действия ранее был связан с известными рекламным ПО (или нежелательным программным обеспечением), например Win32/OneSystemCare, Win32/SystemHealer и вредоносными программами, такими как Win32/Creprote. Если для значения WindowPosition задано значение 201329664 (шестнадцатеричное значение: 0x0c00 0c00, соответствующее X-axis=0c00 и Y-axis=0c00), это помещает окно консольного приложения в невидимый раздел экрана пользователя в области, скрытой от представления под видимым меню или панелью задач. Известное предполагаемое шестнадцатеричное значение включает, но не ограничивается c000c000.

Тактика MITRE: -

Серьезность: низкая

Suspiciously named process detected (Обнаружен процесс с подозрительным именем)

Описание. Анализ данных узла на %{Скомпрометированный узел} обнаружил процесс, имя которого очень похоже на очень часто выполняющийся процесс (%{Аналогично имени процесса}). Несмотря на то, что этот процесс может быть безопасным, злоумышленники иногда скрывают свои вредоносные средства у всех на виду, присваивая им имена, идентичные допустимым процессам.

Тактика MITRE: -

Серьезность: средний

Нетипичный сброс конфигурации на вашей виртуальной машине

(VM_VMAccessUnusualConfigReset)

Описание. Необычный сброс конфигурации был обнаружен на виртуальной машине путем анализа операций Azure Resource Manager в подписке. Хотя это действие может быть законным, злоумышленники могут попытаться использовать расширение доступа к виртуальной машине, чтобы сбросить конфигурацию в виртуальной машине и скомпрометировать ее.

Тактика MITRE: доступ к учетным данным

Серьезность: средний

Unusual process execution detected (Обнаружено выполнение необычных процессов)

Описание. Анализ данных узла на %{Скомпрометированный узел} обнаружил выполнение процесса с помощью %{Имя пользователя}, который был необычным. Учетные записи, такие как %{Имя пользователя}, как правило, выполняют ограниченный набор операций, это выполнение было определено как неисправное и может быть подозрительным.

Тактика MITRE: -

Серьезность: высокий уровень

Необычный сброс пароля пользователя на вашей виртуальной машине

(VM_VMAccessUnusualPasswordReset)

Описание. Необычный сброс пароля пользователя был обнаружен на виртуальной машине путем анализа операций Azure Resource Manager в подписке. Хотя это действие может быть законным, злоумышленники могут попытаться использовать расширение доступа к виртуальной машине, чтобы сбросить учетные данные локального пользователя в виртуальной машине и скомпрометировать его.

Тактика MITRE: доступ к учетным данным

Серьезность: средний

Сброс необычного пользовательского ключа SSH на вашей виртуальной машине

(VM_VMAccessUnusualSSHReset)

Описание. Необычный сброс ключа SSH пользователя был обнаружен на виртуальной машине путем анализа операций Azure Resource Manager в подписке. Хотя это действие может быть законным, злоумышленники могут попытаться использовать расширение доступа к виртуальной машине для сброса ключа SSH учетной записи пользователя в виртуальной машине и скомпрометировать его.

Тактика MITRE: доступ к учетным данным

Серьезность: средний

VBScript HTTP object allocation detected (Обнаружено распределение объектов VBScript HTTP)

Описание. Обнаружено создание файла VBScript с помощью командной строки. Следующий скрипт содержит команду выделения HTTP-объекта. Это действие можно использовать для загрузки вредоносных файлов.

Подозрительная установка расширения GPU на виртуальной машине (предварительная версия)

(VM_GPUDriverExtensionUnusualExecution)

Описание. Обнаружена подозрительная установка расширения GPU на виртуальной машине путем анализа операций Azure Resource Manager в подписке. Злоумышленники могут использовать расширение драйвера GPU для установки драйверов GPU на виртуальной машине с помощью Azure Resource Manager для выполнения шифрования.

Тактика MITRE: влияние

(VM_AmTempRealtimeProtectionDisablement)

Тактика MITRE: Оборона Evasion

Серьезность: средний

Защита от вредоносных программ в режиме реального времени была временно отключена, пока код выполнялся на вашей виртуальной машине

(VM_AmRealtimeProtectionDisablementAndCodeExec)

Тактика MITRE: -

Серьезность: высокий уровень

Тактика MITRE: -

Серьезность: низкая

Тактика MITRE: -

Серьезность: высокий уровень

Disabling of auditd logging [seen multiple times] (Отключение ведения журнала аудита [обнаружено несколько раз])

Описание. Система аудита Linux предоставляет способ отслеживания сведений, связанных с безопасностью в системе. Она записывает как можно больше сведений о событиях, происходящих в системе. Отключение ведения журнала аудита может препятствовать обнаружению нарушений политик безопасности, используемых в системе. Это поведение было замечено [x] раз сегодня на следующих компьютерах: [имена_компьютеров].

Тактика MITRE: -

Серьезность: низкая

Exploitation of Xorg vulnerability [seen multiple times] (Использование уязвимости Xorg [встречается несколько раз])

Описание. Анализ данных узла на %{Скомпрометированный узел} обнаружил пользователя Xorg с подозрительными аргументами. Злоумышленники могут использовать этот метод в попытках эскалации привилегий. Это поведение было замечено [x] раз сегодня на следующих компьютерах: [имена_компьютеров].

Тактика MITRE: -

Серьезность: средний

Failed SSH brute force attack (Сбой атаки методом подбора SSH)

(VM_SshBruteForceFailed)

Описание. Неудачные атаки подбора были обнаружены из следующих злоумышленников: %{Злоумышленники}. Злоумышленники со следующими именами пользователей пытались получить доступ к узлу: %{учетные_записи_используемые_при_входе_в_систему}.

Тактика MITRE: Пробовка

Серьезность: средний

Fileless Attack Behavior Detected (Обнаружено поведение бесфайловой атаки)

(VM_FilelessAttackBehavior.Linux)

Описание. Память процесса, указанного ниже, содержит поведение, обычно используемое атаками без файлов. К такому поведению относится: {список_наблюдаемых_поведений}

Тактика MITRE: Выполнение

Серьезность: низкая

Fileless Attack Technique Detected (Обнаружен метод бесфайловой атаки)

(VM_FilelessAttackTechnique.Linux)

Описание. Память процесса, указанного ниже, содержит доказательства метода атаки без файлов. Бесфайловые атаки используются злоумышленниками для выполнения кода и обхода системы безопасности. К такому поведению относится: {список_наблюдаемых_поведений}

Тактика MITRE: Выполнение

Серьезность: высокий уровень

Fileless Attack Toolkit Detected (Обнаружен набор средств для бесфайловой атаки)

(VM_FilelessAttackToolkit.Linux)

Описание. Память процесса, указанного ниже, содержит набор средств атак без файлов: {ToolKitName}. Наборы средств атак без файлов обычно не имеют присутствия в файловой системе, что затрудняет обнаружение традиционным антивирусным программным обеспечением. К такому поведению относится: {список_наблюдаемых_поведений}

Тактика MITRE: Оборона Evasion, Выполнение

Серьезность: высокий уровень

Hidden file execution detected (Обнаружено выполнение скрытого файла)

Описание. Анализ данных узла указывает, что скрытый файл был выполнен %{имя пользователя}. Это может быть допустимое действие или признак скомпрометированного узла.

Тактика MITRE: -

Серьезность: информационная

New SSH key added [seen multiple times] (Добавлен новый ключ SSH [встречается несколько раз])

(VM_SshKeyAddition)

Описание. В файл авторизованных ключей добавлен новый ключ SSH. Это поведение было замечено [x] раз сегодня на следующих компьютерах: [имена_компьютеров].

Тактика MITRE: сохраняемость

Серьезность: низкая

New SSH key added (Добавлен ключ SSH)

Описание. В файл авторизованных ключей добавлен новый ключ SSH.

Тактика MITRE: -

Серьезность: низкая

Possible backdoor detected [seen multiple times] (Обнаружен возможный черный ход [встречается несколько раз])

Описание. Анализ данных узла обнаружил подозрительный файл, скачанный затем в подписке %{Скомпрометированный узел}. Это действие ранее было связано с установкой черного хода. Это поведение было замечено [x] раз сегодня на следующих компьютерах: [имена_компьютеров].

Тактика MITRE: -

Серьезность: средний

Possible exploitation of the mailserver detected (Обнаружена возможность несанкционированного использования почтового сервера)

(VM_MailserverExploitation )

Описание. Анализ данных узла на %{Скомпрометированный узел} обнаружил необычное выполнение под учетной записью почтового сервера.

Тактика MITRE: эксплуатация

Серьезность: средний

Possible malicious web shell detected (Обнаружена возможная вредоносная веб-оболочка)

(VM_KubernetesDashboard)

(AzureDNS_ProtocolAnomaly)

Описание. Анализ транзакций DNS из %{Скомпрометировано} обнаружил аномальное использование протокола. Такой трафик, возможно, доброкачественный, может указывать на злоупотребление этим общим протоколом для обхода фильтрации сетевого трафика. Типичные действия, связанные с атаками, включают в себя копирование средств удаленного администрирования на скомпрометированный узел и получения данных пользователя из него.

Тактика MITRE: Эксфильтрация

Серьезность: -

Анонимность сетевой активности

(AzureDNS_DarkWeb)

Описание. Анализ транзакций DNS из %{Скомпрометированный отступ} обнаружил анонимность сетевой активности. Хотя такое действие может быть допустимым поведением пользователя, оно часто используется злоумышленниками, чтобы предупредить отслеживание и удалить следы сетевых взаимодействий. К типичным действиям, связанным с активностью злоумышленников, вероятно относится загрузка и выполнение вредоносного ПО или средств удаленного администрирования.

Тактика MITRE: Эксфильтрация

Серьезность: низкая

Анонимность сетевой активности с использованием веб-прокси

(AzureDNS_DarkWebProxy)

Тактика MITRE: Эксфильтрация

Серьезность: низкая

Попытка установить связь с подозрительным доменом с sinkhole-сервером

(AzureDNS_SinkholedDomain)

Описание. Анализ транзакций DNS из %{Скомпрометированный отступ} обнаружил запрос на приемникхолд домена. Такое действие, хотя и может быть допустимым поведением пользователя, часто указывает на скачивание или выполнение вредоносного ПО. К типичным действиям, связанным с активностью злоумышленников, можно отнести загрузку и выполнение дополнительного вредоносного ПО или средств удаленного администрирования.

Тактика MITRE: Эксфильтрация

Серьезность: средний

Связь с возможным фишинговым доменом

(AzureDNS_PhishingDomain)

Описание. Анализ транзакций DNS из %{Скомпрометировано} обнаружил запрос на возможное фишинговое домен. Несмотря на то, что такая деятельность, возможно, и является безопасной, ее зачастую совершают злоумышленники с целью сбора учетных данных для удаленных служб. К типичным действиям, связанным с активностью злоумышленников, можно отнести использование учетных данных для допустимой службы.

Тактика MITRE: Эксфильтрация

Серьезность: информационная

Связь с подозрительным доменом, созданным алгоритмическим путем

(AzureDNS_DomainGenerationAlgorithm)

Описание. Анализ транзакций DNS из %{Скомпрометировано} обнаружил возможное использование алгоритма создания домена. Несмотря на то, что такая деятельность, возможно, является безопасной, злоумышленники зачастую совершают ее для избежания сетевого мониторинга и фильтрации. К типичным действиям, связанным с активностью злоумышленников, вероятно относится загрузка и выполнение вредоносного ПО или средств удаленного администрирования.

Тактика MITRE: Эксфильтрация

Серьезность: информационная

Связь с подозрительным доменом, обнаруженным посредством аналитики угроз

(AzureDNS_ThreatIntelSuspectDomain)

Тактика MITRE: первоначальный доступ

Серьезность: средний

Связь с подозрительным случайным доменным именем

(AzureDNS_RandomizedDomain)

Описание. Анализ транзакций DNS из %{Скомпрометированный отступ} обнаружил использование подозрительного случайно созданного доменного имени. Несмотря на то, что такая деятельность, возможно, является безопасной, злоумышленники зачастую совершают ее для избежания сетевого мониторинга и фильтрации. К типичным действиям, связанным с активностью злоумышленников, вероятно относится загрузка и выполнение вредоносного ПО или средств удаленного администрирования.

Тактика MITRE: Эксфильтрация

Серьезность: информационная

Майнинг цифровой валюты

(AzureDNS_CurrencyMining)

Описание. Анализ транзакций DNS из %{Скомпрометированный отступ} обнаружил активность интеллектуального анализа цифровых валют. Такое действие, хотя и может быть допустимым поведением пользователя, часто используется злоумышленниками для компрометации ресурсов. К типичным действиям, связанным с активностью злоумышленников, можно отнести загрузку и выполнение общих средств добычи.

Тактика MITRE: Эксфильтрация

Серьезность: низкая

Активация сигнатуры обнаружения сетевых вторжений

(AzureDNS_SuspiciousDomain)

Описание. Анализ транзакций DNS из %{Скомпрометировано} обнаружил известный вредоносный сетевой сигнатуры. Такое действие, хотя и может быть допустимым поведением пользователя, часто указывает на скачивание или выполнение вредоносного ПО. К типичным действиям, связанным с активностью злоумышленников, можно отнести загрузку и выполнение дополнительного вредоносного ПО или средств удаленного администрирования.

Тактика MITRE: Эксфильтрация

Серьезность: средний

Возможная загрузка данных через DNS-туннель

(AzureDNS_DataInfiltration)

Описание. Анализ транзакций DNS из %{Скомпрометировано} обнаружил возможный туннель DNS. Такое действие, хоть и может быть допустимым поведением пользователя, часто выполняется злоумышленниками, чтобы избежать сетевого мониторинга и фильтрации. К типичным действиям, связанным с активностью злоумышленников, вероятно относится загрузка и выполнение вредоносного ПО или средств удаленного администрирования.

Тактика MITRE: Эксфильтрация

Серьезность: низкая

Возможная кража данных через DNS-туннель

(AzureDNS_DataExfiltration)

Тактика MITRE: Эксфильтрация

Серьезность: низкая

Возможная передача данных через DNS-туннель

(AzureDNS_DataObfuscation)

Тактика MITRE: Эксфильтрация

Серьезность: низкая

Оповещения для расширений виртуальной машины Azure

Эти оповещения сосредоточены на обнаружении подозрительных действий расширений виртуальных машин Azure и предоставляет аналитические сведения о попытках злоумышленников компрометировать и выполнять вредоносные действия на виртуальных машинах.

Расширения виртуальных машин Azure — это небольшие приложения, которые выполняют после развертывания на виртуальных машинах и предоставляют такие возможности, как конфигурация, автоматизация, мониторинг, безопасность и многое другое. Хотя расширения являются мощным инструментом, они могут использоваться субъектами угроз для различных вредоносных намерений, например:

Сбор и мониторинг данных
Выполнение кода и развертывание конфигурации с высокими привилегиями
Сброс учетных данных и создание административных пользователей
Шифрование дисков

Узнайте больше о Defender для облака последних защитах от злоупотреблений расширениями виртуальных машин Azure.

Подозрительный сбой при установке расширения GPU в подписке (предварительная версия)

(VM_GPUExtensionSuspiciousFailure)

Описание. Подозрительное намерение установки расширения GPU на неподдерживаемых виртуальных машинах. Это расширение должно быть установлено на виртуальных машинах, оснащенных графическим процессором, и в этом случае виртуальные машины не оснащены такими. Эти сбои можно увидеть, когда вредоносные злоумышленники выполняют несколько установок такого расширения в целях шифрования.

Тактика MITRE: влияние

Серьезность: средний

(VM_CustomScriptExtensionSuspiciousPayload)

Описание. Пользовательское расширение скрипта с полезными данными из подозрительного репозитория GitHub было обнаружено на виртуальной машине путем анализа операций Azure Resource Manager в подписке. Злоумышленники могут использовать расширения пользовательских скриптов для выполнения вредоносного кода на виртуальных машинах с помощью Azure Resource Manager.

(AzureDNS_ThreatIntelSuspectDomain)

Тактика MITRE: начальный доступ, сохраняемость, выполнение, управление и управление, эксплуатация

Серьезность: средний

Connection to web page from anomalous IP address detected (Обнаружено подключение к веб-странице с аномальным IP-адресом)

(AppServices_AnomalousPageAccess)

Описание: приложение Azure журнал действий службы указывает аномальное подключение к конфиденциальной веб-странице из указанного исходного IP-адреса. Это может означать, что кто-то пытается выполнить атаку методом подбора на страницах администрирования веб-приложения. Это также может быть результатом использования нового IP-адреса, используемого полномочным пользователем. Если исходный IP-адрес является доверенным, можно отключить это оповещение для этого ресурса. Сведения о подавлении оповещений системы безопасности см. в разделе Отключение оповещений из Microsoft Defender для облака. (Применимо к: Служба приложений в Windows и Служба приложений в Linux)

Тактика MITRE: первоначальный доступ

Серьезность: низкая

Обнаружена недействительная запись DNS для ресурса Службы приложений

(AppServices_DanglingDomain)

Тактика MITRE: -

Серьезность: высокий уровень

Detected encoded executable in command line data (Обнаружен закодированный исполняемый файл в данных командной строки)

(AppServices_Base64EncodedExecutableInCommandLineParams)

Описание. Анализ данных узла на {скомпрометированном узле} обнаружил исполняемый файл в кодировке Base-64. Ранее это было связано со злоумышленниками, пытающимися самостоятельно создавать исполняемые файлы в режиме реального времени через последовательность команд, чтобы не позволить системе обнаружить вторжения. Таким образом ни одна из отдельных команд не выдаст оповещение. Это может быть допустимое действие или признак скомпрометированного узла. (Применимо к: Служба приложений в Windows)

Тактика MITRE: Оборона Evasion, Выполнение

Серьезность: высокий уровень

Detected file download from a known malicious source (Обнаружено скачивание файла из известного вредоносного источника)

(AppServices_SuspectDownload)

Описание. Анализ данных узла обнаружил скачивание файла из известного источника вредоносных программ на узле. (Применимо к: Служба приложений в Linux)

Тактика MITRE: эскалация привилегий, выполнение, эксфильтрация, управление и управление

Серьезность: средний

Detected suspicious file download (Обнаружено скачивание подозрительного файла)

(AppServices_SuspectDownloadArtifacts)

Описание. Анализ данных узла обнаружил подозрительный скачивание удаленного файла. (Применимо к: Служба приложений в Linux)

Тактика MITRE: сохраняемость

Серьезность: средний

(AppServices_DigitalCurrencyMining)

Описание. Анализ данных узла в веб-заданиях Inn-Flow-WebJobs обнаружил выполнение процесса или команды, обычно связанного с интеллектуальным анализом цифровых валют. (Применимо к: Служба приложений в Windows и Служба приложений в Linux)

Тактика MITRE: Выполнение

Серьезность: высокий уровень

Executable decoded using certutil (Исполняемый файл декодирован с помощью средства CertUtil)

(AppServices_ExecutableDecodedUsingCertutil)

Описание. Анализ данных узла в [скомпрометируемой сущности] обнаружил, что certutil.exe, встроенная служебная программа администратора, использовалась для декодирования исполняемого файла вместо основной цели, которая связана с управлением сертификатами и данными сертификатов. Злоумышленники злоупотребляют функциональностью допустимых инструментов администратора для выполнения вредоносных действий, например, используют certutil.exe для декодирования вредоносного исполняемого файла, который впоследствии будет выполнен. (Применимо к: Служба приложений в Windows)

Тактика MITRE: Оборона Evasion, Выполнение

Серьезность: высокий уровень

Fileless Attack Behavior Detected (Обнаружено поведение бесфайловой атаки)

(AppServices_FilelessAttackBehaviorDetection)

Описание. Память процесса, указанного ниже, содержит поведение, обычно используемое атаками без файлов. К конкретным действиям относятся: {список наблюдаемых действий} (применимо к: Служба приложений в Windows и Служба приложений в Linux)

Тактика MITRE: Выполнение

Серьезность: средний

Fileless Attack Technique Detected (Обнаружен метод бесфайловой атаки)

(AppServices_FilelessAttackTechniqueDetection)

Описание. Память процесса, указанного ниже, содержит доказательства метода атаки без файлов. Бесфайловые атаки используются злоумышленниками для выполнения кода и обхода системы безопасности. К конкретным действиям относятся: {список наблюдаемых действий} (применимо к: Служба приложений в Windows и Служба приложений в Linux)

Тактика MITRE: Выполнение

Серьезность: высокий уровень

Fileless Attack Toolkit Detected (Обнаружен набор средств для бесфайловой атаки)

(AppServices_FilelessAttackToolkitDetection)

Описание. Память процесса, указанного ниже, содержит набор средств атак без файлов: {ToolKitName}. Наборы средств для бесфайловых атак обычно не оставляют следов в файловой системе, что затрудняет их обнаружение традиционными антивирусными программами. К конкретным действиям относятся: {список наблюдаемых действий} (применимо к: Служба приложений в Windows и Служба приложений в Linux)

Тактика MITRE: Оборона Evasion, Выполнение

Серьезность: высокий уровень

Microsoft Defender for Cloud test alert for App Service (not a threat) (Тестовое оповещение Microsoft Defender для облака для службы приложений (не угроза))

(AppServices_EICAR)

Описание. Это тестовое оповещение, созданное Microsoft Defender для облака. Дополнительные действия не требуются. (Применимо к: Служба приложений в Windows и Служба приложений в Linux)

Тактика MITRE: -

Серьезность: высокий уровень

Обнаружено сканирование NMap

(AppServices_Nmap)

Описание: журнал действий службы приложение Azure указывает возможное действие веб-отпечатков пальцев в ресурсе Служба приложений. Обнаруженное подозрительные действие связано с NMAP. Злоумышленники часто используют это средство для проверки веб-приложений на наличие уязвимостей. (Применимо к: Служба приложений в Windows и Служба приложений в Linux)

Тактика MITRE: PreAttack

Серьезность: информационная

Phishing content hosted on Azure Webapps (Фишинговое содержимое, размещенное в веб-приложениях Azure)

(AppServices_PhishingContent)

Описание: URL-адрес, используемый для фишинга, найденного на веб-сайте приложение Azure Services. Этот URL-адрес был частью фишинговой атаки, отправленной клиентам Microsoft 365. Содержимое, как правило, вынуждает посетителей вводить свои корпоративные учетные данные или финансовую информацию на поддельном веб-сайте. (Применимо к: Служба приложений в Windows и Служба приложений в Linux)

Тактика MITRE: Коллекция

Серьезность: высокий уровень

PHP file in upload folder (Файл PHP в папке отправки)

(AppServices_PhpInUploadFolder)

Описание: приложение Azure журнал действий службы указывает на доступ к подозрительной странице PHP, расположенной в папке отправки. Этот тип папки обычно не содержит PHP-файлы. Наличие такого типа файлов может свидетельствовать о несанкционированном использовании с помощью преимуществ уязвимостей произвольной загрузки файлов. (Применимо к: Служба приложений в Windows и Служба приложений в Linux)

Тактика MITRE: Выполнение

Серьезность: средний

Обнаружено потенциальное скачивание криптомайнера

(AppServices_CryptoCoinMinerDownload)

Описание. Анализ данных узла обнаружил скачивание файла, обычно связанного с интеллектуальным анализом цифровых валют. (Применимо к: Служба приложений в Linux)

Тактика MITRE: Оборона Evasion, Командная и Контрольная, Эксплуатация

Серьезность: средний

Possible data exfiltration detected (Обнаружена возможная кража данных)

(AppServices_DataEgressArtifacts)

Описание. Анализ данных узла или устройства обнаружил возможное условие исходящего трафика данных. Злоумышленники часто выводят данные из скомпрометированных ими компьютеров. (Применимо к: Служба приложений в Linux)

Тактика MITRE: Коллекция, эксфильтрация

Серьезность: средний

Обнаружена возможная недействительная запись DNS для ресурса Службы приложений

(AppServices_PotentialDanglingDomain)

Описание. Обнаружена запись DNS, указывающая на недавно удаленный ресурс Служба приложений (также известный как "дальняя запись DNS"). Это может привести к перенаправлению поддомена. Захват поддоменов позволяет злоумышленникам перенаправлять трафик, предназначенный для домена организации, на сайт, выполняющий вредоносную деятельность. В этом случае найдена текстовая запись с идентификатором проверки домена. Такие записи не связаны с возможным перенаправлением поддомена, но мы рекомендуем удалить недействительный домен. Если вы оставляете запись DNS, указывающую на поддомен, вы рискуете, если любой пользователь в вашей организации удаляет TXT-файл или запись в будущем. (Применимо к: Служба приложений в Windows и Служба приложений в Linux)

Тактика MITRE: -

Серьезность: низкая

Potential reverse shell detected (Обнаружена потенциальная обратная оболочка)

(AppServices_ReverseShell)

Описание. Анализ данных узла обнаружил потенциальную обратную оболочку. Она используется для того, чтобы скомпрометированный компьютер связывался с компьютером, принадлежащим злоумышленнику. (Применимо к: Служба приложений в Linux)

Тактика MITRE: эксфильтрация, эксплуатация

Серьезность: средний

Raw data download detected (Обнаружена загрузка необработанных данных)

(AppServices_DownloadCodeFromWebsite)

Описание. Анализ процессов Служба приложений обнаружил попытку скачать код с веб-сайтов необработанных данных, таких как Pastebin. Это действие выполнялось процессом PHP. Это поведение связано с попыткой загрузки веб-оболочек или других вредоносных компонентов в Службу приложений. (Применимо к: Служба приложений в Windows)

Тактика MITRE: Выполнение

Серьезность: средний

Saving curl output to disk detected (Обнаружено сохранение выходных данных curl на диск)

(AppServices_CurlToDisk)

Описание. Анализ процессов Служба приложений обнаружил выполнение команды curl, в которой выходные данные были сохранены на диске. Хотя такое поведение может быть допустимым, в веб-приложениях такое поведение часто наблюдается во вредоносных действиях, таких как попытки заражения веб-сайтов с помощью веб-оболочек. (Применимо к: Служба приложений в Windows)

Тактика MITRE: -

Серьезность: низкая

Spam folder referrer detected (Обнаружены ссылки на папку с нежелательной почтой)

(AppServices_SpamReferrer)

Описание: журнал действий службы приложение Azure указывает на веб-активность, которая была определена как исходная из веб-сайта, связанного с действием нежелательной почты. Это может произойти, если ваш веб-сайт скомпрометирован и используется для рассылки нежелательной почты. (Применимо к: Служба приложений в Windows и Служба приложений в Linux)

Тактика MITRE: -

Серьезность: низкая

Suspicious access to possibly vulnerable web page detected (Обнаружен подозрительный доступ к потенциально уязвимой веб-странице)

(AppServices_ScanSensitivePage)

Описание: приложение Azure журнал действий службы указывает веб-страницу, к ней доступ к ней. Это подозрительное действие поступает с IP-адреса, который демонстрирует характерное для веб-сканера поведение доступа. Это действие часто связано с попыткой злоумышленника проверить сеть, чтобы попытаться получить доступ к конфиденциальным или уязвимым веб-страницам. (Применимо к: Служба приложений в Windows и Служба приложений в Linux)

Тактика MITRE: -

Серьезность: низкая

Подозрительная ссылка на доменное имя

(AppServices_CommandlineSuspectDomain)

Описание. Анализ обнаруженных данных узла ссылается на подозрительное доменное имя. Такое действие, хотя и может быть допустимым поведением пользователя, часто указывает на скачивание или выполнение вредоносного ПО. К типичным действиям, связанным с активностью злоумышленников, можно отнести загрузку и выполнение дополнительного вредоносного ПО или средств удаленного администрирования. (Применимо к: Служба приложений в Linux)

Тактика MITRE: Эксфильтрация

Серьезность: низкая

Suspicious download using Certutil detected (Обнаружена подозрительная загрузка с помощью команды certutil)

(AppServices_DownloadUsingCertutil)

Описание. Анализ данных узла на {NAME} обнаружил использование certutil.exe встроенной служебной программы администратора для скачивания двоичного файла вместо основной цели, связанной с управлением сертификатами и данными сертификатов. Злоумышленники злоупотребляют функциональностью допустимых инструментов администратора для выполнения вредоносных действий, например используют certutil.exe для скачивания и декодирования вредоносного исполняемого файла, который впоследствии будет выполнен. (Применимо к: Служба приложений в Windows)

Тактика MITRE: Выполнение

Серьезность: средний

Suspicious PHP execution detected (Обнаружено выполнение подозрительного процесса PHP)

(AppServices_SuspectPhp)

Описание. Журналы компьютеров указывают на выполнение подозрительного процесса PHP. Действие включало в себя попытку выполнить команды операционной системы или код PHP из командной строки с помощью процесса PHP. Хотя такое поведение может быть допустимым, в веб-приложениях такое поведение часто наблюдается во вредоносных действиях, таких как попытки заражения веб-сайтов с помощью веб-оболочек. (Применимо к: Служба приложений в Windows и Служба приложений в Linux)

Тактика MITRE: Выполнение

Серьезность: средний

Suspicious PowerShell cmdlets executed (Выполнены подозрительные командлеты PowerShell)

(AppServices_PowerShellPowerSploitScriptExecution)

Описание. Анализ данных узла указывает на выполнение известных вредоносных командлетов PowerShell PowerSploit. (Применимо к: Служба приложений в Windows)

Тактика MITRE: Выполнение

Серьезность: средний

Suspicious process executed (Выполнение подозрительных процессов)

(AppServices_KnownCredential AccessTools)

Описание. Журналы компьютеров указывают на то, что подозрительный процесс: "%{путь к процессу}" запущен на компьютере, часто связанный с попытками злоумышленника получить доступ к учетным данным. (Применимо к: Служба приложений в Windows)

Тактика MITRE: доступ к учетным данным

Серьезность: высокий уровень

Suspicious process name detected (Обнаружен процесс с подозрительным именем)

(AppServices_ProcessWithKnownSuspiciousExtension)

Описание. Анализ данных узла на {NAME} обнаружил процесс, имя которого подозрительно, например, соответствующее известному инструменту злоумышленника или именованному таким образом, что предлагает средства злоумышленника, которые пытаются скрыться в виде обычного вида. Этот процесс может быть допустимым действием или признаком того, что один из ваших компьютеров был скомпрометирован. (Применимо к: Служба приложений в Windows)

Тактика MITRE: Сохраняемость, Оборона Evasion

Серьезность: средний

Suspicious SVCHOST process executed (Выполнение подозрительных процессов SVCHOST)

(AppServices_SVCHostFromInvalidPath)

Описание. Системный процесс SVCHOST был замечен в ненормальном контексте. Вредоносные программы часто используют SVCHOST для маскирования вредоносных действий. (Применимо к: Служба приложений в Windows)

Тактика MITRE: Оборона Evasion, Выполнение

Серьезность: высокий уровень

Suspicious User Agent detected (Обнаружен подозрительный агент пользователя)

(AppServices_UserAgentInjection)

Описание: приложение Azure журнал действий службы указывает запросы с подозрительным агентом пользователя. Такое поведение может указывать на попытки использования уязвимости в приложении службы приложений. (Применимо к: Служба приложений в Windows и Служба приложений в Linux)

Тактика MITRE: первоначальный доступ

Серьезность: информационная

Suspicious WordPress theme invocation detected (Обнаружен подозрительный вызов темы WordPress)

(AppServices_WpThemeInjection)

Описание: журнал действий службы приложение Azure указывает на возможное действие внедрения кода в ресурсе Служба приложений. Обнаруженное подозрительное действие напоминает шаблон управления темой WordPress для поддержки выполнения кода на стороне сервера, за которым следует прямой веб-запрос для вызова файла управляемой темы. Этот тип активности может быть частью атаки на WordPress. Если ваш Служба приложений ресурс не размещает сайт WordPress, он не уязвим для этого конкретного эксплойтов внедрения кода, и вы можете безопасно отключить это оповещение для ресурса. Сведения о подавлении оповещений системы безопасности см. в разделе Отключение оповещений из Microsoft Defender для облака. (Применимо к: Служба приложений в Windows и Служба приложений в Linux)

Тактика MITRE: Выполнение

Серьезность: высокий уровень

Vulnerability scanner detected (Обнаружен сканер уязвимостей)

(AppServices_DrupalScanner)

Описание: журнал действий службы приложение Azure указывает, что в ресурсе Служба приложений использовался возможный сканер уязвимостей. Обнаруженные подозрительные действия похожи на действия средств, атакующих системы управления содержимым (CMS). Если ресурс Служба приложений не размещает сайт Drupal, он не уязвим для этого конкретного эксплойта внедрения кода, и вы можете безопасно отключить это оповещение для ресурса. Сведения о подавлении оповещений системы безопасности см. в разделе Отключение оповещений из Microsoft Defender для облака. (Применимо к: Служба приложений в Windows)

Тактика MITRE: PreAttack

Серьезность: низкая

Vulnerability scanner detected (Обнаружен сканер уязвимостей)

(AppServices_JoomlaScanner)

Описание: журнал действий службы приложение Azure указывает, что в ресурсе Служба приложений использовался возможный сканер уязвимостей. Обнаруженные подозрительные действия напоминают действия служб, атакующих приложения Joomla. Если ваш Служба приложений ресурс не размещает сайт Найм, он не уязвим для этого конкретного эксплойт внедрения кода, и вы можете безопасно отключить это оповещение для ресурса. Сведения о подавлении оповещений системы безопасности см. в разделе Отключение оповещений из Microsoft Defender для облака. (Применимо к: Служба приложений в Windows и Служба приложений в Linux)

Тактика MITRE: PreAttack

Серьезность: низкая

Vulnerability scanner detected (Обнаружен сканер уязвимостей)

(AppServices_WpScanner)

Описание: журнал действий службы приложение Azure указывает, что в ресурсе Служба приложений использовался возможный сканер уязвимостей. Обнаруженные подозрительные действия похожи на действия средств, атакующих приложения WordPress. Если ваш Служба приложений ресурс не размещает сайт WordPress, он не уязвим для этого конкретного эксплойтов внедрения кода, и вы можете безопасно отключить это оповещение для ресурса. Сведения о подавлении оповещений системы безопасности см. в разделе Отключение оповещений из Microsoft Defender для облака. (Применимо к: Служба приложений в Windows и Служба приложений в Linux)

Тактика MITRE: PreAttack

Серьезность: низкая

Web fingerprinting detected (Обнаружены веб-отпечатки)

(AppServices_WebFingerprinting)

Описание: журнал действий службы приложение Azure указывает возможное действие веб-отпечатков пальцев в ресурсе Служба приложений. Обнаруженное подозрительное действие связано со средством, которое называется Blind Elephant. Средство снимает отпечатки с веб-серверов и пытается обнаружить установленные приложения и их версии. Злоумышленники часто используют это средство для проверки веб-приложений на наличие уязвимостей. (Применимо к: Служба приложений в Windows и Служба приложений в Linux)

Тактика MITRE: PreAttack

Серьезность: средний

Веб-сайт помечен как вредоносный в канале Threat Intelligence

(AppServices_SmartScreen)

Описание. Веб-сайт, как описано ниже, помечается как вредоносный сайт с помощью Windows SmartScreen. Если вы считаете этот результат ложноположительным, обратитесь в службу поддержки Windows SmartScreen по указанной ссылке для отзывов. (Применимо к: Служба приложений в Windows и Служба приложений в Linux)

Тактика MITRE: Коллекция

(K8S.NODE_SuspectUserAddition) ¹

Описание. Анализ процессов, выполняемых в контейнере или непосредственно на узле Kubernetes, обнаружил подозрительное использование команды useradd.

Тактика MITRE: сохраняемость

Серьезность: средний

Digital currency mining container detected (Обнаружен контейнер для майнинга цифровых валют)

(K8S_MaliciousContainerImage) ³

Описание. Анализ журнала аудита Kubernetes обнаружил контейнер с изображением, связанным с средством интеллектуального анализа цифровых валют.

Тактика MITRE: Выполнение

Серьезность: высокий уровень

Описание. Анализ процессов, выполняемых в контейнере или непосредственно на узле Kubernetes, обнаружил подозрительный процесс. Это часто связано с агентом MITRE 54ndc47, который может использоваться злоумышленником для атаки на другие компьютеры.

Тактика MITRE: сохраняемость, privilegeEscalation, DefenseEvasion, CredentialAccess, Discovery, Боковоеmovement, Выполнение, Сбор, эксфильтрация, управление, проверка, эксплуатация

Серьезность: средний

¹. Предварительная версия для кластеров, отличных от AKS: это оповещение обычно доступно для кластеров AKS, но оно находится в предварительной версии для других сред, таких как Azure Arc, EKS и GKE.

². Ограничения на кластеры GKE: GKE использует политику аудита Kubernetes, которая не поддерживает все типы оповещений. В результате это оповещение системы безопасности, основанное на событиях аудита Kubernetes, не поддерживается для кластеров GKE.

^3. Это оповещение поддерживается в узлах и контейнерах Windows.

Оповещения для Базы данных SQL Azure и Azure Synapse Analytics

Дополнительные сведения и примечания

A possible vulnerability to SQL Injection (Возможная уязвимость при внедрении кода SQL)

(SQL. DB_VulnerabilityToSqlInjection SQL. VM_VulnerabilityToSqlInjection SQL.MI_VulnerabilityToSqlInjection SQL. DW_VulnerabilityToSqlInjection Synapse.SQLPool_VulnerabilityToSqlInjection)

Описание. Приложение создало неисправную инструкцию SQL в базе данных. Это может указывать на возможную уязвимость к атакам путем внедрения кода SQL. Существует две причины создания инструкции с ошибкой. Из-за дефекта в коде приложения может создаваться инструкция SQL с ошибкой. Код приложения или хранимые процедуры не очищают ввод данных пользователя при создании ошибочной инструкции SQL, которая может быть использована для внедрения кода SQL.

Тактика MITRE: PreAttack

Серьезность: средний

Attempted logon by a potentially harmful application (Попытка входа потенциально опасного приложения)

(SQL. DB_HarmfulApplication SQL. VM_HarmfulApplication SQL.MI_HarmfulApplication SQL. DW_HarmfulApplication Synapse.SQLPool_HarmfulApplication)

Описание. Потенциально вредное приложение попыталось получить доступ к ресурсу.

Тактика MITRE: PreAttack

Серьезность: высокий уровень

Log on from an unusual Azure Data Center (Вход из необычного центра обработки данных Azure)

(SQL. DB_DataCenterAnomaly SQL. VM_DataCenterAnomaly SQL. DW_DataCenterAnomaly SQL.MI_DataCenterAnomaly Synapse.SQLPool_DataCenterAnomaly)

Описание. Произошло изменение шаблона доступа к SQL Server, где кто-то вошел на сервер из необычного Центра обработки данных Azure. Иногда оповещение определяет допустимые действия (новое приложение или службу Azure). В других случаях оповещение обнаруживает вредоносное действие (злоумышленника, работающего со скомпрометированного ресурса в Azure).

Тактика MITRE: Пробовка

Серьезность: низкая

Log on from an unusual location (Вход из необычного расположения)

(SQL. DB_GeoAnomaly SQL. VM_GeoAnomaly SQL. DW_GeoAnomaly SQL.MI_GeoAnomaly Synapse.SQLPool_GeoAnomaly)

Описание. Произошло изменение шаблона доступа к SQL Server, где кто-то вошел на сервер из необычного географического расположения. Иногда предупреждение определяет допустимые действия (новое приложение, обслуживание разработчиком). В других случаях оповещение обнаруживает угрозу (бывшего сотрудника, внешнего злоумышленника).

Тактика MITRE: эксплуатация

Серьезность: средний

(SQL. DB_PrincipalAnomaly SQL. VM_PrincipalAnomaly SQL. DW_PrincipalAnomaly SQL.MI_PrincipalAnomaly Synapse.SQLPool_PrincipalAnomaly)

Описание. Основной пользователь, не замеченный за последние 60 дней, вошел в базу данных. Если эта база данных является новой либо это ожидаемое поведение, вызванное недавними изменениями списка пользователей, осуществляющих доступ к базе данных, Defender для облака определит существенные изменения в шаблонах доступа и попытается предотвратить ложные срабатывания в будущем.

Тактика MITRE: эксплуатация

Серьезность: средний

(SQL. DB_DomainAnomaly SQL. VM_DomainAnomaly SQL. DW_DomainAnomaly SQL.MI_DomainAnomaly Synapse.SQLPool_DomainAnomaly)

Описание. Пользователь вошел в ресурс из домена, с которых другие пользователи не подключались за последние 60 дней. Если этот ресурс является новым либо это ожидаемое поведение, вызванное недавними изменениями списка пользователей, осуществляющих доступ к ресурсу, Defender для облака определит существенные изменения в шаблонах доступа и попытается предотвратить ложные срабатывания в будущем.

Тактика MITRE: эксплуатация

Серьезность: средний

(SQL. VM_PotentialSqlInjection)

Описание. Кто-то инициировал новую полезные данные, используя слой в SQL Server, который взаимодействует с операционной системой при скрытии команды в SQL-запросе. Злоумышленники обычно скрывают затронутые команды, которые часто отслеживаются как xp_cmdshell, sp_add_job и другие. Методы маскирования используют допустимые команды, такие как объединение строк, приведение, изменение базы и другие, чтобы избежать обнаружения регулярных выражений и повредить удобочитаемость журналов.

Тактика MITRE: Выполнение

Серьезность: высокий уровень

Оповещения для реляционных баз данных с открытым исходным кодом

Дополнительные сведения и примечания

(SQL. PostgreSQL_HarmfulApplication SQL. MariaDB_HarmfulApplication SQL. MySQL_HarmfulApplication)

Описание. Потенциально вредное приложение попыталось получить доступ к ресурсу.

Тактика MITRE: PreAttack

Серьезность: высокий уровень

(SQL. PostgreSQL_PrincipalAnomaly SQL. MariaDB_PrincipalAnomaly SQL. MySQL_PrincipalAnomaly)

Тактика MITRE: эксплуатация

Серьезность: средний

(SQL. MariaDB_DomainAnomaly SQL. PostgreSQL_DomainAnomaly SQL. MySQL_DomainAnomaly)

Тактика MITRE: эксплуатация

Серьезность: средний

Log on from an unusual Azure Data Center (Вход из необычного центра обработки данных Azure)

(SQL. PostgreSQL_DataCenterAnomaly SQL. MariaDB_DataCenterAnomaly SQL. MySQL_DataCenterAnomaly)

Описание. Кто-то вошел в ресурс из необычного Центра обработки данных Azure.

Тактика MITRE: Пробовка

Серьезность: низкая

Вход от необычного поставщика облачных услуг

(SQL. PostgreSQL_CloudProviderAnomaly SQL. MariaDB_CloudProviderAnomaly SQL. MySQL_CloudProviderAnomaly)

Описание. Кто-то вошел в ресурс из поставщика облачных служб, который не видел за последние 60 дней. Злоумышленникам не составит труда и не займет много времени получить одноразовые вычислительные мощности для использования в своих кампаниях. Если это ожидаемый алгоритм поведения, вызванный недавним переходом на нового поставщика облачных услуг, Defender для облака со временем обучится распознавать ложные срабатывания и попытается предотвратить их в будущем.

Тактика MITRE: эксплуатация

Серьезность: средний

Log on from an unusual location (Вход из необычного расположения)

(SQL. MariaDB_GeoAnomaly SQL. PostgreSQL_GeoAnomaly SQL. MySQL_GeoAnomaly)

Описание. Кто-то вошел в ресурс из необычного Центра обработки данных Azure.

Тактика MITRE: эксплуатация

Серьезность: средний

(SQL. PostgreSQL_SuspiciousIpAnomaly SQL. MariaDB_SuspiciousIpAnomaly SQL. MySQL_SuspiciousIpAnomaly)

Тактика MITRE: PreAttack

Серьезность: средний

Оповещение для Resource Manager

Примечание.

Оповещения с указанием делегированного доступа активируются из-за действий сторонних поставщиков услуг. Узнайте больше о указаниях действий поставщиков услуг.

Дополнительные сведения и примечания

Операция Azure Resource Manager с подозрительного IP-адреса

(ARM_OperationFromSuspiciousIP)

Описание: Microsoft Defender для Resource Manager обнаружил операцию с IP-адреса, помеченного как подозрительные в веб-каналах аналитики угроз.

Тактика MITRE: Выполнение

Серьезность: средний

Операция Azure Resource Manager с подозрительного IP-адреса прокси-сервера

(ARM_OperationFromSuspiciousProxyIP)

Описание: Microsoft Defender для Resource Manager обнаружил операцию управления ресурсами из IP-адреса, связанного с прокси-службами, например TOR. Хотя подобный алгоритм поведения может быть обоснованным, зачастую он проявляется в злонамеренных действиях, когда злоумышленники пытаются скрыть свой исходный IP-адрес.

Тактика MITRE: Оборона Evasion

Серьезность: средний

Набор инструментов эксплуатации MicroBurst, используемый для перечисления ресурсов в ваших подписках

(ARM_MicroBurst.AzDomainInfo)

Описание. Сценарий PowerShell был запущен в подписке и выполнял подозрительный шаблон выполнения операций сбора информации для обнаружения ресурсов, разрешений и сетевых структур. Субъекты угроз используют автоматизированные скрипты, такие как MicroBurst, для сбора информации о вредоносных действиях. При анализе операций Azure Resource Manager в подписке было обнаружено это действие. Эта операция может указывать на то, что удостоверение в вашей организации было нарушено, и что субъект угроз пытается скомпрометировать вашу среду для вредоносных намерений.

Тактика MITRE: -

Серьезность: низкая

Набор инструментов эксплуатации MicroBurst, используемый для перечисления ресурсов в ваших подписках

(ARM_MicroBurst.AzureDomainInfo)

Тактика MITRE: -

Серьезность: низкая

Набор средств эксплуатации MicroBurst, используемый для выполнения кода на вашей виртуальной машине

(ARM_MicroBurst.AzVMBulkCMD)

Описание. Сценарий PowerShell был запущен в подписке и выполнил подозрительный шаблон выполнения кода на виртуальной машине или списке виртуальных машин. Субъекты угроз используют автоматизированные скрипты, такие как MicroBurst, для запуска скрипта на виртуальной машине для вредоносных действий. При анализе операций Azure Resource Manager в подписке было обнаружено это действие. Эта операция может указывать на то, что удостоверение в вашей организации было нарушено, и что субъект угроз пытается скомпрометировать вашу среду для вредоносных намерений.

Тактика MITRE: Выполнение

Серьезность: высокий уровень

Набор средств эксплуатации MicroBurst, используемый для выполнения кода на вашей виртуальной машине

(RM_MicroBurst.AzureRmVMBulkCMD)

Описание. Набор средств эксплуатации MicroBurst использовался для выполнения кода на виртуальных машинах. При анализе операций Azure Resource Manager в подписке было обнаружено это действие.

Тактика MITRE: -

Серьезность: высокий уровень

Набор средств эксплуатации MicroBurst, используемый для извлечения ключей из хранилищ ключей Azure

(ARM_MicroBurst.AzKeyVaultKeysREST)

Описание. Сценарий PowerShell был запущен в подписке и выполнил подозрительный шаблон извлечения ключей из Azure Key Vault. Субъекты угроз используют автоматизированные скрипты, такие как MicroBurst, для перечисления ключей и использования их для доступа к конфиденциальным данным или бокового перемещения. При анализе операций Azure Resource Manager в подписке было обнаружено это действие. Эта операция может указывать на то, что удостоверение в вашей организации было нарушено, и что субъект угроз пытается скомпрометировать вашу среду для вредоносных намерений.

Тактика MITRE: -

Серьезность: высокий уровень

Набор средств эксплуатации MicroBurst, используемый для извлечения ключей к вашим учетным записям хранения

(ARM_MicroBurst.AZStorageKeysREST)

Описание. Сценарий PowerShell был запущен в подписке и выполнил подозрительный шаблон извлечения ключей для служба хранилища учетных записей. Субъекты угроз используют автоматизированные скрипты, такие как MicroBurst, для перечисления ключей и использования их для доступа к конфиденциальным данным в учетных записях служба хранилища. При анализе операций Azure Resource Manager в подписке было обнаружено это действие. Эта операция может указывать на то, что удостоверение в вашей организации было нарушено, и что субъект угроз пытается скомпрометировать вашу среду для вредоносных намерений.

Тактика MITRE: Коллекция

Серьезность: высокий уровень

Набор средств эксплуатации MicroBurst, используемый для извлечения секретов из ваших хранилищ ключей Azure

(ARM_MicroBurst.AzKeyVaultSecretsREST)

Описание. Сценарий PowerShell был запущен в подписке и выполнил подозрительный шаблон извлечения секретов из Azure Key Vault. Субъекты угроз используют автоматизированные скрипты, такие как MicroBurst, для перечисления секретов и использования их для доступа к конфиденциальным данным или бокового перемещения. При анализе операций Azure Resource Manager в подписке было обнаружено это действие. Эта операция может указывать на то, что удостоверение в вашей организации было нарушено, и что субъект угроз пытается скомпрометировать вашу среду для вредоносных намерений.

Тактика MITRE: -

Серьезность: высокий уровень

Набор средств эксплуатации PowerZure, используемый для повышения уровня доступа из Azure AD в Azure

(ARM_PowerZure.AzureElevatedPrivileges)

Описание. Набор средств эксплуатации PowerZure использовался для повышения доступа из AzureAD в Azure. Это действие было обнаружено при анализе операций Azure Resource Manager в клиенте.

Тактика MITRE: -

Серьезность: высокий уровень

Набор инструментов эксплуатации PowerZure, используемый для перечисления ресурсов

(ARM_PowerZure.GetAzureTargets)

Описание. Набор средств эксплуатации PowerZure использовался для перечисления ресурсов от имени законной учетной записи пользователя в вашей организации. При анализе операций Azure Resource Manager в подписке было обнаружено это действие.

Тактика MITRE: Коллекция

Серьезность: высокий уровень

Набор средств эксплуатации PowerZure, используемый для перечисления контейнеров хранения, общих ресурсов и таблиц

(ARM_PowerZure.ShowStorageContent)

Описание. Набор средств эксплуатации PowerZure использовался для перечисления общих папок хранения, таблиц и контейнеров. При анализе операций Azure Resource Manager в подписке было обнаружено это действие.

Тактика MITRE: -

Серьезность: высокий уровень

Набор средств эксплуатации PowerZure, используемый для выполнения Runbook в вашей подписке

(ARM_PowerZure.StartRunbook)

Описание. Набор средств для эксплуатации PowerZure использовался для выполнения модуля Runbook. При анализе операций Azure Resource Manager в подписке было обнаружено это действие.

Тактика MITRE: -

Серьезность: высокий уровень

Набор средств эксплуатации PowerZure, используемый для извлечения содержимого Runbook

(ARM_PowerZure.AzureRunbookContent)

Описание. Набор средств эксплуатации PowerZure использовался для извлечения содержимого Runbook. При анализе операций Azure Resource Manager в подписке было обнаружено это действие.

Тактика MITRE: Коллекция

Серьезность: высокий уровень

PREVIEW - Azurite toolkit run detected (Предварительная версия — обнаружен запуск набора средств Azurite)

(ARM_Azurite)

Описание. В вашей среде обнаружен известный запуск средств разведки облачной среды. Средство Azurite может использоваться злоумышленником (или тестировщиком уязвимостей) для сопоставления ресурсов подписок и обнаружения небезопасных конфигураций.

Тактика MITRE: Коллекция

Серьезность: высокий уровень

Предварительная версия. Обнаружено подозрительное создание вычислительных ресурсов

(ARM_SuspiciousComputeCreation)

Описание. Microsoft Defender для Resource Manager определил подозрительное создание вычислительных ресурсов в подписке с помощью Виртуальные машины или масштабируемого набора Azure. Определяемые операции предназначены для эффективного управления средами администраторами путем развертывания новых ресурсов при необходимости. Хотя это действие может быть законным, субъект угроз может использовать такие операции для проведения крипто-интеллектуального анализа данных. Действие считается подозрительным, так как масштаб вычислительных ресурсов выше, чем ранее наблюдалось в подписке. Это может указывать на то, что субъект скомпрометирован и используется с вредоносным намерением.

Тактика MITRE: влияние

Серьезность: средний

PREVIEW — обнаружено подозрительное восстановление хранилища ключей

(Arm_Suspicious_Vault_Recovering)

Описание. Microsoft Defender для Resource Manager обнаружила подозрительные операции восстановления для ресурса хранилища ключей с обратимым удалением. Пользователь, восстанавливающий ресурс, отличается от пользователя, удаляющего его. Это очень подозрительно, так как пользователь редко вызывает такую операцию. Кроме того, пользователь вошел в систему без многофакторной проверки подлинности (MFA). Это может указывать на то, что пользователь скомпрометирован и пытается обнаружить секреты и ключи для получения доступа к конфиденциальным ресурсам или выполнять боковое перемещение по сети.

Тактика MITRE: боковое движение

Серьезность: средний или высокий

PREVIEW - Suspicious management session using an inactive account detected (Предварительная версия — обнаружен подозрительный сеанс управления с использованием неактивной учетной записи)

(ARM_UnusedAccountPersistence)

Описание. Анализ журналов действий подписки обнаружил подозрительное поведение. Субъект, который не используется в течение длительного периода времени, теперь выполняет действия, которые могут обеспечить сохраняемость для злоумышленника.

Тактика MITRE: сохраняемость

Серьезность: средний

ПРЕДВАРИТЕЛЬНАЯ ВЕРСИЯ. Обнаружен подозрительный вызов операции с высоким уровнем риска "Доступ к учетным данным" субъектом-службой

(ARM_AnomalousServiceOperation.CredentialAccess)

Описание: Microsoft Defender для Resource Manager определил подозрительный вызов операции с высоким риском в подписке, что может указывать на попытку доступа к учетным данным. Обнаруженные операции обеспечивают администраторам эффективное управление их средами. Хотя это действие может быть законным, субъект угроз может использовать такие операции для доступа к ограниченным учетным данным и компрометации ресурсов в вашей среде. Это может указывать на то, что субъект-служба скомпрометирован и используется с вредоносным намерением.

Тактика MITRE: доступ к учетным данным

Серьезность: средний

ПРЕДВАРИТЕЛЬНАЯ ВЕРСИЯ. Обнаружен подозрительный вызов операции с высоким уровнем риска "Сбор данных" субъектом-службой

(ARM_AnomalousServiceOperation.Collection)

Описание: Microsoft Defender для Resource Manager определил подозрительный вызов операции с высоким риском в подписке, что может указывать на попытку сбора данных. Обнаруженные операции обеспечивают администраторам эффективное управление их средами. Хотя это действие может быть законным, субъект угроз может использовать такие операции для сбора конфиденциальных данных о ресурсах в вашей среде. Это может указывать на то, что субъект-служба скомпрометирован и используется с вредоносным намерением.

Тактика MITRE: Коллекция

Серьезность: средний

ПРЕДВАРИТЕЛЬНАЯ ВЕРСИЯ. Обнаружен подозрительный вызов операции с высоким риском "Защита Evasion" субъектом-службой.

(ARM_AnomalousServiceOperation.DefenseEvasion)

Описание: Microsoft Defender для Resource Manager определил подозрительный вызов операции с высоким риском в подписке, что может указывать на попытку обойти защиту. Обнаруженные операции обеспечивают администраторам эффективное управление состоянием безопасности их сред. Хотя это действие может быть законным, субъект угроз может использовать такие операции, чтобы избежать обнаружения при компрометации ресурсов в вашей среде. Это может указывать на то, что субъект-служба скомпрометирован и используется с вредоносным намерением.

Тактика MITRE: Оборона Evasion

Серьезность: средний

PREVIEW — подозрительное вызов операции с высоким риском выполнения субъектом-службой

(ARM_AnomalousServiceOperation.Execution)

Описание: Microsoft Defender для Resource Manager определил подозрительный вызов операции с высоким риском на компьютере в подписке, что может указывать на попытку выполнить код. Обнаруженные операции обеспечивают администраторам эффективное управление их средами. Хотя это действие может быть законным, субъект угроз может использовать такие операции для доступа к ограниченным учетным данным и компрометации ресурсов в вашей среде. Это может указывать на то, что субъект-служба скомпрометирован и используется с вредоносным намерением.

Тактика MITRE: Оборона выполнения

Серьезность: средний

PREVIEW — подозрительное вызов операции с высоким уровнем риска "Влияние" субъектом-службой

(ARM_AnomalousServiceOperation.Impact)

Описание: Microsoft Defender для Resource Manager определил подозрительный вызов операции с высоким риском в подписке, что может указывать на попытку изменения конфигурации. Обнаруженные операции обеспечивают администраторам эффективное управление их средами. Хотя это действие может быть законным, субъект угроз может использовать такие операции для доступа к ограниченным учетным данным и компрометации ресурсов в вашей среде. Это может указывать на то, что субъект-служба скомпрометирован и используется с вредоносным намерением.

Тактика MITRE: влияние

Серьезность: средний

ПРЕДВАРИТЕЛЬНАЯ ВЕРСИЯ. Обнаружен подозрительный вызов операции с высоким уровнем риска "Первоначальный доступ" субъектом-службой

(ARM_AnomalousServiceOperation.InitialAccess)

Описание: Microsoft Defender для Resource Manager определил подозрительный вызов операции с высоким риском в вашей подписке, что может указывать на попытку доступа к ограниченным ресурсам. Обнаруженные операции обеспечивают администраторам эффективный доступ к их средам. Хотя это действие может быть законным, субъект угроз может использовать такие операции, чтобы получить первоначальный доступ к ограниченным ресурсам в вашей среде. Это может указывать на то, что субъект-служба скомпрометирован и используется с вредоносным намерением.

Тактика MITRE: начальный доступ

Серьезность: средний

PREVIEW — подозрительное вызов операции с высоким уровнем риска "Боковой доступ к перемещению" субъектом-службой

(ARM_AnomalousServiceOperation.LateralMovement)

Описание: Microsoft Defender для Resource Manager определил подозрительный вызов операции с высоким риском в подписке, что может указывать на попытку выполнить боковое перемещение. Обнаруженные операции обеспечивают администраторам эффективное управление их средами. Хотя это действие может быть законным, субъект угроз может использовать такие операции для компрометации дополнительных ресурсов в вашей среде. Это может указывать на то, что субъект-служба скомпрометирован и используется с вредоносным намерением.

Тактика MITRE: боковое движение

Серьезность: средний

PREVIEW — подозрительное вызов операции с высоким уровнем риска "сохраняемость" субъектом-службой

(ARM_AnomalousServiceOperation.Сохраняемость)

Описание: Microsoft Defender для Resource Manager определил подозрительный вызов операции с высоким риском в вашей подписке, что может указывать на попытку установить сохраняемость. Обнаруженные операции обеспечивают администраторам эффективное управление их средами. Хотя это действие может быть законным, субъект угроз может использовать такие операции для установления сохраняемости в вашей среде. Это может указывать на то, что субъект-служба скомпрометирован и используется с вредоносным намерением.

Тактика MITRE: сохраняемость

Серьезность: средний

ПРЕДВАРИТЕЛЬНАЯ ВЕРСИЯ. Обнаружен подозрительный вызов операции с высоким риском "Повышение привилегий" субъектом-службой

(ARM_AnomalousServiceOperation.PrivilegeEscalation)

Описание: Microsoft Defender для Resource Manager определил подозрительный вызов операции с высоким риском в подписке, что может указывать на попытку повышения привилегий. Обнаруженные операции обеспечивают администраторам эффективное управление их средами. Хотя это действие может быть законным, субъект угроз может использовать такие операции для повышения привилегий при компрометации ресурсов в вашей среде. Это может указывать на то, что субъект-служба скомпрометирован и используется с вредоносным намерением.

Тактика MITRE: повышение привилегий

Серьезность: средний

PREVIEW - Suspicious management session using an inactive account detected (Предварительная версия — обнаружен подозрительный сеанс управления с использованием неактивной учетной записи)

Тактика MITRE: эскалация привилегий

Серьезность: средний

Suspicious invocation of a high-risk 'Persistence' operation detected (Preview) (Обнаружен подозрительный вызов операции сохранения состояния с высоким риском (предварительная версия))

(ARM_AnomalousOperation.Persistence)

Описание: Microsoft Defender для Resource Manager определил подозрительный вызов операции с высоким риском в вашей подписке, что может указывать на попытку установить сохраняемость. Обнаруженные операции обеспечивают администраторам эффективное управление их средами. Хотя это действие может быть законным, субъект угроз может использовать такие операции для установления сохраняемости в вашей среде. Это может означать, что учетная запись скомпрометирована и используется злонамеренно.

Тактика MITRE: сохраняемость

Серьезность: средний

Suspicious invocation of a high-risk 'Privilege Escalation' operation detected (Preview) (Обнаружен подозрительный вызов операции повышения привилегий с высоким риском (предварительная версия))

(ARM_AnomalousOperation.PrivilegeEscalation)

Описание: Microsoft Defender для Resource Manager определил подозрительный вызов операции с высоким риском в подписке, что может указывать на попытку повышения привилегий. Обнаруженные операции обеспечивают администраторам эффективное управление их средами. Хотя это действие может быть законным, субъект угроз может использовать такие операции для повышения привилегий при компрометации ресурсов в вашей среде. Это может означать, что учетная запись скомпрометирована и используется злонамеренно.

Тактика MITRE: эскалация привилегий

Серьезность: средний

Использование набора средств эксплуатации MicroBurst для запуска произвольного кода или извлечения учетных данных учетной записи службы автоматизации Azure

(ARM_MicroBurst.RunCodeOnBehalf)

Описание. Сценарий PowerShell был запущен в подписке и выполнил подозрительный шаблон выполнения произвольного кода или эксфильтрации учетных данных учетной записи служба автоматизации Azure. Субъекты угроз используют автоматизированные скрипты, такие как MicroBurst, для выполнения произвольного кода для вредоносных действий. При анализе операций Azure Resource Manager в подписке было обнаружено это действие. Эта операция может указывать на то, что удостоверение в вашей организации было нарушено, и что субъект угроз пытается скомпрометировать вашу среду для вредоносных намерений.

Тактика MITRE: сохраняемость, доступ к учетным данным

Серьезность: высокий уровень

Использование методов NetSPI для сохранения устойчивости в среде Azure

(ARM_NetSPI.MaintainPersistence)

Описание. Использование метода сохраняемости NetSPI для создания серверной части веб-перехватчика и поддержания сохраняемости в среде Azure. При анализе операций Azure Resource Manager в подписке было обнаружено это действие.

Тактика MITRE: -

Серьезность: высокий уровень

Использование набора средств эксплуатации PowerZure для запуска произвольного кода или извлечения учетных данных учетной записи службы автоматизации Azure

(ARM_PowerZure.RunCodeOnBehalf)

Описание. Набор средств для эксплуатации PowerZure обнаружил попытку выполнения кода или эксфильтрации учетных данных учетной записи служба автоматизации Azure. При анализе операций Azure Resource Manager в подписке было обнаружено это действие.

Тактика MITRE: -

Серьезность: высокий уровень

Использование функции PowerZure для сохранения устойчивости в среде Azure

(ARM_PowerZure.MaintainPersistence)

Описание. Набор средств эксплуатации PowerZure обнаружил создание серверной части веб-перехватчика для поддержания сохраняемости в среде Azure. При анализе операций Azure Resource Manager в подписке было обнаружено это действие.

Тактика MITRE: -

Серьезность: высокий уровень

Обнаружено подозрительное назначение классических ролей (предварительная версия)

(ARM_AnomalousClassicRoleAssignment)

Описание: Microsoft Defender для Resource Manager определила подозрительное назначение классической роли в клиенте, что может указывать на то, что учетная запись в вашей организации была скомпрометирована. Обнаруженные операции предназначены для обеспечения обратной совместимости с классическими ролями, которые больше не используются. Хотя это действие может быть законным, субъект угроз может использовать такое назначение для предоставления разрешений другой учетной записи пользователя под их контролем.

Тактика MITRE: боковое движение, оборона Evasion

Серьезность: высокий уровень

Оповещения для службы хранилища Azure

Дополнительные сведения и примечания

Доступ из подозрительного приложения

(Storage.Blob_SuspiciousApp)

Описание. Указывает, что подозрительное приложение успешно обращается к контейнеру учетной записи хранения с проверкой подлинности. Это может означать, что злоумышленник получил учетные данные, необходимые для доступа к учетной записи, и использует ее. Это также может свидетельствовать о проведении в вашей организации проверки на проникновение. Применимо к: Хранилище BLOB-объектов Azure, Azure Data Lake Storage 2-го поколения

Тактика MITRE: первоначальный доступ

Серьезность: высокий или средний

Доступ с подозрительного IP-адреса

(служба хранилища. Blob_SuspiciousIp служба хранилища. Files_SuspiciousIp)

Описание. Указывает, что эта учетная запись хранения успешно получена из IP-адреса, который считается подозрительным. Это оповещение создано с помощью Microsoft Threat Intelligence. Подробнее о возможностях Microsoft Threat Intelligence. Применимо к: Хранилище BLOB-объектов Azure, Файлы Azure, Azure Data Lake Storage 2-го поколения

Тактика MITRE: предварительная атака

Серьезность: высокий/средний/низкий

Фишинговое содержимое, размещенное в учетной записи хранения

(служба хранилища. Blob_PhishingContent служба хранилища. Files_PhishingContent)

Описание. URL-адрес, используемый в фишинговой атаке, указывает на учетную запись служба хранилища Azure. Этот URL-адрес был частью фишинговой атаки, направленной на пользователей Microsoft 365. Как правило, содержимое, размещенное на таких страницах, предназначено для того, чтобы посетители вводили корпоративные учетные данные или финансовые сведения в веб-форму, которая выглядит безопасно. Это оповещение создано с помощью Microsoft Threat Intelligence. Подробнее о возможностях Microsoft Threat Intelligence. Применимо к: Хранилище BLOB-объектов Azure, Файлы Azure

Тактика MITRE: Коллекция

Серьезность: высокий уровень

служба хранилища учетная запись, определяемая как источник распространения вредоносных программ

(Storage.Files_WidespreadeAm)

Описание. Оповещения защиты от вредоносных программ указывают на то, что зараженные файлы хранятся в общей папке Azure, подключенной к нескольким виртуальным машинам. Если злоумышленники получат доступ к виртуальной машине с подключенной общей папкой Azure, они могут использовать ее для распространения вредоносных программ на другие виртуальные машины, которые подключены к той же общей папке. Область применения: Файлы Azure

Тактика MITRE: Выполнение

Серьезность: средний

Уровень доступа потенциально конфиденциального контейнера BLOB-объектов хранилища был изменен, чтобы разрешить общедоступный доступ без проверки подлинности.

(Storage.Blob_OpenACL)

Описание. Оповещение указывает, что пользователь изменил уровень доступа контейнера BLOB-объектов в учетной записи хранения, который может содержать конфиденциальные данные на уровень "Контейнер", чтобы разрешить общедоступный доступ без проверки подлинности (анонимный). Это изменение было внесено через портал Azure. На основе статистического анализа контейнер BLOB-объектов помечается как возможно содержащий конфиденциальные данные. В этом анализе предполагается, что контейнеры БОЛЬШИХ двоичных объектов или учетные записи хранения с аналогичными именами обычно не предоставляются общедоступному доступу. Применимо: учетные записи хранения больших двоичных объектов Azure (цен. категория "Стандартный" версии 2, Azure Data Lake Storage 2-го поколения или блочных BLOB-объектов уровня "Премиум").

Тактика MITRE: Коллекция

Серьезность: средний

Authenticated access from a TOR exit node (Аутентифицированный доступ с выходного узла TOR)

(служба хранилища. Blob_TorAnomaly служба хранилища. Files_TorAnomaly)

Описание. Один или несколько контейнеров хранилища / общих папок в вашей учетной записи хранения успешно получили доступ из IP-адреса, известного как активный узел выхода Tor (анонимный прокси-сервер). Субъекты угроз используют Tor, чтобы усложнить трассировку активности. Доступ с проверкой подлинности с выходного узла TOR, скорее всего, указывает на то, что субъект угрозы пытается скрыть свое удостоверение. Применимо к: Хранилище BLOB-объектов Azure, Файлы Azure, Azure Data Lake Storage 2-го поколения

Тактика MITRE: первоначальный доступ / предварительная атака

Серьезность: высокий или средний

Access from an unusual location to a storage account (Доступ из необычного расположения к учетной записи хранения)

(служба хранилища. Blob_GeoAnomaly служба хранилища. Files_GeoAnomaly)

Описание. Указывает, что в шаблоне доступа была изменена учетная запись служба хранилища Azure. Кто-то получил доступ к этой учетной записи с IP адреса, который был признан неизвестным при сравнении с последним действием. Либо злоумышленник получил доступ к учетной записи, либо допустимый пользователь подключился из нового или необычного географического расположения. Примером последнего является удаленное обслуживание нового приложения или разработчика. Применимо к: Хранилище BLOB-объектов Azure, Файлы Azure, Azure Data Lake Storage 2-го поколения

Тактика MITRE: первоначальный доступ

Серьезность: высокий/средний/низкий

Unusual unauthenticated access to a storage container (Необычный доступ без проверки подлинности к контейнеру хранилища)

(Storage.Blob_AnonymousAccessAnomaly)

Описание. Доступ к этой учетной записи хранения был выполнен без проверки подлинности, что является изменением общего шаблона доступа. Для доступа на чтение в этом контейнере обычно необходимо пройти проверку подлинности. Это может означать, что субъекту угрозы удалось воспользоваться открытым доступом на чтение в контейнерах хранилища в этих учетных записях хранения. Применимо к: Хранилище BLOB-объектов Azure

Тактика MITRE: первоначальный доступ

Серьезность: высокий или низкий

Potential malware uploaded to a storage account (Потенциально вредоносная программа, отправленная в учетную запись хранения)

(служба хранилища. Blob_MalwareHashReputation служба хранилища. Files_MalwareHashReputation)

Описание. Указывает, что большой двоичный объект, содержащий потенциальные вредоносные программы, был отправлен в контейнер BLOB-объектов или общую папку в учетной записи хранения. Это оповещение основано на анализе репутации хэшей, использующем возможности службы Microsoft Threat Intelligence, которая содержит хэши вирусов, программ-троянов, шпионских программ и программ-шантажистов. Возможные причины могут включать преднамеренная отправка вредоносных программ злоумышленником или непреднамеренная отправка потенциально вредоносного большого двоичного объекта законным пользователем. Применимо к: Хранилище BLOB-объектов Azure, Файлы Azure (только для транзакций через REST API) Дополнительные сведения о возможностях аналитики угроз Майкрософт.

Тактика MITRE: боковое движение

Серьезность: высокий уровень

Успешно обнаружены общедоступные контейнеры хранилища

(Storage.Blob_OpenContainersScanning.SuccessfulDiscovery)

Описание. Успешное обнаружение открытых контейнеров хранилища в учетной записи хранения было выполнено в последний час с помощью скрипта или средства сканирования.

Как правило, это означает атаку с рекогносцировкой, в ходе которой субъект угрозы пытается получить список больших двоичных объектов путем подбора имен контейнеров в надежде найти неправильно настроенные открытые контейнеры хранилища с конфиденциальными данными.

Субъект угроз может использовать собственный скрипт или использовать известные средства сканирования, такие как Microburst, для проверки открытых контейнеров.

✔ ✖ Хранилище BLOB-объектов Azure Файлы Azure Azure Data Lake Storage 2-го поколения ✖

Тактика MITRE: Коллекция

Серьезность: высокий или средний

Успешно просканированы общедоступные контейнеры хранилища

(Storage.Blob_OpenContainersScanning.FailedAttempt)

Описание. В последний час выполнялась серия неудачных попыток сканирования открытых контейнеров хранилища.

✔ ✖ Хранилище BLOB-объектов Azure Файлы Azure Azure Data Lake Storage 2-го поколения ✖

Тактика MITRE: Коллекция

Серьезность: высокий или низкий

Unusual access inspection in a storage account (Необычная проверка доступа в учетной записи хранения)

(служба хранилища. Blob_AccessInspectionAnomaly служба хранилища. Files_AccessInspectionAnomaly)

Описание. Указывает, что разрешения доступа учетной записи хранения были проверены необычным образом по сравнению с недавними действиями в этой учетной записи. Возможно злоумышленник выполнил рекогносцировку для атаки в будущем. Применимо к: Хранилище BLOB-объектов Azure, Файлы Azure

Тактика MITRE: Обнаружение

Серьезность: высокий или средний

Unusual amount of data extracted from a storage account (Необычный объем данных, извлеченных из учетной записи хранения)

(служба хранилища. Blob_DataExfiltration.AmountOfDataAnomaly служба хранилища. Blob_DataExfiltration.NumberOfBlobsAnomaly служба хранилища. Files_DataExfiltration.AmountOfDataAnomaly служба хранилища. Files_DataExfiltration.NumberOfFilesAnomaly)

Описание. Указывает, что необычно большое количество данных было извлечено по сравнению с недавними действиями в этом контейнере хранилища. Потенциальная причина заключается в том, что злоумышленник извлек большой объем данных из контейнера, содержащего хранилище BLOB-объектов. Применимо к: Хранилище BLOB-объектов Azure, Файлы Azure, Azure Data Lake Storage 2-го поколения

Тактика MITRE: Эксфильтрация

Серьезность: высокий или низкий

Unusual application accessed a storage account (Необычное приложение, которое обращалось к учетной записи хранения)

(служба хранилища. Blob_ApplicationAnomaly служба хранилища. Files_ApplicationAnomaly)

Описание. Указывает, что необычное приложение обращается к этой учетной записи хранения. Потенциальная причина заключается в том, что злоумышленник получил доступ к вашей учетной записи хранения с помощью нового приложения. Применимо к: Хранилище BLOB-объектов Azure, Файлы Azure

Тактика MITRE: Выполнение

Серьезность: высокий или средний

Unusual data exploration in a storage account (Необычные исследования данных в учетной записи хранения)

(служба хранилища. Blob_DataExplorationAnomaly служба хранилища. Files_DataExplorationAnomaly)

Описание. Указывает, что большие двоичные объекты или контейнеры в учетной записи хранения были перечислены ненормально, по сравнению с недавними действиями в этой учетной записи. Возможно злоумышленник выполнил рекогносцировку для атаки в будущем. Применимо к: Хранилище BLOB-объектов Azure, Файлы Azure

Тактика MITRE: Выполнение

Серьезность: высокий или средний

Unusual deletion in a storage account (Необычное удаление в учетной записи хранения)

(служба хранилища. Blob_DeletionAnomaly служба хранилища. Files_DeletionAnomaly)

Описание. Указывает, что в учетной записи хранения произошла одна или несколько непредвиденных операций удаления, по сравнению с недавними действиями в этой учетной записи. Потенциальная причина заключается в том, что злоумышленник удалил данные из вашей учетной записи хранения. Применимо к: Хранилище BLOB-объектов Azure, Файлы Azure, Azure Data Lake Storage 2-го поколения

Тактика MITRE: Эксфильтрация

Серьезность: высокий или средний

Необычный общедоступный доступ к контейнеру конфиденциальных BLOB-объектов (предварительная версия)

служба хранилища. Blob_AnonymousAccessAnomaly.Sensitive

Описание. Оповещение указывает, что пользователь обращается к контейнеру BLOB-объектов с конфиденциальными данными в учетной записи хранения без проверки подлинности, используя внешний (общедоступный) IP-адрес. Этот доступ является подозрительным, так как контейнер BLOB-объектов открыт для общедоступного доступа и обычно осуществляется только с проверкой подлинности из внутренних сетей (частные IP-адреса). Этот доступ может указывать на то, что уровень доступа контейнера BLOB-объектов неправильно настроен, и злоумышленник, возможно, использовал общедоступный доступ. Оповещение системы безопасности включает в себя контекст обнаруженной конфиденциальной информации (время сканирования, метка классификации, типы сведений и типы файлов). Дополнительные сведения об обнаружении угроз конфиденциальных данных. Применимо: учетные записи хранения больших двоичных объектов Azure (стандартный общего назначения версии 2, Azure Data Lake Storage 2-го поколения или блочных BLOB-объектов класса Premium) с новым планом Defender для служба хранилища с включенной функцией обнаружения угроз конфиденциальности данных.

Тактика MITRE: первоначальный доступ

Серьезность: высокий уровень

Необычный объем данных, извлеченных из контейнера конфиденциальных BLOB-объектов (предварительная версия)

служба хранилища. Blob_DataExfiltration.AmountOfDataAnomaly.Sensitive

Описание: оповещение указывает, что пользователь извлек необычно большой объем данных из контейнера БОЛЬШИХ двоичных объектов с конфиденциальными данными в учетной записи хранения. Применимо: учетные записи хранения больших двоичных объектов Azure (стандартный общего назначения версии 2, Azure Data Lake Storage 2-го поколения или блочных BLOB-объектов класса Premium) с новым планом Defender для служба хранилища с включенной функцией обнаружения угроз конфиденциальности данных.

Тактика MITRE: Эксфильтрация

Серьезность: средний

Необычное количество больших двоичных объектов, извлеченных из контейнера конфиденциальных BLOB-объектов (предварительная версия)

служба хранилища. Blob_DataExfiltration.NumberOfBlobsAnomaly.Sensitive

Описание: оповещение указывает, что кто-то извлек необычно большое количество больших двоичных объектов из контейнера BLOB-объектов с конфиденциальными данными в учетной записи хранения. Область применения: учетные записи хранения BLOB-объектов Azure (цен. категория "Стандартный" версии 2, Azure Data Lake Storage 2-го поколения или "Премиум") с новым планом "Защитник для служба хранилища" с включенной функцией обнаружения угроз конфиденциальности данных.

Тактика MITRE: Эксфильтрация

Доступ из известного подозрительного приложения к контейнеру конфиденциальных BLOB-объектов (предварительная версия)

служба хранилища. Blob_SuspiciousApp.Sensitive

Описание. Оповещение указывает, что кто-то с известным подозрительным приложением обращается к контейнеру BLOB-объектов с конфиденциальными данными в учетной записи хранения и выполняет прошедшие проверку подлинности операции.
Доступ может указывать на то, что субъект угроз получил учетные данные для доступа к учетной записи хранения с помощью известного подозрительного приложения. Однако доступ также может указывать на тест на проникновение, проведенный в организации. Область применения: учетные записи хранения BLOB-объектов Azure (цен. категория "Стандартный" версии 2, Azure Data Lake Storage 2-го поколения или "Премиум") с новым планом "Защитник для служба хранилища" с включенной функцией обнаружения угроз конфиденциальности данных.

Тактика MITRE: первоначальный доступ

Серьезность: высокий уровень

Доступ из известного подозрительного IP-адреса к контейнеру конфиденциальных BLOB-объектов (предварительная версия)

служба хранилища. Blob_SuspiciousIp.Sensitive

Описание: оповещение указывает, что кто-то обращается к контейнеру BLOB-объектов с конфиденциальными данными в учетной записи хранения из известного подозрительного IP-адреса, связанного с угрозой intel от Microsoft Threat Intelligence. Так как доступ прошел проверку подлинности, возможно, что учетные данные, разрешающие доступ к этой учетной записи хранения, были скомпрометированы. Подробнее о возможностях Microsoft Threat Intelligence. Применимо: учетные записи хранения больших двоичных объектов Azure (стандартный общего назначения версии 2, Azure Data Lake Storage 2-го поколения или блочных BLOB-объектов класса Premium) с новым планом Defender для служба хранилища с включенной функцией обнаружения угроз конфиденциальности данных.

Тактика MITRE: предварительная атака

Серьезность: высокий уровень

Доступ из узла выхода Tor к контейнеру конфиденциальных BLOB-объектов (предварительная версия)

служба хранилища. Blob_TorAnomaly.Sensitive

Описание. Оповещение указывает, что у кого-то с IP-адресом, известным как узел выхода из Tor, обращается к контейнеру BLOB-объектов с конфиденциальными данными в учетной записи хранения с прошедшим проверку подлинности доступом. Прошедший проверку подлинности доступ из узла выхода Tor строго указывает, что субъект пытается оставаться анонимным для возможного злонамеренного намерения. Так как доступ прошел проверку подлинности, возможно, что учетные данные, разрешающие доступ к этой учетной записи хранения, были скомпрометированы. Применимо: учетные записи хранения больших двоичных объектов Azure (стандартный общего назначения версии 2, Azure Data Lake Storage 2-го поколения или блочных BLOB-объектов класса Premium) с новым планом Defender для служба хранилища с включенной функцией обнаружения угроз конфиденциальности данных.

Тактика MITRE: предварительная атака

Серьезность: высокий уровень

Доступ из необычного расположения к контейнеру конфиденциальных BLOB-объектов (предварительная версия)

служба хранилища. Blob_GeoAnomaly.Sensitive

Описание. Оповещение указывает, что у кого-то есть доступ к контейнеру BLOB-объектов с конфиденциальными данными в учетной записи хранения с проверкой подлинности из необычного расположения. Так как доступ прошел проверку подлинности, возможно, что учетные данные, разрешающие доступ к этой учетной записи хранения, были скомпрометированы. Применимо: учетные записи хранения больших двоичных объектов Azure (стандартный общего назначения версии 2, Azure Data Lake Storage 2-го поколения или блочных BLOB-объектов класса Premium) с новым планом Defender для служба хранилища с включенной функцией обнаружения угроз конфиденциальности данных.

Тактика MITRE: первоначальный доступ

Серьезность: средний

Уровень доступа контейнера BLOB-объектов конфиденциального хранилища был изменен, чтобы разрешить общедоступный доступ без проверки подлинности (предварительная версия)

служба хранилища. Blob_OpenACL.Sensitive

Описание. Оповещение указывает, что пользователь изменил уровень доступа контейнера BLOB-объектов в учетной записи хранения, содержащей конфиденциальные данные, на уровень "Контейнер", который разрешает общедоступный доступ без проверки подлинности (анонимный). Это изменение было внесено через портал Azure. Изменение уровня доступа может компрометации безопасности данных. Рекомендуется немедленно предпринять действия для защиты данных и предотвращения несанкционированного доступа в случае активации этого оповещения. Применимо: учетные записи хранения больших двоичных объектов Azure (стандартный общего назначения версии 2, Azure Data Lake Storage 2-го поколения или блочных BLOB-объектов класса Premium) с новым планом Defender для служба хранилища с включенной функцией обнаружения угроз конфиденциальности данных.

Тактика MITRE: Коллекция

Серьезность: высокий уровень

Подозрительный внешний доступ к учетной записи хранения Azure с чрезмерно пропустительным маркером SAS (предварительная версия)

служба хранилища. Blob_AccountSas.InternalSasUsedExternally

Описание. Оповещение указывает, что пользователь с внешним (общедоступным) IP-адресом обращается к учетной записи хранения, используя слишком разрешительный маркер SAS с длительным сроком действия. Этот тип доступа считается подозрительным, так как маркер SAS обычно используется только во внутренних сетях (из частных IP-адресов). Это действие может указывать на утечку маркера SAS злоумышленником или утечкой непреднамеренного источника. Даже если доступ является законным, использование маркера SAS высокого разрешения с длительным сроком действия соответствует рекомендациям по безопасности и представляет потенциальный риск безопасности. Применимо: учетные записи хранения blob-объектов Azure (цен. категория "Стандартный" версии 2, Azure Data Lake Storage 2-го поколения или "Премиум" с новым планом Defender для служба хранилища.

Тактика MITRE: эксфильтрация / разработка ресурсов / влияние

Серьезность: средний

Подозрительные внешние операции с учетной записью хранения Azure с чрезмерно пропустительным маркером SAS (предварительная версия)

служба хранилища. Blob_AccountSas.UnusualOperationFromExternalIp

Описание. Оповещение указывает, что пользователь с внешним (общедоступным) IP-адресом обращается к учетной записи хранения, используя слишком разрешительный маркер SAS с длительным сроком действия. Доступ считается подозрительным, так как операции, вызываемые за пределами сети (не из частных IP-адресов) с этим маркером SAS, обычно используются для определенного набора операций чтения и записи и удаления, но другие операции возникают, что делает этот доступ подозрительным. Это действие может указывать на утечку маркера SAS злоумышленником или утечку непреднамеренного источника. Даже если доступ является законным, использование маркера SAS высокого разрешения с длительным сроком действия соответствует рекомендациям по безопасности и представляет потенциальный риск безопасности. Применимо: учетные записи хранения blob-объектов Azure (цен. категория "Стандартный" версии 2, Azure Data Lake Storage 2-го поколения или "Премиум" с новым планом Defender для служба хранилища.

Тактика MITRE: эксфильтрация / разработка ресурсов / влияние

Серьезность: средний

Необычный маркер SAS использовался для доступа к учетной записи хранения Azure с общедоступного IP-адреса (предварительная версия)

служба хранилища. Blob_AccountSas.UnusualExternalAccess

Описание. Оповещение указывает, что пользователь с внешним (общедоступным) IP-адресом получил доступ к учетной записи хранения с помощью маркера SAS учетной записи. Доступ очень необычный и считается подозрительным, так как доступ к учетной записи хранения с использованием маркеров SAS обычно поступает только из внутренних (частных) IP-адресов. Возможно, что маркер SAS был утечкой или создан вредоносным субъектом из вашей организации или внешним способом для получения доступа к этой учетной записи хранения. Применимо: учетные записи хранения blob-объектов Azure (цен. категория "Стандартный" версии 2, Azure Data Lake Storage 2-го поколения или "Премиум" с новым планом Defender для служба хранилища.

Тактика MITRE: эксфильтрация / разработка ресурсов / влияние

Серьезность: низкая

Вредоносный файл, отправленный в учетную запись хранения

служба хранилища. Blob_AM. Вредоносные программыFound

Описание. Оповещение указывает, что вредоносный BLOB-объект был отправлен в учетную запись хранения. Это оповещение системы безопасности создается функцией сканирования вредоносных программ в Defender для служба хранилища. Возможные причины могут включать преднамеренная отправка вредоносных программ субъектом угрозы или непреднамеренной отправкой вредоносного файла законным пользователем. Область применения: учетные записи хранения BLOB-объектов Azure (цен. категория "Стандартный" версии 2, Azure Data Lake Storage 2-го поколения или блочных BLOB-объектов уровня "Премиум") с новым планом Defender для служба хранилища с включенной функцией сканирования вредоносных программ.

Тактика MITRE: боковое движение

Серьезность: высокий уровень

Вредоносный большой двоичный объект был скачан из учетной записи хранения (предварительная версия)

служба хранилища. Blob_MalwareDownload

Описание. Оповещение указывает, что вредоносный BLOB-объект был скачан из учетной записи хранения. Возможные причины могут включать вредоносные программы, которые были отправлены в учетную запись хранения и не удалены или не помещены в карантин, что позволяет субъекту угроз скачать его или непреднамеренной загрузке вредоносных программ законными пользователями или приложениями. Применимо: учетные записи хранения больших двоичных объектов Azure (стандартный общего назначения версии 2, Azure Data Lake Storage 2-го поколения или премиум-блочных BLOB-объектов) с новым планом Defender для служба хранилища с включенной функцией сканирования вредоносных программ.

Тактика MITRE: боковое движение

Серьезность: высокий, если Эйкар - низкий

Оповещения для Azure Cosmos DB

Дополнительные сведения и примечания

Доступ с выходного узла Tor

(CosmosDB_TorAnomaly)

Описание. Эта учетная запись Azure Cosmos DB была успешно получена из IP-адреса, известного как активный узел выхода Tor, анонимизирующий прокси-сервер. Доступ с проверкой подлинности с выходного узла TOR, скорее всего, указывает на то, что субъект угрозы пытается скрыть свое удостоверение.

Тактика MITRE: первоначальный доступ

Серьезность: высокий или средний

Доступ с подозрительного IP-адреса

(CosmosDB_SuspiciousIp)

Описание. Эта учетная запись Azure Cosmos DB была успешно получена из IP-адреса, который был идентифицирован как угроза microsoft Threat Intelligence.

Тактика MITRE: первоначальный доступ

Серьезность: средний

Доступ из необычного расположения

(CosmosDB_GeoAnomaly)

Описание. Доступ к этой учетной записи Azure Cosmos DB был получен из расположения, который считается незнакомым, на основе обычного шаблона доступа.

Это означает, что злоумышленник получил доступ к учетной записи либо допустимый пользователь подключился из нового или необычного географического места.

Тактика MITRE: первоначальный доступ

Серьезность: низкая

Необычный объем извлеченных данных

(CosmosDB_DataExfiltrationAnomaly)

Описание. Из этой учетной записи Azure Cosmos DB извлекается необычно большой объем данных. Это может означать, что субъект угрозы осуществил кражу данных.

Тактика MITRE: Эксфильтрация

Серьезность: средний

Извлечение ключей учетных записей Azure Cosmos DB с помощью потенциально вредоносного скрипта

(CosmosDB_SuspiciousListKeys.MaliciousScript)

Описание. Сценарий PowerShell был запущен в подписке и выполнил подозрительный шаблон операций с перечислением ключей, чтобы получить ключи учетных записей Azure Cosmos DB в подписке. Субъекты угроз используют автоматизированные скрипты, такие как Microburst, для получения списка ключей и поиска учетных записей Azure Cosmos DB, к которым у них есть доступ.

Эта операция может означать, что безопасность удостоверений в вашей организации была нарушена и что субъект угрозы пытается скомпрометировать учетные записи Azure Cosmos DB в вашей среде для вредоносных атак.

Кроме того, злоумышленник внутри организации может пытаться получить доступ к конфиденциальным данным и выполнить боковое смещение.

Тактика MITRE: Коллекция

Серьезность: средний

Подозрительное извлечение ключей учетной записи Azure Cosmos DB (AzureCosmosDB_SuspiciousListKeys.SuspiciousPrincipal)

Описание. Подозрительный источник извлек ключи доступа к учетной записи Azure Cosmos DB из подписки. Если этот источник не является законным источником, это может оказаться высокой проблемой. Извлеченный ключ доступа обеспечивает полный контроль над связанными базами данных и хранящимися в них данными. Просмотрите сведения о каждом конкретном оповещении, чтобы понять, почему источник был помечен как подозрительный.

Тактика MITRE: доступ к учетным данным

Серьезность: высокий уровень

Внедрение кода SQL: потенциальная кража данных

(CosmosDB_SqlInjection.DataExfiltration)

Описание. Подозрительный оператор SQL использовался для запроса контейнера в этой учетной записи Azure Cosmos DB.

Внедренный оператор, возможно, удалось получить доступ к данным, которые субъект угроз не имеет права на доступ.

Из-за структуры и возможностей запросов Azure Cosmos DB многие известные атаки на внедрение SQL в учетные записи Azure Cosmos DB не могут работать. Однако вариант, используемый в этой атаке, может работать, и субъекты угроз могут эксфильтровать данные.

Тактика MITRE: Эксфильтрация

Серьезность: средний

Внедрение кода SQL: попытка маскировки

(CosmosDB_SqlInjection.FailedFuzzingAttempt)

Описание. Подозрительный оператор SQL использовался для запроса контейнера в этой учетной записи Azure Cosmos DB.

Как и другие известные атаки на внедрение SQL, эта атака не будет успешной в компрометации учетной записи Azure Cosmos DB.

Тем не менее, это признак того, что субъект угроз пытается атаковать ресурсы в этой учетной записи, и ваше приложение может быть скомпрометировано.

Некоторые атаки путем внедрения кода SQL могут успешно применяться для кражи данных. Это означает, что если злоумышленник продолжает выполнять попытки внедрения SQL, они могут скомпрометировать учетную запись Azure Cosmos DB и эксфильтровать данные.

Эту угрозу можно предотвратить с помощью параметризованных запросов.

Серьезность: средний

Оповещения для службы защиты Azure от атак DDoS

Дополнительные сведения и примечания

DDoS Attack detected for Public IP (Обнаружена DDoS-атака на общедоступный IP-адрес)

(NETWORK_DDOS_DETECTED)

Описание: атака DDoS обнаружена для общедоступного IP-адреса и устранена.

Тактика MITRE: Пробовка

Серьезность: высокий уровень

DDoS Attack mitigated for Public IP (Устранена DDoS-атака на общедоступный IP-адрес)

(NETWORK_DDOS_MITIGATED)

Следующие списки включают оповещения системы безопасности Defender для контейнеров, которые были устаревшими.

Manipulation of host firewall detected (Обнаружено управление брандмауэром узла)

(K8S.NODE_FirewallDisabled)

Описание. Анализ процессов, выполняемых в контейнере или непосредственно на узле Kubernetes, обнаружил возможное манипулирование брандмауэром на узле. Злоумышленники часто отключают его для захвата данных.

Тактика MITRE: DefenseEvasion, Эксфильтрация

Серьезность: средний

Suspicious use of DNS over HTTPS (Подозрительное использование DNS через HTTPS)

(K8S.NODE_SuspiciousDNSOverHttps)

Описание. Анализ процессов, выполняемых в контейнере или непосредственно на узле Kubernetes, обнаружил использование DNS-вызова по протоколу HTTPS редко. Этот метод применяется злоумышленниками для скрытия вызовов к подозрительным или вредоносным веб-сайтам.

Тактика MITRE: DefenseEvasion, Эксфильтрация

Серьезность: средний

Обнаружено возможное подключение к вредоносному расположению.

(K8S.NODE_ThreatIntelCommandLineSuspectDomain)

Описание. Анализ процессов, выполняемых в контейнере или непосредственно на узле Kubernetes, обнаружил подключение к расположению, которое, как сообщается, является вредоносным или необычным. Это индикатор того, что может произойдить компрометация.

Тактика MITRE: InitialAccess

Серьезность: средний

Майнинг цифровой валюты

(K8S. NODE_CurrencyMining)

Описание. Анализ транзакций DNS обнаружил активность интеллектуального анализа цифровых валют. Такое действие, хотя и может быть допустимым поведением пользователя, часто используется злоумышленниками для компрометации ресурсов. К типичным действиям, связанным с активностью злоумышленников, можно отнести загрузку и выполнение общих средств добычи.

Тактика MITRE: Эксфильтрация

Отображаемое имя оповещения: обнаружена возможная вредоносная веб-оболочка

Отображаемое имя оповещения: обнаружено отключение критически важных служб

Серьезность: средний

поддерживаемые намерения цепочки убийств Defender для облака основаны на матрице MITRE ATT&CK версии 9 и описаны в таблице ниже.

Тактика	Версия ATT&CK	Description
PreAttack		Предварительная атака может быть либо попыткой доступа к определенному ресурсу независимо от вредоносных целей, либо неудачной попыткой получить доступ к целевой системе для сбора информации перед несанкционированным использованием. Обычно она определяется как попытка, исходящая из внешней сети, сканировать целевую систему и идентифицировать точку входа.
Начальный доступ	Версия 7, версия 9	Первоначальный доступ представляет собой этап, на котором злоумышленнику удается закрепиться на атакуемом ресурсе. Этот этап относится к вычислительным узлам и ресурсам, таким как учетные записи пользователей, сертификаты и т. д. Субъекты угроз часто смогут управлять ресурсом после этого этапа.
Сохраняемость	Версия 7, версия 9	Атаки типа "Сохраняемость" (Persistence) — это любой доступ, действие или изменение конфигурации в системе, позволяющие злоумышленнику получить устойчивое присутствие в этой системе. Атакующим часто приходится поддерживать доступ к системам через прерывания, такие как перезапуск системы, потеря учетных данных или другие сбои, которые потребуют перезапуска инструмента удаленного доступа или предоставления альтернативного черного хода для восстановления доступа.
Повышение привилегий	Версия 7, версия 9	Повышение привилегий (Privilege escalation) — это результат действий, позволяющих злоумышленнику получить более высокий уровень разрешений в системе или сети. Некоторые инструменты или действия требуют более высокого уровня привилегий для работы и, вероятно, необходимы во многих точках на протяжении всей операции. Учетные записи пользователей с разрешениями на доступ к определенным системам или выполнение определенных функций, необходимых для достижения их цели, также могут рассматриваться как эскалация привилегий.
Оборона Evasion	Версия 7, версия 9	Оборона неуваждения состоит из методов, которые злоумышленник может использовать для уклонения от обнаружения или предотвращения других оборон. Иногда эти действия совпадают с методиками (или вариантами) в других категориях, которые обладают дополнительными преимуществами для конкретного средства защиты или устранения рисков.
Доступ к учетным данным	Версия 7, версия 9	Атаки с получением учетных данных (Получение учетных данных) — это методы, позволяющие получать или контролировать учетные данные систем, доменов и служб, используемых в корпоративной среде, а также управлять ими. Злоумышленники, скорее всего, попытаются получить допустимые учетные данные от пользователей или из учетных записей администраторов (локальных системных администраторов или пользователей домена с правами администратора) для использования в сети. С достаточными правами доступа в сети злоумышленник может создавать учетные записи для последующего использования в среде.
Обнаружение	Версия 7, версия 9	Атаки типа "Обнаружение" (Discovery) — это методы, позволяющие злоумышленнику получать сведения о системе и внутренней сети. Когда злоумышленники получают доступ к новой системе, они должны ориентироваться на то, что они теперь контролируют и какие выгоды можно получить от этой системы во время атаки. Операционная система предоставляет множество собственных средств, помогающих в этой фазе сбора информации после нарушения безопасности.
LateralMovement	Версия 7, версия 9	"Горизонтальное смещение" (Lateral movement) — это методы, позволяющие злоумышленнику получать доступ к удаленным системам в сети и управлять ими, а также могут включать в себя выполнение средств на удаленных системах. Методы горизонтального смещения позволяют злоумышленнику собирать информацию из системы без использования дополнительных средств, таких как средство удаленного доступа. Злоумышленник может использовать боковое перемещение во многих целях, включая удаленное выполнение инструментов, сводку к более системам, доступ к определенной информации или файлам, доступ к дополнительным учетным данным или причинить эффект.
Выполнение	Версия 7, версия 9	Тактика атак типа "Выполнение" (Execution) — это методы, приводящие к выполнению контролируемого злоумышленником кода на локальной или удаленной системе. Эта тактика часто используется в сочетании с горизонтальным смещением для расширения доступа к удаленным системам в сети.
Коллекция	Версия 7, версия 9	Коллекция состоит из приемов, используемых для определения и сбора информации, например конфиденциальных файлов из целевой сети до извлечения. Эта категория также охватывает расположения в системе или сети, где злоумышленник может искать информацию для эксфильтрации.
Команда и управление	Версия 7, версия 9	Тактика атак типа "Командный центр" (Command and Control) — это методы, с помощью которых злоумышленники взаимодействуют с контролируемыми системами в целевой сети.
Извлечение	Версия 7, версия 9	Извлечение данных — это методы и атрибуты, позволяющие или помогающие злоумышленнику извлекать файлы и сведения из целевой сети. Эта категория также охватывает расположения в системе или сети, где злоумышленник может искать информацию для эксфильтрации.
Воздействие	Версия 7, версия 9	События "Влияние", в основном, пытаются напрямую уменьшить доступность или целостность системы, службы или сети, включая обработку данных, влияющих на бизнес или операционные процессы. Это часто относится к таким методам, как вымогательство, искажение, манипулирование данными и другим.

Примечание.

Для предварительных версий оповещений: предварительная версия дополнительных условий использования Azure включает дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не являются общедоступными по другим причинам.

Оповещения системы безопасности — справочное руководство

Оповещения для компьютеров Windows

A logon from a malicious IP has been detected. [seen multiple times] (Обнаружен вход с вредоносного IP-адреса) [встречается несколько раз]

Нарушение политики адаптивного управления приложениями было проверено

Addition of Guest account to Local Administrators group (Добавление гостевой учетной записи в группу локальных администраторов)

An event log was cleared (Журнал событий очищен)

Antimalware Action Failed (Не удалось выполнить действие по защите от вредоносных программ)

Antimalware Action Taken (Предпринято действие по защите от вредоносных программ)

Исключение широких файлов защиты от вредоносных программ на вашей виртуальной машине

Защита от вредоносных программ отключена, код на вашей виртуальной машине выполняется

Защита от вредоносных программ на вашей виртуальной машине отключена

Исключение файлов защиты от вредоносных программ и выполнение кода на вашей виртуальной машине

Исключение файлов защиты от вредоносных программ и выполнение кода на вашей виртуальной машине

Исключение файлов защиты от вредоносных программ на вашей виртуальной машине

На вашей виртуальной машине была отключена защита от вредоносного ПО в режиме реального времени

Защита от вредоносных программ в режиме реального времени на вашей виртуальной машине была временно отключена

Защита от вредоносных программ в режиме реального времени была временно отключена, пока код выполнялся на вашей виртуальной машине

Защита от вредоносных программ на вашей виртуальной машине временно отключена

Исключение необычных файлов для защиты от вредоносных программ на вашей виртуальной машине

Связь с подозрительным доменом, обнаруженным посредством аналитики угроз

Detected actions indicative of disabling and deleting IIS log files (Обнаружены действия, которые свидетельствуют об отключении и удалении файлов журнала IIS)

Detected anomalous mix of upper and lower case characters in command-line (Обнаружено аномальное сочетание символов верхнего и нижнего регистра в командной строке)

Detected change to a registry key that can be abused to bypass UAC (Обнаружено изменение раздела реестра, который дает возможность обхода UAC)

Detected decoding of an executable using built-in certutil.exe tool (Обнаружено декодирование исполняемого файла с помощью встроенного средства certutil.exe)

Detected enabling of the WDigest UseLogonCredential registry key (Обнаружено включение раздела реестра WDigest UseLogonCredential)

Detected encoded executable in command line data (Обнаружен закодированный исполняемый файл в данных командной строки)

Detected obfuscated command line (Обнаружена командная строка с маскированием)

Detected possible execution of keygen executable (Обнаружено возможное выполнение исполняемого файла создания ключей)

Detected possible execution of malware dropper (Обнаружено возможное выполнение загрузчика вредоносных программ)

Detected possible local reconnaissance activity (Обнаружена возможная локальная рекогносцировка)

Detected potentially suspicious use of Telegram tool (Обнаружено потенциально подозрительное использование средства Telegram)

Detected suppression of legal notice displayed to users at logon (Обнаружено подавление юридической информации, отображаемой для пользователей при входе в систему)

Detected suspicious combination of HTA and PowerShell (Обнаружено подозрительное сочетание HTA и PowerShell)

Detected suspicious commandline arguments (Обнаружены подозрительные аргументы командной строки)

Detected suspicious commandline used to start all executables in a directory (Обнаружена подозрительная командная строка, используемая для запуска всех исполняемых файлов в каталоге)

Detected suspicious credentials in commandline (Обнаружены подозрительные учетные данные в командной строке)

Detected suspicious document credentials (Обнаружены подозрительные учетные данные документов)

Detected suspicious execution of VBScript.Encode command (Обнаружено подозрительное выполнение команды VBScript.Encode)

Detected suspicious execution via rundll32.exe (Обнаружено подозрительное выполнение с помощью rundll32.exe)

Detected suspicious file cleanup commands (Обнаружены подозрительные команды очистки файлов)

Detected suspicious file creation (Обнаружено создание подозрительного файла)

Detected suspicious named pipe communications (Обнаружен подозрительный обмен данными по именованному каналу)

Detected suspicious network activity (Обнаружена подозрительная сетевая активность)

Detected suspicious new firewall rule (Обнаружено подозрительное новое правило брандмауэра)

Detected suspicious use of Cacls to lower the security state of the system (Обнаружено подозрительное использование CACLS для снижения уровня безопасности системы)

Detected suspicious use of FTP -s Switch (Обнаружено подозрительное использование параметра FTP -s)

Detected suspicious use of Pcalua.exe to launch executable code (Обнаружено подозрительное использование Pcalua.exe для запуска исполняемого кода)

Detected the disabling of critical services (Обнаружено отключение критически важных служб)

Digital currency mining related behavior detected (Обнаружено поведение, связанное с майнингом цифровых валют)

Dynamic PS script construction (Обнаружено динамическое создание скрипта PS)

Executable found running from a suspicious location (Обнаружен исполняемый файл, работающий из подозрительного расположения)

Fileless attack behavior detected (Обнаружено поведение бесфайловой атаки)

Fileless attack technique detected (Обнаружен метод бесфайловой атаки)

Fileless attack toolkit detected (Обнаружен набор средств для бесфайловой атаки)

High risk software detected (Обнаружено опасное программное обеспечение)

Local Administrators group members were enumerated (Перечислены участники группы локальных администраторов)

Malicious firewall rule created by ZINC server implant [seen multiple times] (Вредоносное правило брандмауэра, созданное вредоносным сервером ZINC [встречается несколько раз])

Malicious SQL activity (Вредоносное действие SQL)

Multiple Domain Accounts Queried (Запрошено несколько доменных учетных записей)

Possible credential dumping detected [seen multiple times] (Обнаружено возможное создание дампа учетных данных [встречается несколько раз])

Potential attempt to bypass AppLocker detected (Обнаружена потенциальная попытка обхода AppLocker)

Rare SVCHOST service group executed (Выполнен процесс SVCHOST в группе редких служб)

Sticky keys attack detected (Обнаружена атака методом залипающих клавиш)

Successful brute force attack (Успешная атака методом подбора)

Suspect integrity level indicative of RDP hijacking (Подозрительный уровень целостности, свидетельствующий о перехвате RDP)

Suspect service installation (Установка подозрительной службы)

Suspected Kerberos Golden Ticket attack parameters observed (Обнаружена возможная атака с помощью "золотого билета" Kerberos)

Suspicious Account Creation Detected (Обнаружено создание подозрительной учетной записи)

Suspicious Activity Detected (Обнаружено подозрительное действие)

Suspicious authentication activity (Подозрительные действия проверки подлинности)

Suspicious code segment detected (Обнаружено оповещение о подозрительном сегменте кода)

Suspicious double extension file executed (Выполнен файл с подозрительным двойным расширением)

Suspicious download using Certutil detected [seen multiple times] (Обнаружена подозрительная загрузка с помощью команды certutil (встречается несколько раз))

Suspicious download using Certutil detected (Обнаружена подозрительная загрузка с помощью команды certutil)

Suspicious PowerShell Activity Detected (Обнаружены подозрительные действия PowerShell)

Suspicious PowerShell cmdlets executed (Выполнены подозрительные командлеты PowerShell)

Suspicious process executed [seen multiple times] (Выполнен подозрительный процесс [встречается несколько раз])

Suspicious process executed (Выполнение подозрительных процессов)

Suspicious process name detected [seen multiple times] (Обнаружено подозрительные имя процесса [встречается несколько раз])

Suspicious process name detected (Обнаружен процесс с подозрительным именем)