Aviseringar för Linux-datorer

I den här artikeln visas de säkerhetsaviseringar som du kan få för Linux-datorer från Microsoft Defender för molnet och alla Microsoft Defender-planer som du har aktiverat. De aviseringar som visas i din miljö beror på de resurser och tjänster som du skyddar och din anpassade konfiguration.

Kommentar

Några av de nyligen tillagda aviseringarna som drivs av Informacije o pretnjama za Microsoft Defender och Microsoft Defender za krajnju tačku kan vara odokumenterade.

Lär dig hur du svarar på dessa aviseringar.

Lär dig hur du exporterar aviseringar.

Kommentar

Aviseringar från olika källor kan ta olika tid att visas. Aviseringar som kräver analys av nätverkstrafik kan till exempel ta längre tid att visas än aviseringar relaterade till misstänkta processer som körs på virtuella datorer.

Aviseringar för Linux-datorer

Microsoft Defender för servrar plan 2 ger unika identifieringar och aviseringar, utöver de som tillhandahålls av Microsoft Defender za krajnju tačku. Aviseringarna som tillhandahålls för Linux-datorer är:

Mer information och anteckningar

En historikfil har rensats

Beskrivning: Analys av värddata anger att loggfilen för kommandohistorik har rensats. Angripare kan göra detta för att täcka sina spårningar. Åtgärden utfördes av användaren: %{användarnamn}.

MITRE-taktik: -

Allvarlighetsgrad: Medel

Principöverträdelse för anpassningsbar programkontroll granskades

(VM_AdaptiveApplicationControlLinuxViolationAudited)

Beskrivning: Nedanstående användare körde program som bryter mot organisationens programkontrollprincip på den här datorn. Det kan eventuellt utsätta datorn för skadlig kod eller programsårbarheter.

MITRE-taktik: Körning

Allvarlighetsgrad: Information

Undantag för program mot skadlig kod på den virtuella datorn

(VM_AmBroadFilesExclusion)

Beskrivning: Filundantag från program mot skadlig kod med bred exkluderingsregel identifierades på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Sådan exkludering inaktiverar praktiskt taget skyddet mot skadlig kod. Angripare kan exkludera filer från genomsökningen av program mot skadlig kod på den virtuella datorn för att förhindra identifiering när godtycklig kod körs eller infekterar datorn med skadlig kod.

MITRE-taktik: -

Allvarlighetsgrad: Medel

Program mot skadlig kod har inaktiverats och kodkörning på den virtuella datorn

(VM_AmDisablementAndCodeExecution)

Beskrivning: Program mot skadlig kod har inaktiverats samtidigt som kodkörningen på den virtuella datorn. Detta upptäcktes genom att analysera Azure Resource Manager-åtgärder i din prenumeration. Angripare inaktiverar skannrar mot skadlig kod för att förhindra identifiering när obehöriga verktyg körs eller infekterar datorn med skadlig kod.

MITRE-taktik: -

Allvarlighetsgrad: Hög

Program mot skadlig kod har inaktiverats på den virtuella datorn

(VM_AmDisablement)

Beskrivning: Program mot skadlig kod har inaktiverats på den virtuella datorn. Detta upptäcktes genom att analysera Azure Resource Manager-åtgärder i din prenumeration. Angripare kan inaktivera program mot skadlig kod på den virtuella datorn för att förhindra identifiering.

MITRE-taktik: Försvarsundandragande

Allvarlighetsgrad: Medel

Filundantag mot skadlig kod och kodkörning på den virtuella datorn

(VM_AmFileExclusionAndCodeExecution)

Beskrivning: Filen undantas från skannern för program mot skadlig kod samtidigt som koden kördes via ett anpassat skripttillägg på den virtuella datorn. Detta upptäcktes genom att analysera Azure Resource Manager-åtgärder i din prenumeration. Angripare kan exkludera filer från genomsökningen av program mot skadlig kod på den virtuella datorn för att förhindra identifiering när obehöriga verktyg körs eller infekterar datorn med skadlig kod.

MITRE-taktik: Defense Evasion, Execution

Allvarlighetsgrad: Hög

Filundantag mot skadlig kod och kodkörning på den virtuella datorn (tillfällig)

(VM_AmTempFileExclusionAndCodeExecution)

Beskrivning: Tillfälligt filundantag från program mot skadlig kod parallellt med körning av kod via anpassat skripttillägg upptäcktes på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Angripare kan exkludera filer från genomsökningen av program mot skadlig kod på den virtuella datorn för att förhindra identifiering när godtycklig kod körs eller infekterar datorn med skadlig kod.

MITRE-taktik: Defense Evasion, Execution

Allvarlighetsgrad: Hög

Undantag för program mot skadlig kod på den virtuella datorn

(VM_AmTempFileExclusion)

Beskrivning: Filen undantas från skannern för program mot skadlig kod på den virtuella datorn. Detta upptäcktes genom att analysera Azure Resource Manager-åtgärder i din prenumeration. Angripare kan exkludera filer från genomsökningen av program mot skadlig kod på den virtuella datorn för att förhindra identifiering när obehöriga verktyg körs eller infekterar datorn med skadlig kod.

MITRE-taktik: Försvarsundandragande

Allvarlighetsgrad: Medel

Skydd mot skadlig kod i realtid har inaktiverats på den virtuella datorn

(VM_AmRealtimeProtectionDisabled)

Beskrivning: Inaktiverat skydd i realtid för tillägget mot skadlig kod identifierades på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Angripare kan inaktivera realtidsskydd från genomsökningen av program mot skadlig kod på den virtuella datorn för att undvika identifiering när godtycklig kod körs eller infekterar datorn med skadlig kod.

MITRE-taktik: Försvarsundandragande

Allvarlighetsgrad: Medel

Skydd mot skadlig kod i realtid inaktiverades tillfälligt på den virtuella datorn

(VM_AmTempRealtimeProtectionDisablement)

Beskrivning: Tillfällig inaktivering av tillägget mot skadlig kod i realtidsskydd upptäcktes på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Angripare kan inaktivera realtidsskydd från genomsökningen av program mot skadlig kod på den virtuella datorn för att undvika identifiering när godtycklig kod körs eller infekterar datorn med skadlig kod.

MITRE-taktik: Försvarsundandragande

Allvarlighetsgrad: Medel

Skydd mot skadlig kod i realtid inaktiverades tillfälligt medan koden kördes på den virtuella datorn

(VM_AmRealtimeProtectionDisablementAndCodeExec)

Beskrivning: Tillfällig inaktivering av tillägget mot skadlig kod i realtidsskydd parallellt med kodkörning via anpassat skripttillägg identifierades på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Angripare kan inaktivera realtidsskydd från genomsökningen av program mot skadlig kod på den virtuella datorn för att undvika identifiering när godtycklig kod körs eller infekterar datorn med skadlig kod.

MITRE-taktik: -

Allvarlighetsgrad: Hög

Genomsökningar mot skadlig kod blockeras efter filer som kan vara relaterade till kampanjer mot skadlig kod på den virtuella datorn (förhandsversion)

(VM_AmMalwareCampaignRelatedExclusion)

Beskrivning: En exkluderingsregel identifierades på den virtuella datorn för att förhindra att tillägget mot skadlig kod genomsöker vissa filer som misstänks vara relaterade till en kampanj för skadlig kod. Regeln identifierades genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Angripare kan exkludera filer från genomsökningar av program mot skadlig kod för att förhindra identifiering när godtycklig kod körs eller infekterar datorn med skadlig kod.

MITRE-taktik: Försvarsundandragande

Allvarlighetsgrad: Medel

Program mot skadlig kod inaktiveras tillfälligt på den virtuella datorn

(VM_AmTemporarilyDisablement)

Beskrivning: Program mot skadlig kod inaktiveras tillfälligt på den virtuella datorn. Detta upptäcktes genom att analysera Azure Resource Manager-åtgärder i din prenumeration. Angripare kan inaktivera program mot skadlig kod på den virtuella datorn för att förhindra identifiering.

MITRE-taktik: -

Allvarlighetsgrad: Medel

Ovanligt filundantag mot skadlig kod på den virtuella datorn

(VM_UnusualAmFileExclusion)

Beskrivning: Ovanligt filundantag från program mot skadlig kod upptäcktes på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Angripare kan exkludera filer från genomsökningen av program mot skadlig kod på den virtuella datorn för att förhindra identifiering när godtycklig kod körs eller infekterar datorn med skadlig kod.

MITRE-taktik: Försvarsundandragande

Allvarlighetsgrad: Medel

Beteende som liknar utpressningstrojan har identifierats [sett flera gånger]

Beskrivning: Analys av värddata på %{Komprometterad värd} identifierade körningen av filer som liknar kända utpressningstrojaner som kan hindra användare från att komma åt sina system eller personliga filer och kräver lösenbetalning för att få åtkomst igen. Det här beteendet sågs [x] gånger idag på följande datorer: [Datornamn]

MITRE-taktik: -

Allvarlighetsgrad: Hög

Kommunikation med misstänkt domän identifierad av hotinformation

(AzureDNS_ThreatIntelSuspectDomain)

Beskrivning: Kommunikation med misstänkt domän upptäcktes genom att analysera DNS-transaktioner från din resurs och jämföra med kända skadliga domäner som identifieras av hotinformationsflöden. Kommunikation till skadliga domäner utförs ofta av angripare och kan innebära att din resurs komprometteras.

MITRE-taktik: Initial åtkomst, beständighet, körning, kommando och kontroll, utnyttjande

Allvarlighetsgrad: Medel

Container med en mineravbildning identifierad

(VM_MinerInContainerImage)

Beskrivning: Datorloggar anger körning av en Docker-container som kör en avbildning som är associerad med en digital valutautvinning.

MITRE-taktik: Körning

Allvarlighetsgrad: Hög

Identifierade avvikande blandning av versaler och gemener i kommandoraden

Beskrivning: Analys av värddata på %{Komprometterad värd} identifierade en kommandorad med avvikande blandning av versaler och gemener. Den här typen av mönster, även om det är möjligt, är också typiskt för angripare som försöker dölja skiftlägeskänsliga eller hashbaserade regelmatchningar när de utför administrativa uppgifter på en komprometterad värd.

MITRE-taktik: -

Allvarlighetsgrad: Medel

Filnedladdning från en känd skadlig källa har identifierats

Beskrivning: Analys av värddata har upptäckt nedladdningen av en fil från en känd källa för skadlig kod på %{Komprometterad värd}.

MITRE-taktik: -

Allvarlighetsgrad: Medel

Misstänkt nätverksaktivitet har identifierats

Beskrivning: Analys av nätverkstrafik från %{Komprometterad värd} identifierade misstänkt nätverksaktivitet. Sådan trafik, även om den är möjligen godartad, används vanligtvis av en angripare för att kommunicera med skadliga servrar för nedladdning av verktyg, kommando och kontroll och exfiltrering av data. Typisk relaterad attackeringsaktivitet omfattar kopiering av fjärradministrationsverktyg till en komprometterad värd och exfiltrering av användardata från den.

MITRE-taktik: -

Allvarlighetsgrad: Låg

Digitalt valutautvinningsrelaterat beteende har identifierats

Beskrivning: Analys av värddata på %{Komprometterad värd} identifierade körningen av en process eller ett kommando som normalt är associerat med utvinning av digital valuta.

MITRE-taktik: -

Allvarlighetsgrad: Hög

Inaktivera granskningsloggning [visas flera gånger]

Beskrivning: Linux-granskningssystemet är ett sätt att spåra säkerhetsrelevent information om systemet. Den innehåller så mycket information om de händelser som händer i systemet som möjligt. Att inaktivera granskad loggning kan hindra identifiering av överträdelser av säkerhetsprinciper som används i systemet. Det här beteendet sågs [x] gånger idag på följande datorer: [Datornamn]

MITRE-taktik: -

Allvarlighetsgrad: Låg

Utnyttjande av Xorg-sårbarhet [visas flera gånger]

Beskrivning: Analys av värddata på %{Komprometterad värd} identifierade användaren av Xorg med misstänkta argument. Angripare kan använda den här tekniken vid eskaleringsförsök av privilegier. Det här beteendet sågs [x] gånger idag på följande datorer: [Datornamn]

MITRE-taktik: -

Allvarlighetsgrad: Medel

Misslyckad SSH-råstyrkeattack

(VM_SshBruteForceFailed)

Beskrivning: Misslyckade brute force-attacker identifierades från följande angripare: %{Angripare}. Angripare försökte komma åt värden med följande användarnamn: %{Konton som används vid misslyckad inloggning till värdförsök}.

MITRE-taktik: Avsökning

Allvarlighetsgrad: Medel

Fillöst attackbeteende har identifierats

(VM_FilelessAttackBehavior.Linux)

Beskrivning: Minnet av processen som anges nedan innehåller beteenden som ofta används av fillösa attacker. Specifika beteenden är: {lista över observerade beteenden}

MITRE-taktik: Körning

Allvarlighetsgrad: Låg

Fillös attackteknik har identifierats

(VM_FilelessAttackTechnique.Linux)

Beskrivning: Minnet av processen som anges nedan innehåller bevis på en fillös attackteknik. Fillösa attacker används av angripare för att köra kod vid undvikande av identifiering av säkerhetsprogramvara. Specifika beteenden är: {lista över observerade beteenden}

MITRE-taktik: Körning

Allvarlighetsgrad: Hög

Fillös attackverktyg har identifierats

(VM_FilelessAttackToolkit.Linux)

Beskrivning: Minnet av processen som anges nedan innehåller en fillös attackverktyg: {ToolKitName}. Fillösa attackverktyg har vanligtvis inte någon närvaro i filsystemet, vilket gör det svårt att identifiera traditionella antivirusprogram. Specifika beteenden är: {lista över observerade beteenden}

MITRE-taktik: Defense Evasion, Execution

Allvarlighetsgrad: Hög

Dold filkörning har identifierats

Beskrivning: Analys av värddata anger att en dold fil kördes av %{användarnamn}. Den här aktiviteten kan antingen vara legitim aktivitet eller en indikation på en komprometterad värd.

MITRE-taktik: -

Allvarlighetsgrad: Information

Ny SSH-nyckel har lagts till [visas flera gånger]

(VM_SshKeyAddition)

Beskrivning: En ny SSH-nyckel har lagts till i den auktoriserade nyckelfilen. Det här beteendet sågs [x] gånger idag på följande datorer: [Datornamn]

MITRE-taktik: Beständighet

Allvarlighetsgrad: Låg

Ny SSH-nyckel har lagts till

Beskrivning: En ny SSH-nyckel har lagts till i den auktoriserade nyckelfilen.

MITRE-taktik: -

Allvarlighetsgrad: Låg

Möjlig bakdörr har identifierats [sett flera gånger]

Beskrivning: Analys av värddata har upptäckt att en misstänkt fil laddas ned och sedan körs på %{Komprometterad värd} i din prenumeration. Den här aktiviteten har tidigare associerats med installation av en bakdörr. Det här beteendet sågs [x] gånger idag på följande datorer: [Datornamn]

MITRE-taktik: -

Allvarlighetsgrad: Medel

Eventuellt utnyttjande av den identifierade e-postservern

(VM_MailserverExploitation )

Beskrivning: Analys av värddata på %{Komprometterad värd} identifierade en ovanlig körning under e-postserverkontot

MITRE-taktik: Utnyttjande

Allvarlighetsgrad: Medel

Möjligt skadligt webbgränssnitt har identifierats

Beskrivning: Analys av värddata på %{Komprometterad värd} identifierade ett möjligt webbgränssnitt. Angripare laddar ofta upp ett webbgränssnitt till en dator som de har komprometterat för att få beständighet eller för ytterligare utnyttjande.

MITRE-taktik: -

Allvarlighetsgrad: Medel

Möjlig lösenordsändring med hjälp av crypt-method upptäckt [sett flera gånger]

Beskrivning: Analys av värddata på %{Komprometterad värd} identifierade lösenordsändring med hjälp av kryptmetoden. Angripare kan göra den här ändringen för att fortsätta åtkomsten och få beständighet efter att ha komprometterats. Det här beteendet sågs [x] gånger idag på följande datorer: [Datornamn]

MITRE-taktik: -

Allvarlighetsgrad: Medel

Process som är associerad med utvinning av digital valuta har identifierats [visas flera gånger]

Beskrivning: Analys av värddata på %{Komprometterad värd} identifierade körningen av en process som normalt är associerad med utvinning av digital valuta. Det här beteendet sågs över 100 gånger idag på följande datorer: [Datornamn]

MITRE-taktik: -

Allvarlighetsgrad: Medel

Process som är associerad med utvinning av digital valuta har identifierats

Beskrivning: Värddataanalys identifierade körningen av en process som normalt är associerad med utvinning av digital valuta.

MITRE-taktik: Utnyttjande, utförande

Allvarlighetsgrad: Medel

Python-kodad nedladdare har identifierats [visas flera gånger]

Beskrivning: Analys av värddata på %{Komprometterad värd} identifierade körningen av kodade Python som laddar ned och kör kod från en fjärrplats. Detta kan vara en indikation på skadlig aktivitet. Det här beteendet sågs [x] gånger idag på följande datorer: [Datornamn]

MITRE-taktik: -

Allvarlighetsgrad: Låg

Skärmbild som tagits på värden [visas flera gånger]

Beskrivning: Analys av värddata på %{Komprometterad värd} identifierade användaren av ett skärmdumpsverktyg. Angripare kan använda dessa verktyg för att komma åt privata data. Det här beteendet sågs [x] gånger idag på följande datorer: [Datornamn]

MITRE-taktik: -

Allvarlighetsgrad: Låg

Shellcode har identifierats [har setts flera gånger]

Beskrivning: Analys av värddata på %{Komprometterad värd} identifierade shellcode som genererades från kommandoraden. Den här processen kan vara en legitim aktivitet eller en indikation på att en av dina datorer har komprometterats. Det här beteendet sågs [x] gånger idag på följande datorer: [Datornamn]

MITRE-taktik: -

Allvarlighetsgrad: Medel

Lyckad SSH brute force-attack

(VM_SshBruteForceSuccess)

Beskrivning: Analys av värddata har identifierat en lyckad råstyrkeattack. IP-adressen %{Angripares käll-IP} sågs göra flera inloggningsförsök. Lyckade inloggningar har gjorts från den IP-adressen med följande användare: %{Konton som används för att logga in på värd}. Det innebär att värden kan komprometteras och kontrolleras av en illvillig aktör.

MITRE-taktik: Utnyttjande

Allvarlighetsgrad: Hög

Misstänkt kontoskapande har identifierats

Beskrivning: Analys av värddata på %{Komprometterad värd} har upptäckt att ett lokalt konto %{Misstänkt kontonamn} har skapats eller använts: det här kontonamnet liknar ett windows-standardkonto eller gruppnamn %{Liknande kontonamn}. Detta är potentiellt ett oseriöst konto som skapats av en angripare, så namngivet för att undvika att bli uppmärksammad av en mänsklig administratör.

MITRE-taktik: -

Allvarlighetsgrad: Medel

Misstänkt kernelmodul har identifierats [har setts flera gånger]

Beskrivning: Analys av värddata på %{Komprometterad värd} identifierade en delad objektfil som lästes in som en kernelmodul. Det kan vara en legitim aktivitet eller en indikation på att en av dina datorer har komprometterats. Det här beteendet sågs [x] gånger idag på följande datorer: [Datornamn]

MITRE-taktik: -

Allvarlighetsgrad: Medel

Misstänkt lösenordsåtkomst [visas flera gånger]

Beskrivning: Analys av värddata har identifierat misstänkt åtkomst till krypterade användarlösenord på %{Komprometterad värd}. Det här beteendet sågs [x] gånger idag på följande datorer: [Datornamn]

MITRE-taktik: -

Allvarlighetsgrad: Information

Misstänkt lösenordsåtkomst

Beskrivning: Analys av värddata har identifierat misstänkt åtkomst till krypterade användarlösenord på %{Komprometterad värd}.

MITRE-taktik: -

Allvarlighetsgrad: Information

Misstänkt begäran till Kubernetes-instrumentpanelen

(VM_KubernetesDashboard)

Beskrivning: Datorloggar anger att en misstänkt begäran gjordes till Kubernetes-instrumentpanelen. Begäran skickades från en Kubernetes-nod, eventuellt från en av containrarna som körs i noden. Även om det här beteendet kan vara avsiktligt kan det tyda på att noden kör en komprometterad container.

MITRE-taktik: LateralMovement

Allvarlighetsgrad: Medel

Ovanlig konfigurationsåterställning på den virtuella datorn

(VM_VMAccessUnusualConfigReset)

Beskrivning: En ovanlig konfigurationsåterställning upptäcktes på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Även om den här åtgärden kan vara legitim kan angripare försöka använda tillägget för vm-åtkomst för att återställa konfigurationen på den virtuella datorn och kompromettera den.

MITRE-taktik: Åtkomst till autentiseringsuppgifter

Allvarlighetsgrad: Medel

Ovanlig återställning av användarlösenord på den virtuella datorn

(VM_VMAccessUnusualPasswordReset)

Beskrivning: En ovanlig återställning av användarlösenord upptäcktes på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Även om den här åtgärden kan vara legitim kan angripare försöka använda tillägget för vm-åtkomst för att återställa autentiseringsuppgifterna för en lokal användare på den virtuella datorn och kompromettera den.

MITRE-taktik: Åtkomst till autentiseringsuppgifter

Allvarlighetsgrad: Medel

Ovanlig SSH-nyckelåterställning för användare på den virtuella datorn

(VM_VMAccessUnusualSSHReset)

Beskrivning: En ovanlig SSH-nyckelåterställning för användare upptäcktes på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Även om den här åtgärden kan vara legitim kan angripare försöka använda tillägget för vm-åtkomst för att återställa SSH-nyckeln för ett användarkonto på den virtuella datorn och kompromettera den.

MITRE-taktik: Åtkomst till autentiseringsuppgifter

Allvarlighetsgrad: Medel

Misstänkt installation av GPU-tillägget på den virtuella datorn (förhandsversion)

(VM_GPUDriverExtensionUnusualExecution)

Beskrivning: Misstänkt installation av ett GPU-tillägg upptäcktes på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Angripare kan använda GPU-drivrutinstillägget för att installera GPU-drivrutiner på den virtuella datorn via Azure Resource Manager för att utföra kryptokapning.

MITRE-taktik: Påverkan

Allvarlighetsgrad: Låg

Kommentar

För aviseringar som är i förhandsversion: Tilläggsvillkoren för Azure Preview innehåller ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.

Nästa steg

• Säkerhetsaviseringar i Microsoft Defender för molnet
• Hantera och svara på säkerhetsaviseringar i Microsoft Defender för molnet
• Exportera kontinuerligt Defender for Cloud-data