Säkerhetsaviseringar – en referensguide

I den här artikeln visas de säkerhetsaviseringar som du kan få från Microsoft Defender för molnet och eventuella Microsoft Defender-planer som du har aktiverat. De aviseringar som visas i din miljö beror på de resurser och tjänster som du skyddar och din anpassade konfiguration.

Längst ned på den här sidan finns en tabell som beskriver Microsoft Defender för molnet kill-kedjan i linje med version 9 av MITRE ATT&CK-matrisen.

Lär dig hur du svarar på dessa aviseringar.

Lär dig hur du exporterar aviseringar.

Kommentar

Aviseringar från olika källor kan ta olika tid att visas. Aviseringar som kräver analys av nätverkstrafik kan till exempel ta längre tid att visas än aviseringar relaterade till misstänkta processer som körs på virtuella datorer.

Aviseringar för Windows-datorer

Microsoft Defender för servrar plan 2 tillhandahåller unika identifieringar och aviseringar, utöver de som tillhandahålls av Microsoft Defender för Endpoint. Aviseringarna som tillhandahålls för Windows-datorer är:

Mer information och anteckningar

En inloggning från en skadlig IP-adress har identifierats. [sett flera gånger]

Beskrivning: En lyckad fjärrautentisering för kontot [konto] och processen [process] inträffade, men inloggnings-IP-adressen (x.x.x.x.x) har tidigare rapporterats som skadlig eller mycket ovanlig. En lyckad attack har förmodligen inträffat. Filer med .scr-tilläggen är skärmsläckarfiler och finns normalt och körs från Windows-systemkatalogen.

MITRE-taktik: -

Allvarlighetsgrad: Hög

Principöverträdelse för anpassningsbar programkontroll granskades

VM_AdaptiveApplicationControlWindowsViolationAudited

Beskrivning: Nedanstående användare körde program som bryter mot organisationens programkontrollprincip på den här datorn. Det kan eventuellt utsätta datorn för skadlig kod eller programsårbarheter.

MITRE-taktik: Körning

Allvarlighetsgrad: Information

Tillägg av gästkonto i gruppen Lokala administratörer

Beskrivning: Analys av värddata har upptäckt att det inbyggda gästkontot har lagts till i gruppen Lokala administratörer på %{Komprometterad värd}, som är starkt associerad med angriparens aktivitet.

MITRE-taktik: -

Allvarlighetsgrad: Medel

En händelselogg har rensats

Beskrivning: Datorloggar anger en misstänkt åtgärd för att rensa händelseloggar efter användare: %{användarnamn} på datorn: %{CompromisedEntity}. Loggen %{log channel} har rensats.

MITRE-taktik: -

Allvarlighetsgrad: Information

Åtgärden mot skadlig kod misslyckades

Beskrivning: Microsoft Antimalware har påträffat ett fel när du vidtar en åtgärd mot skadlig kod eller annan potentiellt oönskad programvara.

MITRE-taktik: -

Allvarlighetsgrad: Medel

Åtgärder mot skadlig kod har vidtagits

Beskrivning: Microsoft Antimalware för Azure har vidtagit åtgärder för att skydda datorn mot skadlig kod eller annan potentiellt oönskad programvara.

MITRE-taktik: -

Allvarlighetsgrad: Medel

Undantag för program mot skadlig kod på den virtuella datorn

(VM_AmBroadFilesExclusion)

Beskrivning: Filundantag från program mot skadlig kod med bred exkluderingsregel identifierades på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Sådan exkludering inaktiverar praktiskt taget skyddet mot skadlig kod. Angripare kan exkludera filer från genomsökningen av program mot skadlig kod på den virtuella datorn för att förhindra identifiering när godtycklig kod körs eller infekterar datorn med skadlig kod.

MITRE-taktik: -

Allvarlighetsgrad: Medel

Program mot skadlig kod har inaktiverats och kodkörning på den virtuella datorn

(VM_AmDisablementAndCodeExecution)

Beskrivning: Program mot skadlig kod har inaktiverats samtidigt som kodkörningen på den virtuella datorn. Detta upptäcktes genom att analysera Azure Resource Manager-åtgärder i din prenumeration. Angripare inaktiverar skannrar mot skadlig kod för att förhindra identifiering när obehöriga verktyg körs eller infekterar datorn med skadlig kod.

MITRE-taktik: -

Allvarlighetsgrad: Hög

Program mot skadlig kod har inaktiverats på den virtuella datorn

(VM_AmDisablement)

Beskrivning: Program mot skadlig kod har inaktiverats på den virtuella datorn. Detta upptäcktes genom att analysera Azure Resource Manager-åtgärder i din prenumeration. Angripare kan inaktivera program mot skadlig kod på den virtuella datorn för att förhindra identifiering.

MITRE-taktik: Försvarsundandragande

Allvarlighetsgrad: Medel

Filundantag mot skadlig kod och kodkörning på den virtuella datorn

(VM_AmFileExclusionAndCodeExecution)

Beskrivning: Filen undantas från skannern för program mot skadlig kod samtidigt som koden kördes via ett anpassat skripttillägg på den virtuella datorn. Detta upptäcktes genom att analysera Azure Resource Manager-åtgärder i din prenumeration. Angripare kan exkludera filer från genomsökningen av program mot skadlig kod på den virtuella datorn för att förhindra identifiering när obehöriga verktyg körs eller infekterar datorn med skadlig kod.

MITRE-taktik: Defense Evasion, Execution

Allvarlighetsgrad: Hög

Filundantag mot skadlig kod och kodkörning på den virtuella datorn

(VM_AmTempFileExclusionAndCodeExecution)

Beskrivning: Tillfälligt filundantag från program mot skadlig kod parallellt med körning av kod via anpassat skripttillägg upptäcktes på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Angripare kan exkludera filer från genomsökningen av program mot skadlig kod på den virtuella datorn för att förhindra identifiering när godtycklig kod körs eller infekterar datorn med skadlig kod.

MITRE-taktik: Defense Evasion, Execution

Allvarlighetsgrad: Hög

Undantag för program mot skadlig kod på den virtuella datorn

(VM_AmTempFileExclusion)

Beskrivning: Filen undantas från skannern för program mot skadlig kod på den virtuella datorn. Detta upptäcktes genom att analysera Azure Resource Manager-åtgärder i din prenumeration. Angripare kan exkludera filer från genomsökningen av program mot skadlig kod på den virtuella datorn för att förhindra identifiering när obehöriga verktyg körs eller infekterar datorn med skadlig kod.

MITRE-taktik: Försvarsundandragande

Allvarlighetsgrad: Medel

Skydd mot skadlig kod i realtid har inaktiverats på den virtuella datorn

(VM_AmRealtimeProtectionDisabled)

Beskrivning: Inaktiverat skydd i realtid för tillägget mot skadlig kod identifierades på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Angripare kan inaktivera realtidsskydd från genomsökningen av program mot skadlig kod på den virtuella datorn för att undvika identifiering när godtycklig kod körs eller infekterar datorn med skadlig kod.

MITRE-taktik: Försvarsundandragande

Allvarlighetsgrad: Medel

Skydd mot skadlig kod i realtid inaktiverades tillfälligt på den virtuella datorn

(VM_AmTempRealtimeProtectionDisablement)

Beskrivning: Tillfällig inaktivering av tillägget mot skadlig kod i realtidsskydd upptäcktes på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Angripare kan inaktivera realtidsskydd från genomsökningen av program mot skadlig kod på den virtuella datorn för att undvika identifiering när godtycklig kod körs eller infekterar datorn med skadlig kod.

MITRE-taktik: Försvarsundandragande

Allvarlighetsgrad: Medel

Skydd mot skadlig kod i realtid inaktiverades tillfälligt medan koden kördes på den virtuella datorn

(VM_AmRealtimeProtectionDisablementAndCodeExec)

Beskrivning: Tillfällig inaktivering av tillägget mot skadlig kod i realtidsskydd parallellt med kodkörning via anpassat skripttillägg identifierades på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Angripare kan inaktivera realtidsskydd från genomsökningen av program mot skadlig kod på den virtuella datorn för att undvika identifiering när godtycklig kod körs eller infekterar datorn med skadlig kod.

MITRE-taktik: -

Allvarlighetsgrad: Hög

(VM_AmMalwareCampaignRelatedExclusion)

Beskrivning: En exkluderingsregel identifierades på den virtuella datorn för att förhindra att tillägget mot skadlig kod genomsöker vissa filer som misstänks vara relaterade till en kampanj för skadlig kod. Regeln identifierades genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Angripare kan exkludera filer från genomsökningar av program mot skadlig kod för att förhindra identifiering när godtycklig kod körs eller infekterar datorn med skadlig kod.

MITRE-taktik: Försvarsundandragande

Allvarlighetsgrad: Medel

Program mot skadlig kod inaktiveras tillfälligt på den virtuella datorn

(VM_AmTemporarilyDisablement)

Beskrivning: Program mot skadlig kod inaktiveras tillfälligt på den virtuella datorn. Detta upptäcktes genom att analysera Azure Resource Manager-åtgärder i din prenumeration. Angripare kan inaktivera program mot skadlig kod på den virtuella datorn för att förhindra identifiering.

MITRE-taktik: -

Allvarlighetsgrad: Medel

Ovanligt filundantag mot skadlig kod på den virtuella datorn

(VM_UnusualAmFileExclusion)

Beskrivning: Ovanligt filundantag från program mot skadlig kod upptäcktes på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Angripare kan exkludera filer från genomsökningen av program mot skadlig kod på den virtuella datorn för att förhindra identifiering när godtycklig kod körs eller infekterar datorn med skadlig kod.

MITRE-taktik: Försvarsundandragande

Allvarlighetsgrad: Medel

Kommunikation med misstänkt domän identifierad av hotinformation

(AzureDNS_ThreatIntelSuspectDomain)

Beskrivning: Kommunikation med misstänkt domän upptäcktes genom att analysera DNS-transaktioner från din resurs och jämföra med kända skadliga domäner som identifieras av hotinformationsflöden. Kommunikation till skadliga domäner utförs ofta av angripare och kan innebära att din resurs komprometteras.

MITRE-taktik: Initial åtkomst, beständighet, körning, kommando och kontroll, utnyttjande

Allvarlighetsgrad: Medel

Identifierade åtgärder som tyder på att inaktivera och ta bort IIS-loggfiler

Beskrivning: Analys av identifierade åtgärder för värddata som visar att IIS-loggfiler har inaktiverats och/eller tagits bort.

MITRE-taktik: -

Allvarlighetsgrad: Medel

Identifierade avvikande blandning av versaler och gemener i kommandoraden

Beskrivning: Analys av värddata på %{Komprometterad värd} identifierade en kommandorad med avvikande blandning av versaler och gemener. Den här typen av mönster, även om det är möjligt, är också typiskt för angripare som försöker dölja skiftlägeskänsliga eller hashbaserade regelmatchningar när de utför administrativa uppgifter på en komprometterad värd.

MITRE-taktik: -

Allvarlighetsgrad: Medel

Identifierade ändringar i en registernyckel som kan missbrukas för att kringgå UAC

Beskrivning: Analys av värddata på %{Komprometterad värd} har upptäckt att en registernyckel som kan missbrukas för att kringgå UAC (user account control) har ändrats. Den här typen av konfiguration, även om den är möjligen godartad, är också typisk för angriparens aktivitet när du försöker flytta från oprivilegierad (standardanvändare) till privilegierad (till exempel administratör) åtkomst på en komprometterad värd.

MITRE-taktik: -

Allvarlighetsgrad: Medel

Identifierade avkodning av en körbar fil med hjälp av det inbyggda certutil.exe-verktyget

Beskrivning: Analys av värddata på %{Komprometterad värd} upptäckte att certutil.exe, ett inbyggt administratörsverktyg, användes för att avkoda en körbar fil i stället för dess mainstream-syfte som rör manipulering av certifikat och certifikatdata. Angripare är kända för att missbruka funktioner hos legitima administratörsverktyg för att utföra skadliga åtgärder, till exempel med ett verktyg som certutil.exe, för att avkoda en skadlig körbar fil som sedan ska köras.

MITRE-taktik: -

Allvarlighetsgrad: Hög

Identifierade aktivering av registernyckeln WDigest UseLogonCredential

Beskrivning: Analys av värddata identifierade en ändring i registernyckeln HKLM\SYSTEM\ CurrentControlSet\Control\SecurityProviders\WDigest\ "UseLogonCredential". Mer specifikt har den här nyckeln uppdaterats för att tillåta att inloggningsuppgifter lagras i klartext i LSA-minnet. När den är aktiverad kan en angripare dumpa lösenord för rensa text från LSA-minnet med verktyg för insamling av autentiseringsuppgifter, till exempel Mimikatz.

MITRE-taktik: -

Allvarlighetsgrad: Medel

Identifierad kodad körbar fil i kommandoradsdata

Beskrivning: Analys av värddata på %{Komprometterad värd} identifierade en base-64-kodad körbar fil. Detta har tidigare associerats med angripare som försöker konstruera körbara filer i farten genom en sekvens med kommandon och försöker undvika intrångsidentifieringssystem genom att säkerställa att inget enskilt kommando utlöser en avisering. Detta kan vara legitim aktivitet eller en indikation på en komprometterad värd.

MITRE-taktik: -

Allvarlighetsgrad: Hög

Den dolda kommandoraden har identifierats

Beskrivning: Angripare använder alltmer komplexa tekniker för att undvika identifieringar som körs mot underliggande data. Analys av värddata på %{Komprometterad värd} identifierade misstänkta indikatorer på fördunkling på kommandoraden.

MITRE-taktik: -

Allvarlighetsgrad: Information

Identifierad möjlig körning av körbar keygen

Beskrivning: Analys av värddata på %{Komprometterad värd} identifierade körning av en process vars namn är ett tecken på ett keygen-verktyg. Sådana verktyg används vanligtvis för att besegra programvarulicensieringsmekanismer, men deras nedladdning paketeras ofta med annan skadlig programvara. Aktivitetsgruppen GOLD har varit känd för att använda sådana nyckelgener för att i hemlighet få åtkomst till värdar som de komprometterar.

MITRE-taktik: -

Allvarlighetsgrad: Medel

Upptäckt möjlig körning av skadlig kod dropper

Beskrivning: Analys av värddata på %{Komprometterad värd} identifierade ett filnamn som tidigare har associerats med någon av aktivitetsgruppen GOLD:s metoder för att installera skadlig kod på en offervärd.

MITRE-taktik: -

Allvarlighetsgrad: Hög

Identifierad möjlig lokal rekognoseringsaktivitet

Beskrivning: Analys av värddata på %{Komprometterad värd} identifierade en kombination av systeminfokommandon som tidigare har associerats med någon av aktivitetsgruppen GOLD:s metoder för att utföra rekognoseringsaktivitet. Även om "systeminfo.exe" är ett legitimt Windows-verktyg är det sällsynt att köra det två gånger i följd på det sätt som har inträffat här.

MITRE-taktik: -

Allvarlighetsgrad: Låg

Potentiellt misstänkt användning av Telegram-verktyget har identifierats

Beskrivning: Analys av värddata visar installationen av Telegram, en kostnadsfri molnbaserad snabbmeddelandetjänst som finns både för mobil- och skrivbordssystem. Angripare är kända för att missbruka den här tjänsten för att överföra skadliga binärfiler till andra datorer, telefoner eller surfplattor.

MITRE-taktik: -

Allvarlighetsgrad: Medel

Beskrivning: Analys av värddata på %{Komprometterad värd} identifierade ändringar i registernyckeln som styr om ett juridiskt meddelande visas för användare när de loggar in. Microsofts säkerhetsanalys har fastställt att detta är en vanlig aktivitet som utförs av angripare efter att ha komprometterat en värd.

MITRE-taktik: -

Allvarlighetsgrad: Låg

Misstänkt kombination av HTA och PowerShell har identifierats

Beskrivning: mshta.exe (Microsoft HTML Application Host) som är en signerad Microsoft-binär fil används av angriparna för att starta skadliga PowerShell-kommandon. Angripare använder ofta en HTA-fil med infogad VBScript. När ett offer bläddrar till HTA-filen och väljer att köra den körs De PowerShell-kommandon och skript som den innehåller. Analys av värddata på %{Komprometterad värd} identifierade mshta.exe att PowerShell-kommandon startades.

MITRE-taktik: -

Allvarlighetsgrad: Medel

Misstänkta kommandoradsargument har identifierats

Beskrivning: Analys av värddata på %{Komprometterad värd} identifierade misstänkta kommandoradsargument som har använts tillsammans med ett omvändt gränssnitt som används av aktivitetsgruppen HYDROGEN.

MITRE-taktik: -

Allvarlighetsgrad: Hög

Misstänkt kommandorad har identifierats som används för att starta alla körbara filer i en katalog

Beskrivning: Analys av värddata har identifierat en misstänkt process som körs på %{Komprometterad värd}. Kommandoraden anger ett försök att starta alla körbara filer (*.exe) som kan finnas i en katalog. Detta kan vara en indikation på en komprometterad värd.

MITRE-taktik: -

Allvarlighetsgrad: Medel

Identifierade misstänkta autentiseringsuppgifter i kommandoraden

Beskrivning: Analys av värddata på %{Komprometterad värd} identifierade ett misstänkt lösenord som används för att köra en fil av aktivitetsgruppen BORON. Den här aktivitetsgruppen har varit känd för att använda det här lösenordet för att köra skadlig Pirpi-kod på en offervärd.

MITRE-taktik: -

Allvarlighetsgrad: Hög

Misstänkta dokumentautentiseringsuppgifter har identifierats

Beskrivning: Analys av värddata på %{Komprometterad värd} identifierade en misstänkt, vanlig förberäknad lösenordshash som används av skadlig kod som används för att köra en fil. Aktivitetsgruppen HYDROGEN har varit känd för att använda det här lösenordet för att köra skadlig kod på en offervärd.

MITRE-taktik: -

Allvarlighetsgrad: Hög

Misstänkt körning av kommandot VBScript.Encode har identifierats

Beskrivning: Analys av värddata på %{Komprometterad värd} identifierade körningen av kommandot VBScript.Encode. Detta kodar skripten till oläslig text, vilket gör det svårare för användare att undersöka koden. Microsofts hotforskning visar att angripare ofta använder kodade VBscript-filer som en del av attacken för att undvika identifieringssystem. Detta kan vara legitim aktivitet eller en indikation på en komprometterad värd.

MITRE-taktik: -

Allvarlighetsgrad: Medel

Misstänkt körning har identifierats via rundll32.exe

Beskrivning: Analys av värddata på %{Komprometterad värd} identifierade rundll32.exe som används för att köra en process med ett ovanligt namn, vilket överensstämmer med det processnamnschema som tidigare användes av aktivitetsgruppen GOLD när de installerade sitt första stegimplantat på en komprometterad värd.

MITRE-taktik: -

Allvarlighetsgrad: Hög

Identifierade misstänkta filrensningskommandon

Beskrivning: Analys av värddata på %{Komprometterad värd} identifierade en kombination av systeminfo-kommandon som tidigare har associerats med någon av aktivitetsgruppen GOLD:s metoder för att utföra självrensning efter kompromissen. Även om "systeminfo.exe" är ett legitimt Windows-verktyg är det sällsynt att köra det två gånger i följd, följt av ett borttagningskommando på det sätt som har inträffat här.

MITRE-taktik: -

Allvarlighetsgrad: Hög

Misstänkt filskapande har identifierats

Beskrivning: Analys av värddata på %{Komprometterad värd} identifierade skapandet eller körningen av en process som tidigare har indikerat åtgärder efter kompromissen som vidtagits på en offervärd av aktivitetsgruppen BARIUM. Den här aktivitetsgruppen har varit känd för att använda den här tekniken för att ladda ned mer skadlig kod till en komprometterad värd efter att en bifogad fil i ett nätfiskedokument har öppnats.

MITRE-taktik: -

Allvarlighetsgrad: Hög

Misstänkt namngiven pipe-kommunikation har identifierats

Beskrivning: Analys av värddata på %{Komprometterad värd} identifierade data som skrivits till ett lokalt namngivet pipe från ett Windows-konsolkommando. Namngivna rör är kända för att vara en kanal som används av angripare för att uppgift och kommunicera med ett skadligt implantat. Detta kan vara legitim aktivitet eller en indikation på en komprometterad värd.

MITRE-taktik: -

Allvarlighetsgrad: Hög

Misstänkt nätverksaktivitet har identifierats

Beskrivning: Analys av nätverkstrafik från %{Komprometterad värd} identifierade misstänkt nätverksaktivitet. Sådan trafik, även om den är möjligen godartad, används vanligtvis av en angripare för att kommunicera med skadliga servrar för nedladdning av verktyg, kommando och kontroll och exfiltrering av data. Typisk relaterad attackeringsaktivitet omfattar kopiering av fjärradministrationsverktyg till en komprometterad värd och exfiltrering av användardata från den.

MITRE-taktik: -

Allvarlighetsgrad: Låg

Misstänkt ny brandväggsregel har identifierats

Beskrivning: Analys av värddata som identifierats en ny brandväggsregel har lagts till via netsh.exe för att tillåta trafik från en körbar fil på en misstänkt plats.

MITRE-taktik: -

Allvarlighetsgrad: Medel

Misstänkt användning av Cacls har upptäckts för att sänka systemets säkerhetstillstånd

Beskrivning: Angripare använder otaliga sätt som brute force, spear phishing osv. för att uppnå en första kompromiss och få fotfäste i nätverket. När den första kompromissen har uppnåtts vidtar de ofta åtgärder för att sänka säkerhetsinställningarna för ett system. Caclsâ€"short for change access control list is Microsoft Windows native command-line utility often used for modifying the security permission on folders and files. Mycket tid som binärfilen används av angriparna för att sänka säkerhetsinställningarna för ett system. Detta görs genom att ge Alla fullständig åtkomst till några av system binärfiler som ftp.exe, net.exe, wscript.exe osv. Analys av värddata på %{Komprometterad värd} identifierade misstänkt användning av Cacls för att sänka säkerheten för ett system.

MITRE-taktik: -

Allvarlighetsgrad: Medel

Misstänkt användning av FTP-s-växel har identifierats

Beskrivning: Analys av processskapandedata från %{Komprometterad värd} identifierade användningen av FTP-växeln "-s:filename". Den här växeln används för att ange en FTP-skriptfil som klienten ska köra. Skadlig kod eller skadliga processer är kända för att använda den här FTP-växeln (-s:filename) för att peka på en skriptfil, som är konfigurerad för att ansluta till en fjärr-FTP-server och ladda ned fler skadliga binärfiler.

MITRE-taktik: -

Allvarlighetsgrad: Medel

Misstänkt användning av Pcalua.exe har upptäckts för att starta körbar kod

Beskrivning: Analys av värddata på %{Komprometterad värd} identifierade användningen av pcalua.exe för att starta körbar kod. Pcalua.exe är en komponent i Microsoft Windows "ProgramKompatibilitetsassistenten", som identifierar kompatibilitetsproblem under installationen eller körningen av ett program. Angripare är kända för att missbruka funktioner i legitima Windows-systemverktyg för att utföra skadliga åtgärder, till exempel med hjälp av pcalua.exe med växeln -a för att starta skadliga körbara filer antingen lokalt eller från fjärrresurser.

MITRE-taktik: -

Allvarlighetsgrad: Medel

Identifierade inaktivering av kritiska tjänster

Beskrivning: Analysen av värddata på %{Komprometterad värd} identifierade körningen av kommandot "net.exe stop" som används för att stoppa kritiska tjänster som SharedAccess eller Windows-säkerhet-appen. Att stoppa någon av dessa tjänster kan vara en indikation på ett skadligt beteende.

MITRE-taktik: -

Allvarlighetsgrad: Medel

Beskrivning: Analys av värddata på %{Komprometterad värd} identifierade körningen av en process eller ett kommando som normalt är associerat med utvinning av digital valuta.

MITRE-taktik: -

Allvarlighetsgrad: Hög

Dynamisk PS-skriptkonstruktion

Beskrivning: Analys av värddata på %{Komprometterad värd} identifierade ett PowerShell-skript som konstruerades dynamiskt. Angripare använder ibland den här metoden för att gradvis skapa ett skript för att undvika IDS-system. Det kan vara en legitim aktivitet eller en indikation på att en av dina datorer har komprometterats.

MITRE-taktik: -

Allvarlighetsgrad: Medel

Körbar fil hittades när den kördes från en misstänkt plats

Beskrivning: Analys av värddata identifierade en körbar fil på %{Komprometterad värd} som körs från en plats som är gemensam med kända misstänkta filer. Den här körbara filen kan antingen vara en legitim aktivitet eller en indikation på en komprometterad värd.

MITRE-taktik: -

Allvarlighetsgrad: Hög

Fillöst attackbeteende har identifierats

(VM_FilelessAttackBehavior.Windows)

Beskrivning: Minnet av den angivna processen innehåller beteenden som ofta används av fillösa attacker. Specifika beteenden är:

  1. Shellcode, som är en liten kod som vanligtvis används som nyttolast vid utnyttjande av en sårbarhet i programvaran.
  2. Aktiva nätverksanslutningar. Mer information finns i Nätverk Anslut ions nedan.
  3. Funktionsanrop till säkerhetskänsliga operativsystemgränssnitt. Se Funktioner nedan för refererade OS-funktioner.
  4. Innehåller en tråd som startades i ett dynamiskt allokerat kodsegment. Detta är ett vanligt mönster för processinmatningsattacker.

MITRE-taktik: Försvarsundandragande

Allvarlighetsgrad: Låg

Fillös attackteknik har identifierats

(VM_FilelessAttackTechnique.Windows)

Beskrivning: Minnet av processen som anges nedan innehåller bevis på en fillös attackteknik. Fillösa attacker används av angripare för att köra kod vid undvikande av identifiering av säkerhetsprogramvara. Specifika beteenden är:

  1. Shellcode, som är en liten kod som vanligtvis används som nyttolast vid utnyttjande av en sårbarhet i programvaran.
  2. Körbar bild som matas in i processen, till exempel i en kodinmatningsattack.
  3. Aktiva nätverksanslutningar. Mer information finns i Nätverk Anslut ions nedan.
  4. Funktionsanrop till säkerhetskänsliga operativsystemgränssnitt. Se Funktioner nedan för refererade OS-funktioner.
  5. Processhålning, vilket är en teknik som används av skadlig kod där en legitim process läses in i systemet för att fungera som en container för fientlig kod.
  6. Innehåller en tråd som startades i ett dynamiskt allokerat kodsegment. Detta är ett vanligt mönster för processinmatningsattacker.

MITRE-taktik: Defense Evasion, Execution

Allvarlighetsgrad: Hög

Fillös attackverktyg har identifierats

(VM_FilelessAttackToolkit.Windows)

Beskrivning: Minnet av den angivna processen innehåller en fillös attackverktyg: [toolkit name]. Fillösa attackverktyg använder tekniker som minimerar eller eliminerar spår av skadlig kod på disken och minskar risken för identifiering av diskbaserade lösningar för genomsökning av skadlig kod. Specifika beteenden är:

  1. Välkända verktyg och programvara för kryptoutvinning.
  2. Shellcode, som är en liten kod som vanligtvis används som nyttolast vid utnyttjande av en sårbarhet i programvaran.
  3. Inmatade skadlig körbar fil i processminnet.

MITRE-taktik: Defense Evasion, Execution

Allvarlighetsgrad: Medel

Programvara med hög risk har identifierats

Beskrivning: Analys av värddata från %{Komprometterad värd} har identifierat användningen av programvara som tidigare har associerats med installationen av skadlig kod. En vanlig teknik som används i distributionen av skadlig programvara är att paketera den i annars godartade verktyg, till exempel den som visas i den här aviseringen. När du använder dessa verktyg kan skadlig kod installeras tyst i bakgrunden.

MITRE-taktik: -

Allvarlighetsgrad: Medel

Gruppmedlemmar för lokala administratörer räknas upp

Beskrivning: Datorloggar visar en lyckad uppräkning i gruppen %{Uppräknat gruppdomännamn}%{Uppräknat gruppnamn}. Mer specifikt har %{Räkna upp användarnamn}%{Räkna upp användarnamn} fjärranräknat medlemmarna i gruppen %{Uppräknat gruppdomännamn}%{Uppräknat gruppnamn}%{Uppräknat gruppnamn}. Den här aktiviteten kan antingen vara en legitim aktivitet eller en indikation på att en dator i organisationen har komprometterats och använts för rekognosering %{vmname}.

MITRE-taktik: -

Allvarlighetsgrad: Information

Skadlig brandväggsregel som skapats av ZINK-serverimplantatet [visas flera gånger]

Beskrivning: En brandväggsregel skapades med hjälp av tekniker som matchar en känd aktör, ZINK. Regeln användes möjligen för att öppna en port på %{Komprometterad värd} för att tillåta kommunikation med kommando och kontroll. Det här beteendet sågs [x] gånger idag på följande datorer: [Datornamn]

MITRE-taktik: -

Allvarlighetsgrad: Hög

Skadlig SQL-aktivitet

Beskrivning: Datorloggar anger att %{processnamn} kördes av kontot: %{användarnamn}. Den här aktiviteten anses skadlig.

MITRE-taktik: -

Allvarlighetsgrad: Hög

Frågor om flera domänkonton

Beskrivning: Analys av värddata har fastställt att ett ovanligt antal distinkta domänkonton efterfrågas inom en kort tidsperiod från %{Komprometterad värd}. Den här typen av verksamhet kan vara legitim, men kan också vara ett tecken på kompromisser.

MITRE-taktik: -

Allvarlighetsgrad: Medel

Möjlig dumpning av autentiseringsuppgifter har identifierats [sett flera gånger]

Beskrivning: Analys av värddata har upptäckt användning av inbyggda Windows-verktyg (till exempel sqldumper.exe) som används på ett sätt som gör det möjligt att extrahera autentiseringsuppgifter från minnet. Angripare använder ofta dessa tekniker för att extrahera autentiseringsuppgifter som de sedan ytterligare använder för lateral förflyttning och eskalering av privilegier. Det här beteendet sågs [x] gånger idag på följande datorer: [Datornamn]

MITRE-taktik: -

Allvarlighetsgrad: Medel

Potentiellt försök att kringgå AppLocker har identifierats

Beskrivning: Analys av värddata på %{Komprometterad värd} identifierade ett potentiellt försök att kringgå AppLocker-begränsningar. AppLocker kan konfigureras för att implementera en princip som begränsar vilka körbara filer som tillåts köras i ett Windows-system. Kommandoradsmönstret som liknar det som identifierades i den här aviseringen har tidigare associerats med angripares försök att kringgå AppLocker-principen med hjälp av betrodda körbara filer (tillåtna av AppLocker-principen) för att köra kod som inte är betrodd. Detta kan vara legitim aktivitet eller en indikation på en komprometterad värd.

MITRE-taktik: -

Allvarlighetsgrad: Hög

Sällsynt SVCHOST-tjänstgrupp som körs

(VM_SvcHostRunInRareServiceGroup)

Beskrivning: Systemprocessen SVCHOST observerades köra en sällsynt tjänstgrupp. Skadlig kod använder ofta SVCHOST för att maskera dess skadliga aktivitet.

MITRE-taktik: Defense Evasion, Execution

Allvarlighetsgrad: Information

Attack med klibbiga nycklar har identifierats

Beskrivning: Analys av värddata indikerar att en angripare kan undergräva en binär tillgänglighet (till exempel kladdiga nycklar, skärmtangentbord, skärmläsare) för att ge serverdelsåtkomst till värden %{Komprometterad värd}.

MITRE-taktik: -

Allvarlighetsgrad: Medel

Lyckad brute force-attack

(VM_LoginBruteForceSuccess)

Beskrivning: Flera inloggningsförsök har identifierats från samma källa. Vissa har autentiserats till värden. Detta liknar en burst-attack, där en angripare utför flera autentiseringsförsök för att hitta giltiga kontoautentiseringsuppgifter.

MITRE-taktik: Utnyttjande

Allvarlighetsgrad: Medel/hög

Misstänkt integritetsnivå som tyder på RDP-kapning

Beskrivning: Analys av värddata har upptäckt tscon.exe körs med SYSTEM-privilegier – detta kan vara ett tecken på att en angripare missbrukar den här binärfilen för att växla kontext till alla andra inloggade användare på den här värden. Det är en känd metod för angripare för att kompromettera fler användarkonton och flytta i sidled över ett nätverk.

MITRE-taktik: -

Allvarlighetsgrad: Medel

Misstänkt tjänstinstallation

Beskrivning: Analys av värddata har upptäckt installationen av tscon.exe som en tjänst: den här binära filen som startas som en tjänst kan göra det möjligt för en angripare att enkelt växla till alla andra inloggade användare på den här värden genom att kapa RDP-anslutningar. Det är en känd metod för angripare för att kompromettera fler användarkonton och flytta i sidled över ett nätverk.

MITRE-taktik: -

Allvarlighetsgrad: Medel

Misstänkta Kerberos Golden Ticket-attackparametrar observerade

Beskrivning: Analys av värddata identifierade kommandoradsparametrar som överensstämmer med en Kerberos Golden Ticket-attack.

MITRE-taktik: -

Allvarlighetsgrad: Medel

Misstänkt kontoskapande har identifierats

Beskrivning: Analys av värddata på %{Komprometterad värd} har upptäckt att ett lokalt konto %{Misstänkt kontonamn} har skapats eller använts: det här kontonamnet liknar ett windows-standardkonto eller gruppnamn %{Liknande kontonamn}. Detta är potentiellt ett oseriöst konto som skapats av en angripare, så namngivet för att undvika att bli uppmärksammad av en mänsklig administratör.

MITRE-taktik: -

Allvarlighetsgrad: Medel

Misstänkt aktivitet har identifierats

(VM_SuspiciousActivity)

Beskrivning: Analys av värddata har identifierat en sekvens med en eller flera processer som körs på %{datornamn} som tidigare har associerats med skadlig aktivitet. Även om enskilda kommandon kan verka ofarliga poängsätts aviseringen baserat på en aggregering av dessa kommandon. Detta kan antingen vara legitim aktivitet eller en indikation på en komprometterad värd.

MITRE-taktik: Körning

Allvarlighetsgrad: Medel

Misstänkt autentiseringsaktivitet

(VM_LoginBruteForceValidUserFailed)

Beskrivning: Ingen av dem lyckades, men vissa av dem använde konton kändes igen av värden. Detta liknar en ordlisteattack, där en angripare utför många autentiseringsförsök med hjälp av en ordlista med fördefinierade kontonamn och lösenord för att hitta giltiga autentiseringsuppgifter för att få åtkomst till värden. Detta indikerar att vissa av dina värdkontonamn kan finnas i en välkänd kontonamnsordlista.

MITRE-taktik: Avsökning

Allvarlighetsgrad: Medel

Misstänkt kodsegment har identifierats

Beskrivning: Anger att ett kodsegment har allokerats med hjälp av icke-standardmetoder, till exempel reflekterande inmatning och processhålning. Aviseringen ger fler egenskaper för kodsegmentet som har bearbetats för att ge kontext för funktionerna i det rapporterade kodsegmentet.

MITRE-taktik: -

Allvarlighetsgrad: Medel

Misstänkt fil med dubbelt tillägg körs

Beskrivning: Analys av värddata indikerar en körning av en process med ett misstänkt dubbelt tillägg. Det här tillägget kan lura användare att tro att filer är säkra att öppnas och kan tyda på förekomsten av skadlig kod i systemet.

MITRE-taktik: -

Allvarlighetsgrad: Hög

Misstänkt nedladdning med certutil har identifierats [sett flera gånger]

Beskrivning: Analys av värddata på %{Komprometterad värd} identifierade användningen av certutil.exe, ett inbyggt administratörsverktyg, för nedladdning av en binär fil i stället för dess mainstream-syfte som relaterar till att manipulera certifikat och certifikatdata. Angripare är kända för att missbruka funktioner i legitima administratörsverktyg för att utföra skadliga åtgärder, till exempel med hjälp av certutil.exe för att ladda ned och avkoda en skadlig körbar fil som sedan kommer att köras. Det här beteendet sågs [x] gånger idag på följande datorer: [Datornamn]

MITRE-taktik: -

Allvarlighetsgrad: Medel

Misstänkt nedladdning med Certutil har identifierats

Beskrivning: Analys av värddata på %{Komprometterad värd} identifierade användningen av certutil.exe, ett inbyggt administratörsverktyg, för nedladdning av en binär fil i stället för dess mainstream-syfte som relaterar till att manipulera certifikat och certifikatdata. Angripare är kända för att missbruka funktioner i legitima administratörsverktyg för att utföra skadliga åtgärder, till exempel med hjälp av certutil.exe för att ladda ned och avkoda en skadlig körbar fil som sedan kommer att köras.

MITRE-taktik: -

Allvarlighetsgrad: Medel

Misstänkt PowerShell-aktivitet har identifierats

Beskrivning: Analys av värddata identifierade ett PowerShell-skript som körs på %{Komprometterad värd} som har funktioner som är gemensamma med kända misstänkta skript. Det här skriptet kan antingen vara en legitim aktivitet eller en indikation på en komprometterad värd.

MITRE-taktik: -

Allvarlighetsgrad: Hög

Misstänkta PowerShell-cmdletar körs

Beskrivning: Analys av värddata indikerar körning av kända skadliga PowerShell PowerSploit-cmdletar.

MITRE-taktik: -

Allvarlighetsgrad: Medel

Misstänkt process körs [visas flera gånger]

Beskrivning: Datorloggar indikerar att den misstänkta processen: %{Misstänkt process} kördes på datorn, ofta associerad med angripares försök att komma åt autentiseringsuppgifter. Det här beteendet sågs [x] gånger idag på följande datorer: [Datornamn]

MITRE-taktik: -

Allvarlighetsgrad: Hög

Misstänkt process har körts

Beskrivning: Datorloggar indikerar att den misstänkta processen: %{Misstänkt process} kördes på datorn, ofta associerad med angripares försök att komma åt autentiseringsuppgifter.

MITRE-taktik: -

Allvarlighetsgrad: Hög

Misstänkt processnamn har identifierats [sett flera gånger]

Beskrivning: Analys av värddata på %{Komprometterad värd} identifierade en process vars namn är misstänkt, till exempel motsvarande ett känt verktyg för angripare eller namngivet på ett sätt som tyder på angripare som försöker dölja i klarsynthet. Den här processen kan vara en legitim aktivitet eller en indikation på att en av dina datorer har komprometterats. Det här beteendet sågs [x] gånger idag på följande datorer: [Datornamn]

MITRE-taktik: -

Allvarlighetsgrad: Medel

Misstänkt processnamn har identifierats

Beskrivning: Analys av värddata på %{Komprometterad värd} identifierade en process vars namn är misstänkt, till exempel motsvarande ett känt verktyg för angripare eller namngivet på ett sätt som tyder på angripare som försöker dölja i klarsynthet. Den här processen kan vara en legitim aktivitet eller en indikation på att en av dina datorer har komprometterats.

MITRE-taktik: -

Allvarlighetsgrad: Medel

Misstänkt SQL-aktivitet

Beskrivning: Datorloggar anger att %{processnamn} kördes av kontot: %{användarnamn}. Den här aktiviteten är ovanlig med det här kontot.

MITRE-taktik: -

Allvarlighetsgrad: Medel

Misstänkt SVCHOST-process körs

Beskrivning: Systemprocessen SVCHOST observerades köras i en onormal kontext. Skadlig kod använder ofta SVCHOST för att maskera dess skadliga aktivitet.

MITRE-taktik: -

Allvarlighetsgrad: Hög

Misstänkt systemprocess körs

(VM_SystemProcessInAbnormalContext)

Beskrivning: Systemprocessen %{processnamn} observerades köras i en onormal kontext. Skadlig kod använder ofta det här processnamnet för att maskera dess skadliga aktivitet.

MITRE-taktik: Defense Evasion, Execution

Allvarlighetsgrad: Hög

Misstänkt volymskuggakopieringsaktivitet

Beskrivning: Analys av värddata har identifierat en aktivitet för borttagning av skuggkopior på resursen. Skuggkopia av volym (VSC) är en viktig artefakt som lagrar ögonblicksbilder av data. Viss skadlig kod och specifikt utpressningstrojaner riktar sig mot VSC för att sabotera säkerhetskopieringsstrategier.

MITRE-taktik: -

Allvarlighetsgrad: Hög

Misstänkt WindowPosition-registervärde har identifierats

Beskrivning: Analys av värddata på %{Komprometterad värd} identifierade ett försök till ändring av WindowsPosition-registerkonfigurationen som kan tyda på att dölja programfönster i icke-delbara delar av skrivbordet. Detta kan vara legitim aktivitet eller en indikation på en komprometterad dator: den här typen av aktivitet har tidigare associerats med kända adware (eller oönskad programvara) som Win32/OneSystemCare och Win32/SystemHealer och skadlig kod som Win32/Creprote. När värdet WindowPosition är inställt på 201329664 (Hex: 0x0c00 0c00, motsvarande X-axel=0c00 och Y-axeln=0c00) placerar detta konsolappens fönster i ett icke synligt avsnitt på användarens skärm i ett område som är dolt från vyn under den synliga startmenyn/aktivitetsfältet. Känt misstänkt Hex-värde inkluderar, men inte begränsat till c000c000.

MITRE-taktik: -

Allvarlighetsgrad: Låg

Misstänkt namngiven process har identifierats

Beskrivning: Analys av värddata på %{Komprometterad värd} identifierade en process vars namn är mycket likt men som skiljer sig från en mycket vanlig körningsprocess (%{Liknande processnamn}). Även om den här processen kan vara godartad kan angripare ibland gömma sig i klarsynthet genom att namnge sina skadliga verktyg så att de liknar legitima processnamn.

MITRE-taktik: -

Allvarlighetsgrad: Medel

Ovanlig konfigurationsåterställning på den virtuella datorn

(VM_VMAccessUnusualConfigReset)

Beskrivning: En ovanlig konfigurationsåterställning upptäcktes på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Även om den här åtgärden kan vara legitim kan angripare försöka använda tillägget för vm-åtkomst för att återställa konfigurationen på den virtuella datorn och kompromettera den.

MITRE-taktik: Åtkomst till autentiseringsuppgifter

Allvarlighetsgrad: Medel

Ovanlig processkörning har identifierats

Beskrivning: Analys av värddata på %{Komprometterad värd} identifierade körningen av en process av %{Användarnamn} som var ovanlig. Konton som %{Användarnamn} tenderar att utföra en begränsad uppsättning åtgärder, den här körningen bedömdes vara avvikande och kan vara misstänkt.

MITRE-taktik: -

Allvarlighetsgrad: Hög

Ovanlig återställning av användarlösenord på den virtuella datorn

(VM_VMAccessUnusualPasswordReset)

Beskrivning: En ovanlig återställning av användarlösenord upptäcktes på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Även om den här åtgärden kan vara legitim kan angripare försöka använda tillägget för vm-åtkomst för att återställa autentiseringsuppgifterna för en lokal användare på den virtuella datorn och kompromettera den.

MITRE-taktik: Åtkomst till autentiseringsuppgifter

Allvarlighetsgrad: Medel

Ovanlig SSH-nyckelåterställning för användare på den virtuella datorn

(VM_VMAccessUnusualSSHReset)

Beskrivning: En ovanlig SSH-nyckelåterställning för användare upptäcktes på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Även om den här åtgärden kan vara legitim kan angripare försöka använda tillägget för vm-åtkomst för att återställa SSH-nyckeln för ett användarkonto på den virtuella datorn och kompromettera den.

MITRE-taktik: Åtkomst till autentiseringsuppgifter

Allvarlighetsgrad: Medel

VBScript HTTP-objektallokering har identifierats

Beskrivning: Skapandet av en VBScript-fil med kommandotolken har identifierats. Följande skript innehåller HTTP-objektallokeringskommando. Den här åtgärden kan användas för att ladda ned skadliga filer.

Misstänkt installation av GPU-tillägget på den virtuella datorn (förhandsversion)

(VM_GPUDriverExtensionUnusualExecution)

Beskrivning: Misstänkt installation av ett GPU-tillägg upptäcktes på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Angripare kan använda GPU-drivrutinstillägget för att installera GPU-drivrutiner på den virtuella datorn via Azure Resource Manager för att utföra kryptokapning.

MITRE-taktik: Påverkan

Allvarlighetsgrad: Låg

Aviseringar för Linux-datorer

Microsoft Defender för servrar plan 2 tillhandahåller unika identifieringar och aviseringar, utöver de som tillhandahålls av Microsoft Defender för Endpoint. Aviseringarna som tillhandahålls för Linux-datorer är:

Mer information och anteckningar

en historikfil har rensats

Beskrivning: Analys av värddata anger att loggfilen för kommandohistorik har rensats. Angripare kan göra detta för att täcka sina spårningar. Åtgärden utfördes av användaren: %{användarnamn}.

MITRE-taktik: -

Allvarlighetsgrad: Medel

Principöverträdelse för anpassningsbar programkontroll granskades

(VM_AdaptiveApplicationControlLinuxViolationAudited)

Beskrivning: Nedanstående användare körde program som bryter mot organisationens programkontrollprincip på den här datorn. Det kan eventuellt utsätta datorn för skadlig kod eller programsårbarheter.

MITRE-taktik: Körning

Allvarlighetsgrad: Information

Undantag för program mot skadlig kod på den virtuella datorn

(VM_AmBroadFilesExclusion)

Beskrivning: Filundantag från program mot skadlig kod med bred exkluderingsregel identifierades på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Sådan exkludering inaktiverar praktiskt taget skyddet mot skadlig kod. Angripare kan exkludera filer från genomsökningen av program mot skadlig kod på den virtuella datorn för att förhindra identifiering när godtycklig kod körs eller infekterar datorn med skadlig kod.

MITRE-taktik: -

Allvarlighetsgrad: Medel

Program mot skadlig kod har inaktiverats och kodkörning på den virtuella datorn

(VM_AmDisablementAndCodeExecution)

Beskrivning: Program mot skadlig kod har inaktiverats samtidigt som kodkörningen på den virtuella datorn. Detta upptäcktes genom att analysera Azure Resource Manager-åtgärder i din prenumeration. Angripare inaktiverar skannrar mot skadlig kod för att förhindra identifiering när obehöriga verktyg körs eller infekterar datorn med skadlig kod.

MITRE-taktik: -

Allvarlighetsgrad: Hög

Program mot skadlig kod har inaktiverats på den virtuella datorn

(VM_AmDisablement)

Beskrivning: Program mot skadlig kod har inaktiverats på den virtuella datorn. Detta upptäcktes genom att analysera Azure Resource Manager-åtgärder i din prenumeration. Angripare kan inaktivera program mot skadlig kod på den virtuella datorn för att förhindra identifiering.

MITRE-taktik: Försvarsundandragande

Allvarlighetsgrad: Medel

Filundantag mot skadlig kod och kodkörning på den virtuella datorn

(VM_AmFileExclusionAndCodeExecution)

Beskrivning: Filen undantas från skannern för program mot skadlig kod samtidigt som koden kördes via ett anpassat skripttillägg på den virtuella datorn. Detta upptäcktes genom att analysera Azure Resource Manager-åtgärder i din prenumeration. Angripare kan exkludera filer från genomsökningen av program mot skadlig kod på den virtuella datorn för att förhindra identifiering när obehöriga verktyg körs eller infekterar datorn med skadlig kod.

MITRE-taktik: Defense Evasion, Execution

Allvarlighetsgrad: Hög

Filundantag mot skadlig kod och kodkörning på den virtuella datorn

(VM_AmTempFileExclusionAndCodeExecution)

Beskrivning: Tillfälligt filundantag från program mot skadlig kod parallellt med körning av kod via anpassat skripttillägg upptäcktes på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Angripare kan exkludera filer från genomsökningen av program mot skadlig kod på den virtuella datorn för att förhindra identifiering när godtycklig kod körs eller infekterar datorn med skadlig kod.

MITRE-taktik: Defense Evasion, Execution

Allvarlighetsgrad: Hög

Undantag för program mot skadlig kod på den virtuella datorn

(VM_AmTempFileExclusion)

Beskrivning: Filen undantas från skannern för program mot skadlig kod på den virtuella datorn. Detta upptäcktes genom att analysera Azure Resource Manager-åtgärder i din prenumeration. Angripare kan exkludera filer från genomsökningen av program mot skadlig kod på den virtuella datorn för att förhindra identifiering när obehöriga verktyg körs eller infekterar datorn med skadlig kod.

MITRE-taktik: Försvarsundandragande

Allvarlighetsgrad: Medel

Skydd mot skadlig kod i realtid har inaktiverats på den virtuella datorn

(VM_AmRealtimeProtectionDisabled)

Beskrivning: Inaktiverat skydd i realtid för tillägget mot skadlig kod identifierades på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Angripare kan inaktivera realtidsskydd från genomsökningen av program mot skadlig kod på den virtuella datorn för att undvika identifiering när godtycklig kod körs eller infekterar datorn med skadlig kod.

MITRE-taktik: Försvarsundandragande

Allvarlighetsgrad: Medel

Skydd mot skadlig kod i realtid inaktiverades tillfälligt på den virtuella datorn

(VM_AmTempRealtimeProtectionDisablement)

Beskrivning: Tillfällig inaktivering av tillägget mot skadlig kod i realtidsskydd upptäcktes på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Angripare kan inaktivera realtidsskydd från genomsökningen av program mot skadlig kod på den virtuella datorn för att undvika identifiering när godtycklig kod körs eller infekterar datorn med skadlig kod.

MITRE-taktik: Försvarsundandragande

Allvarlighetsgrad: Medel

Skydd mot skadlig kod i realtid inaktiverades tillfälligt medan koden kördes på den virtuella datorn

(VM_AmRealtimeProtectionDisablementAndCodeExec)

Beskrivning: Tillfällig inaktivering av tillägget mot skadlig kod i realtidsskydd parallellt med kodkörning via anpassat skripttillägg identifierades på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Angripare kan inaktivera realtidsskydd från genomsökningen av program mot skadlig kod på den virtuella datorn för att undvika identifiering när godtycklig kod körs eller infekterar datorn med skadlig kod.

MITRE-taktik: -

Allvarlighetsgrad: Hög

(VM_AmMalwareCampaignRelatedExclusion)

Beskrivning: En exkluderingsregel identifierades på den virtuella datorn för att förhindra att tillägget mot skadlig kod genomsöker vissa filer som misstänks vara relaterade till en kampanj för skadlig kod. Regeln identifierades genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Angripare kan exkludera filer från genomsökningar av program mot skadlig kod för att förhindra identifiering när godtycklig kod körs eller infekterar datorn med skadlig kod.

MITRE-taktik: Försvarsundandragande

Allvarlighetsgrad: Medel

Program mot skadlig kod inaktiveras tillfälligt på den virtuella datorn

(VM_AmTemporarilyDisablement)

Beskrivning: Program mot skadlig kod inaktiveras tillfälligt på den virtuella datorn. Detta upptäcktes genom att analysera Azure Resource Manager-åtgärder i din prenumeration. Angripare kan inaktivera program mot skadlig kod på den virtuella datorn för att förhindra identifiering.

MITRE-taktik: -

Allvarlighetsgrad: Medel

Ovanligt filundantag mot skadlig kod på den virtuella datorn

(VM_UnusualAmFileExclusion)

Beskrivning: Ovanligt filundantag från program mot skadlig kod upptäcktes på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Angripare kan exkludera filer från genomsökningen av program mot skadlig kod på den virtuella datorn för att förhindra identifiering när godtycklig kod körs eller infekterar datorn med skadlig kod.

MITRE-taktik: Försvarsundandragande

Allvarlighetsgrad: Medel

Beteende som liknar utpressningstrojan har identifierats [sett flera gånger]

Beskrivning: Analys av värddata på %{Komprometterad värd} identifierade körningen av filer som liknar kända utpressningstrojaner som kan hindra användare från att komma åt sina system eller personliga filer och kräver lösenbetalning för att få åtkomst igen. Det här beteendet sågs [x] gånger idag på följande datorer: [Datornamn]

MITRE-taktik: -

Allvarlighetsgrad: Hög

Kommunikation med misstänkt domän identifierad av hotinformation

(AzureDNS_ThreatIntelSuspectDomain)

Beskrivning: Kommunikation med misstänkt domän upptäcktes genom att analysera DNS-transaktioner från din resurs och jämföra med kända skadliga domäner som identifieras av hotinformationsflöden. Kommunikation till skadliga domäner utförs ofta av angripare och kan innebära att din resurs komprometteras.

MITRE-taktik: Initial åtkomst, beständighet, körning, kommando och kontroll, utnyttjande

Allvarlighetsgrad: Medel

Container med en mineravbildning identifierad

(VM_MinerInContainerImage)

Beskrivning: Datorloggar anger körning av en Docker-container som kör en avbildning som är associerad med en digital valutautvinning.

MITRE-taktik: Körning

Allvarlighetsgrad: Hög

Identifierade avvikande blandning av versaler och gemener i kommandoraden

Beskrivning: Analys av värddata på %{Komprometterad värd} identifierade en kommandorad med avvikande blandning av versaler och gemener. Den här typen av mönster, även om det är möjligt, är också typiskt för angripare som försöker dölja skiftlägeskänsliga eller hashbaserade regelmatchningar när de utför administrativa uppgifter på en komprometterad värd.

MITRE-taktik: -

Allvarlighetsgrad: Medel

Filnedladdning från en känd skadlig källa har identifierats

Beskrivning: Analys av värddata har upptäckt nedladdningen av en fil från en känd källa för skadlig kod på %{Komprometterad värd}.

MITRE-taktik: -

Allvarlighetsgrad: Medel

Misstänkt nätverksaktivitet har identifierats

Beskrivning: Analys av nätverkstrafik från %{Komprometterad värd} identifierade misstänkt nätverksaktivitet. Sådan trafik, även om den är möjligen godartad, används vanligtvis av en angripare för att kommunicera med skadliga servrar för nedladdning av verktyg, kommando och kontroll och exfiltrering av data. Typisk relaterad attackeringsaktivitet omfattar kopiering av fjärradministrationsverktyg till en komprometterad värd och exfiltrering av användardata från den.

MITRE-taktik: -

Allvarlighetsgrad: Låg

Beskrivning: Analys av värddata på %{Komprometterad värd} identifierade körningen av en process eller ett kommando som normalt är associerat med utvinning av digital valuta.

MITRE-taktik: -

Allvarlighetsgrad: Hög

Inaktivera granskningsloggning [visas flera gånger]

Beskrivning: Linux-granskningssystemet är ett sätt att spåra säkerhetsrelevent information om systemet. Den innehåller så mycket information om de händelser som händer i systemet som möjligt. Att inaktivera granskad loggning kan hindra identifiering av överträdelser av säkerhetsprinciper som används i systemet. Det här beteendet sågs [x] gånger idag på följande datorer: [Datornamn]

MITRE-taktik: -

Allvarlighetsgrad: Låg

Utnyttjande av Xorg-sårbarhet [visas flera gånger]

Beskrivning: Analys av värddata på %{Komprometterad värd} identifierade användaren av Xorg med misstänkta argument. Angripare kan använda den här tekniken vid eskaleringsförsök av privilegier. Det här beteendet sågs [x] gånger idag på följande datorer: [Datornamn]

MITRE-taktik: -

Allvarlighetsgrad: Medel

Misslyckad SSH-råstyrkeattack

(VM_SshBruteForceFailed)

Beskrivning: Misslyckade brute force-attacker identifierades från följande angripare: %{Angripare}. Angripare försökte komma åt värden med följande användarnamn: %{Konton som används vid misslyckad inloggning till värdförsök}.

MITRE-taktik: Avsökning

Allvarlighetsgrad: Medel

Fillöst attackbeteende har identifierats

(VM_FilelessAttackBehavior.Linux)

Beskrivning: Minnet av processen som anges nedan innehåller beteenden som ofta används av fillösa attacker. Specifika beteenden är: {lista över observerade beteenden}

MITRE-taktik: Körning

Allvarlighetsgrad: Låg

Fillös attackteknik har identifierats

(VM_FilelessAttackTechnique.Linux)

Beskrivning: Minnet av processen som anges nedan innehåller bevis på en fillös attackteknik. Fillösa attacker används av angripare för att köra kod vid undvikande av identifiering av säkerhetsprogramvara. Specifika beteenden är: {lista över observerade beteenden}

MITRE-taktik: Körning

Allvarlighetsgrad: Hög

Fillös attackverktyg har identifierats

(VM_FilelessAttackToolkit.Linux)

Beskrivning: Minnet av processen som anges nedan innehåller en fillös attackverktyg: {ToolKitName}. Fillösa attackverktyg har vanligtvis inte någon närvaro i filsystemet, vilket gör det svårt att identifiera traditionella antivirusprogram. Specifika beteenden är: {lista över observerade beteenden}

MITRE-taktik: Defense Evasion, Execution

Allvarlighetsgrad: Hög

Dold filkörning har identifierats

Beskrivning: Analys av värddata anger att en dold fil kördes av %{användarnamn}. Den här aktiviteten kan antingen vara legitim aktivitet eller en indikation på en komprometterad värd.

MITRE-taktik: -

Allvarlighetsgrad: Information

Ny SSH-nyckel har lagts till [visas flera gånger]

(VM_SshKeyAddition)

Beskrivning: En ny SSH-nyckel har lagts till i den auktoriserade nyckelfilen. Det här beteendet sågs [x] gånger idag på följande datorer: [Datornamn]

MITRE-taktik: Beständighet

Allvarlighetsgrad: Låg

Ny SSH-nyckel har lagts till

Beskrivning: En ny SSH-nyckel har lagts till i den auktoriserade nyckelfilen.

MITRE-taktik: -

Allvarlighetsgrad: Låg

Möjlig bakdörr har identifierats [sett flera gånger]

Beskrivning: Analys av värddata har upptäckt att en misstänkt fil laddas ned och sedan körs på %{Komprometterad värd} i din prenumeration. Den här aktiviteten har tidigare associerats med installation av en bakdörr. Det här beteendet sågs [x] gånger idag på följande datorer: [Datornamn]

MITRE-taktik: -

Allvarlighetsgrad: Medel

Eventuellt utnyttjande av den identifierade e-postservern

(VM_MailserverExploitation )

Beskrivning: Analys av värddata på %{Komprometterad värd} identifierade en ovanlig körning under e-postserverkontot

MITRE-taktik: Utnyttjande

Allvarlighetsgrad: Medel

Möjligt skadligt webbgränssnitt har identifierats

Beskrivning: Analys av värddata på %{Komprometterad värd} identifierade ett möjligt webbgränssnitt. Angripare laddar ofta upp ett webbgränssnitt till en dator som de har komprometterat för att få beständighet eller för ytterligare utnyttjande.

MITRE-taktik: -

Allvarlighetsgrad: Medel

Möjlig lösenordsändring med hjälp av crypt-method upptäckt [sett flera gånger]

Beskrivning: Analys av värddata på %{Komprometterad värd} identifierade lösenordsändring med hjälp av kryptmetoden. Angripare kan göra den här ändringen för att fortsätta åtkomsten och få beständighet efter att ha komprometterats. Det här beteendet sågs [x] gånger idag på följande datorer: [Datornamn]

MITRE-taktik: -

Allvarlighetsgrad: Medel

Process som är associerad med utvinning av digital valuta har identifierats [visas flera gånger]

Beskrivning: Analys av värddata på %{Komprometterad värd} identifierade körningen av en process som normalt är associerad med utvinning av digital valuta. Det här beteendet sågs över 100 gånger idag på följande datorer: [Datornamn]

MITRE-taktik: -

Allvarlighetsgrad: Medel

Process som är associerad med utvinning av digital valuta har identifierats

Beskrivning: Värddataanalys identifierade körningen av en process som normalt är associerad med utvinning av digital valuta.

MITRE-taktik: Utnyttjande, utförande

Allvarlighetsgrad: Medel

Python-kodad nedladdare har identifierats [visas flera gånger]

Beskrivning: Analys av värddata på %{Komprometterad värd} identifierade körningen av kodade Python som laddar ned och kör kod från en fjärrplats. Detta kan vara en indikation på skadlig aktivitet. Det här beteendet sågs [x] gånger idag på följande datorer: [Datornamn]

MITRE-taktik: -

Allvarlighetsgrad: Låg

Skärmbild som tagits på värden [visas flera gånger]

Beskrivning: Analys av värddata på %{Komprometterad värd} identifierade användaren av ett skärmdumpsverktyg. Angripare kan använda dessa verktyg för att komma åt privata data. Det här beteendet sågs [x] gånger idag på följande datorer: [Datornamn]

MITRE-taktik: -

Allvarlighetsgrad: Låg

Shellcode har identifierats [har setts flera gånger]

Beskrivning: Analys av värddata på %{Komprometterad värd} identifierade shellcode som genererades från kommandoraden. Den här processen kan vara en legitim aktivitet eller en indikation på att en av dina datorer har komprometterats. Det här beteendet sågs [x] gånger idag på följande datorer: [Datornamn]

MITRE-taktik: -

Allvarlighetsgrad: Medel

Lyckad SSH brute force-attack

(VM_SshBruteForceSuccess)

Beskrivning: Analys av värddata har identifierat en lyckad råstyrkeattack. IP-adressen %{Angripares käll-IP} sågs göra flera inloggningsförsök. Lyckade inloggningar har gjorts från den IP-adressen med följande användare: %{Konton som används för att logga in på värd}. Det innebär att värden kan komprometteras och kontrolleras av en illvillig aktör.

MITRE-taktik: Utnyttjande

Allvarlighetsgrad: Hög

Misstänkt kontoskapande har identifierats

Beskrivning: Analys av värddata på %{Komprometterad värd} har upptäckt att ett lokalt konto %{Misstänkt kontonamn} har skapats eller använts: det här kontonamnet liknar ett windows-standardkonto eller gruppnamn %{Liknande kontonamn}. Detta är potentiellt ett oseriöst konto som skapats av en angripare, så namngivet för att undvika att bli uppmärksammad av en mänsklig administratör.

MITRE-taktik: -

Allvarlighetsgrad: Medel

Misstänkt kernelmodul har identifierats [har setts flera gånger]

Beskrivning: Analys av värddata på %{Komprometterad värd} identifierade en delad objektfil som lästes in som en kernelmodul. Det kan vara en legitim aktivitet eller en indikation på att en av dina datorer har komprometterats. Det här beteendet sågs [x] gånger idag på följande datorer: [Datornamn]

MITRE-taktik: -

Allvarlighetsgrad: Medel

Misstänkt lösenordsåtkomst [visas flera gånger]

Beskrivning: Analys av värddata har identifierat misstänkt åtkomst till krypterade användarlösenord på %{Komprometterad värd}. Det här beteendet sågs [x] gånger idag på följande datorer: [Datornamn]

MITRE-taktik: -

Allvarlighetsgrad: Information

Misstänkt lösenordsåtkomst

Beskrivning: Analys av värddata har identifierat misstänkt åtkomst till krypterade användarlösenord på %{Komprometterad värd}.

MITRE-taktik: -

Allvarlighetsgrad: Information

Misstänkt begäran till Kubernetes-instrumentpanelen

(VM_KubernetesDashboard)

Beskrivning: Datorloggar anger att en misstänkt begäran gjordes till Kubernetes-instrumentpanelen. Begäran skickades från en Kubernetes-nod, eventuellt från en av containrarna som körs i noden. Även om det här beteendet kan vara avsiktligt kan det tyda på att noden kör en komprometterad container.

MITRE-taktik: LateralMovement

Allvarlighetsgrad: Medel

Ovanlig konfigurationsåterställning på den virtuella datorn

(VM_VMAccessUnusualConfigReset)

Beskrivning: En ovanlig konfigurationsåterställning upptäcktes på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Även om den här åtgärden kan vara legitim kan angripare försöka använda tillägget för vm-åtkomst för att återställa konfigurationen på den virtuella datorn och kompromettera den.

MITRE-taktik: Åtkomst till autentiseringsuppgifter

Allvarlighetsgrad: Medel

Ovanlig återställning av användarlösenord på den virtuella datorn

(VM_VMAccessUnusualPasswordReset)

Beskrivning: En ovanlig återställning av användarlösenord upptäcktes på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Även om den här åtgärden kan vara legitim kan angripare försöka använda tillägget för vm-åtkomst för att återställa autentiseringsuppgifterna för en lokal användare på den virtuella datorn och kompromettera den.

MITRE-taktik: Åtkomst till autentiseringsuppgifter

Allvarlighetsgrad: Medel

Ovanlig SSH-nyckelåterställning för användare på den virtuella datorn

(VM_VMAccessUnusualSSHReset)

Beskrivning: En ovanlig SSH-nyckelåterställning för användare upptäcktes på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Även om den här åtgärden kan vara legitim kan angripare försöka använda tillägget för vm-åtkomst för att återställa SSH-nyckeln för ett användarkonto på den virtuella datorn och kompromettera den.

MITRE-taktik: Åtkomst till autentiseringsuppgifter

Allvarlighetsgrad: Medel

Misstänkt installation av GPU-tillägget på den virtuella datorn (förhandsversion)

(VM_GPUDriverExtensionUnusualExecution)

Beskrivning: Misstänkt installation av ett GPU-tillägg upptäcktes på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Angripare kan använda GPU-drivrutinstillägget för att installera GPU-drivrutiner på den virtuella datorn via Azure Resource Manager för att utföra kryptokapning.

MITRE-taktik: Påverkan

Allvarlighetsgrad: Låg

Aviseringar för DNS

Viktigt!

Från och med den 1 augusti kan kunder med en befintlig prenumeration på Defender för DNS fortsätta att använda tjänsten, men nya prenumeranter får aviseringar om misstänkt DNS-aktivitet som en del av Defender för servrar P2.

Mer information och anteckningar

Avvikande nätverksprotokollanvändning

(AzureDNS_ProtocolAnomaly)

Beskrivning: Analys av DNS-transaktioner från %{CompromisedEntity} identifierade avvikande protokollanvändning. Sådan trafik, även om den är möjligen godartad, kan tyda på missbruk av det här gemensamma protokollet för att kringgå filtrering av nätverkstrafik. Typisk relaterad attackeringsaktivitet omfattar kopiering av fjärradministrationsverktyg till en komprometterad värd och exfiltrering av användardata från den.

MITRE-taktik: Exfiltrering

Allvarlighetsgrad: -

Nätverksaktivitet för anonymitet

(AzureDNS_DarkWeb)

Beskrivning: Analys av DNS-transaktioner från %{CompromisedEntity} identifierade anonymitetsnätverksaktivitet. Sådan aktivitet, även om det kan vara legitimt användarbeteende, används ofta av angripare för att undvika spårning och fingeravtryck av nätverkskommunikation. Typisk relaterad angripare aktivitet är sannolikt att inkludera nedladdning och körning av skadlig programvara eller fjärradministrationsverktyg.

MITRE-taktik: Exfiltrering

Allvarlighetsgrad: Låg

Anonymitetsnätverksaktivitet med hjälp av webbproxy

(AzureDNS_DarkWebProxy)

Beskrivning: Analys av DNS-transaktioner från %{CompromisedEntity} identifierade anonymitetsnätverksaktivitet. Sådan aktivitet, även om det kan vara legitimt användarbeteende, används ofta av angripare för att undvika spårning och fingeravtryck av nätverkskommunikation. Typisk relaterad angripare aktivitet är sannolikt att inkludera nedladdning och körning av skadlig programvara eller fjärradministrationsverktyg.

MITRE-taktik: Exfiltrering

Allvarlighetsgrad: Låg

Försök till kommunikation med misstänkt sinkholed-domän

(AzureDNS_SinkholedDomain)

Beskrivning: Analys av DNS-transaktioner från %{CompromisedEntity} identifierade begäran om sinkholed-domän. Sådan aktivitet, även om det kan vara ett legitimt användarbeteende, är ofta en indikation på nedladdning eller körning av skadlig programvara. Typisk relaterad angripare aktivitet är sannolikt att inkludera nedladdning och körning av ytterligare skadlig programvara eller fjärradministrationsverktyg.

MITRE-taktik: Exfiltrering

Allvarlighetsgrad: Medel

Kommunikation med möjlig nätfiskedomän

(AzureDNS_PhishingDomain)

Beskrivning: Analys av DNS-transaktioner från %{CompromisedEntity} identifierade en begäran om en möjlig nätfiskedomän. Sådan aktivitet, även om den är möjligen godartad, utförs ofta av angripare för att samla in autentiseringsuppgifter till fjärrtjänster. Typisk relaterad attackerande aktivitet kommer sannolikt att omfatta utnyttjande av eventuella autentiseringsuppgifter för den legitima tjänsten.

MITRE-taktik: Exfiltrering

Allvarlighetsgrad: Information

Kommunikation med misstänkt algoritmgenererad domän

(AzureDNS_DomainGenerationAlgorithm)

Beskrivning: Analys av DNS-transaktioner från %{CompromisedEntity} identifierade möjlig användning av en algoritm för domängenerering. Sådan aktivitet, även om den är möjligen godartad, utförs ofta av angripare för att undvika nätverksövervakning och filtrering. Typisk relaterad angripare aktivitet är sannolikt att inkludera nedladdning och körning av skadlig programvara eller fjärradministrationsverktyg.

MITRE-taktik: Exfiltrering

Allvarlighetsgrad: Information

Kommunikation med misstänkt domän identifierad av hotinformation

(AzureDNS_ThreatIntelSuspectDomain)

Beskrivning: Kommunikation med misstänkt domän upptäcktes genom att analysera DNS-transaktioner från din resurs och jämföra med kända skadliga domäner som identifieras av hotinformationsflöden. Kommunikation till skadliga domäner utförs ofta av angripare och kan innebära att din resurs komprometteras.

MITRE-taktik: Inledande åtkomst

Allvarlighetsgrad: Medel

Kommunikation med misstänkt slumpmässigt domännamn

(AzureDNS_RandomizedDomain)

Beskrivning: Analys av DNS-transaktioner från %{CompromisedEntity} identifierade användningen av ett misstänkt slumpmässigt genererat domännamn. Sådan aktivitet, även om den är möjligen godartad, utförs ofta av angripare för att undvika nätverksövervakning och filtrering. Typisk relaterad angripare aktivitet är sannolikt att inkludera nedladdning och körning av skadlig programvara eller fjärradministrationsverktyg.

MITRE-taktik: Exfiltrering

Allvarlighetsgrad: Information

Gruvaktivitet för digital valuta

(AzureDNS_CurrencyMining)

Beskrivning: Analys av DNS-transaktioner från %{CompromisedEntity} identifierade gruvaktivitet för digital valuta. Sådan aktivitet, även om det kan vara ett legitimt användarbeteende, utförs ofta av angripare efter att resurser har komprometterats. Typisk relaterad attackeringsaktivitet kommer sannolikt att omfatta nedladdning och körning av vanliga gruvverktyg.

MITRE-taktik: Exfiltrering

Allvarlighetsgrad: Låg

Aktivering av signatur för identifiering av nätverksintrång

(AzureDNS_SuspiciousDomain)

Beskrivning: Analys av DNS-transaktioner från %{CompromisedEntity} identifierade en känd signatur för skadligt nätverk. Sådan aktivitet, även om det kan vara ett legitimt användarbeteende, är ofta en indikation på nedladdning eller körning av skadlig programvara. Typisk relaterad angripare aktivitet är sannolikt att inkludera nedladdning och körning av ytterligare skadlig programvara eller fjärradministrationsverktyg.

MITRE-taktik: Exfiltrering

Allvarlighetsgrad: Medel

Möjlig datahämtning via DNS-tunnel

(AzureDNS_DataInfiltration)

Beskrivning: Analys av DNS-transaktioner från %{CompromisedEntity} identifierade en möjlig DNS-tunnel. Sådan aktivitet, även om det kan vara ett legitimt användarbeteende, utförs ofta av angripare för att undvika nätverksövervakning och filtrering. Typisk relaterad angripare aktivitet är sannolikt att inkludera nedladdning och körning av skadlig programvara eller fjärradministrationsverktyg.

MITRE-taktik: Exfiltrering

Allvarlighetsgrad: Låg

Möjlig dataexfiltrering via DNS-tunnel

(AzureDNS_DataExfiltration)

Beskrivning: Analys av DNS-transaktioner från %{CompromisedEntity} identifierade en möjlig DNS-tunnel. Sådan aktivitet, även om det kan vara ett legitimt användarbeteende, utförs ofta av angripare för att undvika nätverksövervakning och filtrering. Typisk relaterad angripare aktivitet är sannolikt att inkludera nedladdning och körning av skadlig programvara eller fjärradministrationsverktyg.

MITRE-taktik: Exfiltrering

Allvarlighetsgrad: Låg

Möjlig dataöverföring via DNS-tunnel

(AzureDNS_DataObfuscation)

Beskrivning: Analys av DNS-transaktioner från %{CompromisedEntity} identifierade en möjlig DNS-tunnel. Sådan aktivitet, även om det kan vara ett legitimt användarbeteende, utförs ofta av angripare för att undvika nätverksövervakning och filtrering. Typisk relaterad angripare aktivitet är sannolikt att inkludera nedladdning och körning av skadlig programvara eller fjärradministrationsverktyg.

MITRE-taktik: Exfiltrering

Allvarlighetsgrad: Låg

Aviseringar för Azure VM-tillägg

Dessa aviseringar fokuserar på att identifiera misstänkta aktiviteter i tillägg för virtuella Azure-datorer och ger insikter om angripares försök att kompromettera och utföra skadliga aktiviteter på dina virtuella datorer.

Tillägg för virtuella Azure-datorer är små program som körs efter distributionen på virtuella datorer och som tillhandahåller funktioner som konfiguration, automatisering, övervakning, säkerhet med mera. Tillägg är ett kraftfullt verktyg, men de kan användas av hotaktörer för olika skadliga avsikter, till exempel:

  • Datainsamling och övervakning

  • Kodkörning och konfigurationsdistribution med hög behörighet

  • Återställa autentiseringsuppgifter och skapa administrativa användare

  • Kryptera diskar

Läs mer om Defender för molnet senaste skyddet mot missbruk av Azure VM-tillägg.

Misstänkt fel vid installation av GPU-tillägget i din prenumeration (förhandsversion)

(VM_GPUExtensionSuspiciousFailure)

Beskrivning: Misstänkt avsikt att installera ett GPU-tillägg på virtuella datorer som inte stöds. Det här tillägget bör installeras på virtuella datorer som är utrustade med en grafisk processor, och i det här fallet är de virtuella datorerna inte utrustade med sådana. Dessa fel kan ses när skadliga angripare kör flera installationer av ett sådant tillägg i kryptoutvinningssyfte.

MITRE-taktik: Påverkan

Allvarlighetsgrad: Medel

Misstänkt installation av ett GPU-tillägg upptäcktes på den virtuella datorn (förhandsversion)

(VM_GPUDriverExtensionUnusualExecution)

Beskrivning: Misstänkt installation av ett GPU-tillägg upptäcktes på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Angripare kan använda GPU-drivrutinstillägget för att installera GPU-drivrutiner på den virtuella datorn via Azure Resource Manager för att utföra kryptokapning. Den här aktiviteten anses misstänkt eftersom huvudmannens beteende avviker från de vanliga mönstren.

MITRE-taktik: Påverkan

Allvarlighetsgrad: Låg

Kör kommandot med ett misstänkt skript upptäcktes på den virtuella datorn (förhandsversion)

(VM_RunCommandSuspiciousScript)

Beskrivning: Ett körningskommando med ett misstänkt skript upptäcktes på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Angripare kan använda Kör kommando för att köra skadlig kod med hög behörighet på den virtuella datorn via Azure Resource Manager. Skriptet anses misstänkt eftersom vissa delar identifierades som potentiellt skadliga.

MITRE-taktik: Körning

Allvarlighetsgrad: Hög

Misstänkt obehörig körningskommandoanvändning upptäcktes på den virtuella datorn (förhandsversion)

(VM_RunCommandSuspiciousFailure)

Beskrivning: Misstänkt obehörig användning av Körningskommandot misslyckades och upptäcktes på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Angripare kan försöka använda Kör kommando för att köra skadlig kod med hög behörighet på dina virtuella datorer via Azure Resource Manager. Den här aktiviteten anses misstänkt eftersom den inte har setts tidigare.

MITRE-taktik: Körning

Allvarlighetsgrad: Medel

Misstänkt körningskommandoanvändning identifierades på den virtuella datorn (förhandsversion)

(VM_RunCommandSuspiciousUsage)

Beskrivning: Misstänkt användning av Kör kommando upptäcktes på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Angripare kan använda Kör kommando för att köra skadlig kod med hög behörighet på dina virtuella datorer via Azure Resource Manager. Den här aktiviteten anses misstänkt eftersom den inte har setts tidigare.

MITRE-taktik: Körning

Allvarlighetsgrad: Låg

Misstänkt användning av flera övervaknings- eller datainsamlingstillägg upptäcktes på dina virtuella datorer (förhandsversion)

(VM_SuspiciousMultiExtensionUsage)

Beskrivning: Misstänkt användning av flera övervaknings- eller datainsamlingstillägg upptäcktes på dina virtuella datorer genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Angripare kan missbruka sådana tillägg för datainsamling, övervakning av nätverkstrafik med mera i din prenumeration. Den här användningen anses misstänkt eftersom den inte har setts tidigare.

MITRE-taktik: Rekognosering

Allvarlighetsgrad: Medel

Misstänkt installation av diskkrypteringstillägg upptäcktes på dina virtuella datorer (förhandsversion)

(VM_DiskEncryptionSuspiciousUsage)

Beskrivning: Misstänkt installation av diskkrypteringstillägg upptäcktes på dina virtuella datorer genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Angripare kan missbruka diskkrypteringstillägget för att distribuera fullständiga diskkrypteringar på dina virtuella datorer via Azure Resource Manager i ett försök att utföra utpressningstrojanaktivitet. Den här aktiviteten anses misstänkt eftersom den inte har setts tidigare och på grund av det stora antalet tilläggsinstallationer.

MITRE-taktik: Påverkan

Allvarlighetsgrad: Medel

Misstänkt användning av VMAccess-tillägget upptäcktes på dina virtuella datorer (förhandsversion)

(VM_VMAccessSuspiciousUsage)

Beskrivning: Misstänkt användning av VMAccess-tillägget upptäcktes på dina virtuella datorer. Angripare kan missbruka VMAccess-tillägget för att få åtkomst till och kompromettera dina virtuella datorer med hög behörighet genom att återställa åtkomsten eller hantera administrativa användare. Den här aktiviteten anses misstänkt eftersom huvudkontots beteende avviker från de vanliga mönstren och på grund av det stora antalet tilläggsinstallationer.

MITRE-taktik: Beständighet

Allvarlighetsgrad: Medel

DSC-tillägget (Desired State Configuration) med ett misstänkt skript upptäcktes på den virtuella datorn (förhandsversion)

(VM_DSCExtensionSuspiciousScript)

Beskrivning: DSC-tillägget (Desired State Configuration) med ett misstänkt skript upptäcktes på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Angripare kan använda DSC-tillägget (Desired State Configuration) för att distribuera skadliga konfigurationer, till exempel beständighetsmekanismer, skadliga skript med mera, med hög behörighet, på dina virtuella datorer. Skriptet anses misstänkt eftersom vissa delar identifierades som potentiellt skadliga.

MITRE-taktik: Körning

Allvarlighetsgrad: Hög

Misstänkt användning av ett DSC-tillägg (Desired State Configuration) identifierades på dina virtuella datorer (förhandsversion)

(VM_DSCExtensionSuspiciousUsage)

Beskrivning: Misstänkt användning av ett DSC-tillägg (Desired State Configuration) identifierades på dina virtuella datorer genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Angripare kan använda DSC-tillägget (Desired State Configuration) för att distribuera skadliga konfigurationer, till exempel beständighetsmekanismer, skadliga skript med mera, med hög behörighet, på dina virtuella datorer. Den här aktiviteten anses misstänkt eftersom huvudkontots beteende avviker från de vanliga mönstren och på grund av det stora antalet tilläggsinstallationer.

MITRE-taktik: Körning

Allvarlighetsgrad: Låg

Anpassat skripttillägg med ett misstänkt skript upptäcktes på den virtuella datorn (förhandsversion)

(VM_CustomScriptExtensionSuspiciousCmd)

Beskrivning: Anpassat skripttillägg med ett misstänkt skript upptäcktes på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Angripare kan använda tillägget Anpassat skript för att köra skadlig kod med hög behörighet på den virtuella datorn via Azure Resource Manager. Skriptet anses misstänkt eftersom vissa delar identifierades som potentiellt skadliga.

MITRE-taktik: Körning

Allvarlighetsgrad: Hög

Misstänkt misslyckad körning av tillägget för anpassat skript på den virtuella datorn

(VM_CustomScriptExtensionSuspiciousFailure)

Beskrivning: Misstänkt fel i ett anpassat skripttillägg upptäcktes på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Sådana fel kan associeras med skadliga skript som körs av det här tillägget.

MITRE-taktik: Körning

Allvarlighetsgrad: Medel

Ovanlig borttagning av tillägg för anpassade skript på den virtuella datorn

(VM_CustomScriptExtensionUnusualDeletion)

Beskrivning: Ovanlig borttagning av ett tillägg för anpassat skript upptäcktes på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Angripare kan använda anpassade skripttillägg för att köra skadlig kod på dina virtuella datorer via Azure Resource Manager.

MITRE-taktik: Körning

Allvarlighetsgrad: Medel

Ovanlig körning av tillägg för anpassade skript på den virtuella datorn

(VM_CustomScriptExtensionUnusualExecution)

Beskrivning: Ovanlig körning av ett anpassat skripttillägg upptäcktes på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Angripare kan använda anpassade skripttillägg för att köra skadlig kod på dina virtuella datorer via Azure Resource Manager.

MITRE-taktik: Körning

Allvarlighetsgrad: Medel

Tillägg för anpassat skript med misstänkt startpunkt på den virtuella datorn

(VM_CustomScriptExtensionSuspiciousEntryPoint)

Beskrivning: Det anpassade skripttillägget med en misstänkt startpunkt upptäcktes på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Startpunkten refererar till en misstänkt GitHub-lagringsplats. Angripare kan använda anpassade skripttillägg för att köra skadlig kod på dina virtuella datorer via Azure Resource Manager.

MITRE-taktik: Körning

Allvarlighetsgrad: Medel

Tillägg för anpassat skript med misstänkt nyttolast på den virtuella datorn

(VM_CustomScriptExtensionSuspiciousPayload)

Beskrivning: Anpassat skripttillägg med en nyttolast från en misstänkt GitHub-lagringsplats upptäcktes på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Angripare kan använda anpassade skripttillägg för att köra skadlig kod på dina virtuella datorer via Azure Resource Manager.

MITRE-taktik: Körning

Allvarlighetsgrad: Medel

Aviseringar för Azure App Service

Mer information och anteckningar

Ett försök att köra Linux-kommandon på en Windows App Service

(AppServices_LinuxCommandOnWindows)

Beskrivning: Analys av App Service-processer upptäckte ett försök att köra ett Linux-kommando på en Windows App Service. Den här åtgärden kördes av webbprogrammet. Det här beteendet visas ofta under kampanjer som utnyttjar en säkerhetsrisk i ett gemensamt webbprogram. (Gäller för: App Service i Windows)

MITRE-taktik: -

Allvarlighetsgrad: Medel

En IP-adress som är ansluten till azure App Service FTP-gränssnittet hittades i Threat Intelligence

(AppServices_IncomingTiClientIpFtp)

Beskrivning: Azure App Service FTP-loggen anger en anslutning från en källadress som hittades i hotinformationsflödet. Under den här anslutningen har en användare använt sidorna i listan. (Gäller för: App Service i Windows och App Service på Linux)

MITRE-taktik: Inledande åtkomst

Allvarlighetsgrad: Medel

Försök att köra högprivilegier har identifierats

(AppServices_HighPrivilegeCommand)

Beskrivning: Analys av App Service-processer upptäckte ett försök att köra ett kommando som kräver hög behörighet. Kommandot kördes i webbprogramkontexten. Det här beteendet kan vara legitimt, men i webbprogram observeras även det här beteendet i skadliga aktiviteter. (Gäller för: App Service i Windows)

MITRE-taktik: -

Allvarlighetsgrad: Medel

Kommunikation med misstänkt domän identifierad av hotinformation

(AzureDNS_ThreatIntelSuspectDomain)

Beskrivning: Kommunikation med misstänkt domän upptäcktes genom att analysera DNS-transaktioner från din resurs och jämföra med kända skadliga domäner som identifieras av hotinformationsflöden. Kommunikation till skadliga domäner utförs ofta av angripare och kan innebära att din resurs komprometteras.

MITRE-taktik: Initial åtkomst, beständighet, körning, kommando och kontroll, utnyttjande

Allvarlighetsgrad: Medel

Anslut ion till webbsida från avvikande IP-adress har identifierats

(AppServices_AnomalousPageAccess)

Beskrivning: Azure App Service-aktivitetsloggen anger en avvikande anslutning till en känslig webbsida från den angivna käll-IP-adressen. Detta kan tyda på att någon försöker utföra en råstyrkeattack på dina webbappsadministrationssidor. Det kan också bero på att en ny IP-adress används av en legitim användare. Om källans IP-adress är betrodd kan du på ett säkert sätt ignorera den här aviseringen för den här resursen. Information om hur du undertrycker säkerhetsaviseringar finns i Utelämna aviseringar från Microsoft Defender för molnet. (Gäller för: App Service i Windows och App Service på Linux)

MITRE-taktik: Inledande åtkomst

Allvarlighetsgrad: Låg

Dangling DNS-post för en App Service-resurs identifierad

(AppServices_DanglingDomain)

Beskrivning: En DNS-post som pekar på en nyligen borttagen App Service-resurs (även kallad "dangling DNS"-post) har identifierats. Detta gör dig mottaglig för ett underdomänövertagande. Underdomänövertaganden gör det möjligt för skadliga aktörer att omdirigera trafik som är avsedd för en organisations domän till en webbplats som utför skadlig aktivitet. (Gäller för: App Service i Windows och App Service på Linux)

MITRE-taktik: -

Allvarlighetsgrad: Hög

Identifierad kodad körbar fil i kommandoradsdata

(AppServices_Base64EncodedExecutableInCommandLineParams)

Beskrivning: Analys av värddata på {Komprometterad värd} identifierade en base-64-kodad körbar fil. Detta har tidigare associerats med angripare som försöker konstruera körbara filer i farten genom en sekvens med kommandon och försöker undvika intrångsidentifieringssystem genom att säkerställa att inget enskilt kommando utlöser en avisering. Detta kan vara legitim aktivitet eller en indikation på en komprometterad värd. (Gäller för: App Service i Windows)

MITRE-taktik: Defense Evasion, Execution

Allvarlighetsgrad: Hög

Filnedladdning från en känd skadlig källa har identifierats

(AppServices_SuspectDownload)

Beskrivning: Analys av värddata har upptäckt nedladdningen av en fil från en känd källa för skadlig kod på värden. (Gäller för: App Service på Linux)

MITRE-taktik: Privilege Escalation, Execution, Exfiltration, Command and Control

Allvarlighetsgrad: Medel

Misstänkt filnedladdning har identifierats

(AppServices_SuspectDownloadArtifacts)

Beskrivning: Analys av värddata har upptäckt misstänkt nedladdning av fjärrfil. (Gäller för: App Service på Linux)

MITRE-taktik: Beständighet

Allvarlighetsgrad: Medel

(AppServices_DigitalCurrencyMining)

Beskrivning: Analys av värddata på Inn-Flow-WebJobs identifierade körningen av en process eller ett kommando som normalt är associerat med utvinning av digital valuta. (Gäller för: App Service i Windows och App Service på Linux)

MITRE-taktik: Körning

Allvarlighetsgrad: Hög

Körbar avkodad med certutil

(AppServices_ExecutableDecodedUsingCertutil)

Beskrivning: Analys av värddata på [komprometterad entitet] upptäckte att certutil.exe, ett inbyggt administratörsverktyg, användes för att avkoda en körbar fil i stället för dess mainstream-syfte som rör manipulering av certifikat och certifikatdata. Angripare är kända för att missbruka funktioner hos legitima administratörsverktyg för att utföra skadliga åtgärder, till exempel med ett verktyg som certutil.exe, för att avkoda en skadlig körbar fil som sedan ska köras. (Gäller för: App Service i Windows)

MITRE-taktik: Defense Evasion, Execution

Allvarlighetsgrad: Hög

Fillöst attackbeteende har identifierats

(AppServices_FilelessAttackBehaviorDetection)

Beskrivning: Minnet av processen som anges nedan innehåller beteenden som ofta används av fillösa attacker. Specifika beteenden är: {lista över observerade beteenden} (gäller för: App Service i Windows och App Service på Linux)

MITRE-taktik: Körning

Allvarlighetsgrad: Medel

Fillös attackteknik har identifierats

(AppServices_FilelessAttackTechniqueDetection)

Beskrivning: Minnet av processen som anges nedan innehåller bevis på en fillös attackteknik. Fillösa attacker används av angripare för att köra kod vid undvikande av identifiering av säkerhetsprogramvara. Specifika beteenden är: {lista över observerade beteenden} (gäller för: App Service i Windows och App Service på Linux)

MITRE-taktik: Körning

Allvarlighetsgrad: Hög

Fillös attackverktyg har identifierats

(AppServices_FilelessAttackToolkitDetection)

Beskrivning: Minnet av processen som anges nedan innehåller en fillös attackverktyg: {ToolKitName}. Fillösa attackverktyg har vanligtvis inte någon närvaro i filsystemet, vilket gör det svårt att identifiera traditionella antivirusprogram. Specifika beteenden är: {lista över observerade beteenden} (gäller för: App Service i Windows och App Service på Linux)

MITRE-taktik: Defense Evasion, Execution

Allvarlighetsgrad: Hög

Microsoft Defender för molnet testavisering för App Service (inte ett hot)

(AppServices_EICAR)

Beskrivning: Det här är en testavisering som genereras av Microsoft Defender för molnet. Ingen ytterligare åtgärd krävs. (Gäller för: App Service i Windows och App Service på Linux)

MITRE-taktik: -

Allvarlighetsgrad: Hög

NMap-genomsökning har identifierats

(AppServices_Nmap)

Beskrivning: Azure App Service-aktivitetsloggen anger en möjlig aktivitet med fingeravtryck på din App Service-resurs. Den misstänkta aktiviteten som identifieras är associerad med NMAP. Angripare använder ofta det här verktyget för att söka efter säkerhetsrisker i webbprogrammet. (Gäller för: App Service i Windows och App Service på Linux)

MITRE-taktik: PreAttack

Allvarlighetsgrad: Information

Nätfiskeinnehåll som finns i Azure Webapps

(AppServices_PhishingContent)

Beskrivning: URL som används för nätfiskeattacker som finns på Azure AppServices webbplats. Den här URL:en var en del av en nätfiskeattack som skickades till Microsoft 365-kunder. Innehållet lockar vanligtvis besökare att ange sina företagsautentiseringsuppgifter eller finansiell information på en legitim webbplats. (Gäller för: App Service i Windows och App Service på Linux)

MITRE-taktik: Samling

Allvarlighetsgrad: Hög

PHP-fil i uppladdningsmapp

(AppServices_PhpInUploadFolder)

Beskrivning: Azure App Service-aktivitetsloggen anger en åtkomst till en misstänkt PHP-sida som finns i uppladdningsmappen. Den här typen av mapp innehåller vanligtvis inte PHP-filer. Förekomsten av den här typen av fil kan tyda på ett utnyttjande som utnyttjar sårbarheter för godtycklig filuppladdning. (Gäller för: App Service i Windows och App Service på Linux)

MITRE-taktik: Körning

Allvarlighetsgrad: Medel

Möjlig nedladdning av Cryptocoinminer har identifierats

(AppServices_CryptoCoinMinerDownload)

Beskrivning: Analys av värddata har upptäckt nedladdningen av en fil som normalt är associerad med utvinning av digital valuta. (Gäller för: App Service på Linux)

MITRE-taktik: Försvarsundandragande, kommando och kontroll, utnyttjande

Allvarlighetsgrad: Medel

Möjlig dataexfiltrering har identifierats

(AppServices_DataEgressArtifacts)

Beskrivning: Analys av värd-/enhetsdata identifierade ett möjligt datautgående villkor. Angripare tar ofta ut data från datorer som de har komprometterat. (Gäller för: App Service på Linux)

MITRE-taktik: Samling, Exfiltrering

Allvarlighetsgrad: Medel

Potentiell dangling DNS-post för en App Service-resurs har identifierats

(AppServices_PotentialDanglingDomain)

Beskrivning: En DNS-post som pekar på en nyligen borttagen App Service-resurs (även kallad "dangling DNS"-post) har identifierats. Detta kan göra dig mottaglig för ett underdomänövertagande. Underdomänövertaganden gör det möjligt för skadliga aktörer att omdirigera trafik som är avsedd för en organisations domän till en webbplats som utför skadlig aktivitet. I det här fallet hittades en textpost med domänverifierings-ID:t. Sådana textposter förhindrar underdomänövertagande, men vi rekommenderar ändå att du tar bort dangling-domänen. Om du lämnar DNS-posten pekar på underdomänen är du i riskzonen om någon i din organisation tar bort TXT-filen eller posten i framtiden. (Gäller för: App Service i Windows och App Service på Linux)

MITRE-taktik: -

Allvarlighetsgrad: Låg

Potentiellt omvändt gränssnitt har identifierats

(AppServices_ReverseShell)

Beskrivning: Analys av värddata identifierade ett potentiellt omvändt gränssnitt. Dessa används för att få en komprometterad dator att anropa tillbaka till en dator som en angripare äger. (Gäller för: App Service på Linux)

MITRE-taktik: Exfiltrering, exploatering

Allvarlighetsgrad: Medel

Nedladdning av rådata har identifierats

(AppServices_DownloadCodeFromWebsite)

Beskrivning: Analys av App Service-processer upptäckte ett försök att ladda ned kod från rådatawebbplatser som Pastebin. Den här åtgärden kördes av en PHP-process. Det här beteendet är kopplat till försök att ladda ned webbgränssnitt eller andra skadliga komponenter till App Service. (Gäller för: App Service i Windows)

MITRE-taktik: Körning

Allvarlighetsgrad: Medel

Spara curl-utdata till disk identifierad

(AppServices_CurlToDisk)

Beskrivning: Analys av App Service-processer identifierade körningen av ett curl-kommando där utdata sparades på disken. Det här beteendet kan vara legitimt, men i webbprogram observeras även det här beteendet i skadliga aktiviteter, till exempel försök att infektera webbplatser med webbgränssnitt. (Gäller för: App Service i Windows)

MITRE-taktik: -

Allvarlighetsgrad: Låg

Mappreferens för skräppost har identifierats

(AppServices_SpamReferrer)

Beskrivning: Aktivitetsloggen i Azure App Service anger webbaktivitet som har identifierats som från en webbplats som är associerad med skräppostaktivitet. Detta kan inträffa om din webbplats komprometteras och används för skräppostaktivitet. (Gäller för: App Service i Windows och App Service på Linux)

MITRE-taktik: -

Allvarlighetsgrad: Låg

Misstänkt åtkomst till potentiellt sårbar webbsida har identifierats

(AppServices_ScanSensitivePage)

Beskrivning: Aktivitetsloggen i Azure App Service anger en webbsida som verkar vara känslig. Den här misstänkta aktiviteten kommer från en käll-IP-adress vars åtkomstmönster liknar en webbskanners. Den här aktiviteten är ofta associerad med ett försök av en angripare att genomsöka nätverket för att försöka få åtkomst till känsliga eller sårbara webbsidor. (Gäller för: App Service i Windows och App Service på Linux)

MITRE-taktik: -

Allvarlighetsgrad: Låg

Referens för misstänkt domännamn

(AppServices_CommandlineSuspectDomain)

Beskrivning: Analys av värddata upptäckt referens till misstänkt domännamn. Sådan aktivitet, även om det kan vara ett legitimt användarbeteende, är ofta en indikation på nedladdning eller körning av skadlig programvara. Typisk relaterad angripare aktivitet är sannolikt att inkludera nedladdning och körning av ytterligare skadlig programvara eller fjärradministrationsverktyg. (Gäller för: App Service på Linux)

MITRE-taktik: Exfiltrering

Allvarlighetsgrad: Låg

Misstänkt nedladdning med Certutil har identifierats

(AppServices_DownloadUsingCertutil)

Beskrivning: Analys av värddata på {NAME} identifierade användningen av certutil.exe, ett inbyggt administratörsverktyg, för nedladdning av en binär fil i stället för dess mainstream-syfte som relaterar till att manipulera certifikat och certifikatdata. Angripare är kända för att missbruka funktioner i legitima administratörsverktyg för att utföra skadliga åtgärder, till exempel med hjälp av certutil.exe för att ladda ned och avkoda en skadlig körbar fil som sedan kommer att köras. (Gäller för: App Service i Windows)

MITRE-taktik: Körning

Allvarlighetsgrad: Medel

Misstänkt PHP-körning har identifierats

(AppServices_SuspectPhp)

Beskrivning: Datorloggar visar att en misstänkt PHP-process körs. Åtgärden inkluderade ett försök att köra operativsystemkommandon eller PHP-kod från kommandoraden med hjälp av PHP-processen. Även om det här beteendet kan vara legitimt kan det här beteendet i webbprogram tyda på skadliga aktiviteter, till exempel försök att infektera webbplatser med webbgränssnitt. (Gäller för: App Service i Windows och App Service på Linux)

MITRE-taktik: Körning

Allvarlighetsgrad: Medel

Misstänkta PowerShell-cmdletar körs

(AppServices_PowerShellPowerSploitScriptExecution)

Beskrivning: Analys av värddata indikerar körning av kända skadliga PowerShell PowerSploit-cmdletar. (Gäller för: App Service i Windows)

MITRE-taktik: Körning

Allvarlighetsgrad: Medel

Misstänkt process har körts

(AppServices_KnownCredential AccessTools)

Beskrivning: Datorloggar indikerar att den misstänkta processen: %{process path} kördes på datorn, ofta associerad med angripares försök att komma åt autentiseringsuppgifter. (Gäller för: App Service i Windows)

MITRE-taktik: Åtkomst till autentiseringsuppgifter

Allvarlighetsgrad: Hög

Misstänkt processnamn har identifierats

(AppServices_ProcessWithKnownSuspiciousExtension)

Beskrivning: Analys av värddata på {NAME} identifierade en process vars namn är misstänkt, till exempel motsvarande ett känt verktyg för angripare eller namngivet på ett sätt som tyder på angripares verktyg som försöker dölja i klarsynthet. Den här processen kan vara en legitim aktivitet eller en indikation på att en av dina datorer har komprometterats. (Gäller för: App Service i Windows)

MITRE-taktik: Beständighet, försvarsundandragande

Allvarlighetsgrad: Medel

Misstänkt SVCHOST-process körs

(AppServices_SVCHostFromInvalidPath)

Beskrivning: Systemprocessen SVCHOST observerades köras i en onormal kontext. Skadlig kod använder ofta SVCHOST för att maskera dess skadliga aktivitet. (Gäller för: App Service i Windows)

MITRE-taktik: Defense Evasion, Execution

Allvarlighetsgrad: Hög

Misstänkt användaragent har identifierats

(AppServices_UserAgentInjection)

Beskrivning: Aktivitetsloggen i Azure App Service anger begäranden med misstänkt användaragent. Det här beteendet kan tyda på försök att utnyttja en säkerhetsrisk i App Service-programmet. (Gäller för: App Service i Windows och App Service på Linux)

MITRE-taktik: Inledande åtkomst

Allvarlighetsgrad: Information

Misstänkt WordPress-temaanrop har identifierats

(AppServices_WpThemeInjection)

Beskrivning: Azure App Service-aktivitetsloggen anger en möjlig kodinmatningsaktivitet på din App Service-resurs. Den misstänkta aktiviteten som identifieras liknar en manipulering av WordPress-temat för att stödja körning av kod på serversidan, följt av en direkt webbbegäran om att anropa den manipulerade temafilen. Den här typen av aktivitet sågs tidigare som en del av en attackkampanj över WordPress. Om din App Service-resurs inte är värd för en WordPress-webbplats är den inte sårbar för den här specifika kodinmatningsexploateringen och du kan på ett säkert sätt undertrycka den här aviseringen för resursen. Information om hur du undertrycker säkerhetsaviseringar finns i Utelämna aviseringar från Microsoft Defender för molnet. (Gäller för: App Service i Windows och App Service på Linux)

MITRE-taktik: Körning

Allvarlighetsgrad: Hög

Sårbarhetsskanner identifierad

(AppServices_DrupalScanner)

Beskrivning: Azure App Service-aktivitetsloggen anger att en möjlig sårbarhetsskanner användes på din App Service-resurs. Den misstänkta aktiviteten som identifieras liknar den för verktyg som riktar sig mot ett innehållshanteringssystem (CMS). Om din App Service-resurs inte är värd för en Drupal-webbplats är den inte sårbar för den här specifika kodinmatningsexploateringen och du kan på ett säkert sätt undertrycka den här aviseringen för resursen. Information om hur du undertrycker säkerhetsaviseringar finns i Utelämna aviseringar från Microsoft Defender för molnet. (Gäller för: App Service i Windows)

MITRE-taktik: PreAttack

Allvarlighetsgrad: Låg

Sårbarhetsskanner identifierad

(AppServices_JoomlaScanner)

Beskrivning: Azure App Service-aktivitetsloggen anger att en möjlig sårbarhetsskanner användes på din App Service-resurs. Den misstänkta aktiviteten som identifieras liknar den för verktyg som riktar sig till Joomla-program. Om din App Service-resurs inte är värd för en Joomla-webbplats är den inte sårbar för den här specifika kodinmatningsexploateringen och du kan på ett säkert sätt förhindra den här aviseringen för resursen. Information om hur du undertrycker säkerhetsaviseringar finns i Utelämna aviseringar från Microsoft Defender för molnet. (Gäller för: App Service i Windows och App Service på Linux)

MITRE-taktik: PreAttack

Allvarlighetsgrad: Låg

Sårbarhetsskanner identifierad

(AppServices_WpScanner)

Beskrivning: Azure App Service-aktivitetsloggen anger att en möjlig sårbarhetsskanner användes på din App Service-resurs. Den misstänkta aktiviteten som identifieras liknar den för verktyg som riktar sig till WordPress-program. Om din App Service-resurs inte är värd för en WordPress-webbplats är den inte sårbar för den här specifika kodinmatningsexploateringen och du kan på ett säkert sätt undertrycka den här aviseringen för resursen. Information om hur du undertrycker säkerhetsaviseringar finns i Utelämna aviseringar från Microsoft Defender för molnet. (Gäller för: App Service i Windows och App Service på Linux)

MITRE-taktik: PreAttack

Allvarlighetsgrad: Låg

Webb fingeravtryck har identifierats

(AppServices_WebFingerprinting)

Beskrivning: Azure App Service-aktivitetsloggen anger en möjlig aktivitet med fingeravtryck på din App Service-resurs. Den misstänkta aktiviteten som identifieras är associerad med ett verktyg som kallas Blind Elephant. Verktyget fingeravtryck webbservrar och försöker identifiera installerade program och version. Angripare använder ofta det här verktyget för att söka efter säkerhetsrisker i webbprogrammet. (Gäller för: App Service i Windows och App Service på Linux)

MITRE-taktik: PreAttack

Allvarlighetsgrad: Medel

Webbplatsen taggas som skadlig i hotinformationsflödet

(AppServices_SmartScreen)

Beskrivning: Webbplatsen enligt beskrivningen nedan är markerad som en skadlig webbplats av Windows SmartScreen. Om du tror att det här är en falsk positiv identifiering kontaktar du Windows SmartScreen via länken för rapportfeedback. (Gäller för: App Service i Windows och App Service på Linux)

MITRE-taktik: Samling

Allvarlighetsgrad: Medel

Aviseringar för containrar – Kubernetes-kluster

Microsoft Defender för containrar tillhandahåller säkerhetsaviseringar på klusternivå och på de underliggande klusternoderna genom att övervaka både kontrollplanet (API-servern) och själva den containerbaserade arbetsbelastningen. Säkerhetsaviseringar för kontrollplan kan identifieras med ett prefix av aviseringstypen K8S_ . Säkerhetsaviseringar för körningsarbetsbelastning i klustren kan identifieras av prefixet K8S.NODE_ för aviseringstypen. Alla aviseringar stöds endast på Linux, om inget annat anges.

Mer information och anteckningar

Exponerad Postgres-tjänst med förtroendeautentiseringskonfiguration i Kubernetes identifierad (förhandsversion)

(K8S_ExposedPostgresTrustAuth)

Beskrivning: Kubernetes klusterkonfigurationsanalys identifierade exponering av en Postgres-tjänst av en lastbalanserare. Tjänsten är konfigurerad med autentiseringsmetod för förtroende, vilket inte kräver autentiseringsuppgifter.

MITRE-taktik: InitialAccess

Allvarlighetsgrad: Medel

Exponerad Postgres-tjänst med riskfylld konfiguration i Kubernetes identifierad (förhandsversion)

(K8S_ExposedPostgresBroadIPRange)

Beskrivning: Kubernetes klusterkonfigurationsanalys identifierade exponeringen av en Postgres-tjänst av en lastbalanserare med en riskfylld konfiguration. Att exponera tjänsten för ett stort antal IP-adresser utgör en säkerhetsrisk.

MITRE-taktik: InitialAccess

Allvarlighetsgrad: Medel

Försök att skapa ett nytt Linux-namnområde från en container som identifierats

(K8S. NODE_NamespaceCreation) 1

Beskrivning: Analys av processer som körs i en container i Kubernetes-klustret upptäckte ett försök att skapa ett nytt Linux-namnområde. Även om det här beteendet kan vara legitimt kan det tyda på att en angripare försöker fly från containern till noden. Vissa CVE-2022-0185-utnyttjanden använder den här tekniken.

MITRE-taktik: PrivilegeEscalation

Allvarlighetsgrad: Information

En historikfil har rensats

(K8S. NODE_HistoryFileCleared) 1

Beskrivning: Analys av processer som körs i en container eller direkt på en Kubernetes-nod har upptäckt att loggfilen för kommandohistorik har rensats. Angripare kan göra detta för att dölja sina spår. Åtgärden utfördes av det angivna användarkontot.

MITRE-taktik: DefenseEvasion

Allvarlighetsgrad: Medel

Onormal aktivitet för hanterad identitet som är associerad med Kubernetes (förhandsversion)

(K8S_AbnormalMiActivity)

Beskrivning: Analys av Azure Resource Manager-åtgärder identifierade ett onormalt beteende för en hanterad identitet som används av ett AKS-tillägg. Den identifierade aktiviteten överensstämmer inte med beteendet för det associerade tillägget. Även om den här aktiviteten kan vara legitim kan ett sådant beteende tyda på att identiteten har vunnits av en angripare, eventuellt från en komprometterad container i Kubernetes-klustret.

MITRE-taktik: Lateral rörelse

Allvarlighetsgrad: Medel

Onormal kubernetes-tjänstkontoåtgärd har identifierats

(K8S_ServiceAccountRareOperation)

Beskrivning: Kubernetes granskningslogganalys identifierade onormalt beteende av ett tjänstkonto i kubernetes-klustret. Tjänstkontot användes för en åtgärd, vilket inte är vanligt för det här tjänstkontot. Även om den här aktiviteten kan vara legitim kan ett sådant beteende tyda på att tjänstkontot används i skadliga syften.

MITRE-taktik: Lateral rörelse, åtkomst till autentiseringsuppgifter

Allvarlighetsgrad: Medel

Ett ovanligt anslutningsförsök har identifierats

(K8S. NODE_Suspect Anslut ion) 1

Beskrivning: Analys av processer som körs i en container eller direkt på en Kubernetes-nod har upptäckt ett ovanligt anslutningsförsök med hjälp av ett socks-protokoll. Detta är mycket sällsynt i normala åtgärder, men en känd teknik för angripare som försöker kringgå identifieringar på nätverksnivå.

MITRE-taktik: Utförande, exfiltrering, utnyttjande

Allvarlighetsgrad: Medel

Försök att stoppa tjänsten apt-daily-upgrade.timer har identifierats

(K8S. NODE_TimerServiceDisabled) 1

Beskrivning: Analys av processer som körs i en container eller direkt på en Kubernetes-nod har upptäckt ett försök att stoppa tjänsten apt-daily-upgrade.timer. Angripare har observerats stoppa den här tjänsten för att ladda ned skadliga filer och bevilja körningsprivilegier för sina attacker. Den här aktiviteten kan också inträffa om tjänsten uppdateras via normala administrativa åtgärder.

MITRE-taktik: DefenseEvasion

Allvarlighetsgrad: Information

Beteende som liknar vanliga Linux-robotar som identifierats (förhandsversion)

(K8S. NODE_CommonBot)

Beskrivning: Analys av processer som körs i en container eller direkt på en Kubernetes-nod har identifierat körningen av en process som normalt är associerad med vanliga Linux-botnät.

MITRE-taktik: Körning, samling, kommando och kontroll

Allvarlighetsgrad: Medel

Kommando i en container som körs med hög behörighet

(K8S. NODE_PrivilegedExecutionInContainer) 1

Beskrivning: Datorloggar anger att ett privilegierat kommando kördes i en Docker-container. Ett privilegierat kommando har utökade privilegier på värddatorn.

MITRE-taktik: PrivilegeEscalation

Allvarlighetsgrad: Information

Container som körs i privilegierat läge

(K8S. NODE_PrivilegedContainerArtifacts) 1

Beskrivning: Analys av processer som körs i en container eller direkt på en Kubernetes-nod har identifierat körningen av ett Docker-kommando som kör en privilegierad container. Den privilegierade containern har fullständig åtkomst till värdpodden eller värdresursen. Om det komprometteras kan en angripare använda den privilegierade containern för att få åtkomst till värdpodden eller värden.

MITRE-taktik: PrivilegeEscalation, Execution

Allvarlighetsgrad: Information

Container med en känslig volymmontering identifierad

(K8S_SensitiveMount)

Beskrivning: Kubernetes granskningslogganalys identifierade en ny container med en känslig volymmontering. Volymen som identifierades är en hostPath-typ som monterar en känslig fil eller mapp från noden till containern. Om containern komprometteras kan angriparen använda den här monteringen för att få åtkomst till noden.

MITRE-taktik: Privilegieeskalering

Allvarlighetsgrad: Information

CoreDNS-ändring i Kubernetes har identifierats

(K8S_CoreDnsModification) 23

Beskrivning: Kubernetes granskningslogganalys identifierade en ändring av CoreDNS-konfigurationen. Konfigurationen av CoreDNS kan ändras genom att åsidosätta dess konfigurationskarta. Den här aktiviteten kan vara legitim, men om angripare har behörighet att ändra konfigurationskartan kan de ändra beteendet för klustrets DNS-server och förgifta den.

MITRE-taktik: Lateral rörelse

Allvarlighetsgrad: Låg

Skapande av webhookskonfiguration för antagning har identifierats

(K8S_AdmissionController) 3

Beskrivning: Kubernetes granskningslogganalys identifierade en ny webhook-konfiguration för antagning. Kubernetes har två inbyggda generiska antagningskontrollanter: MutatingAdmissionWebhook och ValidatingAdmissionWebhook. Beteendet för dessa antagningskontrollanter bestäms av en webhook för antagning som användaren distribuerar till klustret. Användningen av sådana antagningskontrollanter kan vara legitim, men angripare kan använda sådana webhooks för att ändra begäranden (i händelse av mutatingAdmissionWebhook) eller inspektera begäranden och få känslig information (i händelse av ValidatingAdmissionWebhook).

MITRE-taktik: Åtkomst till autentiseringsuppgifter, beständighet

Allvarlighetsgrad: Information

Filnedladdning från en känd skadlig källa har identifierats

(K8S. NODE_SuspectDownload) 1

Beskrivning: Analys av processer som körs i en container eller direkt på en Kubernetes-nod har identifierat en nedladdning av en fil från en källa som ofta används för att distribuera skadlig kod.

MITRE-taktik: PrivilegeEscalation, Execution, Exfiltration, Command and Control

Allvarlighetsgrad: Medel

Misstänkt filnedladdning har identifierats

(K8S. NODE_SuspectDownloadArtifacts) 1

Beskrivning: Analys av processer som körs i en container eller direkt på en Kubernetes-nod har identifierat en misstänkt nedladdning av en fjärrfil.

MITRE-taktik: Beständighet

Allvarlighetsgrad: Information

Misstänkt användning av nohup-kommandot har identifierats

(K8S. NODE_SuspectNohup) 1

Beskrivning: Analys av processer som körs i en container eller direkt på en Kubernetes-nod har identifierat en misstänkt användning av nohup-kommandot. Angripare har setts använda kommandot nohup för att köra dolda filer från en tillfällig katalog så att deras körbara filer kan köras i bakgrunden. Det är ovanligt att det här kommandot körs på dolda filer som finns i en tillfällig katalog.

MITRE-taktik: Beständighet, DefenseEvasion

Allvarlighetsgrad: Medel

Misstänkt användning av useradd-kommandot har identifierats

(K8S. NODE_SuspectUserAddition) 1

Beskrivning: Analys av processer som körs i en container eller direkt på en Kubernetes-nod har identifierat en misstänkt användning av useradd-kommandot.

MITRE-taktik: Beständighet

Allvarlighetsgrad: Medel

Digital valutautvinningscontainer identifierad

(K8S_MaliciousContainerImage) 3

Beskrivning: Kubernetes granskningslogganalys identifierade en container som har en avbildning associerad med ett verktyg för utvinning av digital valuta.

MITRE-taktik: Körning

Allvarlighetsgrad: Hög

(K8S. NODE_DigitalCurrencyMining) 1

Beskrivning: Analys av processer som körs i en container eller direkt på en Kubernetes-nod, har identifierat en körning av en process eller ett kommando som normalt är associerat med utvinning av digital valuta.

MITRE-taktik: Körning

Allvarlighetsgrad: Hög

Docker-byggåtgärd identifierad på en Kubernetes-nod

(K8S. NODE_ImageBuildOnNode) 1

Beskrivning: Analys av processer som körs i en container eller direkt på en Kubernetes-nod har identifierat en byggåtgärd av en containeravbildning på en Kubernetes-nod. Även om det här beteendet kan vara legitimt kan angripare skapa sina skadliga avbildningar lokalt för att undvika identifiering.

MITRE-taktik: DefenseEvasion

Allvarlighetsgrad: Information

Exponerad Kubeflow-instrumentpanel har identifierats

(K8S_ExposedKubeflow)

Beskrivning: Kubernetes granskningslogganalys identifierade exponering av Istio-ingressen av en lastbalanserare i ett kluster som kör Kubeflow. Den här åtgärden kan exponera Kubeflow-instrumentpanelen för Internet. Om instrumentpanelen exponeras för Internet kan angripare komma åt den och köra skadliga containrar eller kod i klustret. Mer information finns i följande artikel: https://aka.ms/exposedkubeflow-blog

MITRE-taktik: Inledande åtkomst

Allvarlighetsgrad: Medel

Exponerad Kubernetes-instrumentpanel har identifierats

(K8S_ExposedDashboard)

Beskrivning: Kubernetes granskningslogganalys identifierade exponering av Kubernetes-instrumentpanelen av en LoadBalancer-tjänst. Den exponerade instrumentpanelen ger en oautentiserad åtkomst till klusterhanteringen och utgör ett säkerhetshot.

MITRE-taktik: Inledande åtkomst

Allvarlighetsgrad: Hög

Exponerad Kubernetes-tjänst har identifierats

(K8S_ExposedService)

Beskrivning: Kubernetes granskningslogganalys identifierade en tjänsts exponering av en lastbalanserare. Den här tjänsten är relaterad till ett känsligt program som tillåter åtgärder med hög påverkan i klustret, till exempel att köra processer på noden eller skapa nya containrar. I vissa fall kräver den här tjänsten inte autentisering. Om tjänsten inte kräver autentisering utgör det en säkerhetsrisk att exponera den för Internet.

MITRE-taktik: Inledande åtkomst

Allvarlighetsgrad: Medel

Redis-tjänsten i AKS har identifierats

(K8S_ExposedRedis)

Beskrivning: Kubernetes granskningslogganalys identifierade exponering av en Redis-tjänst av en lastbalanserare. Om tjänsten inte kräver autentisering utgör det en säkerhetsrisk att exponera den för Internet.

MITRE-taktik: Inledande åtkomst

Allvarlighetsgrad: Låg

Indikatorer som är associerade med DDOS-verktyg har identifierats

(K8S. NODE_KnownLinuxDDoSToolkit) 1

Beskrivning: Analys av processer som körs i en container eller direkt på en Kubernetes-nod, har identifierat filnamn som ingår i en verktygslåda som är associerad med skadlig kod som kan starta DDoS-attacker, öppna portar och tjänster och ta full kontroll över det infekterade systemet. Detta kan också vara legitim verksamhet.

MITRE-taktik: Persistence, LateralMovement, Execution, Exploitation

Allvarlighetsgrad: Medel

K8S API-begäranden från proxy-IP-adress har identifierats

(K8S_TI_Proxy) 3

Beskrivning: Kubernetes granskningslogganalys identifierade API-begäranden till klustret från en IP-adress som är associerad med proxytjänster, till exempel TOR. Även om det här beteendet kan vara legitimt, visas det ofta i skadliga aktiviteter när angripare försöker dölja sin käll-IP.

MITRE-taktik: Körning

Allvarlighetsgrad: Låg

Kubernetes-händelser har tagits bort

(K8S_DeleteEvents) 23

Beskrivning: Defender för molnet upptäckt att vissa Kubernetes-händelser har tagits bort. Kubernetes-händelser är objekt i Kubernetes som innehåller information om ändringar i klustret. Angripare kan ta bort dessa händelser för att dölja sina åtgärder i klustret.

MITRE-taktik: Försvarsundandragande

Allvarlighetsgrad: Låg

Testverktyget för Kubernetes-intrång har identifierats

(K8S_PenTestToolsKubeHunter)

Beskrivning: Kubernetes granskningslogganalys upptäckte användning av Kubernetes penetrationstestverktyg i AKS-klustret. Även om det här beteendet kan vara legitimt kan angripare använda sådana offentliga verktyg i skadliga syften.

MITRE-taktik: Körning

Allvarlighetsgrad: Låg

Microsoft Defender för molnet testavisering (inte ett hot).

(K8S. NODE_EICAR) 1

Beskrivning: Det här är en testavisering som genereras av Microsoft Defender för molnet. Ingen ytterligare åtgärd krävs.

MITRE-taktik: Körning

Allvarlighetsgrad: Hög

Ny container i kube-system-namnområdet har identifierats

(K8S_KubeSystemContainer) 3

Beskrivning: Kubernetes granskningslogganalys identifierade en ny container i kube-system-namnområdet som inte finns bland de containrar som normalt körs i det här namnområdet. Kube-system-namnrymderna får inte innehålla användarresurser. Angripare kan använda det här namnområdet för att dölja skadliga komponenter.

MITRE-taktik: Beständighet

Allvarlighetsgrad: Information

Ny roll med höga privilegier har identifierats

(K8S_HighPrivilegesRole) 3

Beskrivning: Kubernetes granskningslogganalys identifierade en ny roll med hög behörighet. En bindning till en roll med hög behörighet ger användaren/gruppen höga behörigheter i klustret. Onödiga privilegier kan orsaka behörighetseskalering i klustret.

MITRE-taktik: Beständighet

Allvarlighetsgrad: Information

Möjligt attackverktyg har identifierats

(K8S. NODE_KnownLinuxAttackTool) 1

Beskrivning: Analys av processer som körs i en container eller direkt på en Kubernetes-nod har identifierat ett misstänkt verktygsanrop. Det här verktyget är ofta associerat med skadliga användare som attackerar andra.

MITRE-taktik: Körning, samling, kommando och kontroll, avsökning

Allvarlighetsgrad: Medel

Möjlig bakdörr har identifierats

(K8S. NODE_LinuxBackdoorArtifact) 1

Beskrivning: Analys av processer som körs i en container eller direkt på en Kubernetes-nod, har identifierat en misstänkt fil som laddas ned och körs. Den här aktiviteten har tidigare associerats med installation av en bakdörr.

MITRE-taktik: Persistence, DefenseEvasion, Execution, Exploitation

Allvarlighetsgrad: Medel

Möjligt försök att utnyttja kommandoraden

(K8S. NODE_ExploitAttempt) 1

Beskrivning: Analys av processer som körs i en container eller direkt på en Kubernetes-nod har identifierat ett möjligt utnyttjandeförsök mot en känd säkerhetsrisk.

MITRE-taktik: Utnyttjande

Allvarlighetsgrad: Medel

Möjligt åtkomstverktyg för autentiseringsuppgifter har identifierats

(K8S. NODE_KnownLinuxCredentialAccessTool) 1

Beskrivning: Analys av processer som körs i en container eller direkt på en Kubernetes-nod, har upptäckt att ett möjligt känt åtkomstverktyg för autentiseringsuppgifter kördes i containern, vilket identifierades av det angivna objektet för process- och kommandoradshistorik. Det här verktyget är ofta associerat med attackerare som försöker komma åt autentiseringsuppgifter.

MITRE-taktik: CredentialAccess

Allvarlighetsgrad: Medel

Möjlig nedladdning av Cryptocoinminer har identifierats

(K8S. NODE_CryptoCoinMinerDownload) 1

Beskrivning: Analys av processer som körs i en container eller direkt på en Kubernetes-nod har identifierat nedladdning av en fil som normalt är associerad med utvinning av digital valuta.

MITRE-taktik: DefenseEvasion, kommando och kontroll, utnyttjande

Allvarlighetsgrad: Medel

Möjlig loggmanipuleringsaktivitet har identifierats

(K8S. NODE_SystemLogRemoval) 1

Beskrivning: Analys av processer som körs i en container eller direkt på en Kubernetes-nod, har identifierat en möjlig borttagning av filer som spårar användarens aktivitet under åtgärden. Angripare försöker ofta undvika identifiering och lämnar inga spår av skadliga aktiviteter genom att ta bort sådana loggfiler.

MITRE-taktik: DefenseEvasion

Allvarlighetsgrad: Medel

Möjlig lösenordsändring med hjälp av crypt-method har identifierats

(K8S. NODE_SuspectPasswordChange) 1

Beskrivning: Analys av processer som körs i en container eller direkt på en Kubernetes-nod har identifierat en lösenordsändring med hjälp av kryptan. Angripare kan göra den här ändringen för att fortsätta åtkomsten och få beständighet efter att ha komprometterats.

MITRE-taktik: CredentialAccess

Allvarlighetsgrad: Medel

Potentiell portvidarebefordring till extern IP-adress

(K8S. NODE_SuspectPortForwarding) 1

Beskrivning: Analys av processer som körs i en container eller direkt på en Kubernetes-nod har identifierat en initiering av portvidarebefordring till en extern IP-adress.

MITRE-taktik: Exfiltrering, kommando och kontroll

Allvarlighetsgrad: Medel

Potentiellt omvändt gränssnitt har identifierats

(K8S. NODE_ReverseShell) 1

Beskrivning: Analys av processer som körs i en container eller direkt på en Kubernetes-nod har identifierat ett potentiellt omvändt gränssnitt. Dessa används för att få en komprometterad dator att anropa tillbaka till en dator som en angripare äger.

MITRE-taktik: Exfiltrering, exploatering

Allvarlighetsgrad: Medel

Privilegierad container har identifierats

(K8S_PrivilegedContainer)

Beskrivning: Kubernetes granskningslogganalys identifierade en ny privilegierad container. En privilegierad container har åtkomst till nodens resurser och bryter isoleringen mellan containrar. Om den komprometteras kan en angripare använda den privilegierade containern för att få åtkomst till noden.

MITRE-taktik: Privilegieeskalering

Allvarlighetsgrad: Information

Process som är associerad med utvinning av digital valuta har identifierats

(K8S. NODE_CryptoCoinMinerArtifacts) 1

Beskrivning: Analys av processer som körs i en container har identifierat körningen av en process som normalt är associerad med utvinning av digital valuta.

MITRE-taktik: Utförande, utnyttjande

Allvarlighetsgrad: Medel

Processen har visats komma åt den SSH-auktoriserade nyckelfilen på ett ovanligt sätt

(K8S. NODE_SshKeyAccess) 1

Beskrivning: En SSH-authorized_keys fil användes i en metod som liknar kända kampanjer för skadlig kod. Den här åtkomsten kan innebära att en aktör försöker få beständig åtkomst till en dator.

MITRE-taktik: Okänd

Allvarlighetsgrad: Information

Rollbindning till klusteradministratörsrollen har identifierats

(K8S_ClusterAdminBinding)

Beskrivning: Kubernetes granskningslogganalys identifierade en ny bindning till rollen klusteradministratör som ger administratörsbehörighet. Onödiga administratörsbehörigheter kan orsaka behörighetseskalering i klustret.

MITRE-taktik: Beständighet

Allvarlighetsgrad: Information

(K8S. NODE_SuspectProcessTermination) 1

Beskrivning: Analys av processer som körs i en container eller direkt på en Kubernetes-nod har identifierat ett försök att avsluta processer som rör säkerhetsövervakning på containern. Angripare försöker ofta avsluta sådana processer med fördefinierade skript efter kompromissen.

MITRE-taktik: Beständighet

Allvarlighetsgrad: Låg

SSH-servern körs i en container

(K8S. NODE_ContainerSSH) 1

Beskrivning: Analys av processer som körs i en container har identifierat en SSH-server som körs i containern.

MITRE-taktik: Körning

Allvarlighetsgrad: Information

Misstänkt filtidsstämpeländring

(K8S. NODE_TimestampTampering) 1

Beskrivning: Analys av processer som körs i en container eller direkt på en Kubernetes-nod har identifierat en misstänkt tidsstämpeländring. Angripare kopierar ofta tidsstämplar från befintliga legitima filer till nya verktyg för att undvika identifiering av de nyligen borttagna filerna.

MITRE-taktik: Beständighet, DefenseEvasion

Allvarlighetsgrad: Låg

Misstänkt begäran till Kubernetes API

(K8S. NODE_KubernetesAPI) 1

Beskrivning: Analys av processer som körs i en container anger att en misstänkt begäran gjordes till Kubernetes-API:et. Begäran skickades från en container i klustret. Även om det här beteendet kan vara avsiktligt kan det tyda på att en komprometterad container körs i klustret.

MITRE-taktik: LateralMovement

Allvarlighetsgrad: Medel

Misstänkt begäran till Kubernetes-instrumentpanelen

(K8S. NODE_KubernetesDashboard) 1

Beskrivning: Analys av processer som körs i en container indikerar att en misstänkt begäran gjordes till Kubernetes-instrumentpanelen. Begäran skickades från en container i klustret. Även om det här beteendet kan vara avsiktligt kan det tyda på att en komprometterad container körs i klustret.

MITRE-taktik: LateralMovement

Allvarlighetsgrad: Medel

Potentiell kryptomyntgrävare startad

(K8S. NODE_CryptoCoinMinerExecution) 1

Beskrivning: Analys av processer som körs i en container eller direkt på en Kubernetes-nod har identifierat en process som startas på ett sätt som normalt är associerat med utvinning av digital valuta.

MITRE-taktik: Körning

Allvarlighetsgrad: Medel

Misstänkt lösenordsåtkomst

(K8S. NODE_SuspectPasswordFileAccess) 1

Beskrivning: Analys av processer som körs i en container eller direkt på en Kubernetes-nod har upptäckt misstänkt försök att komma åt krypterade användarlösenord.

MITRE-taktik: Beständighet

Allvarlighetsgrad: Information

Möjligt skadligt webbgränssnitt har identifierats.

(K8S. NODE_Webshell) 1

Beskrivning: Analys av processer som körs i en container har identifierat ett möjligt webbgränssnitt. Angripare laddar ofta upp ett webbgränssnitt till en beräkningsresurs som de har komprometterat för att få beständighet eller för ytterligare utnyttjande.

MITRE-taktik: Beständighet, exploatering

Allvarlighetsgrad: Medel

Burst av flera rekognoseringskommandon kan indikera inledande aktivitet efter kompromiss

(K8S. NODE_ReconnaissanceArtifactsBurst) 1

Beskrivning: Analys av värd-/enhetsdata upptäckte körning av flera rekognoseringskommandon relaterade till insamling av system- eller värdinformation som utförts av angripare efter den första kompromissen.

MITRE-taktik: Identifiering, samling

Allvarlighetsgrad: Låg

Misstänkt nedladdning kör sedan aktivitet

(K8S. NODE_DownloadAndRunCombo) 1

Beskrivning: Analys av processer som körs i en container eller direkt på en Kubernetes-nod, har identifierat en fil som laddas ned och körs sedan i samma kommando. Även om detta inte alltid är skadligt är detta en mycket vanlig teknik som angripare använder för att få skadliga filer till offerdatorer.

MITRE-taktik: Execution, CommandAndControl, Exploitation

Allvarlighetsgrad: Medel

Åtkomst till kubelet kubeconfig-fil har identifierats

(K8S. NODE_KubeConfigAccess) 1

Beskrivning: Analys av processer som körs på en Kubernetes-klusternod identifierade åtkomst till kubeconfig-filen på värden. Kubeconfig-filen, som normalt används av Kubelet-processen, innehåller autentiseringsuppgifter för Kubernetes-klustrets API-server. Åtkomst till den här filen är ofta associerad med angripare som försöker komma åt dessa autentiseringsuppgifter eller med säkerhetsgenomsökningsverktyg som kontrollerar om filen är tillgänglig.

MITRE-taktik: CredentialAccess

Allvarlighetsgrad: Medel

Åtkomst till molnmetadatatjänsten har identifierats

(K8S. NODE_ImdsCall) 1

Beskrivning: Analys av processer som körs i en container har identifierat åtkomst till molnmetadatatjänsten för att hämta identitetstoken. Containern utför normalt inte en sådan åtgärd. Även om det här beteendet kan vara legitimt kan angripare använda den här tekniken för att komma åt molnresurser när de har fått inledande åtkomst till en container som körs.

MITRE-taktik: CredentialAccess

Allvarlighetsgrad: Medel

MITRE Caldera-agenten har identifierats

(K8S. NODE_MitreCalderaTools) 1

Beskrivning: Analys av processer som körs i en container eller direkt på en Kubernetes-nod har identifierat en misstänkt process. Detta är ofta associerat med MITRE 54ndc47-agenten, som kan användas skadligt för att attackera andra datorer.

MITRE-taktik: Persistence, PrivilegeEscalation, DefenseEvasion, CredentialAccess, Discovery, LateralMovement, Execution, Collection, Exfiltration, Command and Control, Probing, Exploitation

Allvarlighetsgrad: Medel

1: Förhandsversion för icke-AKS-kluster: Den här aviseringen är allmänt tillgänglig för AKS-kluster, men den är i förhandsversion för andra miljöer, till exempel Azure Arc, EKS och GKE.

2: Begränsningar för GKE-kluster: GKE använder en Kubernetes-granskningsprincip som inte stöder alla aviseringstyper. Därför stöds inte den här säkerhetsaviseringen, som baseras på Kubernetes-granskningshändelser, för GKE-kluster.

3: Den här aviseringen stöds på Windows-noder/containrar.

Aviseringar för SQL Database och Azure Synapse Analytics

Mer information och anteckningar

En möjlig säkerhetsrisk för SQL-inmatning

(SQL. DB_VulnerabilityToSqlInjection SQL. VM_VulnerabilityToSqlInjection SQL.MI_VulnerabilityToSqlInjection SQL. DW_VulnerabilityToSqlInjection Synapse.SQLPool_VulnerabilityToSqlInjection)

Beskrivning: Ett program har genererat en felaktig SQL-instruktion i databasen. Detta kan tyda på en möjlig säkerhetsrisk för SQL-inmatningsattacker. Det finns två möjliga orsaker till en felaktig instruktion. Ett fel i programkoden kan ha konstruerat den felaktiga SQL-instruktionen. Eller så sanerade inte programkod eller lagrade procedurer användarindata när den felaktiga SQL-instruktionen konstruerades, som kan utnyttjas för SQL-inmatning.

MITRE-taktik: PreAttack

Allvarlighetsgrad: Medel

Försök att logga in av ett potentiellt skadligt program

(SQL. DB_HarmfulApplication SQL. VM_HarmfulApplication SQL.MI_HarmfulApplication SQL. DW_HarmfulApplication Synapse.SQLPool_HarmfulApplication)

Beskrivning: Ett potentiellt skadligt program försökte komma åt resursen.

MITRE-taktik: PreAttack

Allvarlighetsgrad: Hög

Logga in från ett ovanligt Azure Data Center

(SQL. DB_DataCenterAnomaly SQL. VM_DataCenterAnomaly SQL. DW_DataCenterAnomaly SQL.MI_DataCenterAnomaly Synapse.SQLPool_DataCenterAnomaly)

Beskrivning: Det har skett en ändring i åtkomstmönstret till en SQL Server, där någon har loggat in på servern från ett ovanligt Azure Data Center. I vissa fall identifierar aviseringen en legitim åtgärd (ett nytt program eller en Azure-tjänst). I andra fall identifierar aviseringen en skadlig åtgärd (angripare som arbetar från en resurs som har brutits i Azure).

MITRE-taktik: Avsökning

Allvarlighetsgrad: Låg

Logga in från en ovanlig plats

(SQL. DB_GeoAnomaly SQL. VM_GeoAnomaly SQL. DW_GeoAnomaly SQL.MI_GeoAnomaly Synapse.SQLPool_GeoAnomaly)

Beskrivning: Det har skett en ändring i åtkomstmönstret till SQL Server, där någon har loggat in på servern från en ovanlig geografisk plats. I vissa fall identifierar aviseringen en giltig åtgärd (ett nytt program eller nytt underhåll av utvecklare). I andra fall identifierar aviseringen en skadlig åtgärd (en tidigare anställd eller extern angripare).

MITRE-taktik: Utnyttjande

Allvarlighetsgrad: Medel

Logga in från en huvudanvändare som inte setts på 60 dagar

(SQL. DB_PrincipalAnomaly SQL. VM_PrincipalAnomaly SQL. DW_PrincipalAnomaly SQL.MI_PrincipalAnomaly Synapse.SQLPool_PrincipalAnomaly)

Beskrivning: En huvudanvändare som inte har setts under de senaste 60 dagarna har loggat in på databasen. Om den här databasen är ny eller om det här är ett förväntat beteende som orsakas av de senaste ändringarna i de användare som kommer åt databasen kommer Defender för molnet att identifiera betydande ändringar i åtkomstmönstren och försöka förhindra framtida falska positiva identifieringar.

MITRE-taktik: Utnyttjande

Allvarlighetsgrad: Medel

Logga in från en domän som inte visas på 60 dagar

(SQL. DB_DomainAnomaly SQL. VM_DomainAnomaly SQL. DW_DomainAnomaly SQL.MI_DomainAnomaly Synapse.SQLPool_DomainAnomaly)

Beskrivning: En användare har loggat in på resursen från en domän som inga andra användare har anslutit från under de senaste 60 dagarna. Om den här resursen är ny eller om det här är ett förväntat beteende som orsakas av de senaste ändringarna i de användare som kommer åt resursen identifierar Defender för molnet betydande ändringar i åtkomstmönstren och försöker förhindra framtida falska positiva identifieringar.

MITRE-taktik: Utnyttjande

Allvarlighetsgrad: Medel

Logga in från en misstänkt IP-adress

(SQL. DB_SuspiciousIpAnomaly SQL. VM_SuspiciousIpAnomaly SQL. DW_SuspiciousIpAnomaly SQL.MI_SuspiciousIpAnomaly Synapse.SQLPool_SuspiciousIpAnomaly)

Beskrivning: Resursen har använts från en IP-adress som Microsoft Threat Intelligence har associerat med misstänkt aktivitet.

MITRE-taktik: PreAttack

Allvarlighetsgrad: Medel

Potentiell SQL-inmatning

(SQL. DB_PotentialSqlInjection SQL. VM_PotentialSqlInjection SQL.MI_PotentialSqlInjection SQL. DW_PotentialSqlInjection Synapse.SQLPool_PotentialSqlInjection)

Beskrivning: En aktiv exploatering har inträffat mot ett identifierat program som är sårbart för SQL-inmatning. Det innebär att en angripare försöker mata in skadliga SQL-instruktioner med hjälp av den sårbara programkoden eller lagrade procedurer.

MITRE-taktik: PreAttack

Allvarlighetsgrad: Hög

Misstänkt råstyrkeattack med en giltig användare

(SQL. DB_BruteForce SQL. VM_BruteForce SQL. DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)

Beskrivning: En potentiell råstyrkeattack har identifierats på resursen. Angriparen använder den giltiga användaren (användarnamnet), som har behörighet att logga in.

MITRE-taktik: PreAttack

Allvarlighetsgrad: Hög

Misstänkt brute force-attack

(SQL. DB_BruteForce SQL. VM_BruteForce SQL. DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)

Beskrivning: En potentiell råstyrkeattack har identifierats på resursen.

MITRE-taktik: PreAttack

Allvarlighetsgrad: Hög

Misstänkt lyckad brute force-attack

(SQL. DB_BruteForce SQL. VM_BruteForce SQL. DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)

Beskrivning: En lyckad inloggning inträffade efter en uppenbar råstyrkeattack på resursen.

MITRE-taktik: PreAttack

Allvarlighetsgrad: Hög

SQL Server skapade potentiellt ett Windows-kommandogränssnitt och fick åtkomst till en onormal extern källa

(SQL. DB_ShellExternalSourceAnomaly SQL. VM_ShellExternalSourceAnomaly SQL. DW_ShellExternalSourceAnomaly SQL.MI_ShellExternalSourceAnomaly Synapse.SQLPool_ShellExternalSourceAnomaly)

Beskrivning: En misstänkt SQL-instruktion kan ge upphov till ett Windows-kommandogränssnitt med en extern källa som inte har setts tidigare. Att köra ett gränssnitt som har åtkomst till en extern källa är en metod som används av angripare för att ladda ned skadlig nyttolast och sedan köra den på datorn och kompromettera den. Detta gör det möjligt för en angripare att utföra skadliga uppgifter under fjärrriktning. Du kan också använda åtkomst till en extern källa för att exfiltera data till ett externt mål.

MITRE-taktik: Körning

Allvarlighetsgrad: Hög

Ovanlig nyttolast med fördunklade delar har initierats av SQL Server

(SQL. VM_PotentialSqlInjection)

Beskrivning: Någon har initierat en ny nyttolast med hjälp av lagret i SQL Server som kommunicerar med operativsystemet samtidigt som kommandot i SQL-frågan döljs. Angripare döljer ofta effektfulla kommandon som övervakas populärt som xp_cmdshell, sp_add_job och andra. Fördunklingstekniker missbrukar legitima kommandon som strängsammanfogning, gjutning, basbyte och andra för att undvika regexidentifiering och skada loggarnas läsbarhet.

MITRE-taktik: Körning

Allvarlighetsgrad: Hög

Aviseringar för relationsdatabaser med öppen källkod

Mer information och anteckningar

Misstänkt råstyrkeattack med en giltig användare

(SQL. PostgreSQL_BruteForce SQL. MariaDB_BruteForce SQL. MySQL_BruteForce)

Beskrivning: En potentiell råstyrkeattack har identifierats på resursen. Angriparen använder den giltiga användaren (användarnamnet), som har behörighet att logga in.

MITRE-taktik: PreAttack

Allvarlighetsgrad: Hög

Misstänkt lyckad brute force-attack

(SQL. PostgreSQL_BruteForce SQL. MySQL_BruteForce SQL. MariaDB_BruteForce)

Beskrivning: En lyckad inloggning inträffade efter en uppenbar råstyrkeattack på resursen.

MITRE-taktik: PreAttack

Allvarlighetsgrad: Hög

Misstänkt brute force-attack

(SQL. PostgreSQL_BruteForce SQL. MySQL_BruteForce SQL. MariaDB_BruteForce)

Beskrivning: En potentiell råstyrkeattack har identifierats på resursen.

MITRE-taktik: PreAttack

Allvarlighetsgrad: Hög

Försök att logga in av ett potentiellt skadligt program

(SQL. PostgreSQL_HarmfulApplication SQL. MariaDB_HarmfulApplication SQL. MySQL_HarmfulApplication)

Beskrivning: Ett potentiellt skadligt program försökte komma åt resursen.

MITRE-taktik: PreAttack

Allvarlighetsgrad: Hög

Logga in från en huvudanvändare som inte setts på 60 dagar

(SQL. PostgreSQL_PrincipalAnomaly SQL. MariaDB_PrincipalAnomaly SQL. MySQL_PrincipalAnomaly)

Beskrivning: En huvudanvändare som inte har setts under de senaste 60 dagarna har loggat in på databasen. Om den här databasen är ny eller om det här är ett förväntat beteende som orsakas av de senaste ändringarna i de användare som kommer åt databasen kommer Defender för molnet att identifiera betydande ändringar i åtkomstmönstren och försöka förhindra framtida falska positiva identifieringar.

MITRE-taktik: Utnyttjande

Allvarlighetsgrad: Medel

Logga in från en domän som inte visas på 60 dagar

(SQL. MariaDB_DomainAnomaly SQL. PostgreSQL_DomainAnomaly SQL. MySQL_DomainAnomaly)

Beskrivning: En användare har loggat in på resursen från en domän som inga andra användare har anslutit från under de senaste 60 dagarna. Om den här resursen är ny eller om det här är ett förväntat beteende som orsakas av de senaste ändringarna i de användare som kommer åt resursen identifierar Defender för molnet betydande ändringar i åtkomstmönstren och försöker förhindra framtida falska positiva identifieringar.

MITRE-taktik: Utnyttjande

Allvarlighetsgrad: Medel

Logga in från ett ovanligt Azure Data Center

(SQL. PostgreSQL_DataCenterAnomaly SQL. MariaDB_DataCenterAnomaly SQL. MySQL_DataCenterAnomaly)

Beskrivning: Någon har loggat in på din resurs från ett ovanligt Azure Data Center.

MITRE-taktik: Avsökning

Allvarlighetsgrad: Låg

Logga in från en ovanlig molnleverantör

(SQL. PostgreSQL_CloudProviderAnomaly SQL. MariaDB_CloudProviderAnomaly SQL. MySQL_CloudProviderAnomaly)

Beskrivning: Någon har loggat in på din resurs från en molnleverantör som inte har setts under de senaste 60 dagarna. Det är snabbt och enkelt för hotaktörer att få disponibel beräkningskraft för användning i sina kampanjer. Om detta är förväntat beteende som orsakas av den senaste implementeringen av en ny molnleverantör lär Defender för molnet sig över tid och försöker förhindra framtida falska positiva identifieringar.

MITRE-taktik: Utnyttjande

Allvarlighetsgrad: Medel

Logga in från en ovanlig plats

(SQL. MariaDB_GeoAnomaly SQL. PostgreSQL_GeoAnomaly SQL. MySQL_GeoAnomaly)

Beskrivning: Någon har loggat in på din resurs från ett ovanligt Azure Data Center.

MITRE-taktik: Utnyttjande

Allvarlighetsgrad: Medel

Logga in från en misstänkt IP-adress

(SQL. PostgreSQL_SuspiciousIpAnomaly SQL. MariaDB_SuspiciousIpAnomaly SQL. MySQL_SuspiciousIpAnomaly)

Beskrivning: Resursen har använts från en IP-adress som Microsoft Threat Intelligence har associerat med misstänkt aktivitet.

MITRE-taktik: PreAttack

Allvarlighetsgrad: Medel

Aviseringar för Resource Manager

Kommentar

Aviseringar med en delegerad åtkomstindikator utlöses på grund av aktivitet hos tredjepartstjänstleverantörer. läs mer om aktivitetsadikationer för tjänsteleverantörer.

Mer information och anteckningar

Azure Resource Manager-åtgärd från misstänkt IP-adress

(ARM_OperationFromSuspiciousIP)

Beskrivning: Microsoft Defender för Resource Manager har identifierat en åtgärd från en IP-adress som har markerats som misstänkt i hotinformationsflöden.

MITRE-taktik: Körning

Allvarlighetsgrad: Medel

Azure Resource Manager-åtgärd från misstänkt proxy-IP-adress

(ARM_OperationFromSuspiciousProxyIP)

Beskrivning: Microsoft Defender för Resource Manager identifierade en resurshanteringsåtgärd från en IP-adress som är associerad med proxytjänster, till exempel TOR. Även om det här beteendet kan vara legitimt, visas det ofta i skadliga aktiviteter, när hotaktörer försöker dölja sin käll-IP.

MITRE-taktik: Försvarsundandragande

Allvarlighetsgrad: Medel

Verktyg för MicroBurst-exploatering som används för att räkna upp resurser i dina prenumerationer

(ARM_MicroBurst.AzDomainInfo)

Beskrivning: Ett PowerShell-skript kördes i din prenumeration och utförde ett misstänkt mönster för att köra en informationsinsamling för att identifiera resurser, behörigheter och nätverksstrukturer. Hotaktörer använder automatiserade skript, till exempel MicroBurst, för att samla in information om skadliga aktiviteter. Detta upptäcktes genom att analysera Azure Resource Manager-åtgärder i din prenumeration. Den här åtgärden kan tyda på att en identitet i organisationen har brutits och att hotskådespelaren försöker kompromettera din miljö för skadliga avsikter.

MITRE-taktik: -

Allvarlighetsgrad: Låg

Verktyg för MicroBurst-exploatering som används för att räkna upp resurser i dina prenumerationer

(ARM_MicroBurst.AzureDomainInfo)

Beskrivning: Ett PowerShell-skript kördes i din prenumeration och utförde ett misstänkt mönster för att köra en informationsinsamling för att identifiera resurser, behörigheter och nätverksstrukturer. Hotaktörer använder automatiserade skript, till exempel MicroBurst, för att samla in information om skadliga aktiviteter. Detta upptäcktes genom att analysera Azure Resource Manager-åtgärder i din prenumeration. Den här åtgärden kan tyda på att en identitet i organisationen har brutits och att hotskådespelaren försöker kompromettera din miljö för skadliga avsikter.

MITRE-taktik: -

Allvarlighetsgrad: Låg

MicroBurst-exploateringsverktyg som används för att köra kod på den virtuella datorn

(ARM_MicroBurst.AzVMBulkCMD)

Beskrivning: Ett PowerShell-skript kördes i din prenumeration och utförde ett misstänkt mönster för att köra kod på en virtuell dator eller en lista över virtuella datorer. Hotaktörer använder automatiserade skript, till exempel MicroBurst, för att köra ett skript på en virtuell dator för skadliga aktiviteter. Detta upptäcktes genom att analysera Azure Resource Manager-åtgärder i din prenumeration. Den här åtgärden kan tyda på att en identitet i organisationen har brutits och att hotskådespelaren försöker kompromettera din miljö för skadliga avsikter.

MITRE-taktik: Körning

Allvarlighetsgrad: Hög

MicroBurst-exploateringsverktyg som används för att köra kod på den virtuella datorn

(RM_MicroBurst.AzureRmVMBulkCMD)

Beskrivning: MicroBursts verktyg för exploatering användes för att köra kod på dina virtuella datorer. Detta upptäcktes genom att analysera Azure Resource Manager-åtgärder i din prenumeration.

MITRE-taktik: -

Allvarlighetsgrad: Hög

Verktyg för microBurst-exploatering som används för att extrahera nycklar från dina Azure-nyckelvalv

(ARM_MicroBurst.AzKeyVaultKeysREST)

Beskrivning: Ett PowerShell-skript kördes i din prenumeration och utförde ett misstänkt mönster för att extrahera nycklar från ett Azure Key Vault(er). Hotaktörer använder automatiserade skript, till exempel MicroBurst, för att lista nycklar och använda dem för att komma åt känsliga data eller utföra lateral förflyttning. Detta upptäcktes genom att analysera Azure Resource Manager-åtgärder i din prenumeration. Den här åtgärden kan tyda på att en identitet i organisationen har brutits och att hotskådespelaren försöker kompromettera din miljö för skadliga avsikter.

MITRE-taktik: -

Allvarlighetsgrad: Hög

Verktyg för microBurst-exploatering som används för att extrahera nycklar till dina lagringskonton

(ARM_MicroBurst.AZStorageKeysREST)

Beskrivning: Ett PowerShell-skript kördes i din prenumeration och utförde ett misstänkt mönster för att extrahera nycklar till lagringskonton. Hotaktörer använder automatiserade skript, till exempel MicroBurst, för att lista nycklar och använda dem för att komma åt känsliga data i dina lagringskonton. Detta upptäcktes genom att analysera Azure Resource Manager-åtgärder i din prenumeration. Den här åtgärden kan tyda på att en identitet i organisationen har brutits och att hotskådespelaren försöker kompromettera din miljö för skadliga avsikter.

MITRE-taktik: Samling

Allvarlighetsgrad: Hög

Verktyg för microBurst-exploatering som används för att extrahera hemligheter från dina Azure-nyckelvalv

(ARM_MicroBurst.AzKeyVaultSecretsREST)

Beskrivning: Ett PowerShell-skript kördes i din prenumeration och utförde ett misstänkt mönster för att extrahera hemligheter från ett Azure Key Vault(er). Hotaktörer använder automatiserade skript, till exempel MicroBurst, för att lista hemligheter och använda dem för att komma åt känsliga data eller utföra laterala förflyttningar. Detta upptäcktes genom att analysera Azure Resource Manager-åtgärder i din prenumeration. Den här åtgärden kan tyda på att en identitet i organisationen har brutits och att hotskådespelaren försöker kompromettera din miljö för skadliga avsikter.

MITRE-taktik: -

Allvarlighetsgrad: Hög

Verktyg för PowerZure-exploatering som används för att höja åtkomsten från Azure AD till Azure

(ARM_PowerZure.AzureElevatedPrivileges)

Beskrivning: PowerZure-exploateringsverktyg användes för att höja åtkomsten från AzureAD till Azure. Detta identifierades genom att analysera Azure Resource Manager-åtgärder i din klientorganisation.

MITRE-taktik: -

Allvarlighetsgrad: Hög

PowerZure-exploateringsverktyg som används för att räkna upp resurser

(ARM_PowerZure.GetAzureTargets)

Beskrivning: PowerZure-exploateringsverktyg användes för att räkna upp resurser för ett legitimt användarkonto i din organisation. Detta upptäcktes genom att analysera Azure Resource Manager-åtgärder i din prenumeration.

MITRE-taktik: Samling

Allvarlighetsgrad: Hög

PowerZure-exploateringsverktyg som används för att räkna upp lagringscontainrar, resurser och tabeller

(ARM_PowerZure.ShowStorageContent)

Beskrivning: PowerZure-exploateringsverktyg användes för att räkna upp lagringsresurser, tabeller och containrar. Detta upptäcktes genom att analysera Azure Resource Manager-åtgärder i din prenumeration.

MITRE-taktik: -

Allvarlighetsgrad: Hög

PowerZure-exploateringsverktyg som används för att köra en Runbook i din prenumeration

(ARM_PowerZure.StartRunbook)

Beskrivning: PowerZure-exploateringsverktyg användes för att köra en Runbook. Detta upptäcktes genom att analysera Azure Resource Manager-åtgärder i din prenumeration.

MITRE-taktik: -

Allvarlighetsgrad: Hög

PowerZure-exploateringsverktyg som används för att extrahera Runbooks-innehåll

(ARM_PowerZure.AzureRunbookContent)

Beskrivning: PowerZure-exploateringsverktyg användes för att extrahera Runbook-innehåll. Detta upptäcktes genom att analysera Azure Resource Manager-åtgärder i din prenumeration.

MITRE-taktik: Samling

Allvarlighetsgrad: Hög

FÖRHANDSVERSION – Azurite toolkit-körning har identifierats

(ARM_Azurite)

Beskrivning: En känd rekognoseringsverktygskörning för molnmiljö har identifierats i din miljö. Verktyget Azurite kan användas av en angripare (eller intrångstestare) för att mappa prenumerationernas resurser och identifiera osäkra konfigurationer.

MITRE-taktik: Samling

Allvarlighetsgrad: Hög

FÖRHANDSVERSION – Misstänkt skapande av beräkningsresurser har identifierats

(ARM_SuspiciousComputeCreation)

Beskrivning: Microsoft Defender för Resource Manager har identifierat ett misstänkt skapande av beräkningsresurser i din prenumeration med virtuella datorer/Azure-skalningsuppsättningar. De identifierade åtgärderna är utformade för att administratörer effektivt ska kunna hantera sina miljöer genom att distribuera nya resurser vid behov. Även om den här aktiviteten kan vara legitim kan en hotskådespelare använda sådana åtgärder för att utföra kryptoutvinning. Aktiviteten anses misstänkt eftersom skalningen för beräkningsresurser är högre än vad som tidigare observerats i prenumerationen. Detta kan tyda på att huvudkontot har komprometterats och används med skadlig avsikt.

MITRE-taktik: Påverkan

Allvarlighetsgrad: Medel

FÖRHANDSVERSION – Misstänkt återställning av nyckelvalv har identifierats

(Arm_Suspicious_Vault_Recovering)

Beskrivning: Microsoft Defender för Resource Manager har identifierat en misstänkt återställningsåtgärd för en resurs med mjukt borttaget nyckelvalv. Användaren som återställer resursen skiljer sig från användaren som tog bort den. Detta är mycket misstänkt eftersom användaren sällan anropar en sådan åtgärd. Dessutom loggade användaren in utan multifaktorautentisering (MFA). Detta kan tyda på att användaren är komprometterad och försöker identifiera hemligheter och nycklar för att få åtkomst till känsliga resurser eller utföra laterala rörelser i nätverket.

MITRE-taktik: Lateral rörelse

Allvarlighetsgrad: Medel/hög

FÖRHANDSVERSION – Misstänkt hanteringssession med ett inaktivt konto har identifierats

(ARM_UnusedAccountPersistence)

Beskrivning: Analys av prenumerationsaktivitetsloggar har identifierat misstänkt beteende. Ett huvudnamn som inte används under en längre tid utför nu åtgärder som kan skydda beständighet för en angripare.

MITRE-taktik: Beständighet

Allvarlighetsgrad: Medel

FÖRHANDSVERSION – Misstänkt anrop av en högriskåtgärd för åtkomst till autentiseringsuppgifter av ett tjänstens huvudnamn har identifierats

(ARM_AnomalousServiceOperation.CredentialAccess)

Beskrivning: Microsoft Defender för Resource Manager identifierade ett misstänkt anrop av en högriskåtgärd i din prenumeration, vilket kan tyda på ett försök att komma åt autentiseringsuppgifter. De identifierade åtgärderna är utformade för att administratörer effektivt ska kunna hantera sina miljöer. Även om den här aktiviteten kan vara legitim kan en hotakterare använda sådana åtgärder för att få åtkomst till begränsade autentiseringsuppgifter och kompromettera resurser i din miljö. Detta kan tyda på att tjänstens huvudnamn är komprometterat och används med skadlig avsikt.

MITRE-taktik: Åtkomst till autentiseringsuppgifter

Allvarlighetsgrad: Medel

FÖRHANDSVERSION – Misstänkt anrop av en högriskåtgärd för datainsamling av ett tjänstens huvudnamn har identifierats

(ARM_AnomalousServiceOperation.Collection)

Beskrivning: Microsoft Defender för Resource Manager identifierade ett misstänkt anrop av en högriskåtgärd i din prenumeration, vilket kan tyda på ett försök att samla in data. De identifierade åtgärderna är utformade för att administratörer effektivt ska kunna hantera sina miljöer. Även om den här aktiviteten kan vara legitim kan en hotakterare använda sådana åtgärder för att samla in känsliga data om resurser i din miljö. Detta kan tyda på att tjänstens huvudnamn är komprometterat och används med skadlig avsikt.

MITRE-taktik: Samling

Allvarlighetsgrad: Medel

FÖRHANDSVERSION – Misstänkt anrop av en högriskåtgärd för "försvarsundandragande" av ett huvudnamn för tjänsten har identifierats

(ARM_AnomalousServiceOperation.DefenseEvasion)

Beskrivning: Microsoft Defender för Resource Manager identifierade ett misstänkt anrop av en högriskåtgärd i din prenumeration, vilket kan tyda på ett försök att undvika skydd. De identifierade åtgärderna är utformade för att administratörer effektivt ska kunna hantera säkerhetsstatusen i sina miljöer. Även om den här aktiviteten kan vara legitim kan en hotskådespelare använda sådana åtgärder för att undvika att identifieras samtidigt som resurser i din miljö komprometteras. Detta kan tyda på att tjänstens huvudnamn är komprometterat och används med skadlig avsikt.

MITRE-taktik: Försvarsundandragande

Allvarlighetsgrad: Medel

FÖRHANDSVERSION – Misstänkt anrop av en högriskåtgärd för körning av tjänstens huvudnamn har identifierats

(ARM_AnomalousServiceOperation.Execution)

Beskrivning: Microsoft Defender för Resource Manager identifierade ett misstänkt anrop av en högriskåtgärd på en dator i din prenumeration, vilket kan tyda på ett försök att köra kod. De identifierade åtgärderna är utformade för att administratörer effektivt ska kunna hantera sina miljöer. Även om den här aktiviteten kan vara legitim kan en hotakterare använda sådana åtgärder för att få åtkomst till begränsade autentiseringsuppgifter och kompromettera resurser i din miljö. Detta kan tyda på att tjänstens huvudnamn är komprometterat och används med skadlig avsikt.

MITRE-taktik: Försvarskörning

Allvarlighetsgrad: Medel

FÖRHANDSVERSION – Misstänkt anrop av en högriskåtgärd för "Påverkan" av ett tjänstens huvudnamn har identifierats

(ARM_AnomalousServiceOperation.Impact)

Beskrivning: Microsoft Defender för Resource Manager identifierade ett misstänkt anrop av en högriskåtgärd i din prenumeration, vilket kan tyda på ett försök till konfigurationsändring. De identifierade åtgärderna är utformade för att administratörer effektivt ska kunna hantera sina miljöer. Även om den här aktiviteten kan vara legitim kan en hotakterare använda sådana åtgärder för att få åtkomst till begränsade autentiseringsuppgifter och kompromettera resurser i din miljö. Detta kan tyda på att tjänstens huvudnamn är komprometterat och används med skadlig avsikt.

MITRE-taktik: Påverkan

Allvarlighetsgrad: Medel

FÖRHANDSVERSION – Misstänkt anrop av en högriskåtgärd för "initial åtkomst" av ett tjänstens huvudnamn har identifierats

(ARM_AnomalousServiceOperation.InitialAccess)

Beskrivning: Microsoft Defender för Resource Manager identifierade ett misstänkt anrop av en högriskåtgärd i din prenumeration, vilket kan tyda på ett försök att komma åt begränsade resurser. De identifierade åtgärderna är utformade för att administratörer effektivt ska kunna komma åt sina miljöer. Även om den här aktiviteten kan vara legitim kan en hotskådespelare använda sådana åtgärder för att få inledande åtkomst till begränsade resurser i din miljö. Detta kan tyda på att tjänstens huvudnamn är komprometterat och används med skadlig avsikt.

MITRE-taktik: Inledande åtkomst

Allvarlighetsgrad: Medel

FÖRHANDSVERSION – Misstänkt anrop av en högriskåtgärd för "lateral förflyttningsåtkomst" av ett huvudnamn för tjänsten har identifierats

(ARM_AnomalousServiceOperation.LateralMovement)

Beskrivning: Microsoft Defender för Resource Manager identifierade ett misstänkt anrop av en högriskåtgärd i din prenumeration, vilket kan tyda på ett försök att utföra lateral förflyttning. De identifierade åtgärderna är utformade för att administratörer effektivt ska kunna hantera sina miljöer. Även om den här aktiviteten kan vara legitim kan en hotakterare använda sådana åtgärder för att kompromettera fler resurser i din miljö. Detta kan tyda på att tjänstens huvudnamn är komprometterat och används med skadlig avsikt.

MITRE-taktik: Lateral rörelse

Allvarlighetsgrad: Medel

FÖRHANDSVERSION – Misstänkt anrop av en högriskåtgärd för "beständighet" av ett tjänstens huvudnamn har identifierats

(ARM_AnomalousServiceOperation.Persistence)

Beskrivning: Microsoft Defender för Resource Manager identifierade ett misstänkt anrop av en högriskåtgärd i din prenumeration, vilket kan tyda på ett försök att fastställa beständighet. De identifierade åtgärderna är utformade för att administratörer effektivt ska kunna hantera sina miljöer. Även om den här aktiviteten kan vara legitim kan en hotaktör använda sådana åtgärder för att etablera beständighet i din miljö. Detta kan tyda på att tjänstens huvudnamn är komprometterat och används med skadlig avsikt.

MITRE-taktik: Beständighet

Allvarlighetsgrad: Medel

FÖRHANDSVERSION – Misstänkt anrop av en högriskåtgärd för "Privilege Escalation" av ett tjänstens huvudnamn har identifierats

(ARM_AnomalousServiceOperation.PrivilegeEscalation)

Beskrivning: Microsoft Defender för Resource Manager identifierade ett misstänkt anrop av en högriskåtgärd i din prenumeration, vilket kan tyda på ett försök att eskalera privilegier. De identifierade åtgärderna är utformade för att administratörer effektivt ska kunna hantera sina miljöer. Även om den här aktiviteten kan vara legitim kan en hotskådespelare använda sådana åtgärder för att eskalera privilegier samtidigt som resurser i din miljö äventyras. Detta kan tyda på att tjänstens huvudnamn är komprometterat och används med skadlig avsikt.

MITRE-taktik: Privilegieeskalering

Allvarlighetsgrad: Medel

FÖRHANDSVERSION – Misstänkt hanteringssession med ett inaktivt konto har identifierats

(ARM_UnusedAccountPersistence)

Beskrivning: Analys av prenumerationsaktivitetsloggar har identifierat misstänkt beteende. Ett huvudnamn som inte används under en längre tid utför nu åtgärder som kan skydda beständighet för en angripare.

MITRE-taktik: Beständighet

Allvarlighetsgrad: Medel

FÖRHANDSVERSION – Misstänkt hanteringssession med PowerShell har identifierats

(ARM_UnusedAppPowershellPersistence)

Beskrivning: Analys av prenumerationsaktivitetsloggar har identifierat misstänkt beteende. Ett huvudnamn som inte regelbundet använder PowerShell för att hantera prenumerationsmiljön använder nu PowerShell och utför åtgärder som kan skydda beständighet för en angripare.

MITRE-taktik: Beständighet

Allvarlighetsgrad: Medel

FÖRHANDSVERSION â€" Misstänkt hanteringssession med Azure-portalen har identifierats

(ARM_UnusedAppIbizaPersistence)

Beskrivning: Analys av dina prenumerationsaktivitetsloggar har identifierat ett misstänkt beteende. Ett huvudnamn som inte regelbundet använder Azure-portalen (Ibiza) för att hantera prenumerationsmiljön (har inte använt Azure-portalen för att hantera under de senaste 45 dagarna eller en prenumeration som den aktivt hanterar) använder nu Azure-portalen och utför åtgärder som kan skydda beständighet för en angripare.

MITRE-taktik: Beständighet

Allvarlighetsgrad: Medel

Privilegierad anpassad roll som skapats för din prenumeration på ett misstänkt sätt (förhandsversion)

(ARM_PrivilegedRoleDefinitionCreation)

Beskrivning: Microsoft Defender för Resource Manager har identifierat en misstänkt skapande av privilegierad anpassad rolldefinition i din prenumeration. Den här åtgärden kan ha utförts av en legitim användare i din organisation. Alternativt kan det tyda på att ett konto i din organisation har brutits och att hotskådespelaren försöker skapa en privilegierad roll som ska användas i framtiden för att undvika identifiering.

MITRE-taktik: Privilege Escalation, Defense Evasion

Allvarlighetsgrad: Information

Misstänkt Azure-rolltilldelning har identifierats (förhandsversion)

(ARM_AnomalousRBACRoleAssignment)

Beskrivning: Microsoft Defender för Resource Manager identifierade en misstänkt Azure-rolltilldelning/utfördes med PIM (Privileged Identity Management) i din klientorganisation, vilket kan tyda på att ett konto i din organisation har komprometterats. De identifierade åtgärderna är utformade för att tillåta administratörer att bevilja huvudnamn åtkomst till Azure-resurser. Även om den här aktiviteten kan vara legitim kan en hotskådespelare använda rolltilldelning för att eskalera sina behörigheter så att de kan gå vidare med attacken.

MITRE-taktik: Lateral rörelse, försvarsundandragande

Allvarlighetsgrad: Låg (PIM) /Hög

Misstänkt anrop av en högriskåtgärd för åtkomst till autentiseringsuppgifter har identifierats (förhandsversion)

(ARM_AnomalousOperation.CredentialAccess)

Beskrivning: Microsoft Defender för Resource Manager identifierade ett misstänkt anrop av en högriskåtgärd i din prenumeration, vilket kan tyda på ett försök att komma åt autentiseringsuppgifter. De identifierade åtgärderna är utformade för att administratörer effektivt ska kunna komma åt sina miljöer. Även om den här aktiviteten kan vara legitim kan en hotakterare använda sådana åtgärder för att få åtkomst till begränsade autentiseringsuppgifter och kompromettera resurser i din miljö. Detta kan tyda på att kontot har komprometterats och används med skadlig avsikt.

MITRE-taktik: Åtkomst till autentiseringsuppgifter

Allvarlighetsgrad: Medel

Misstänkt anrop av en högriskåtgärd för datainsamling har identifierats (förhandsversion)

(ARM_AnomalousOperation.Collection)

Beskrivning: Microsoft Defender för Resource Manager identifierade ett misstänkt anrop av en högriskåtgärd i din prenumeration, vilket kan tyda på ett försök att samla in data. De identifierade åtgärderna är utformade för att administratörer effektivt ska kunna hantera sina miljöer. Även om den här aktiviteten kan vara legitim kan en hotakterare använda sådana åtgärder för att samla in känsliga data om resurser i din miljö. Detta kan tyda på att kontot har komprometterats och används med skadlig avsikt.

MITRE-taktik: Samling

Allvarlighetsgrad: Medel

Misstänkt anrop av en högriskåtgärd för "försvarsundandragande" har identifierats (förhandsversion)

(ARM_AnomalousOperation.DefenseEvasion)

Beskrivning: Microsoft Defender för Resource Manager identifierade ett misstänkt anrop av en högriskåtgärd i din prenumeration, vilket kan tyda på ett försök att undvika skydd. De identifierade åtgärderna är utformade för att administratörer effektivt ska kunna hantera säkerhetsstatusen i sina miljöer. Även om den här aktiviteten kan vara legitim kan en hotskådespelare använda sådana åtgärder för att undvika att identifieras samtidigt som resurser i din miljö komprometteras. Detta kan tyda på att kontot har komprometterats och används med skadlig avsikt.

MITRE-taktik: Försvarsundandragande

Allvarlighetsgrad: Medel

Misstänkt anrop av en högriskåtgärd för körning har identifierats (förhandsversion)

(ARM_AnomalousOperation.Execution)

Beskrivning: Microsoft Defender för Resource Manager identifierade ett misstänkt anrop av en högriskåtgärd på en dator i din prenumeration, vilket kan tyda på ett försök att köra kod. De identifierade åtgärderna är utformade för att administratörer effektivt ska kunna hantera sina miljöer. Även om den här aktiviteten kan vara legitim kan en hotakterare använda sådana åtgärder för att få åtkomst till begränsade autentiseringsuppgifter och kompromettera resurser i din miljö. Detta kan tyda på att kontot har komprometterats och används med skadlig avsikt.

MITRE-taktik: Körning

Allvarlighetsgrad: Medel

Misstänkt anrop av en högriskåtgärd för påverkan har identifierats (förhandsversion)

(ARM_AnomalousOperation.Impact)

Beskrivning: Microsoft Defender för Resource Manager identifierade ett misstänkt anrop av en högriskåtgärd i din prenumeration, vilket kan tyda på ett försök till konfigurationsändring. De identifierade åtgärderna är utformade för att administratörer effektivt ska kunna hantera sina miljöer. Även om den här aktiviteten kan vara legitim kan en hotakterare använda sådana åtgärder för att få åtkomst till begränsade autentiseringsuppgifter och kompromettera resurser i din miljö. Detta kan tyda på att kontot har komprometterats och används med skadlig avsikt.

MITRE-taktik: Påverkan

Allvarlighetsgrad: Medel

Misstänkt anrop av en högriskåtgärd för "initial åtkomst" har identifierats (förhandsversion)

(ARM_AnomalousOperation.InitialAccess)

Beskrivning: Microsoft Defender för Resource Manager identifierade ett misstänkt anrop av en högriskåtgärd i din prenumeration, vilket kan tyda på ett försök att komma åt begränsade resurser. De identifierade åtgärderna är utformade för att administratörer effektivt ska kunna komma åt sina miljöer. Även om den här aktiviteten kan vara legitim kan en hotskådespelare använda sådana åtgärder för att få inledande åtkomst till begränsade resurser i din miljö. Detta kan tyda på att kontot har komprometterats och används med skadlig avsikt.

MITRE-taktik: Inledande åtkomst

Allvarlighetsgrad: Medel

Misstänkt anrop av en högriskåtgärd för lateral förflyttning har identifierats (förhandsversion)

(ARM_AnomalousOperation.LateralMovement)

Beskrivning: Microsoft Defender för Resource Manager identifierade ett misstänkt anrop av en högriskåtgärd i din prenumeration, vilket kan tyda på ett försök att utföra lateral förflyttning. De identifierade åtgärderna är utformade för att administratörer effektivt ska kunna hantera sina miljöer. Även om den här aktiviteten kan vara legitim kan en hotakterare använda sådana åtgärder för att kompromettera fler resurser i din miljö. Detta kan tyda på att kontot har komprometterats och används med skadlig avsikt.

MITRE-taktik: Lateral rörelse

Allvarlighetsgrad: Medel

Misstänkt utökade åtkomståtgärder (förhandsversion)(ARM_AnomalousElevateAccess)

Beskrivning: Microsoft Defender för Resource Manager identifierade en misstänkt åtgärd för att höja åtkomsten. Aktiviteten anses misstänkt eftersom det här huvudkontot sällan anropar sådana åtgärder. Även om den här aktiviteten kan vara legitim kan en hotskådespelare använda en åtgärd för att öka åtkomsten för att utföra behörighetseskalering för en komprometterad användare.

MITRE-taktik: Privilegieeskalering

Allvarlighetsgrad: Medel

Misstänkt anrop av en högriskåtgärd för beständighet har identifierats (förhandsversion)

(ARM_AnomalousOperation.Persistence)

Beskrivning: Microsoft Defender för Resource Manager identifierade ett misstänkt anrop av en högriskåtgärd i din prenumeration, vilket kan tyda på ett försök att fastställa beständighet. De identifierade åtgärderna är utformade för att administratörer effektivt ska kunna hantera sina miljöer. Även om den här aktiviteten kan vara legitim kan en hotaktör använda sådana åtgärder för att etablera beständighet i din miljö. Detta kan tyda på att kontot har komprometterats och används med skadlig avsikt.

MITRE-taktik: Beständighet

Allvarlighetsgrad: Medel

Misstänkt anrop av en högriskåtgärd för "Privilege Escalation" har identifierats (förhandsversion)

(ARM_AnomalousOperation.PrivilegeEscalation)

Beskrivning: Microsoft Defender för Resource Manager identifierade ett misstänkt anrop av en högriskåtgärd i din prenumeration, vilket kan tyda på ett försök att eskalera privilegier. De identifierade åtgärderna är utformade för att administratörer effektivt ska kunna hantera sina miljöer. Även om den här aktiviteten kan vara legitim kan en hotskådespelare använda sådana åtgärder för att eskalera privilegier samtidigt som resurser i din miljö äventyras. Detta kan tyda på att kontot har komprometterats och används med skadlig avsikt.

MITRE-taktik: Privilegieeskalering

Allvarlighetsgrad: Medel

Användning av Verktyg för microBurst-exploatering för att köra en godtycklig kod eller exfiltera autentiseringsuppgifter för Azure Automation-kontot

(ARM_MicroBurst.RunCodeOnBehalf)

Beskrivning: Ett PowerShell-skript kördes i din prenumeration och utförde ett misstänkt mönster för att köra en godtycklig kod eller exfiltera autentiseringsuppgifter för Azure Automation-kontot. Hotaktörer använder automatiserade skript, till exempel MicroBurst, för att köra godtycklig kod för skadliga aktiviteter. Detta upptäcktes genom att analysera Azure Resource Manager-åtgärder i din prenumeration. Den här åtgärden kan tyda på att en identitet i organisationen har brutits och att hotskådespelaren försöker kompromettera din miljö för skadliga avsikter.

MITRE-taktik: Beständighet, åtkomst till autentiseringsuppgifter

Allvarlighetsgrad: Hög

Användning av NetSPI-tekniker för att upprätthålla beständighet i din Azure-miljö

(ARM_NetSPI.MaintainPersistence)

Beskrivning: Användning av NetSPI-beständighetsteknik för att skapa en webhook-bakdörr och upprätthålla beständighet i din Azure-miljö. Detta upptäcktes genom att analysera Azure Resource Manager-åtgärder i din prenumeration.

MITRE-taktik: -

Allvarlighetsgrad: Hög

Användning av PowerZure-verktyg för exploatering för att köra en godtycklig kod eller exfiltera autentiseringsuppgifter för Azure Automation-kontot

(ARM_PowerZure.RunCodeOnBehalf)

Beskrivning: PowerZure-exploateringsverktyg har identifierat försök att köra kod eller exfiltera autentiseringsuppgifter för Azure Automation-kontot. Detta upptäcktes genom att analysera Azure Resource Manager-åtgärder i din prenumeration.

MITRE-taktik: -

Allvarlighetsgrad: Hög

Användning av PowerZure-funktionen för att upprätthålla beständighet i din Azure-miljö

(ARM_PowerZure.MaintainPersistence)

Beskrivning: PowerZure-exploateringsverktyg har identifierat skapandet av en webhook-bakdörr för att upprätthålla beständighet i din Azure-miljö. Detta upptäcktes genom att analysera Azure Resource Manager-åtgärder i din prenumeration.

MITRE-taktik: -

Allvarlighetsgrad: Hög

Misstänkt klassisk rolltilldelning identifierad (förhandsversion)

(ARM_AnomalousClassicRoleAssignment)

Beskrivning: Microsoft Defender för Resource Manager identifierade en misstänkt klassisk rolltilldelning i klientorganisationen, vilket kan tyda på att ett konto i din organisation har komprometterats. De identifierade åtgärderna är utformade för att ge bakåtkompatibilitet med klassiska roller som inte längre används ofta. Även om den här aktiviteten kan vara legitim kan en hotskådespelare använda en sådan tilldelning för att bevilja behörigheter till ett annat användarkonto under deras kontroll.

MITRE-taktik: Lateral rörelse, försvarsundandragande

Allvarlighetsgrad: Hög

Aviseringar för Azure Storage

Mer information och anteckningar

Åtkomst från ett misstänkt program

(Storage.Blob_SuspiciousApp)

Beskrivning: Anger att ett misstänkt program har åtkomst till en container för ett lagringskonto med autentisering. Detta kan tyda på att en angripare har fått de autentiseringsuppgifter som krävs för att komma åt kontot och utnyttjar det. Detta kan också vara en indikation på ett intrångstest som utförs i din organisation. Gäller för: Azure Blob Storage, Azure Data Lake Storage Gen2

MITRE-taktik: Inledande åtkomst

Allvarlighetsgrad: Hög/medelhög

Åtkomst från en misstänkt IP-adress

(Storage.Blob_SuspiciousIp Storage.Files_SuspiciousIp)

Beskrivning: Anger att det här lagringskontot har använts från en IP-adress som anses vara misstänkt. Den här aviseringen drivs av Microsoft Threat Intelligence. Läs mer om Microsofts funktioner för hotinformation. Gäller för: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2

MITRE-taktik: Före attack

Allvarlighetsgrad: Hög/medel/låg

Nätfiskeinnehåll som finns på ett lagringskonto

(Storage.Blob_PhishingContent Storage.Files_PhishingContent)

Beskrivning: En URL som används i en nätfiskeattack pekar på ditt Azure Storage-konto. Den här URL:en var en del av en nätfiskeattack som påverkade användare av Microsoft 365. Vanligtvis är innehåll som finns på sådana sidor utformat för att lura besökare att ange sina företagsautentiseringsuppgifter eller ekonomisk information i ett webbformulär som ser legitimt ut. Den här aviseringen drivs av Microsoft Threat Intelligence. Läs mer om Microsofts funktioner för hotinformation. Gäller för: Azure Blob Storage, Azure Files

MITRE-taktik: Samling

Allvarlighetsgrad: Hög

Lagringskonto identifieras som källa för distribution av skadlig kod

(Storage.Files_WidespreadeAm)

Beskrivning: Aviseringar om program mot skadlig kod anger att en eller flera infekterade filer lagras i en Azure-filresurs som är monterad på flera virtuella datorer. Om angripare får åtkomst till en virtuell dator med en monterad Azure-filresurs kan de använda den för att sprida skadlig kod till andra virtuella datorer som monterar samma resurs. Gäller för: Azure Files

MITRE-taktik: Körning

Allvarlighetsgrad: Medel

Åtkomstnivån för en potentiellt känslig lagringsblobcontainer ändrades för att tillåta oautentiserad offentlig åtkomst

(Storage.Blob_OpenACL)

Beskrivning: Aviseringen anger att någon har ändrat åtkomstnivån för en blobcontainer i lagringskontot, som kan innehålla känsliga data, till containernivån för att tillåta oautentiserad (anonym) offentlig åtkomst. Ändringen gjordes via Azure-portalen. Baserat på statistisk analys flaggas blobcontainern som möjligen innehåller känsliga data. Den här analysen tyder på att blobcontainrar eller lagringskonton med liknande namn vanligtvis inte exponeras för offentlig åtkomst. Gäller för: Azure Blob-lagringskonton (standard för generell användning v2, Azure Data Lake Storage Gen2 eller Premium Block Blobs).

MITRE-taktik: Samling

Allvarlighetsgrad: Medel

Autentiserad åtkomst från en tor-slutnod

(Storage.Blob_TorAnomaly Storage.Files_TorAnomaly)

Beskrivning: En eller flera lagringscontainrar/filresurser i ditt lagringskonto har använts från en IP-adress som är känd för att vara en aktiv slutnod i Tor (en anonymiseringsproxy). Hotaktörer använder Tor för att göra det svårt att spåra aktiviteten tillbaka till dem. Autentiserad åtkomst från en tor-utgångsnod är en sannolik indikation på att en hotskådespelare försöker dölja sin identitet. Gäller för: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2

MITRE-taktik: Inledande åtkomst/förattack

Allvarlighetsgrad: Hög/medelhög

Åtkomst från en ovanlig plats till ett lagringskonto

(Storage.Blob_GeoAnomaly Storage.Files_GeoAnomaly)

Beskrivning: Anger att åtkomstmönstret har ändrats till ett Azure Storage-konto. Någon har använt det här kontot från en IP-adress som anses vara obekant jämfört med den senaste aktiviteten. Antingen har en angripare fått åtkomst till kontot eller så har en legitim användare anslutit från en ny eller ovanlig geografisk plats. Ett exempel på det senare är fjärrunderhåll från ett nytt program eller en ny utvecklare. Gäller för: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2

MITRE-taktik: Inledande åtkomst

Allvarlighetsgrad: Hög/medel/låg

Ovanlig oautentiserad åtkomst till en lagringscontainer

(Storage.Blob_AnonymousAccessAnomaly)

Beskrivning: Det här lagringskontot användes utan autentisering, vilket är en ändring i det gemensamma åtkomstmönstret. Läsbehörighet till den här containern autentiseras vanligtvis. Detta kan tyda på att en hotskådespelare kunde utnyttja offentlig läsåtkomst till lagringscontainrar i det här lagringskontot. Gäller för: Azure Blob Storage

MITRE-taktik: Inledande åtkomst

Allvarlighetsgrad: Hög/låg

Potentiell skadlig kod som laddats upp till ett lagringskonto

(Storage.Blob_MalwareHashReputation Storage.Files_MalwareHashReputation)

Beskrivning: Anger att en blob som innehåller potentiell skadlig kod har laddats upp till en blobcontainer eller en filresurs i ett lagringskonto. Den här varningen baseras på hash-ryktesanalys som utnyttjar kraften i Microsofts hotinformation, som innehåller hashvärden för virus, trojaner, spionprogram och utpressningstrojaner. Potentiella orsaker kan vara en avsiktlig uppladdning av skadlig kod av en angripare eller en oavsiktlig uppladdning av en potentiellt skadlig blob av en legitim användare. Gäller för: Azure Blob Storage, Azure Files (endast för transaktioner via REST API) Läs mer om Microsofts funktioner för hotinformation.

MITRE-taktik: Lateral rörelse

Allvarlighetsgrad: Hög

Offentligt tillgängliga lagringscontainrar har identifierats

(Storage.Blob_OpenContainersScanning.SuccessfulDiscovery)

Beskrivning: En lyckad identifiering av offentligt öppna lagringscontainrar i ditt lagringskonto utfördes under den senaste timmen av ett genomsökningsskript eller verktyg.

Detta indikerar vanligtvis en rekognoseringsattack, där hotskådespelaren försöker lista blobar genom att gissa containernamn, i hopp om att hitta felkonfigurerade öppna lagringscontainrar med känsliga data i dem.

Hotskådespelaren kan använda sitt eget skript eller använda kända genomsökningsverktyg som Microburst för att söka efter offentligt öppna containrar.

✔ Azure Blob Storage ✖ Azure Files ✖ Azure Data Lake Storage Gen2

MITRE-taktik: Samling

Allvarlighetsgrad: Hög/medelhög

Offentligt tillgängliga lagringscontainrar genomsöks utan framgång

(Storage.Blob_OpenContainersScanning.FailedAttempt)

Beskrivning: En serie misslyckade försök att söka efter offentligt öppna lagringscontainrar utfördes under den senaste timmen.

Detta indikerar vanligtvis en rekognoseringsattack, där hotskådespelaren försöker lista blobar genom att gissa containernamn, i hopp om att hitta felkonfigurerade öppna lagringscontainrar med känsliga data i dem.

Hotskådespelaren kan använda sitt eget skript eller använda kända genomsökningsverktyg som Microburst för att söka efter offentligt öppna containrar.

✔ Azure Blob Storage ✖ Azure Files ✖ Azure Data Lake Storage Gen2

MITRE-taktik: Samling

Allvarlighetsgrad: Hög/låg

Ovanlig åtkomstkontroll i ett lagringskonto

(Storage.Blob_AccessInspectionAnomaly Storage.Files_AccessInspectionAnomaly)

Beskrivning: Anger att åtkomstbehörigheterna för ett lagringskonto har inspekterats på ett ovanligt sätt jämfört med den senaste aktiviteten för det här kontot. En möjlig orsak är att en angripare har utfört rekognosering för en framtida attack. Gäller för: Azure Blob Storage, Azure Files

MITRE-taktik: Identifiering

Allvarlighetsgrad: Hög/medelhög

Ovanlig mängd data som extraheras från ett lagringskonto

(Storage.Blob_DataExfiltration.AmountOfDataAnomaly Storage.Blob_DataExfiltration.NumberOfBlobsAnomaly Storage.Files_DataExfiltration.AmountOfDataAnomaly Storage.Files_DataExfiltration.NumberOfFilesAnomaly)

Beskrivning: Anger att en ovanligt stor mängd data har extraherats jämfört med den senaste aktiviteten i den här lagringscontainern. En potentiell orsak är att en angripare har extraherat en stor mängd data från en container som innehåller bloblagring. Gäller för: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2

MITRE-taktik: Exfiltrering

Allvarlighetsgrad: Hög/låg

Ovanligt program som används för ett lagringskonto

(Storage.Blob_ApplicationAnomaly Storage.Files_ApplicationAnomaly)

Beskrivning: Anger att ett ovanligt program har använt det här lagringskontot. En möjlig orsak är att en angripare har åtkomst till ditt lagringskonto med hjälp av ett nytt program. Gäller för: Azure Blob Storage, Azure Files

MITRE-taktik: Körning

Allvarlighetsgrad: Hög/medelhög

Ovanlig datautforskning i ett lagringskonto

(Storage.Blob_DataExplorationAnomaly Storage.Files_DataExplorationAnomaly)

Beskrivning: Anger att blobar eller containrar i ett lagringskonto har uppräknats på ett onormalt sätt jämfört med den senaste aktiviteten för det här kontot. En möjlig orsak är att en angripare har utfört rekognosering för en framtida attack. Gäller för: Azure Blob Storage, Azure Files

MITRE-taktik: Körning

Allvarlighetsgrad: Hög/medelhög

Ovanlig borttagning i ett lagringskonto

(Storage.Blob_DeletionAnomaly Storage.Files_DeletionAnomaly)

Beskrivning: Anger att en eller flera oväntade borttagningsåtgärder har inträffat i ett lagringskonto jämfört med den senaste aktiviteten för det här kontot. En möjlig orsak är att en angripare har tagit bort data från ditt lagringskonto. Gäller för: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2

MITRE-taktik: Exfiltrering

Allvarlighetsgrad: Hög/medelhög

Ovanlig oautentiserad offentlig åtkomst till en känslig blobcontainer (förhandsversion)

Storage.Blob_AnonymousAccessAnomaly.Sensitive

Beskrivning: Aviseringen anger att någon har använt en blobcontainer med känsliga data i lagringskontot utan autentisering med hjälp av en extern (offentlig) IP-adress. Den här åtkomsten är misstänkt eftersom blobcontainern är öppen för offentlig åtkomst och vanligtvis endast används med autentisering från interna nätverk (privata IP-adresser). Den här åtkomsten kan tyda på att blobcontainerns åtkomstnivå är felkonfigurerad och att en obehörig aktör kan ha utnyttjat den offentliga åtkomsten. Säkerhetsaviseringen innehåller den identifierade kontexten för känslig information (genomsökningstid, klassificeringsetikett, informationstyper och filtyper). Läs mer om identifiering av känsligt datahot. Gäller för: Lagringskonton för Azure Blob (Standard general-purpose v2, Azure Data Lake Storage Gen2 eller Premium Block Blobs) med den nya Defender for Storage-planen med funktionen för identifiering av hot mot datakänslighet aktiverad.

MITRE-taktik: Inledande åtkomst

Allvarlighetsgrad: Hög

Ovanlig mängd data som extraheras från en känslig blobcontainer (förhandsversion)

Storage.Blob_DataExfiltration.AmountOfDataAnomaly.Sensitive

Beskrivning: Aviseringen anger att någon har extraherat en ovanligt stor mängd data från en blobcontainer med känsliga data i lagringskontot. Gäller för: Lagringskonton för Azure Blob (Standard general-purpose v2, Azure Data Lake Storage Gen2 eller Premium Block Blobs) med den nya Defender for Storage-planen med funktionen för identifiering av hot mot datakänslighet aktiverad.

MITRE-taktik: Exfiltrering

Allvarlighetsgrad: Medel

Ovanligt antal blobar som extraherats från en känslig blobcontainer (förhandsversion)

Storage.Blob_DataExfiltration.NumberOfBlobsAnomaly.Sensitive

Beskrivning: Aviseringen anger att någon har extraherat ett ovanligt stort antal blobar från en blobcontainer med känsliga data i lagringskontot. Gäller för: Lagringskonton för Azure Blob (Standard general-purpose v2, Azure Data Lake Storage Gen2 eller Premium Block Blobs) med den nya Defender for Storage-planen med funktionen för identifiering av hot mot datakänslighet aktiverad.

MITRE-taktik: Exfiltrering

Åtkomst från ett känt misstänkt program till en känslig blobcontainer (förhandsversion)

Storage.Blob_SuspiciousApp.Sensitive

Beskrivning: Aviseringen anger att någon med ett känt misstänkt program har åtkomst till en blobcontainer med känsliga data i lagringskontot och utfört autentiserade åtgärder.
Åtkomsten kan tyda på att en hotskådespelare har fått autentiseringsuppgifter för att komma åt lagringskontot med hjälp av ett känt misstänkt program. Åtkomsten kan dock också tyda på ett intrångstest som utförs i organisationen. Gäller för: Lagringskonton för Azure Blob (Standard general-purpose v2, Azure Data Lake Storage Gen2 eller Premium Block Blobs) med den nya Defender for Storage-planen med funktionen för identifiering av hot mot datakänslighet aktiverad.

MITRE-taktik: Inledande åtkomst

Allvarlighetsgrad: Hög

Åtkomst från en känd misstänkt IP-adress till en känslig blobcontainer (förhandsversion)

Storage.Blob_SuspiciousIp.Sensitive

Beskrivning: Aviseringen anger att någon har använt en blobcontainer med känsliga data i lagringskontot från en känd misstänkt IP-adress som är associerad med hotinformation från Microsoft Threat Intelligence. Eftersom åtkomsten autentiserades är det möjligt att autentiseringsuppgifterna som tillåter åtkomst till det här lagringskontot komprometterades. Läs mer om Microsofts funktioner för hotinformation. Gäller för: Lagringskonton för Azure Blob (Standard general-purpose v2, Azure Data Lake Storage Gen2 eller Premium Block Blobs) med den nya Defender for Storage-planen med funktionen för identifiering av hot mot datakänslighet aktiverad.

MITRE-taktik: Före attack

Allvarlighetsgrad: Hög

Åtkomst från en tor-slutnod till en känslig blobcontainer (förhandsversion)

Storage.Blob_TorAnomaly.Sensitive

Beskrivning: Aviseringen anger att någon med en IP-adress som är känd som en Tor-slutnod har åtkomst till en blobcontainer med känsliga data i lagringskontot med autentiserad åtkomst. Autentiserad åtkomst från en Tor-avslutningsnod indikerar starkt att aktören försöker vara anonym för eventuell skadlig avsikt. Eftersom åtkomsten autentiserades är det möjligt att autentiseringsuppgifterna som tillåter åtkomst till det här lagringskontot komprometterades. Gäller för: Lagringskonton för Azure Blob (Standard general-purpose v2, Azure Data Lake Storage Gen2 eller Premium Block Blobs) med den nya Defender for Storage-planen med funktionen för identifiering av hot mot datakänslighet aktiverad.

MITRE-taktik: Före attack

Allvarlighetsgrad: Hög

Åtkomst från en ovanlig plats till en känslig blobcontainer (förhandsversion)

Storage.Blob_GeoAnomaly.Sensitive

Beskrivning: Aviseringen anger att någon har använt blobcontainer med känsliga data i lagringskontot med autentisering från en ovanlig plats. Eftersom åtkomsten autentiserades är det möjligt att autentiseringsuppgifterna som tillåter åtkomst till det här lagringskontot komprometterades. Gäller för: Lagringskonton för Azure Blob (Standard general-purpose v2, Azure Data Lake Storage Gen2 eller Premium Block Blobs) med den nya Defender for Storage-planen med funktionen för identifiering av hot mot datakänslighet aktiverad.

MITRE-taktik: Inledande åtkomst

Allvarlighetsgrad: Medel

Åtkomstnivån för en känslig lagringsblobcontainer ändrades för att tillåta oautentiserad offentlig åtkomst (förhandsversion)

Storage.Blob_OpenACL.Sensitive

Beskrivning: Aviseringen anger att någon har ändrat åtkomstnivån för en blobcontainer i lagringskontot, som innehåller känsliga data, till containernivån, vilket tillåter oautentiserad (anonym) offentlig åtkomst. Ändringen gjordes via Azure-portalen. Ändringen av åtkomstnivå kan äventyra säkerheten för data. Vi rekommenderar att du vidtar omedelbara åtgärder för att skydda data och förhindra obehörig åtkomst om aviseringen utlöses. Gäller för: Lagringskonton för Azure Blob (Standard general-purpose v2, Azure Data Lake Storage Gen2 eller Premium Block Blobs) med den nya Defender for Storage-planen med funktionen för identifiering av hot mot datakänslighet aktiverad.

MITRE-taktik: Samling

Allvarlighetsgrad: Hög

Misstänkt extern åtkomst till ett Azure Storage-konto med alltför tillåtande SAS-token (förhandsversion)

Storage.Blob_AccountSas.InternalSasUsedExternally

Beskrivning: Aviseringen anger att någon med en extern (offentlig) IP-adress har åtkomst till lagringskontot med en alltför tillåtande SAS-token med ett långt utgångsdatum. Den här typen av åtkomst anses misstänkt eftersom SAS-token vanligtvis endast används i interna nätverk (från privata IP-adresser). Aktiviteten kan tyda på att en SAS-token har läckts av en illvillig aktör eller läckt oavsiktligt från en legitim källa. Även om åtkomsten är legitim strider användningen av en SAS-token med hög behörighet med ett långt utgångsdatum mot bästa praxis för säkerhet och utgör en potentiell säkerhetsrisk. Gäller för: Azure Blob-lagringskonton (Standard general-purpose v2, Azure Data Lake Storage Gen2 eller Premium Block Blobs) med den nya Defender for Storage-planen.

MITRE-taktik: Exfiltrering/Resursutveckling/Påverkan

Allvarlighetsgrad: Medel

Misstänkt extern åtgärd till ett Azure Storage-konto med alltför tillåtande SAS-token (förhandsversion)

Storage.Blob_AccountSas.UnusualOperationFromExternalIp

Beskrivning: Aviseringen anger att någon med en extern (offentlig) IP-adress har åtkomst till lagringskontot med en alltför tillåtande SAS-token med ett långt utgångsdatum. Åtkomsten anses misstänkt eftersom åtgärder som anropas utanför nätverket (inte från privata IP-adresser) med den här SAS-token vanligtvis används för en specifik uppsättning läs-/skriv-/borttagningsåtgärder, men andra åtgärder har inträffat, vilket gör den här åtkomsten misstänkt. Den här aktiviteten kan tyda på att en SAS-token har läckts av en illvillig aktör eller läckt oavsiktligt från en legitim källa. Även om åtkomsten är legitim strider användningen av en SAS-token med hög behörighet med ett långt utgångsdatum mot bästa praxis för säkerhet och utgör en potentiell säkerhetsrisk. Gäller för: Azure Blob-lagringskonton (Standard general-purpose v2, Azure Data Lake Storage Gen2 eller Premium Block Blobs) med den nya Defender for Storage-planen.

MITRE-taktik: Exfiltrering/Resursutveckling/Påverkan

Allvarlighetsgrad: Medel

Ovanlig SAS-token användes för att komma åt ett Azure Storage-konto från en offentlig IP-adress (förhandsversion)

Storage.Blob_AccountSas.UnusualExternalAccess

Beskrivning: Aviseringen anger att någon med en extern (offentlig) IP-adress har åtkomst till lagringskontot med hjälp av en SAS-token för kontot. Åtkomsten är mycket ovanlig och anses misstänkt, eftersom åtkomsten till lagringskontot med SAS-token vanligtvis endast kommer från interna (privata) IP-adresser. Det är möjligt att en SAS-token läckte ut eller genererades av en skadlig aktör antingen inifrån din organisation eller externt för att få åtkomst till det här lagringskontot. Gäller för: Azure Blob-lagringskonton (Standard general-purpose v2, Azure Data Lake Storage Gen2 eller Premium Block Blobs) med den nya Defender for Storage-planen.

MITRE-taktik: Exfiltrering/Resursutveckling/Påverkan

Allvarlighetsgrad: Låg

Skadlig fil som laddats upp till lagringskontot

Storage.Blob_AM. MalwareFound

Beskrivning: Aviseringen anger att en skadlig blob laddades upp till ett lagringskonto. Den här säkerhetsaviseringen genereras av funktionen Genomsökning av skadlig kod i Defender för lagring. Potentiella orsaker kan vara en avsiktlig uppladdning av skadlig kod av en hotskådespelare eller en oavsiktlig uppladdning av en skadlig fil av en legitim användare. Gäller för: Lagringskonton för Azure Blob (Standard general-purpose v2, Azure Data Lake Storage Gen2 eller Premium Block Blobs) med den nya Defender for Storage-planen med funktionen Genomsökning av skadlig kod aktiverad.

MITRE-taktik: Lateral rörelse

Allvarlighetsgrad: Hög

Skadlig blob laddades ned från ett lagringskonto (förhandsversion)

Storage.Blob_MalwareDownload

Beskrivning: Aviseringen anger att en skadlig blob laddades ned från ett lagringskonto. Potentiella orsaker kan vara skadlig kod som har laddats upp till lagringskontot och inte tagits bort eller satts i karantän, vilket gör det möjligt för en hotaktör att ladda ned den eller en oavsiktlig nedladdning av skadlig kod av legitima användare eller program. Gäller för: Lagringskonton för Azure Blob (Standard general-purpose v2, Azure Data Lake Storage Gen2 eller Premium Block Blobs) med den nya Defender for Storage-planen med funktionen Genomsökning av skadlig kod aktiverad.

MITRE-taktik: Lateral rörelse

Allvarlighetsgrad: Hög, om Eicar - låg

Aviseringar för Azure Cosmos DB

Mer information och anteckningar

Åtkomst från en tor-slutnod

(CosmosDB_TorAnomaly)

Beskrivning: Det här Azure Cosmos DB-kontot har använts från en IP-adress som är känd för att vara en aktiv slutnod i Tor, en anonymiseringsproxy. Autentiserad åtkomst från en tor-utgångsnod är en sannolik indikation på att en hotskådespelare försöker dölja sin identitet.

MITRE-taktik: Inledande åtkomst

Allvarlighetsgrad: Hög/medelhög

Åtkomst från en misstänkt IP-adress

(CosmosDB_SuspiciousIp)

Beskrivning: Det här Azure Cosmos DB-kontot har använts från en IP-adress som identifierades som ett hot av Microsoft Threat Intelligence.

MITRE-taktik: Inledande åtkomst

Allvarlighetsgrad: Medel

Åtkomst från en ovanlig plats

(CosmosDB_GeoAnomaly)

Beskrivning: Det här Azure Cosmos DB-kontot användes från en plats som anses obekant, baserat på det vanliga åtkomstmönstret.

Antingen har en hotaktör fått åtkomst till kontot eller så har en legitim användare anslutit från en ny eller ovanlig geografisk plats

MITRE-taktik: Inledande åtkomst

Allvarlighetsgrad: Låg

Ovanlig mängd data som extraherats

(CosmosDB_DataExfiltrationAnomaly)

Beskrivning: En ovanligt stor mängd data har extraherats från det här Azure Cosmos DB-kontot. Detta kan tyda på att en hotskådespelare exfiltraterade data.

MITRE-taktik: Exfiltrering

Allvarlighetsgrad: Medel

Extrahering av Azure Cosmos DB-kontonycklar via ett potentiellt skadligt skript

(CosmosDB_SuspiciousListKeys.MaliciousScript)

Beskrivning: Ett PowerShell-skript kördes i din prenumeration och utförde ett misstänkt mönster med nyckellistningsåtgärder för att hämta nycklarna för Azure Cosmos DB-konton i din prenumeration. Hotaktörer använder automatiserade skript, till exempel Microburst, för att lista nycklar och hitta Azure Cosmos DB-konton som de kan komma åt.

Den här åtgärden kan tyda på att en identitet i din organisation har brutits och att hotskådespelaren försöker kompromettera Azure Cosmos DB-konton i din miljö för skadliga avsikter.

Alternativt kan en obehörig insider försöka komma åt känsliga data och utföra lateral förflyttning.

MITRE-taktik: Samling

Allvarlighetsgrad: Medel

Misstänkt extrahering av Azure Cosmos DB-kontonycklar (AzureCosmosDB_SuspiciousListKeys.SuspiciousPrincipal)

Beskrivning: En misstänkt källa extraherade Åtkomstnycklar för Azure Cosmos DB-kontot från din prenumeration. Om den här källan inte är en legitim källa kan det vara ett problem med hög påverkan. Åtkomstnyckeln som extraherades ger fullständig kontroll över de associerade databaserna och de data som lagras i. Se information om varje specifik avisering för att förstå varför källan flaggades som misstänkt.

MITRE-taktik: Åtkomst till autentiseringsuppgifter

Allvarlighetsgrad: hög

SQL-inmatning: potentiell dataexfiltrering

(CosmosDB_SqlInjection.DataExfiltration)

Beskrivning: En misstänkt SQL-instruktion användes för att fråga en container i det här Azure Cosmos DB-kontot.

Den inmatade instruktionen kan ha lyckats exfiltratera data som hotskådespelaren inte har behörighet att komma åt.

På grund av strukturen och funktionerna i Azure Cosmos DB-frågor kan många kända SQL-inmatningsattacker på Azure Cosmos DB-konton inte fungera. Den variant som används i den här attacken kan dock fungera och hotaktörer kan exfiltera data.

MITRE-taktik: Exfiltrering

Allvarlighetsgrad: Medel

SQL-inmatning: fuzzing-försök

(CosmosDB_SqlInjection.FailedFuzzingAttempt)

Beskrivning: En misstänkt SQL-instruktion användes för att fråga en container i det här Azure Cosmos DB-kontot.

Precis som andra välkända SQL-inmatningsattacker lyckas den här attacken inte äventyra Azure Cosmos DB-kontot.

Det är dock en indikation på att en hotskådespelare försöker attackera resurserna i det här kontot och att ditt program kan komma att komprometteras.

Vissa SQL-inmatningsattacker kan lyckas och användas för att exfiltera data. Det innebär att om angriparen fortsätter att utföra SQL-inmatningsförsök kan de kanske kompromettera ditt Azure Cosmos DB-konto och exfiltera data.

Du kan förhindra det här hotet med hjälp av parametriserade frågor.

MITRE-taktik: Före attack

Allvarlighetsgrad: Låg

Aviseringar för Azure-nätverkslager

Mer information och anteckningar

Nätverkskommunikation med en skadlig dator har identifierats

(Network_CommunicationWithC2)

Beskrivning: Analysen av nätverkstrafik anger att datorn (IP %{Victim IP}) har kommunicerat med vad som eventuellt är ett kommando- och kontrollcenter. När den komprometterade resursen är en lastbalanserare eller en programgateway kan den misstänkta aktiviteten indikera att en eller flera av resurserna i serverdelspoolen (av lastbalanseraren eller programgatewayen) har kommunicerat med vad som eventuellt är ett kommando- och kontrollcenter.

MITRE-taktik: Kommando och kontroll

Allvarlighetsgrad: Medel

Möjlig komprometterad dator har identifierats

(Network_ResourceIpIndicatedAsMalicious)

Beskrivning: Hotinformation anger att datorn (på IP %{Machine IP}) kan ha komprometterats av en skadlig kod av typen Conficker. Conficker var en datormask som riktar sig mot Microsoft Windows-operativsystemet och upptäcktes först i november 2008. Conficker smittade miljontals datorer inklusive myndigheter, företag och hemdatorer i över 200 länder/regioner, vilket gör det till den största kända datormaskinfektionen sedan Welchia-masken 2003.

MITRE-taktik: Kommando och kontroll

Allvarlighetsgrad: Medel

Möjliga inkommande %{Service Name} brute force-försök har identifierats

(Generic_Incoming_BF_OneToOne)

Beskrivning: Nätverkstrafikanalysen identifierade inkommande %{Tjänstnamn} kommunikation till %{Offer IP}, associerad med resursen %{Komprometterad värd} från %{Angripares IP}. När den komprometterade resursen är en lastbalanserare eller en programgateway har den misstänkta inkommande trafiken vidarebefordrats till en eller flera av resurserna i serverdelspoolen (av lastbalanseraren eller programgatewayen). Mer specifikt visar exempelnätverksdata misstänkt aktivitet mellan %{Starttid} och %{Sluttid} på port %{Offerport}. Den här aktiviteten är konsekvent med råstyrkeförsök mot %{Service Name}-servrar.

MITRE-taktik: PreAttack

Allvarlighetsgrad: Information

Möjliga inkommande SQL brute force-försök har identifierats

(SQL_Incoming_BF_OneToOne)

Beskrivning: Nätverkstrafikanalysen identifierade inkommande SQL-kommunikation till %{Victim IP}, associerad med resursen %{Komprometterad värd}, från %{Angriparens IP}. När den komprometterade resursen är en lastbalanserare eller en programgateway har den misstänkta inkommande trafiken vidarebefordrats till en eller flera av resurserna i serverdelspoolen (av lastbalanseraren eller programgatewayen). Mer specifikt visar exempelnätverksdata misstänkt aktivitet mellan %{Starttid} och %{Sluttid} på port %{Portnummer} (%{SQL Service Type}). Den här aktiviteten är konsekvent med råstyrkeattacker mot SQL-servrar.

MITRE-taktik: PreAttack

Allvarlighetsgrad: Medel

Möjliga utgående överbelastningsattacker har identifierats

(DDOS)

Beskrivning: Analysen av nätverkstrafik identifierade avvikande utgående aktivitet från %{Komprometterad värd}, en resurs i distributionen. Den här aktiviteten kan tyda på att resursen har komprometterats och nu är inblandad i överbelastningsattacker mot externa slutpunkter. När den komprometterade resursen är en lastbalanserare eller en programgateway kan den misstänkta aktiviteten indikera att en eller flera av resurserna i serverdelspoolen (av lastbalanseraren eller programgatewayen) komprometterades. Baserat på mängden anslutningar tror vi att följande IP-adresser kan vara mål för DOS-attacken: %{Möjliga offer}. Observera att det är möjligt att kommunikationen till vissa av dessa IP-adresser är legitim.

MITRE-taktik: Påverkan

Allvarlighetsgrad: Medel

Misstänkt inkommande RDP-nätverksaktivitet från flera källor

(RDP_Incoming_BF_ManyToOne)

Beskrivning: Nätverkstrafikanalys identifierade avvikande inkommande RDP-kommunikation (Remote Desktop Protocol) till %{Victim IP}, associerad med resursen %{Komprometterad värd}, från flera källor. När den komprometterade resursen är en lastbalanserare eller en programgateway har den misstänkta inkommande trafiken vidarebefordrats till en eller flera av resurserna i serverdelspoolen (av lastbalanseraren eller programgatewayen). Mer specifikt visar exempelnätverksdata %{Antal attackerande IP-adresser} unika IP-adresser som ansluter till resursen, vilket anses onormalt för den här miljön. Den här aktiviteten kan tyda på ett försök att råstyra RDP-slutpunkten från flera värdar (Botnet).

MITRE-taktik: PreAttack

Allvarlighetsgrad: Medel

Misstänkt inkommande RDP-nätverksaktivitet

(RDP_Incoming_BF_OneToOne)

Beskrivning: Nätverkstrafikanalysen identifierade avvikande inkommande RDP-kommunikation (Remote Desktop Protocol) till %{Victim IP}, associerad med resursen %{Komprometterad värd}, från %{Attacker IP}. När den komprometterade resursen är en lastbalanserare eller en programgateway har den misstänkta inkommande trafiken vidarebefordrats till en eller flera av resurserna i serverdelspoolen (av lastbalanseraren eller programgatewayen). Mer specifikt visar exempelnätverksdata %{Antal Anslut ions} inkommande anslutningar till resursen, vilket anses onormalt för den här miljön. Den här aktiviteten kan tyda på ett försök att råstyra RDP-slutpunkten

MITRE-taktik: PreAttack

Allvarlighetsgrad: Medel

Misstänkt inkommande SSH-nätverksaktivitet från flera källor

(SSH_Incoming_BF_ManyToOne)

Beskrivning: Nätverkstrafikanalysen identifierade avvikande inkommande SSH-kommunikation till %{Victim IP}, associerad med resursen %{Komprometterad värd}, från flera källor. När den komprometterade resursen är en lastbalanserare eller en programgateway har den misstänkta inkommande trafiken vidarebefordrats till en eller flera av resurserna i serverdelspoolen (av lastbalanseraren eller programgatewayen). Mer specifikt visar exempelnätverksdata %{Antal attackerande IP-adresser} unika IP-adresser som ansluter till resursen, vilket anses onormalt för den här miljön. Den här aktiviteten kan tyda på ett försök att råstyra SSH-slutpunkten från flera värdar (Botnet)

MITRE-taktik: PreAttack

Allvarlighetsgrad: Medel

Misstänkt inkommande SSH-nätverksaktivitet

(SSH_Incoming_BF_OneToOne)

Beskrivning: Nätverkstrafikanalysen identifierade avvikande inkommande SSH-kommunikation till %{Victim IP}, associerad med resursen %{Komprometterad värd}, från %{Attacker IP}. När den komprometterade resursen är en lastbalanserare eller en programgateway har den misstänkta inkommande trafiken vidarebefordrats till en eller flera av resurserna i serverdelspoolen (av lastbalanseraren eller programgatewayen). Mer specifikt visar exempelnätverksdata %{Antal Anslut ions} inkommande anslutningar till resursen, vilket anses onormalt för den här miljön. Den här aktiviteten kan tyda på ett försök att råstyra SSH-slutpunkten

MITRE-taktik: PreAttack

Allvarlighetsgrad: Medel

Misstänkt utgående %{Attackerade protokoll} trafik har identifierats

(PortScanning)

Beskrivning: Analysen av nätverkstrafik identifierade misstänkt utgående trafik från %{Komprometterad värd} till målporten %{Den vanligaste porten}. När den komprometterade resursen är en lastbalanserare eller en programgateway har den misstänkta utgående trafiken härstammar från till en eller flera av resurserna i serverdelspoolen (för lastbalanseraren eller programgatewayen). Det här beteendet kan tyda på att resursen deltar i %{Attacked Protocol} brute force-försök eller portgenomsökningsattacker.

MITRE-taktik: Identifiering

Allvarlighetsgrad: Medel

Misstänkt utgående RDP-nätverksaktivitet till flera mål

(RDP_Outgoing_BF_OneToMany)

Beskrivning: Nätverkstrafikanalys identifierade avvikande utgående RDP-kommunikation (Remote Desktop Protocol) till flera mål från %{Komprometterad värd} (%{Angripare IP}), en resurs i distributionen. När den komprometterade resursen är en lastbalanserare eller en programgateway har den misstänkta utgående trafiken härstammar från till en eller flera av resurserna i serverdelspoolen (för lastbalanseraren eller programgatewayen). Mer specifikt visar exempelnätverksdata att datorn ansluter till %{Antal angripna IP-adresser} unika IP-adresser, vilket anses vara onormalt för den här miljön. Den här aktiviteten kan tyda på att resursen har komprometterats och nu används för att råstyra externa RDP-slutpunkter. Observera att den här typen av aktivitet skulle kunna göra att din IP-adress flaggas som skadlig av externa enheter.

MITRE-taktik: Identifiering

Allvarlighetsgrad: Hög

Misstänkt utgående RDP-nätverksaktivitet

(RDP_Outgoing_BF_OneToOne)

Beskrivning: Nätverkstrafikanalysen identifierade avvikande utgående RDP-kommunikation (Remote Desktop Protocol) till %{Victim IP} som kommer från %{Komprometterad värd} (%{Attacker IP}), en resurs i distributionen. När den komprometterade resursen är en lastbalanserare eller en programgateway har den misstänkta utgående trafiken härstammar från till en eller flera av resurserna i serverdelspoolen (för lastbalanseraren eller programgatewayen). Mer specifikt visar exempelnätverksdata %{Antal Anslut ions} utgående anslutningar från resursen, vilket anses onormalt för den här miljön. Den här aktiviteten kan tyda på att datorn har komprometterats och nu används för att råstyra externa RDP-slutpunkter. Observera att den här typen av aktivitet skulle kunna göra att din IP-adress flaggas som skadlig av externa enheter.

MITRE-taktik: Lateral rörelse

Allvarlighetsgrad: Hög

Misstänkt utgående SSH-nätverksaktivitet till flera mål

(SSH_Outgoing_BF_OneToMany)

Beskrivning: Nätverkstrafikanalysen identifierade avvikande utgående SSH-kommunikation till flera mål från %{Komprometterad värd} (%{Angripare IP}), en resurs i distributionen. När den komprometterade resursen är en lastbalanserare eller en programgateway har den misstänkta utgående trafiken härstammar från till en eller flera av resurserna i serverdelspoolen (för lastbalanseraren eller programgatewayen). Mer specifikt visar exempelnätverksdata att resursen ansluter till %{Antal angripna IP-adresser} unika IP-adresser, vilket anses vara onormalt för den här miljön. Den här aktiviteten kan tyda på att resursen har komprometterats och nu används för att råstyra externa SSH-slutpunkter. Observera att den här typen av aktivitet skulle kunna göra att din IP-adress flaggas som skadlig av externa enheter.

MITRE-taktik: Identifiering

Allvarlighetsgrad: Medel

Misstänkt utgående SSH-nätverksaktivitet

(SSH_Outgoing_BF_OneToOne)

Beskrivning: Nätverkstrafikanalysen identifierade avvikande utgående SSH-kommunikation till %{Victim IP} med ursprung från %{Komprometterad värd} (%{Angripare IP}), en resurs i distributionen. När den komprometterade resursen är en lastbalanserare eller en programgateway har den misstänkta utgående trafiken härstammar från till en eller flera av resurserna i serverdelspoolen (för lastbalanseraren eller programgatewayen). Mer specifikt visar exempelnätverksdata %{Antal Anslut ions} utgående anslutningar från resursen, vilket anses onormalt för den här miljön. Den här aktiviteten kan tyda på att resursen har komprometterats och nu används för att råstyra externa SSH-slutpunkter. Observera att den här typen av aktivitet skulle kunna göra att din IP-adress flaggas som skadlig av externa enheter.

MITRE-taktik: Lateral rörelse

Allvarlighetsgrad: Medel

(Network_TrafficFromUnrecommendedIP)

Beskrivning: Microsoft Defender för molnet upptäckt inkommande trafik från IP-adresser som rekommenderas att blockeras. Detta inträffar vanligtvis när den här IP-adressen inte kommunicerar regelbundet med den här resursen. Alternativt har IP-adressen flaggats som skadlig av Defender för molnet hotinformationskällor.

MITRE-taktik: Avsökning

Allvarlighetsgrad: Information

Aviseringar för Azure Key Vault

Mer information och anteckningar

Åtkomst från en misstänkt IP-adress till ett nyckelvalv

(KV_SuspiciousIPAccess)

Beskrivning: Ett nyckelvalv har använts av en IP-adress som har identifierats av Microsoft Threat Intelligence som en misstänkt IP-adress. Detta kan tyda på att infrastrukturen har komprometterats. Vi rekommenderar ytterligare undersökning. Läs mer om Microsofts funktioner för hotinformation.

MITRE-taktik: Åtkomst till autentiseringsuppgifter

Allvarlighetsgrad: Medel

Åtkomst från en TOR-slutnod till ett nyckelvalv

(KV_TORAccess)

Beskrivning: Ett nyckelvalv har använts från en känd TOR-avslutningsnod. Detta kan vara en indikation på att en hotskådespelare har åtkomst till nyckelvalvet och använder TOR-nätverket för att dölja sin källplats. Vi rekommenderar ytterligare undersökningar.

MITRE-taktik: Åtkomst till autentiseringsuppgifter

Allvarlighetsgrad: Medel

Stora mängder åtgärder i ett nyckelvalv

(KV_OperationVolumeAnomaly)

Beskrivning: Ett avvikande antal nyckelvalvsåtgärder utfördes av en användare, tjänstens huvudnamn och/eller ett specifikt nyckelvalv. Det här avvikande aktivitetsmönstret kan vara legitimt, men det kan vara en indikation på att en hotskådespelare har fått åtkomst till nyckelvalvet och hemligheterna i det. Vi rekommenderar ytterligare undersökningar.

MITRE-taktik: Åtkomst till autentiseringsuppgifter

Allvarlighetsgrad: Medel

Misstänkt principändring och hemlig fråga i ett nyckelvalv

(KV_PutGetAnomaly)

Beskrivning: En användare eller tjänstens huvudnamn har utfört en avvikande ändringsåtgärd för Valv put-princip följt av en eller flera hemliga Get-åtgärder. Det här mönstret utförs normalt inte av den angivna användaren eller tjänstens huvudnamn. Detta kan vara en legitim aktivitet, men det kan vara en indikation på att en hotskådespelare har uppdaterat nyckelvalvspolicyn för att få åtkomst till tidigare otillgängliga hemligheter. Vi rekommenderar ytterligare undersökningar.

MITRE-taktik: Åtkomst till autentiseringsuppgifter

Allvarlighetsgrad: Medel

Misstänkt hemlig lista och fråga i ett nyckelvalv

(KV_ListGetAnomaly)

Beskrivning: En användare eller tjänstens huvudnamn har utfört en avvikande hemlighetslista följt av en eller flera åtgärder för hemlig get. Detta mönster utförs normalt inte av den angivna användaren eller tjänstens huvudnamn och är vanligtvis associerat med hemlig dumpning. Detta kan vara en legitim aktivitet, men det kan vara en indikation på att en hotaktör har fått åtkomst till nyckelvalvet och försöker identifiera hemligheter som kan användas för att flytta i sidled genom nätverket och/eller få åtkomst till känsliga resurser. Vi rekommenderar ytterligare undersökningar.

MITRE-taktik: Åtkomst till autentiseringsuppgifter

Allvarlighetsgrad: Medel

Ovanlig åtkomst nekad – Användare som har åtkomst till stora mängder nyckelvalv nekas

(KV_AccountVolumeAccessDeniedAnomaly)

Beskrivning: En användare eller tjänstens huvudnamn har försökt komma åt avvikande stora mängder nyckelvalv under de senaste 24 timmarna. Det här avvikande åtkomstmönstret kan vara en legitim aktivitet. Även om det här försöket misslyckades kan det vara en indikation på ett möjligt försök att få åtkomst till nyckelvalvet och hemligheterna i det. Vi rekommenderar ytterligare undersökningar.

MITRE-taktik: Identifiering

Allvarlighetsgrad: Låg

Ovanlig åtkomst nekad – Ovanlig användare som har åtkomst till nyckelvalvet nekad

(KV_UserAccessDeniedAnomaly)

Beskrivning: En nyckelvalvsåtkomst försöktes av en användare som normalt inte har åtkomst till den. Det här avvikande åtkomstmönstret kan vara en legitim aktivitet. Även om det här försöket misslyckades kan det vara en indikation på ett möjligt försök att få åtkomst till nyckelvalvet och hemligheterna i det.

MITRE-taktik: Initial åtkomst, identifiering

Allvarlighetsgrad: Låg

Ovanligt program som används i ett nyckelvalv

(KV_AppAnomaly)

Beskrivning: Ett nyckelvalv har använts av ett huvudnamn för tjänsten som normalt inte har åtkomst till det. Det här avvikande åtkomstmönstret kan vara en legitim aktivitet, men det kan vara en indikation på att en hotskådespelare har fått åtkomst till nyckelvalvet i ett försök att komma åt hemligheterna i det. Vi rekommenderar ytterligare undersökningar.

MITRE-taktik: Åtkomst till autentiseringsuppgifter

Allvarlighetsgrad: Medel

Ovanligt åtgärdsmönster i ett nyckelvalv

(KV_OperationPatternAnomaly)

Beskrivning: Ett avvikande mönster för nyckelvalvsåtgärder utfördes av en användare, tjänstens huvudnamn och/eller ett specifikt nyckelvalv. Det här avvikande aktivitetsmönstret kan vara legitimt, men det kan vara en indikation på att en hotskådespelare har fått åtkomst till nyckelvalvet och hemligheterna i det. Vi rekommenderar ytterligare undersökningar.

MITRE-taktik: Åtkomst till autentiseringsuppgifter

Allvarlighetsgrad: Medel

Ovanlig användare har använt ett nyckelvalv

(KV_UserAnomaly)

Beskrivning: Ett nyckelvalv har använts av en användare som normalt inte har åtkomst till det. Det här avvikande åtkomstmönstret kan vara en legitim aktivitet, men det kan vara en indikation på att en hotskådespelare har fått åtkomst till nyckelvalvet i ett försök att komma åt hemligheterna i det. Vi rekommenderar ytterligare undersökningar.

MITRE-taktik: Åtkomst till autentiseringsuppgifter

Allvarlighetsgrad: Medel

Ovanligt användarprogrampar har använt ett nyckelvalv

(KV_UserAppAnomaly)

Beskrivning: Ett nyckelvalv har använts av ett huvudnamnpar för användartjänsten som normalt inte har åtkomst till det. Det här avvikande åtkomstmönstret kan vara en legitim aktivitet, men det kan vara en indikation på att en hotskådespelare har fått åtkomst till nyckelvalvet i ett försök att komma åt hemligheterna i det. Vi rekommenderar ytterligare undersökningar.

MITRE-taktik: Åtkomst till autentiseringsuppgifter

Allvarlighetsgrad: Medel

Användaren har använt stora mängder nyckelvalv

(KV_AccountVolumeAnomaly)

Beskrivning: En användare eller tjänstens huvudnamn har använt en avvikande stor mängd nyckelvalv. Det här avvikande åtkomstmönstret kan vara en legitim aktivitet, men det kan vara en indikation på att en hotskådespelare har fått åtkomst till flera nyckelvalv i ett försök att komma åt hemligheterna i dem. Vi rekommenderar ytterligare undersökningar.

MITRE-taktik: Åtkomst till autentiseringsuppgifter

Allvarlighetsgrad: Medel

Nekad åtkomst från en misstänkt IP-adress till ett nyckelvalv

(KV_SuspiciousIPAccessDenied)

Beskrivning: En misslyckad åtkomst till nyckelvalvet har försökts av en IP-adress som har identifierats av Microsoft Threat Intelligence som en misstänkt IP-adress. Även om det här försöket misslyckades indikerar det att infrastrukturen kan ha komprometterats. Vi rekommenderar ytterligare undersökningar.

MITRE-taktik: Åtkomst till autentiseringsuppgifter

Allvarlighetsgrad: Låg

Ovanlig åtkomst till nyckelvalvet från en misstänkt IP-adress (icke-Microsoft eller extern)

(KV_UnusualAccessSuspiciousIP)

Beskrivning: En användare eller tjänstens huvudnamn har försökt få avvikande åtkomst till nyckelvalv från en IP-adress som inte kommer från Microsoft under de senaste 24 timmarna. Det här avvikande åtkomstmönstret kan vara en legitim aktivitet. Det kan vara en indikation på ett möjligt försök att få åtkomst till nyckelvalvet och hemligheterna i det. Vi rekommenderar ytterligare undersökningar.

MITRE-taktik: Åtkomst till autentiseringsuppgifter

Allvarlighetsgrad: Medel

Aviseringar för Azure DDoS Protection

Mer information och anteckningar

DDoS-attack har identifierats för offentlig IP-adress

(NETWORK_DDOS_DETECTED)

Beskrivning: DDoS-attack har identifierats för offentlig IP-adress (IP-adress) och har åtgärdats.

MITRE-taktik: Avsökning

Allvarlighetsgrad: Hög

DDoS-attack som har åtgärdats för offentlig IP-adress

(NETWORK_DDOS_MITIGATED)

Beskrivning: DDoS-attack som har åtgärdats för offentlig IP-adress (IP-adress).

MITRE-taktik: Avsökning

Allvarlighetsgrad: Låg

Aviseringar för Defender för API:er

Misstänkt topp på befolkningsnivå i API-trafik till en API-slutpunkt

(API_PopulationSpikeInAPITraffic)

Beskrivning: En misstänkt topp i API-trafik upptäcktes vid en av API-slutpunkterna. Identifieringssystemet använde historiska trafikmönster för att upprätta en baslinje för rutinmässig API-trafikvolym mellan alla IP-adresser och slutpunkten, där baslinjen är specifik för API-trafik för varje statuskod (till exempel 200 Lyckades). Identifieringssystemet flaggade en ovanlig avvikelse från den här baslinjen som ledde till identifiering av misstänkt aktivitet.

MITRE-taktik: Påverkan

Allvarlighetsgrad: Medel

Misstänkt topp i API-trafik från en enskild IP-adress till en API-slutpunkt

(API_SpikeInAPITraffic)

Beskrivning: En misstänkt topp i API-trafik upptäcktes från en klient-IP till API-slutpunkten. Identifieringssystemet använde historiska trafikmönster för att upprätta en baslinje för rutinmässig API-trafikvolym till slutpunkten som kommer från en specifik IP-adress till slutpunkten. Identifieringssystemet flaggade en ovanlig avvikelse från den här baslinjen som ledde till identifiering av misstänkt aktivitet.

MITRE-taktik: Påverkan

Allvarlighetsgrad: Medel

Ovanligt stor svarsnyttolast som överförs mellan en enda IP-adress och en API-slutpunkt

(API_SpikeInPayload)

Beskrivning: En misstänkt topp i API-svarsnyttolastens storlek observerades för trafik mellan en enskild IP-adress och en av API-slutpunkterna. Baserat på historiska trafikmönster från de senaste 30 dagarna lär sig Defender för API:er en baslinje som representerar den typiska API-svarsnyttolaststorleken mellan en specifik IP- och API-slutpunkt. Den inlärda baslinjen är specifik för API-trafik för varje statuskod (till exempel 200 Lyckades). Aviseringen utlöstes eftersom en API-svarsnyttolaststorlek avvek avsevärt från den historiska baslinjen.

MITRE-taktik: Inledande åtkomst

Allvarlighetsgrad: Medel

Ovanligt stor begärandetext som överförs mellan en enda IP-adress och en API-slutpunkt

(API_SpikeInPayload)

Beskrivning: En misstänkt topp i API-begärandetextens storlek observerades för trafik mellan en enskild IP-adress och en av API-slutpunkterna. Baserat på historiska trafikmönster från de senaste 30 dagarna lär sig Defender för API:er en baslinje som representerar den typiska API-begärandetextstorleken mellan en specifik IP- och API-slutpunkt. Den inlärda baslinjen är specifik för API-trafik för varje statuskod (till exempel 200 Lyckades). Aviseringen utlöstes eftersom en API-begärandestorlek avvek avsevärt från den historiska baslinjen.

MITRE-taktik: Inledande åtkomst

Allvarlighetsgrad: Medel

(Förhandsversion) Misstänkt ökning av svarstiden för trafik mellan en enskild IP-adress och en API-slutpunkt

(API_SpikeInLatency)

Beskrivning: En misstänkt ökning av svarstiden observerades för trafik mellan en enskild IP-adress och en av API-slutpunkterna. Baserat på historiska trafikmönster från de senaste 30 dagarna lär sig Defender för API:er en baslinje som representerar den rutinmässiga API-trafikfördröjningen mellan en specifik IP- och API-slutpunkt. Den inlärda baslinjen är specifik för API-trafik för varje statuskod (till exempel 200 Lyckades). Aviseringen utlöstes eftersom en API-anropssvarstid avvek avsevärt från den historiska baslinjen.

MITRE-taktik: Inledande åtkomst

Allvarlighetsgrad: Medel

API-begäranden sprutar från en enda IP-adress till ett ovanligt stort antal distinkta API-slutpunkter

(API_SprayInRequests)

Beskrivning: En enskild IP-adress observerades när API-anrop gjordes till ett ovanligt stort antal distinkta slutpunkter. Baserat på historiska trafikmönster från de senaste 30 dagarna lär sig Defenders for API:er en baslinje som representerar det typiska antalet distinkta slutpunkter som anropas av en enda IP-adress i 20-minutersfönster. Aviseringen utlöstes eftersom en enskild IP-adress beteende avvek avsevärt från den historiska baslinjen.

MITRE-taktik: Identifiering

Allvarlighetsgrad: Medel

Parameteruppräkning på en API-slutpunkt

(API_ParameterEnumeration)

Beskrivning: En enskild IP-adress observerades räkna upp parametrar vid åtkomst till en av API-slutpunkterna. Baserat på historiska trafikmönster från de senaste 30 dagarna lär sig Defender för API:er en baslinje som representerar det typiska antalet distinkta parametervärden som används av en enskild IP-adress vid åtkomst till den här slutpunkten i 20-minutersfönster. Aviseringen utlöstes eftersom en enskild klient-IP nyligen använde en slutpunkt med ett ovanligt stort antal distinkta parametervärden.

MITRE-taktik: Inledande åtkomst

Allvarlighetsgrad: Medel

Uppräkning av distribuerade parametrar på en API-slutpunkt

(API_DistributedParameterEnumeration)

Beskrivning: Den aggregerade användarpopulationen (alla IP-adresser) observerades räkna upp parametrar vid åtkomst till en av API-slutpunkterna. Baserat på historiska trafikmönster från de senaste 30 dagarna lär sig Defender för API:er en baslinje som representerar det typiska antalet distinkta parametervärden som används av användarpopulationen (alla IP-adresser) vid åtkomst till en slutpunkt i 20-minutersfönster. Aviseringen utlöstes eftersom användarpopulationen nyligen använde en slutpunkt med ett ovanligt stort antal distinkta parametervärden.

MITRE-taktik: Inledande åtkomst

Allvarlighetsgrad: Medel

Parametervärden med avvikande datatyper i ett API-anrop

(API_UnseenParamType)

Beskrivning: En enskild IP-adress observerades vid åtkomst till en av dina API-slutpunkter och med hjälp av parametervärden av datatypen låg sannolikhet (till exempel sträng, heltal osv.). Baserat på historiska trafikmönster från de senaste 30 dagarna lär sig Defender för API:er de förväntade datatyperna för varje API-parameter. Aviseringen utlöstes eftersom en IP-adress nyligen kom åt en slutpunkt med en datatyp med tidigare låg sannolikhet som parameterindata.

MITRE-taktik: Påverkan

Allvarlighetsgrad: Medel

Tidigare osedda parameter som används i ett API-anrop

(API_UnseenParam)

Beskrivning: En enskild IP-adress observerades vid åtkomst till en av API-slutpunkterna med hjälp av en tidigare osedda eller out-of-bounds-parameter i begäran. Baserat på historiska trafikmönster från de senaste 30 dagarna lär sig Defender för API:er en uppsättning förväntade parametrar som är associerade med anrop till en slutpunkt. Aviseringen utlöstes eftersom en IP-adress nyligen kom åt en slutpunkt med hjälp av en tidigare osynlig parameter.

MITRE-taktik: Påverkan

Allvarlighetsgrad: Medel

Åtkomst från en tor-slutnod till en API-slutpunkt

(API_AccessFromTorExitNode)

Beskrivning: En IP-adress från Tor-nätverket har åtkomst till en av dina API-slutpunkter. Tor är ett nätverk som gör det möjligt för människor att komma åt Internet samtidigt som deras verkliga IP-adress hålls dold. Även om det finns legitima användningsområden används det ofta av angripare för att dölja sin identitet när de riktar in sig på människors system online.

MITRE-taktik: Före attack

Allvarlighetsgrad: Medel

API-slutpunktsåtkomst från misstänkt IP

(API_AccessFromSuspiciousIP)

Beskrivning: En IP-adress som har åtkomst till en av dina API-slutpunkter identifierades av Microsoft Threat Intelligence med hög sannolikhet att vara ett hot. När du observerade skadlig Internettrafik kom denna IP-adress upp som involverad i att attackera andra onlinemål.

MITRE-taktik: Före attack

Allvarlighetsgrad: Hög

Misstänkt användaragent har identifierats

(API_AccessFromSuspiciousUserAgent)

Beskrivning: Användaragenten för en begäran som kommer åt en av dina API-slutpunkter innehöll avvikande värden som tyder på ett försök att köra fjärrkod. Detta innebär inte att någon av dina API-slutpunkter har brutits, men det tyder på att ett angreppsförsök pågår.

MITRE-taktik: Körning

Allvarlighetsgrad: Medel

Inaktuella Defender for Containers-aviseringar

Följande listor innehåller säkerhetsaviseringar för Defender för containrar som är inaktuella.

Manipulering av värdbrandväggen har identifierats

(K8S. NODE_FirewallDisabled)

Beskrivning: Analys av processer som körs i en container eller direkt på en Kubernetes-nod har identifierat en möjlig manipulering av brandväggen på värden. Angripare inaktiverar ofta detta för att exfiltera data.

MITRE-taktik: DefenseEvasion, Exfiltration

Allvarlighetsgrad: Medel

Misstänkt användning av DNS via HTTPS

(K8S. NODE_SuspiciousDNSOverHttps)

Beskrivning: Analys av processer som körs i en container eller direkt på en Kubernetes-nod har upptäckt användningen av ett DNS-anrop via HTTPS på ett ovanligt sätt. Den här tekniken används av angripare för att dölja anrop till misstänkta eller skadliga webbplatser.

MITRE-taktik: DefenseEvasion, Exfiltration

Allvarlighetsgrad: Medel

En möjlig anslutning till skadlig plats har identifierats.

(K8S. NODE_ThreatIntelCommandLineSuspectDomain)

Beskrivning: Analys av processer som körs i en container eller direkt på en Kubernetes-nod har identifierat en anslutning till en plats som har rapporterats vara skadlig eller ovanlig. Det här är en indikator på att en kompromiss kan ha inträffat.

MITRE-taktik: InitialAccess

Allvarlighetsgrad: Medel

Gruvaktivitet för digital valuta

(K8S. NODE_CurrencyMining)

Beskrivning: Analys av DNS-transaktioner har identifierat en aktivitet för utvinning av digital valuta. Sådan aktivitet, även om det kan vara ett legitimt användarbeteende, utförs ofta av angripare efter att resurser har komprometterats. Typisk relaterad attackeringsaktivitet kommer sannolikt att omfatta nedladdning och körning av vanliga gruvverktyg.

MITRE-taktik: Exfiltrering

Allvarlighetsgrad: Låg

Inaktuella Linux-aviseringar för Defender for Servers

VM_AbnormalDaemonTermination

Visningsnamn för avisering: Onormal avslutning

Allvarlighetsgrad: Låg

VM_BinaryGeneratedFromCommandLine

Visningsnamn för avisering: Misstänkt binärfil har identifierats

Allvarlighetsgrad: Medel

VM_CommandlineSuspectDomain misstänkt

Visningsnamn för avisering: domännamnsreferens

Allvarlighetsgrad: Låg

VM_CommonBot

Visningsnamn för avisering: Beteende som liknar vanliga Linux-robotar som identifierats

Allvarlighetsgrad: Medel

VM_CompCommonBots

Visningsnamn för avisering: Kommandon som liknar vanliga Linux-robotar har identifierats

Allvarlighetsgrad: Medel

VM_CompSuspiciousScript

Visningsnamn för avisering: Shell-skript har identifierats

Allvarlighetsgrad: Medel

VM_CompTestRule

Aviseringsvisningsnamn: Sammansatt analystestavisering

Allvarlighetsgrad: Låg

VM_CronJobAccess

Visningsnamn för avisering: Manipulering av schemalagda aktiviteter har identifierats

Allvarlighetsgrad: Information

VM_CryptoCoinMinerArtifacts

Visningsnamn för avisering: Process som är associerad med digital valutautvinning har identifierats

Allvarlighetsgrad: Medel

VM_CryptoCoinMinerDownload

Aviseringsvisningsnamn: Möjlig nedladdning av Cryptocoinminer har identifierats

Allvarlighetsgrad: Medel

VM_CryptoCoinMinerExecution

Aviseringsvisningsnamn: Potentiell kryptomyntgrävare har startats

Allvarlighetsgrad: Medel

VM_DataEgressArtifacts

Visningsnamn för avisering: Möjlig dataexfiltrering har identifierats

Allvarlighetsgrad: Medel

VM_DigitalCurrencyMining

Visningsnamn för avisering: Digitalt valutautvinningsrelaterat beteende har identifierats

Allvarlighetsgrad: Hög

VM_DownloadAndRunCombo

Visningsnamn för avisering: Misstänkt nedladdning och kör sedan aktivitet

Allvarlighetsgrad: Medel

VM_EICAR

Visningsnamn för avisering: Microsoft Defender för molnet testavisering (inte ett hot)

Allvarlighetsgrad: Hög

VM_ExecuteHiddenFile

Visningsnamn för avisering: Körning av dold fil

Allvarlighetsgrad: Information

VM_ExploitAttempt

Visningsnamn för avisering: Möjligt försök att utnyttja kommandoraden

Allvarlighetsgrad: Medel

VM_ExposedDocker

Visningsnamn för avisering: Exponerad Docker-daemon på TCP-socket

Allvarlighetsgrad: Medel

VM_FairwareMalware

Visningsnamn för avisering: Beteende som liknar Fairware Ransomware har identifierats

Allvarlighetsgrad: Medel

VM_FirewallDisabled

Visningsnamn för avisering: Manipulering av värdbrandväggen har identifierats

Allvarlighetsgrad: Medel

VM_HadoopYarnExploit

Visningsnamn för avisering: Möjligt utnyttjande av Hadoop Yarn

Allvarlighetsgrad: Medel

VM_HistoryFileCleared

Aviseringsvisningsnamn: En historikfil har rensats

Allvarlighetsgrad: Medel

VM_KnownLinuxAttackTool

Visningsnamn för avisering: Möjligt angreppsverktyg har identifierats

Allvarlighetsgrad: Medel

VM_KnownLinuxCredentialAccessTool

Visningsnamn för avisering: Möjligt åtkomstverktyg för autentiseringsuppgifter har identifierats

Allvarlighetsgrad: Medel

VM_KnownLinuxDDoSToolkit

Visningsnamn för avisering: Indikatorer som är associerade med DDOS-verktyg har identifierats

Allvarlighetsgrad: Medel

VM_KnownLinuxScreenshotTool

Visningsnamn för avisering: Skärmbild som tagits på värden

Allvarlighetsgrad: Låg

VM_LinuxBackdoorArtifact

Visningsnamn för avisering: Möjlig bakdörr har identifierats

Allvarlighetsgrad: Medel

VM_LinuxReconnaissance

Aviseringsvisningsnamn: Lokal värdspaning har identifierats

Allvarlighetsgrad: Medel

VM_MismatchedScriptFeatures

Visningsnamn för avisering: Felmatchning av skripttillägg har identifierats

Allvarlighetsgrad: Medel

VM_MitreCalderaTools

Visningsnamn för avisering: MITRE Caldera-agenten har identifierats

Allvarlighetsgrad: Medel

VM_NewSingleUserModeStartupScript

Visningsnamn för avisering: Identifierat beständighetsförsök

Allvarlighetsgrad: Medel

VM_NewSudoerAccount

Visningsnamn för avisering: Kontot har lagts till i sudo-gruppen

Allvarlighetsgrad: Låg

VM_OverridingCommonFiles

Visningsnamn för avisering: Potentiellt åsidosättande av vanliga filer

Allvarlighetsgrad: Medel

VM_PrivilegedContainerArtifacts

Visningsnamn för avisering: Containern körs i privilegierat läge

Allvarlighetsgrad: Låg

VM_PrivilegedExecutionInContainer

Visningsnamn för avisering: Kommando i en container som körs med hög behörighet

Allvarlighetsgrad: Låg

VM_ReadingHistoryFile

Visningsnamn för avisering: Ovanlig åtkomst till bash-historikfil

Allvarlighetsgrad: Information

VM_ReverseShell

Visningsnamn för avisering: Potentiellt omvändt gränssnitt har identifierats

Allvarlighetsgrad: Medel

VM_SshKeyAccess

Visningsnamn för avisering: Processen visas vid åtkomst till filen med SSH-auktoriserade nycklar på ett ovanligt sätt

Allvarlighetsgrad: Låg

VM_SshKeyAddition

Visningsnamn för avisering: Ny SSH-nyckel har lagts till

Allvarlighetsgrad: Låg

VM_SuspectCompilation

Visningsnamn för avisering: Misstänkt kompilering har identifierats

Allvarlighetsgrad: Medel

VM_Suspect Anslut ion

Aviseringsvisningsnamn: Ett ovanligt anslutningsförsök har identifierats

Allvarlighetsgrad: Medel

VM_SuspectDownload

Visningsnamn för avisering: Upptäckt filnedladdning från en känd skadlig källa

Allvarlighetsgrad: Medel

VM_SuspectDownloadArtifacts

Visningsnamn för avisering: Misstänkt filnedladdning har identifierats

Allvarlighetsgrad: Låg

VM_SuspectExecutablePath

Visningsnamn för avisering: Körbar fil hittades när den kördes från en misstänkt plats

Allvarlighetsgrad: Medel

VM_SuspectHtaccessFileAccess

Visningsnamn för avisering: Åtkomst till htaccess-fil har identifierats

Allvarlighetsgrad: Medel

VM_SuspectInitialShellCommand

Visningsnamn för avisering: Misstänkt första kommando i gränssnittet

Allvarlighetsgrad: Låg

VM_SuspectMixedCaseText

Visningsnamn för avisering: Identifierad avvikande blandning av versaler och gemener på kommandoraden

Allvarlighetsgrad: Medel

VM_SuspectNetwork Anslut ion

Visningsnamn för avisering: Misstänkt nätverksanslutning

Allvarlighetsgrad: Information

VM_SuspectNohup

Visningsnamn för avisering: Misstänkt användning av nohup-kommandot har identifierats

Allvarlighetsgrad: Medel

VM_SuspectPasswordChange

Visningsnamn för avisering: Möjlig lösenordsändring med hjälp av crypt-method har identifierats

Allvarlighetsgrad: Medel

VM_SuspectPasswordFileAccess

Visningsnamn för avisering: Misstänkt lösenordsåtkomst

Allvarlighetsgrad: Information

VM_SuspectPhp

Aviseringsvisningsnamn: Misstänkt PHP-körning har identifierats

Allvarlighetsgrad: Medel

VM_SuspectPortForwarding

Visningsnamn för avisering: Potentiell portvidarebefordring till extern IP-adress

Allvarlighetsgrad: Medel

VM_SuspectProcessAccountPrivilegeCombo

Visningsnamn för avisering: Processen som körs i ett tjänstkonto blev oväntat rot

Allvarlighetsgrad: Medel

VM_SuspectProcessTermination

Visningsnamn för avisering: Säkerhetsrelaterad processavslut har identifierats

Allvarlighetsgrad: Låg

VM_SuspectUserAddition

Visningsnamn för avisering: Misstänkt användning av useradd-kommandot har identifierats

Allvarlighetsgrad: Medel

VM_SuspiciousCommandLineExecution

Visningsnamn för avisering: Misstänkt kommandokörning

Allvarlighetsgrad: Hög

VM_SuspiciousDNSOverHttps

Visningsnamn för avisering: Misstänkt användning av DNS via HTTPS

Allvarlighetsgrad: Medel

VM_SystemLogRemoval

Aviseringsvisningsnamn: Möjlig loggmanipuleringsaktivitet har identifierats

Allvarlighetsgrad: Medel

VM_ThreatIntelCommandLineSuspectDomain

Visningsnamn för avisering: En möjlig anslutning till skadlig plats har identifierats

Allvarlighetsgrad: Medel

VM_ThreatIntelSuspectLogon

Visningsnamn för avisering: En inloggning från en skadlig IP-adress har identifierats

Allvarlighetsgrad: Hög

VM_TimerServiceDisabled

Visningsnamn för avisering: Försök att stoppa tjänsten apt-daily-upgrade.timer har identifierats

Allvarlighetsgrad: Information

VM_TimestampTampering

Aviseringsvisningsnamn: Misstänkt ändring av filtidsstämpel

Allvarlighetsgrad: Låg

VM_Webshell

Visningsnamn för avisering: Möjligt skadligt webbgränssnitt har identifierats

Allvarlighetsgrad: Medel

Inaktuella Windows-aviseringar för Defender för servrar

SCUBA_MULTIPLEACCOUNTCREATE

Visningsnamn för avisering: Misstänkt skapande av konton på flera värdar

Allvarlighetsgrad: Medel

SCUBA_PSINSIGHT_CONTEXT

Visningsnamn för avisering: Misstänkt användning av PowerShell har identifierats

Allvarlighetsgrad: Information

SCUBA_RULE_AddGuestToAdministrators

Visningsnamn för avisering: Tillägg av gästkonto i gruppen Lokala administratörer

Allvarlighetsgrad: Medel

SCUBA_RULE_Apache_Tomcat_executing_suspicious_commands

Visningsnamn för avisering: Apache_Tomcat_executing_suspicious_commands

Allvarlighetsgrad: Medel

SCUBA_RULE_KnownBruteForcingTools

Visningsnamn för avisering: Misstänkt process körs

Allvarlighetsgrad: Hög

SCUBA_RULE_KnownCollectionTools

Visningsnamn för avisering: Misstänkt process körs

Allvarlighetsgrad: Hög

SCUBA_RULE_KnownDefenseEvasionTools

Visningsnamn för avisering: Misstänkt process körs

Allvarlighetsgrad: Hög

SCUBA_RULE_KnownExecutionTools

Visningsnamn för avisering: Misstänkt process körs

Allvarlighetsgrad: Hög

SCUBA_RULE_KnownPassTheHashTools

Visningsnamn för avisering: Misstänkt process körs

Allvarlighetsgrad: Hög

SCUBA_RULE_KnownSpammingTools

Visningsnamn för avisering: Misstänkt process körs

Allvarlighetsgrad: Medel

SCUBA_RULE_Lowering_Security_Inställningar

Visningsnamn för avisering: Identifierade inaktivering av kritiska tjänster

Allvarlighetsgrad: Medel

SCUBA_RULE_OtherKnownHackerTools

Visningsnamn för avisering: Misstänkt process körs

Allvarlighetsgrad: Hög

SCUBA_RULE_RDP_session_hijacking_via_tscon

Visningsnamn för avisering: Misstänkt integritetsnivå som tyder på RDP-kapning

Allvarlighetsgrad: Medel

SCUBA_RULE_RDP_session_hijacking_via_tscon_service

Visningsnamn för avisering: Misstänkt tjänstinstallation

Allvarlighetsgrad: Medel

SCUBA_RULE_Suppress_pesky_unauthorized_use_prohibited_notices

Visningsnamn för avisering: Upptäckt undertryckning av juridiska meddelanden som visas för användare vid inloggning

Allvarlighetsgrad: Låg

SCUBA_RULE_WDigest_Enabling

Visningsnamn för avisering: Identifierade aktivering av registernyckeln WDigest UseLogonCredential

Allvarlighetsgrad: Medel

VM.Windows_ApplockerBypass

Aviseringsvisningsnamn: Potentiellt försök att kringgå AppLocker har identifierats

Allvarlighetsgrad: Hög

VM.Windows_BariumKnownSuspiciousProcessExecution

Visningsnamn för avisering: Misstänkt fil har identifierats

Allvarlighetsgrad: Hög

VM.Windows_Base64EncodedExecutableInCommandLineParams

Visningsnamn för avisering: Identifierad kodad körbar fil i kommandoradsdata

Allvarlighetsgrad: Hög

VM.Windows_CalcsCommandLineUse

Aviseringsvisningsnamn: Misstänkt användning av Cacls har identifierats för att sänka systemets säkerhetstillstånd

Allvarlighetsgrad: Medel

VM.Windows_CommandLineStartingAllExe

Visningsnamn för avisering: Identifierade misstänkt kommandorad som används för att starta alla körbara filer i en katalog

Allvarlighetsgrad: Medel

VM.Windows_DisablingAndDeletingIISLogFiles

Visningsnamn för avisering: Identifierade åtgärder som indikerar inaktivering och borttagning av IIS-loggfiler

Allvarlighetsgrad: Medel

VM.Windows_DownloadUsingCertutil

Visningsnamn för avisering: Misstänkt nedladdning med certutil identifierad

Allvarlighetsgrad: Medel

VM.Windows_EchoOverPipeOnLocalhost

Aviseringsvisningsnamn: Misstänkt namngiven pipe-kommunikation har identifierats

Allvarlighetsgrad: Hög

VM.Windows_EchoToConstructPowerShellScript

Visningsnamn för avisering: Dynamisk PowerShell-skriptkonstruktion

Allvarlighetsgrad: Medel

VM.Windows_ExecutableDecodedUsingCertutil

Visningsnamn för avisering: Identifierad avkodning av en körbar fil med hjälp av det inbyggda certutil.exe-verktyget

Allvarlighetsgrad: Medel

VM.Windows_FileDeletionIsSospisiousLocation

Aviseringsvisningsnamn: Misstänkt filborttagning har identifierats

Allvarlighetsgrad: Medel

VM.Windows_KerberosGoldenTicketAttack

Aviseringsvisningsnamn: Misstänkta Kerberos Golden Ticket-attackparametrar observerade

Allvarlighetsgrad: Medel

VM.Windows_KeygenToolKnownProcessName

Visningsnamn för avisering: Identifierad möjlig körning av körbar keygen-misstänkt process som körs

Allvarlighetsgrad: Medel

VM.Windows_KnownCredentialAccessTools

Visningsnamn för avisering: Misstänkt process körs

Allvarlighetsgrad: Hög

VM.Windows_KnownSuspiciousPowerShellScript

Visningsnamn för avisering: Misstänkt användning av PowerShell har identifierats

Allvarlighetsgrad: Hög

VM.Windows_KnownSuspiciousSoftwareInstallation

Aviseringsvisningsnamn: Programvara med hög risk har identifierats

Allvarlighetsgrad: Medel

VM.Windows_MsHtaAndPowerShellCombination

Visningsnamn för avisering: Identifierade misstänkt kombination av HTA och PowerShell

Allvarlighetsgrad: Medel

VM.Windows_MultipleAccountsQuery

Visningsnamn för avisering: Flera domänkonton efterfrågade

Allvarlighetsgrad: Medel

VM.Windows_NewAccountCreation

Visningsnamn för avisering: Kontoskapande har identifierats

Allvarlighetsgrad: Information

VM.Windows_ObfuscatedCommandLine

Visningsnamn för avisering: Det identifierade dolda kommandoraden.

Allvarlighetsgrad: Hög

VM.Windows_PcaluaUseToLaunchExecutable

Visningsnamn för avisering: Misstänkt användning av Pcalua.exe har identifierats för att starta körbar kod

Allvarlighetsgrad: Medel

VM.Windows_PetyaRansomware

Visningsnamn för avisering: Identifierade Indikatorer för Petya Ransomware

Allvarlighetsgrad: Hög

VM.Windows_PowerShellPowerSploitScriptExecution

Visningsnamn för avisering: Misstänkta PowerShell-cmdletar körs

Allvarlighetsgrad: Medel

VM.Windows_RansomwareIndication

Visningsnamn för avisering: Utpressningstrojanindikatorer har identifierats

Allvarlighetsgrad: Hög

VM.Windows_SqlDumperUsedSuspiciously

Visningsnamn för avisering: Möjlig dumpning av autentiseringsuppgifter har identifierats [visas flera gånger]

Allvarlighetsgrad: Medel

VM.Windows_StopCriticalServices

Visningsnamn för avisering: Identifierade inaktivering av kritiska tjänster

Allvarlighetsgrad: Medel

VM.Windows_SubvertingAccessibilityBinary

Aviseringsvisningsnamn: Sticky Keys-attack identifierade Misstänkt kontoskapande identifierade Medium

VM.Windows_SuspiciousAccountCreation

Visningsnamn för avisering: Misstänkt kontoskapande har identifierats

Allvarlighetsgrad: Medel

VM.Windows_SuspiciousFirewallRuleAdded

Visningsnamn för avisering: Misstänkt ny brandväggsregel har identifierats

Allvarlighetsgrad: Medel

VM.Windows_SuspiciousFTPSSwitchUsage

Visningsnamn för avisering: Misstänkt användning av FTP-s-växel har identifierats

Allvarlighetsgrad: Medel

VM.Windows_SuspiciousSQLActivity

Visningsnamn för avisering: Misstänkt SQL-aktivitet

Allvarlighetsgrad: Medel

VM.Windows_SVCHostFromInvalidPath

Visningsnamn för avisering: Misstänkt process körs

Allvarlighetsgrad: Hög

VM.Windows_SystemEventLogCleared

Visningsnamn för avisering: Windows-säkerhet loggen har rensats

Allvarlighetsgrad: Information

VM.Windows_TelegramInstallation

Visningsnamn för avisering: Identifierad potentiellt misstänkt användning av Telegram-verktyget

Allvarlighetsgrad: Medel

VM.Windows_UndercoverProcess

Visningsnamn för avisering: Misstänkt namngiven process har identifierats

Allvarlighetsgrad: Hög

VM.Windows_UserAccountControlBypass

Visningsnamn för avisering: Identifierade ändringar i en registernyckel som kan missbrukas för att kringgå UAC

Allvarlighetsgrad: Medel

VM.Windows_VBScriptEncoding

Visningsnamn för avisering: Misstänkt körning av kommandot VBScript.Encode har identifierats

Allvarlighetsgrad: Medel

VM.Windows_WindowPositionRegisteryChange

Visningsnamn för avisering: Misstänkt WindowPosition-registervärde har identifierats

Allvarlighetsgrad: Låg

VM.Windows_ZincPortOpenningUsingFirewallRule

Aviseringsvisningsnamn: Skadlig brandväggsregel som skapats av ZINK-serverimplantat

Allvarlighetsgrad: Hög

VM_DigitalCurrencyMining

Visningsnamn för avisering: Digitalt valutautvinningsrelaterat beteende har identifierats

Allvarlighetsgrad: Hög

VM_MaliciousSQLActivity

Visningsnamn för avisering: Skadlig SQL-aktivitet

Allvarlighetsgrad: Hög

VM_ProcessWithDoubleExtensionExecution

Visningsnamn för avisering: Misstänkt fil med dubbelt tillägg körs

Allvarlighetsgrad: Hög

VM_RegistryPersistencyKey

Visningsnamn för avisering: Windows-registrets beständighetsmetod har identifierats

Allvarlighetsgrad: Låg

VM_ShadowCopyDeletion

Visningsnamn för avisering: Misstänkt körbar volymskuggakopieringsaktivitet hittades på en misstänkt plats

Allvarlighetsgrad: Hög

VM_SuspectExecutablePath

Visningsnamn för avisering: Körbar fil hittades när den kördes från en misstänkt plats Identifierade avvikande blandning av versaler och gemener på kommandoraden

Allvarlighetsgrad: Information

Medium

VM_SuspectPhp

Aviseringsvisningsnamn: Misstänkt PHP-körning har identifierats

Allvarlighetsgrad: Medel

VM_SuspiciousCommandLineExecution

Visningsnamn för avisering: Misstänkt kommandokörning

Allvarlighetsgrad: Hög

VM_SuspiciousScreenSaverExecution

Visningsnamn för avisering: Misstänkt skärmsläckarprocess körs

Allvarlighetsgrad: Medel

VM_SvcHostRunInRareServiceGroup

Visningsnamn för avisering: Sällsynt SVCHOST-tjänstgrupp körs

Allvarlighetsgrad: Information

VM_SystemProcessInAbnormalContext

Visningsnamn för avisering: Misstänkt systemprocess körs

Allvarlighetsgrad: Medel

VM_ThreatIntelCommandLineSuspectDomain

Visningsnamn för avisering: En möjlig anslutning till skadlig plats har identifierats

Allvarlighetsgrad: Medel

VM_ThreatIntelSuspectLogon

Visningsnamn för avisering: En inloggning från en skadlig IP-adress har identifierats

Allvarlighetsgrad: Hög

VM_VbScriptHttpObjectAllocation

Aviseringsvisningsnamn: VBScript HTTP-objektallokering har identifierats

Allvarlighetsgrad: Hög

VM_TaskkillBurst

Visningsnamn för avisering: Misstänkt processavslutssprängning

Allvarlighetsgrad: Låg

VM_RunByPsExec

Visningsnamn för avisering: PsExec-körning har identifierats

Allvarlighetsgrad: Information

MITRE ATT&CK-taktik

Att förstå avsikten med en attack kan hjälpa dig att undersöka och rapportera händelsen enklare. För att hjälpa till med dessa ansträngningar inkluderar Microsoft Defender för molnet aviseringar MITRE-taktiken med många aviseringar.

Den serie steg som beskriver förloppet för en cyberattack från rekognosering till dataexfiltrering kallas ofta för en "kill chain".

Defender för molnet avsikter som stöds baseras på version 9 av MITRE ATT&CK-matrisen och beskrivs i tabellen nedan.

Strategi ATT&CK-version beskrivning
PreAttack PreAttack kan vara antingen ett försök att komma åt en viss resurs oavsett skadlig avsikt eller ett misslyckat försök att få åtkomst till ett målsystem för att samla in information före utnyttjandet. Det här steget identifieras vanligtvis som ett försök, som kommer från utanför nätverket, att genomsöka målsystemet och identifiera en startpunkt.
Inledande åtkomst V7, V9 Inledande åtkomst är den fas där en angripare lyckas få fotfäste på den angripna resursen. Den här fasen är relevant för beräkningsvärdar och resurser som användarkonton, certifikat osv. Hotaktörer kommer ofta att kunna kontrollera resursen efter det här steget.
Uthållighet V7, V9 Beständighet är alla åtkomst-, åtgärds- eller konfigurationsändringar till ett system som ger en hotskådespelare en beständig närvaro i systemet. Hotaktörer behöver ofta upprätthålla åtkomsten till system genom avbrott, till exempel omstarter av systemet, förlust av autentiseringsuppgifter eller andra fel som skulle kräva att ett fjärråtkomstverktyg startar om eller tillhandahåller en alternativ bakdörr för att de ska kunna återfå åtkomsten.
Privilegieeskalering V7, V9 Behörighetseskalering är resultatet av åtgärder som gör det möjligt för en angripare att få en högre behörighetsnivå i ett system eller nätverk. Vissa verktyg eller åtgärder kräver en högre behörighetsnivå för att fungera och är sannolikt nödvändiga vid många tillfällen under en åtgärd. Användarkonton med behörighet att komma åt specifika system eller utföra specifika funktioner som krävs för att angripare ska uppnå sitt mål kan också betraktas som en eskalering av privilegier.
Försvarsundandragande V7, V9 Försvarsundandragande består av tekniker som en angripare kan använda för att undvika identifiering eller undvika andra skydd. Ibland är dessa åtgärder samma som (eller varianter av) tekniker i andra kategorier som har den extra fördelen att undergräva ett visst skydd eller en viss åtgärd.
Åtkomst till autentiseringsuppgifter V7, V9 Åtkomst till autentiseringsuppgifter representerar tekniker som resulterar i åtkomst till eller kontroll över system-, domän- eller tjänstautentiseringsuppgifter som används i en företagsmiljö. Angripare kommer sannolikt att försöka få legitima autentiseringsuppgifter från användare eller administratörskonton (lokal systemadministratör eller domänanvändare med administratörsåtkomst) som ska användas i nätverket. Med tillräcklig åtkomst i ett nätverk kan en angripare skapa konton för senare användning i miljön.
Upptäckten V7, V9 Identifieringen består av tekniker som gör det möjligt för motståndaren att få kunskap om systemet och det interna nätverket. När angripare får tillgång till ett nytt system måste de inrikta sig på vad de nu har kontroll över och vilka fördelar driften av systemet ger deras nuvarande mål eller övergripande mål under intrånget. Operativsystemet innehåller många inbyggda verktyg som underlättar den här informationsinsamlingsfasen efter kompromissen.
LateralMovement V7, V9 Lateral förflyttning består av tekniker som gör det möjligt för en angripare att komma åt och styra fjärrsystem i ett nätverk och kan, men inte nödvändigtvis, inkludera körning av verktyg på fjärrsystem. Tekniker för lateral förflyttning kan göra det möjligt för en angripare att samla in information från ett system utan att behöva fler verktyg, till exempel ett fjärråtkomstverktyg. En angripare kan använda lateral förflyttning i många syften, inklusive fjärrkörning av verktyg, pivotering till fler system, åtkomst till specifik information eller filer, åtkomst till fler autentiseringsuppgifter eller för att orsaka en effekt.
Utförande V7, V9 Körningstaktiken representerar tekniker som resulterar i att inkräktarkontrollerad kod körs på ett lokalt eller fjärrstyrt system. Den här taktiken används ofta tillsammans med lateral förflyttning för att utöka åtkomsten till fjärrsystem i ett nätverk.
Samling V7, V9 Samlingen består av tekniker som används för att identifiera och samla in information, till exempel känsliga filer, från ett målnätverk före exfiltrering. Den här kategorin omfattar även platser i ett system eller nätverk där motståndaren kan söka efter information för att exfiltratera.
Kommando och kontroll V7, V9 Kommando- och kontrolltaktiken representerar hur angripare kommunicerar med system under deras kontroll i ett målnätverk.
Exfiltrering V7, V9 Exfiltrering refererar till tekniker och attribut som leder till eller hjälper motståndaren att ta bort filer och information från ett målnätverk. Den här kategorin omfattar även platser i ett system eller nätverk där motståndaren kan söka efter information för att exfiltratera.
Påverkan V7, V9 Påverkanshändelser försöker främst direkt minska tillgängligheten eller integriteten för ett system, en tjänst eller ett nätverk. inklusive manipulering av data för att påverka en affärs- eller driftsprocess. Detta skulle ofta referera till tekniker som utpressningstrojaner, defacement, datamanipulering och andra.

Kommentar

För aviseringar som är i förhandsversion: Tilläggsvillkoren för Azure Preview innehåller ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.

Nästa steg