Aviseringar för Azure VM-tillägg
I den här artikeln visas de säkerhetsaviseringar som du kan få för Azure VM-tillägg från Microsoft Defender för molnet och alla Microsoft Defender-planer som du har aktiverat. De aviseringar som visas i din miljö beror på de resurser och tjänster som du skyddar och din anpassade konfiguration.
Kommentar
Några av de nyligen tillagda aviseringarna som drivs av Informacije o pretnjama za Microsoft Defender och Microsoft Defender za krajnju tačku kan vara odokumenterade.
Lär dig hur du svarar på dessa aviseringar.
Lär dig hur du exporterar aviseringar.
Kommentar
Aviseringar från olika källor kan ta olika tid att visas. Aviseringar som kräver analys av nätverkstrafik kan till exempel ta längre tid att visas än aviseringar relaterade till misstänkta processer som körs på virtuella datorer.
Aviseringar om Azure VM-tillägg
Dessa aviseringar fokuserar på att identifiera misstänkta aktiviteter i tillägg för virtuella Azure-datorer och ger insikter om angripares försök att kompromettera och utföra skadliga aktiviteter på dina virtuella datorer.
Tillägg för virtuella Azure-datorer är små program som körs efter distributionen på virtuella datorer och som tillhandahåller funktioner som konfiguration, automatisering, övervakning, säkerhet med mera. Tillägg är ett kraftfullt verktyg, men de kan användas av hotaktörer för olika skadliga avsikter, till exempel:
Datainsamling och övervakning
Kodkörning och konfigurationsdistribution med hög behörighet
Återställa autentiseringsuppgifter och skapa administrativa användare
Kryptera diskar
Läs mer om defender för molnets senaste skydd mot missbruk av Azure VM-tillägg.
Misstänkt fel vid installation av GPU-tillägget i din prenumeration (förhandsversion)
(VM_GPUExtensionSuspiciousFailure)
Beskrivning: Misstänkt avsikt att installera ett GPU-tillägg på virtuella datorer som inte stöds. Det här tillägget bör installeras på virtuella datorer som är utrustade med en grafisk processor, och i det här fallet är de virtuella datorerna inte utrustade med sådana. Dessa fel kan ses när skadliga angripare kör flera installationer av ett sådant tillägg i kryptoutvinningssyfte.
MITRE-taktik: Påverkan
Allvarlighetsgrad: Medel
Misstänkt installation av ett GPU-tillägg upptäcktes på den virtuella datorn (förhandsversion)
(VM_GPUDriverExtensionUnusualExecution)
Beskrivning: Misstänkt installation av ett GPU-tillägg upptäcktes på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Angripare kan använda GPU-drivrutinstillägget för att installera GPU-drivrutiner på den virtuella datorn via Azure Resource Manager för att utföra kryptokapning. Den här aktiviteten anses misstänkt eftersom huvudmannens beteende avviker från de vanliga mönstren.
MITRE-taktik: Påverkan
Allvarlighetsgrad: Låg
Kör kommandot med ett misstänkt skript upptäcktes på den virtuella datorn (förhandsversion)
(VM_RunCommandSuspiciousScript)
Beskrivning: Ett körningskommando med ett misstänkt skript upptäcktes på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Angripare kan använda Kör kommando för att köra skadlig kod med hög behörighet på den virtuella datorn via Azure Resource Manager. Skriptet anses misstänkt eftersom vissa delar identifierades som potentiellt skadliga.
MITRE-taktik: Körning
Allvarlighetsgrad: Hög
Misstänkt obehörig körningskommandoanvändning upptäcktes på den virtuella datorn (förhandsversion)
(VM_RunCommandSuspiciousFailure)
Beskrivning: Misstänkt obehörig användning av Körningskommandot misslyckades och upptäcktes på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Angripare kan försöka använda Kör kommando för att köra skadlig kod med hög behörighet på dina virtuella datorer via Azure Resource Manager. Den här aktiviteten anses misstänkt eftersom den inte har setts tidigare.
MITRE-taktik: Körning
Allvarlighetsgrad: Medel
Misstänkt körningskommandoanvändning identifierades på den virtuella datorn (förhandsversion)
(VM_RunCommandSuspiciousUsage)
Beskrivning: Misstänkt användning av Kör kommando upptäcktes på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Angripare kan använda Kör kommando för att köra skadlig kod med hög behörighet på dina virtuella datorer via Azure Resource Manager. Den här aktiviteten anses misstänkt eftersom den inte har setts tidigare.
MITRE-taktik: Körning
Allvarlighetsgrad: Låg
Misstänkt användning av flera övervaknings- eller datainsamlingstillägg upptäcktes på dina virtuella datorer (förhandsversion)
(VM_SuspiciousMultiExtensionUsage)
Beskrivning: Misstänkt användning av flera övervaknings- eller datainsamlingstillägg upptäcktes på dina virtuella datorer genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Angripare kan missbruka sådana tillägg för datainsamling, övervakning av nätverkstrafik med mera i din prenumeration. Den här användningen anses misstänkt eftersom den inte har setts tidigare.
MITRE-taktik: Rekognosering
Allvarlighetsgrad: Medel
Misstänkt installation av diskkrypteringstillägg upptäcktes på dina virtuella datorer (förhandsversion)
(VM_DiskEncryptionSuspiciousUsage)
Beskrivning: Misstänkt installation av diskkrypteringstillägg upptäcktes på dina virtuella datorer genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Angripare kan missbruka diskkrypteringstillägget för att distribuera fullständiga diskkrypteringar på dina virtuella datorer via Azure Resource Manager i ett försök att utföra utpressningstrojanaktivitet. Den här aktiviteten anses misstänkt eftersom den inte har setts tidigare och på grund av det stora antalet tilläggsinstallationer.
MITRE-taktik: Påverkan
Allvarlighetsgrad: Medel
Misstänkt användning av VMAccess-tillägget upptäcktes på dina virtuella datorer (förhandsversion)
(VM_VMAccessSuspiciousUsage)
Beskrivning: Misstänkt användning av VMAccess-tillägget upptäcktes på dina virtuella datorer. Angripare kan missbruka VMAccess-tillägget för att få åtkomst till och kompromettera dina virtuella datorer med hög behörighet genom att återställa åtkomsten eller hantera administrativa användare. Den här aktiviteten anses misstänkt eftersom huvudkontots beteende avviker från de vanliga mönstren och på grund av det stora antalet tilläggsinstallationer.
MITRE-taktik: Beständighet
Allvarlighetsgrad: Medel
DSC-tillägget (Desired State Configuration) med ett misstänkt skript upptäcktes på den virtuella datorn (förhandsversion)
(VM_DSCExtensionSuspiciousScript)
Beskrivning: DSC-tillägget (Desired State Configuration) med ett misstänkt skript upptäcktes på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Angripare kan använda DSC-tillägget (Desired State Configuration) för att distribuera skadliga konfigurationer, till exempel beständighetsmekanismer, skadliga skript med mera, med hög behörighet, på dina virtuella datorer. Skriptet anses misstänkt eftersom vissa delar identifierades som potentiellt skadliga.
MITRE-taktik: Körning
Allvarlighetsgrad: Hög
Misstänkt användning av ett DSC-tillägg (Desired State Configuration) identifierades på dina virtuella datorer (förhandsversion)
(VM_DSCExtensionSuspiciousUsage)
Beskrivning: Misstänkt användning av ett DSC-tillägg (Desired State Configuration) identifierades på dina virtuella datorer genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Angripare kan använda DSC-tillägget (Desired State Configuration) för att distribuera skadliga konfigurationer, till exempel beständighetsmekanismer, skadliga skript med mera, med hög behörighet, på dina virtuella datorer. Den här aktiviteten anses misstänkt eftersom huvudkontots beteende avviker från de vanliga mönstren och på grund av det stora antalet tilläggsinstallationer.
MITRE-taktik: Körning
Allvarlighetsgrad: Låg
Anpassat skripttillägg med ett misstänkt skript upptäcktes på den virtuella datorn (förhandsversion)
(VM_CustomScriptExtensionSuspiciousCmd)
Beskrivning: Anpassat skripttillägg med ett misstänkt skript upptäcktes på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Angripare kan använda tillägget Anpassat skript för att köra skadlig kod med hög behörighet på den virtuella datorn via Azure Resource Manager. Skriptet anses misstänkt eftersom vissa delar identifierades som potentiellt skadliga.
MITRE-taktik: Körning
Allvarlighetsgrad: Hög
Misstänkt misslyckad körning av tillägget för anpassat skript på den virtuella datorn
(VM_CustomScriptExtensionSuspiciousFailure)
Beskrivning: Misstänkt fel i ett anpassat skripttillägg upptäcktes på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Sådana fel kan associeras med skadliga skript som körs av det här tillägget.
MITRE-taktik: Körning
Allvarlighetsgrad: Medel
Ovanlig borttagning av tillägg för anpassade skript på den virtuella datorn
(VM_CustomScriptExtensionUnusualDeletion)
Beskrivning: Ovanlig borttagning av ett tillägg för anpassat skript upptäcktes på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Angripare kan använda anpassade skripttillägg för att köra skadlig kod på dina virtuella datorer via Azure Resource Manager.
MITRE-taktik: Körning
Allvarlighetsgrad: Medel
Ovanlig körning av tillägg för anpassade skript på den virtuella datorn
(VM_CustomScriptExtensionUnusualExecution)
Beskrivning: Ovanlig körning av ett anpassat skripttillägg upptäcktes på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Angripare kan använda anpassade skripttillägg för att köra skadlig kod på dina virtuella datorer via Azure Resource Manager.
MITRE-taktik: Körning
Allvarlighetsgrad: Medel
Tillägg för anpassat skript med misstänkt startpunkt på den virtuella datorn
(VM_CustomScriptExtensionSuspiciousEntryPoint)
Beskrivning: Det anpassade skripttillägget med en misstänkt startpunkt upptäcktes på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Startpunkten refererar till en misstänkt GitHub-lagringsplats. Angripare kan använda anpassade skripttillägg för att köra skadlig kod på dina virtuella datorer via Azure Resource Manager.
MITRE-taktik: Körning
Allvarlighetsgrad: Medel
Tillägg för anpassat skript med misstänkt nyttolast på den virtuella datorn
(VM_CustomScriptExtensionSuspiciousPayload)
Beskrivning: Anpassat skripttillägg med en nyttolast från en misstänkt GitHub-lagringsplats upptäcktes på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Angripare kan använda anpassade skripttillägg för att köra skadlig kod på dina virtuella datorer via Azure Resource Manager.
MITRE-taktik: Körning
Allvarlighetsgrad: Medel
Kommentar
För aviseringar som är i förhandsversion: Tilläggsvillkoren för Azure Preview innehåller ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.