Säkerhetsaviseringar – en referensguide
I den här artikeln visas de säkerhetsaviseringar som du kan få från Microsoft Defender för molnet och eventuella Microsoft Defender-planer som du har aktiverat. De aviseringar som visas i din miljö beror på de resurser och tjänster som du skyddar och din anpassade konfiguration.
Längst ned på den här sidan finns en tabell som beskriver Microsoft Defender för molnet kill-kedjan i linje med version 9 av MITRE ATT&CK-matrisen.
Lär dig hur du svarar på dessa aviseringar.
Lär dig hur du exporterar aviseringar.
Kommentar
Aviseringar från olika källor kan ta olika tid att visas. Aviseringar som kräver analys av nätverkstrafik kan till exempel ta längre tid att visas än aviseringar relaterade till misstänkta processer som körs på virtuella datorer.
Aviseringar för Windows-datorer
Microsoft Defender för servrar plan 2 tillhandahåller unika identifieringar och aviseringar, utöver de som tillhandahålls av Microsoft Defender för Endpoint. Aviseringarna som tillhandahålls för Windows-datorer är:
Mer information och anteckningar
En inloggning från en skadlig IP-adress har identifierats. [sett flera gånger]
Beskrivning: En lyckad fjärrautentisering för kontot [konto] och processen [process] inträffade, men inloggnings-IP-adressen (x.x.x.x.x) har tidigare rapporterats som skadlig eller mycket ovanlig. En lyckad attack har förmodligen inträffat. Filer med .scr-tilläggen är skärmsläckarfiler och finns normalt och körs från Windows-systemkatalogen.
MITRE-taktik: -
Allvarlighetsgrad: Hög
Principöverträdelse för anpassningsbar programkontroll granskades
VM_AdaptiveApplicationControlWindowsViolationAudited
Beskrivning: Nedanstående användare körde program som bryter mot organisationens programkontrollprincip på den här datorn. Det kan eventuellt utsätta datorn för skadlig kod eller programsårbarheter.
MITRE-taktik: Körning
Allvarlighetsgrad: Information
Tillägg av gästkonto i gruppen Lokala administratörer
Beskrivning: Analys av värddata har upptäckt att det inbyggda gästkontot har lagts till i gruppen Lokala administratörer på %{Komprometterad värd}, som är starkt associerad med angriparens aktivitet.
MITRE-taktik: -
Allvarlighetsgrad: Medel
En händelselogg har rensats
Beskrivning: Datorloggar anger en misstänkt åtgärd för att rensa händelseloggar efter användare: %{användarnamn} på datorn: %{CompromisedEntity}. Loggen %{log channel} har rensats.
MITRE-taktik: -
Allvarlighetsgrad: Information
Åtgärden mot skadlig kod misslyckades
Beskrivning: Microsoft Antimalware har påträffat ett fel när du vidtar en åtgärd mot skadlig kod eller annan potentiellt oönskad programvara.
MITRE-taktik: -
Allvarlighetsgrad: Medel
Åtgärder mot skadlig kod har vidtagits
Beskrivning: Microsoft Antimalware för Azure har vidtagit åtgärder för att skydda datorn mot skadlig kod eller annan potentiellt oönskad programvara.
MITRE-taktik: -
Allvarlighetsgrad: Medel
Undantag för program mot skadlig kod på den virtuella datorn
(VM_AmBroadFilesExclusion)
Beskrivning: Filundantag från program mot skadlig kod med bred exkluderingsregel identifierades på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Sådan exkludering inaktiverar praktiskt taget skyddet mot skadlig kod. Angripare kan exkludera filer från genomsökningen av program mot skadlig kod på den virtuella datorn för att förhindra identifiering när godtycklig kod körs eller infekterar datorn med skadlig kod.
MITRE-taktik: -
Allvarlighetsgrad: Medel
Program mot skadlig kod har inaktiverats och kodkörning på den virtuella datorn
(VM_AmDisablementAndCodeExecution)
Beskrivning: Program mot skadlig kod har inaktiverats samtidigt som kodkörningen på den virtuella datorn. Detta upptäcktes genom att analysera Azure Resource Manager-åtgärder i din prenumeration. Angripare inaktiverar skannrar mot skadlig kod för att förhindra identifiering när obehöriga verktyg körs eller infekterar datorn med skadlig kod.
MITRE-taktik: -
Allvarlighetsgrad: Hög
Program mot skadlig kod har inaktiverats på den virtuella datorn
(VM_AmDisablement)
Beskrivning: Program mot skadlig kod har inaktiverats på den virtuella datorn. Detta upptäcktes genom att analysera Azure Resource Manager-åtgärder i din prenumeration. Angripare kan inaktivera program mot skadlig kod på den virtuella datorn för att förhindra identifiering.
MITRE-taktik: Försvarsundandragande
Allvarlighetsgrad: Medel
Filundantag mot skadlig kod och kodkörning på den virtuella datorn
(VM_AmFileExclusionAndCodeExecution)
Beskrivning: Filen undantas från skannern för program mot skadlig kod samtidigt som koden kördes via ett anpassat skripttillägg på den virtuella datorn. Detta upptäcktes genom att analysera Azure Resource Manager-åtgärder i din prenumeration. Angripare kan exkludera filer från genomsökningen av program mot skadlig kod på den virtuella datorn för att förhindra identifiering när obehöriga verktyg körs eller infekterar datorn med skadlig kod.
MITRE-taktik: Defense Evasion, Execution
Allvarlighetsgrad: Hög
Filundantag mot skadlig kod och kodkörning på den virtuella datorn
(VM_AmTempFileExclusionAndCodeExecution)
Beskrivning: Tillfälligt filundantag från program mot skadlig kod parallellt med körning av kod via anpassat skripttillägg upptäcktes på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Angripare kan exkludera filer från genomsökningen av program mot skadlig kod på den virtuella datorn för att förhindra identifiering när godtycklig kod körs eller infekterar datorn med skadlig kod.
MITRE-taktik: Defense Evasion, Execution
Allvarlighetsgrad: Hög
Undantag för program mot skadlig kod på den virtuella datorn
(VM_AmTempFileExclusion)
Beskrivning: Filen undantas från skannern för program mot skadlig kod på den virtuella datorn. Detta upptäcktes genom att analysera Azure Resource Manager-åtgärder i din prenumeration. Angripare kan exkludera filer från genomsökningen av program mot skadlig kod på den virtuella datorn för att förhindra identifiering när obehöriga verktyg körs eller infekterar datorn med skadlig kod.
MITRE-taktik: Försvarsundandragande
Allvarlighetsgrad: Medel
Skydd mot skadlig kod i realtid har inaktiverats på den virtuella datorn
(VM_AmRealtimeProtectionDisabled)
Beskrivning: Inaktiverat skydd i realtid för tillägget mot skadlig kod identifierades på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Angripare kan inaktivera realtidsskydd från genomsökningen av program mot skadlig kod på den virtuella datorn för att undvika identifiering när godtycklig kod körs eller infekterar datorn med skadlig kod.
MITRE-taktik: Försvarsundandragande
Allvarlighetsgrad: Medel
Skydd mot skadlig kod i realtid inaktiverades tillfälligt på den virtuella datorn
(VM_AmTempRealtimeProtectionDisablement)
Beskrivning: Tillfällig inaktivering av tillägget mot skadlig kod i realtidsskydd upptäcktes på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Angripare kan inaktivera realtidsskydd från genomsökningen av program mot skadlig kod på den virtuella datorn för att undvika identifiering när godtycklig kod körs eller infekterar datorn med skadlig kod.
MITRE-taktik: Försvarsundandragande
Allvarlighetsgrad: Medel
Skydd mot skadlig kod i realtid inaktiverades tillfälligt medan koden kördes på den virtuella datorn
(VM_AmRealtimeProtectionDisablementAndCodeExec)
Beskrivning: Tillfällig inaktivering av tillägget mot skadlig kod i realtidsskydd parallellt med kodkörning via anpassat skripttillägg identifierades på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Angripare kan inaktivera realtidsskydd från genomsökningen av program mot skadlig kod på den virtuella datorn för att undvika identifiering när godtycklig kod körs eller infekterar datorn med skadlig kod.
MITRE-taktik: -
Allvarlighetsgrad: Hög
Genomsökningar mot skadlig kod blockeras efter filer som kan vara relaterade till kampanjer mot skadlig kod på den virtuella datorn (förhandsversion)
(VM_AmMalwareCampaignRelatedExclusion)
Beskrivning: En exkluderingsregel identifierades på den virtuella datorn för att förhindra att tillägget mot skadlig kod genomsöker vissa filer som misstänks vara relaterade till en kampanj för skadlig kod. Regeln identifierades genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Angripare kan exkludera filer från genomsökningar av program mot skadlig kod för att förhindra identifiering när godtycklig kod körs eller infekterar datorn med skadlig kod.
MITRE-taktik: Försvarsundandragande
Allvarlighetsgrad: Medel
Program mot skadlig kod inaktiveras tillfälligt på den virtuella datorn
(VM_AmTemporarilyDisablement)
Beskrivning: Program mot skadlig kod inaktiveras tillfälligt på den virtuella datorn. Detta upptäcktes genom att analysera Azure Resource Manager-åtgärder i din prenumeration. Angripare kan inaktivera program mot skadlig kod på den virtuella datorn för att förhindra identifiering.
MITRE-taktik: -
Allvarlighetsgrad: Medel
Ovanligt filundantag mot skadlig kod på den virtuella datorn
(VM_UnusualAmFileExclusion)
Beskrivning: Ovanligt filundantag från program mot skadlig kod upptäcktes på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Angripare kan exkludera filer från genomsökningen av program mot skadlig kod på den virtuella datorn för att förhindra identifiering när godtycklig kod körs eller infekterar datorn med skadlig kod.
MITRE-taktik: Försvarsundandragande
Allvarlighetsgrad: Medel
Kommunikation med misstänkt domän identifierad av hotinformation
(AzureDNS_ThreatIntelSuspectDomain)
Beskrivning: Kommunikation med misstänkt domän upptäcktes genom att analysera DNS-transaktioner från din resurs och jämföra med kända skadliga domäner som identifieras av hotinformationsflöden. Kommunikation till skadliga domäner utförs ofta av angripare och kan innebära att din resurs komprometteras.
MITRE-taktik: Initial åtkomst, beständighet, körning, kommando och kontroll, utnyttjande
Allvarlighetsgrad: Medel
Identifierade åtgärder som tyder på att inaktivera och ta bort IIS-loggfiler
Beskrivning: Analys av identifierade åtgärder för värddata som visar att IIS-loggfiler har inaktiverats och/eller tagits bort.
MITRE-taktik: -
Allvarlighetsgrad: Medel
Identifierade avvikande blandning av versaler och gemener i kommandoraden
Beskrivning: Analys av värddata på %{Komprometterad värd} identifierade en kommandorad med avvikande blandning av versaler och gemener. Den här typen av mönster, även om det är möjligt, är också typiskt för angripare som försöker dölja skiftlägeskänsliga eller hashbaserade regelmatchningar när de utför administrativa uppgifter på en komprometterad värd.
MITRE-taktik: -
Allvarlighetsgrad: Medel
Identifierade ändringar i en registernyckel som kan missbrukas för att kringgå UAC
Beskrivning: Analys av värddata på %{Komprometterad värd} har upptäckt att en registernyckel som kan missbrukas för att kringgå UAC (user account control) har ändrats. Den här typen av konfiguration, även om den är möjligen godartad, är också typisk för angriparens aktivitet när du försöker flytta från oprivilegierad (standardanvändare) till privilegierad (till exempel administratör) åtkomst på en komprometterad värd.
MITRE-taktik: -
Allvarlighetsgrad: Medel
Identifierade avkodning av en körbar fil med hjälp av det inbyggda certutil.exe-verktyget
Beskrivning: Analys av värddata på %{Komprometterad värd} upptäckte att certutil.exe, ett inbyggt administratörsverktyg, användes för att avkoda en körbar fil i stället för dess mainstream-syfte som rör manipulering av certifikat och certifikatdata. Angripare är kända för att missbruka funktioner hos legitima administratörsverktyg för att utföra skadliga åtgärder, till exempel med ett verktyg som certutil.exe, för att avkoda en skadlig körbar fil som sedan ska köras.
MITRE-taktik: -
Allvarlighetsgrad: Hög
Identifierade aktivering av registernyckeln WDigest UseLogonCredential
Beskrivning: Analys av värddata identifierade en ändring i registernyckeln HKLM\SYSTEM\ CurrentControlSet\Control\SecurityProviders\WDigest\ "UseLogonCredential". Mer specifikt har den här nyckeln uppdaterats för att tillåta att inloggningsuppgifter lagras i klartext i LSA-minnet. När den är aktiverad kan en angripare dumpa lösenord för rensa text från LSA-minnet med verktyg för insamling av autentiseringsuppgifter, till exempel Mimikatz.
MITRE-taktik: -
Allvarlighetsgrad: Medel
Identifierad kodad körbar fil i kommandoradsdata
Beskrivning: Analys av värddata på %{Komprometterad värd} identifierade en base-64-kodad körbar fil. Detta har tidigare associerats med angripare som försöker konstruera körbara filer i farten genom en sekvens med kommandon och försöker undvika intrångsidentifieringssystem genom att säkerställa att inget enskilt kommando utlöser en avisering. Detta kan vara legitim aktivitet eller en indikation på en komprometterad värd.
MITRE-taktik: -
Allvarlighetsgrad: Hög
Den dolda kommandoraden har identifierats
Beskrivning: Angripare använder alltmer komplexa tekniker för att undvika identifieringar som körs mot underliggande data. Analys av värddata på %{Komprometterad värd} identifierade misstänkta indikatorer på fördunkling på kommandoraden.
MITRE-taktik: -
Allvarlighetsgrad: Information
Identifierad möjlig körning av körbar keygen
Beskrivning: Analys av värddata på %{Komprometterad värd} identifierade körning av en process vars namn är ett tecken på ett keygen-verktyg. Sådana verktyg används vanligtvis för att besegra programvarulicensieringsmekanismer, men deras nedladdning paketeras ofta med annan skadlig programvara. Aktivitetsgruppen GOLD har varit känd för att använda sådana nyckelgener för att i hemlighet få åtkomst till värdar som de komprometterar.
MITRE-taktik: -
Allvarlighetsgrad: Medel
Upptäckt möjlig körning av skadlig kod dropper
Beskrivning: Analys av värddata på %{Komprometterad värd} identifierade ett filnamn som tidigare har associerats med någon av aktivitetsgruppen GOLD:s metoder för att installera skadlig kod på en offervärd.
MITRE-taktik: -
Allvarlighetsgrad: Hög
Identifierad möjlig lokal rekognoseringsaktivitet
Beskrivning: Analys av värddata på %{Komprometterad värd} identifierade en kombination av systeminfokommandon som tidigare har associerats med någon av aktivitetsgruppen GOLD:s metoder för att utföra rekognoseringsaktivitet. Även om "systeminfo.exe" är ett legitimt Windows-verktyg är det sällsynt att köra det två gånger i följd på det sätt som har inträffat här.
MITRE-taktik: -
Allvarlighetsgrad: Låg
Potentiellt misstänkt användning av Telegram-verktyget har identifierats
Beskrivning: Analys av värddata visar installationen av Telegram, en kostnadsfri molnbaserad snabbmeddelandetjänst som finns både för mobil- och skrivbordssystem. Angripare är kända för att missbruka den här tjänsten för att överföra skadliga binärfiler till andra datorer, telefoner eller surfplattor.
MITRE-taktik: -
Allvarlighetsgrad: Medel
Upptäckt undertryckning av juridiska meddelanden som visas för användare vid inloggning
Beskrivning: Analys av värddata på %{Komprometterad värd} identifierade ändringar i registernyckeln som styr om ett juridiskt meddelande visas för användare när de loggar in. Microsofts säkerhetsanalys har fastställt att detta är en vanlig aktivitet som utförs av angripare efter att ha komprometterat en värd.
MITRE-taktik: -
Allvarlighetsgrad: Låg
Misstänkt kombination av HTA och PowerShell har identifierats
Beskrivning: mshta.exe (Microsoft HTML Application Host) som är en signerad Microsoft-binär fil används av angriparna för att starta skadliga PowerShell-kommandon. Angripare använder ofta en HTA-fil med infogad VBScript. När ett offer bläddrar till HTA-filen och väljer att köra den körs De PowerShell-kommandon och skript som den innehåller. Analys av värddata på %{Komprometterad värd} identifierade mshta.exe att PowerShell-kommandon startades.
MITRE-taktik: -
Allvarlighetsgrad: Medel
Misstänkta kommandoradsargument har identifierats
Beskrivning: Analys av värddata på %{Komprometterad värd} identifierade misstänkta kommandoradsargument som har använts tillsammans med ett omvändt gränssnitt som används av aktivitetsgruppen HYDROGEN.
MITRE-taktik: -
Allvarlighetsgrad: Hög
Misstänkt kommandorad har identifierats som används för att starta alla körbara filer i en katalog
Beskrivning: Analys av värddata har identifierat en misstänkt process som körs på %{Komprometterad värd}. Kommandoraden anger ett försök att starta alla körbara filer (*.exe) som kan finnas i en katalog. Detta kan vara en indikation på en komprometterad värd.
MITRE-taktik: -
Allvarlighetsgrad: Medel
Identifierade misstänkta autentiseringsuppgifter i kommandoraden
Beskrivning: Analys av värddata på %{Komprometterad värd} identifierade ett misstänkt lösenord som används för att köra en fil av aktivitetsgruppen BORON. Den här aktivitetsgruppen har varit känd för att använda det här lösenordet för att köra skadlig Pirpi-kod på en offervärd.
MITRE-taktik: -
Allvarlighetsgrad: Hög
Misstänkta dokumentautentiseringsuppgifter har identifierats
Beskrivning: Analys av värddata på %{Komprometterad värd} identifierade en misstänkt, vanlig förberäknad lösenordshash som används av skadlig kod som används för att köra en fil. Aktivitetsgruppen HYDROGEN har varit känd för att använda det här lösenordet för att köra skadlig kod på en offervärd.
MITRE-taktik: -
Allvarlighetsgrad: Hög
Misstänkt körning av kommandot VBScript.Encode har identifierats
Beskrivning: Analys av värddata på %{Komprometterad värd} identifierade körningen av kommandot VBScript.Encode. Detta kodar skripten till oläslig text, vilket gör det svårare för användare att undersöka koden. Microsofts hotforskning visar att angripare ofta använder kodade VBscript-filer som en del av attacken för att undvika identifieringssystem. Detta kan vara legitim aktivitet eller en indikation på en komprometterad värd.
MITRE-taktik: -
Allvarlighetsgrad: Medel
Misstänkt körning har identifierats via rundll32.exe
Beskrivning: Analys av värddata på %{Komprometterad värd} identifierade rundll32.exe som används för att köra en process med ett ovanligt namn, vilket överensstämmer med det processnamnschema som tidigare användes av aktivitetsgruppen GOLD när de installerade sitt första stegimplantat på en komprometterad värd.
MITRE-taktik: -
Allvarlighetsgrad: Hög
Identifierade misstänkta filrensningskommandon
Beskrivning: Analys av värddata på %{Komprometterad värd} identifierade en kombination av systeminfo-kommandon som tidigare har associerats med någon av aktivitetsgruppen GOLD:s metoder för att utföra självrensning efter kompromissen. Även om "systeminfo.exe" är ett legitimt Windows-verktyg är det sällsynt att köra det två gånger i följd, följt av ett borttagningskommando på det sätt som har inträffat här.
MITRE-taktik: -
Allvarlighetsgrad: Hög
Misstänkt filskapande har identifierats
Beskrivning: Analys av värddata på %{Komprometterad värd} identifierade skapandet eller körningen av en process som tidigare har indikerat åtgärder efter kompromissen som vidtagits på en offervärd av aktivitetsgruppen BARIUM. Den här aktivitetsgruppen har varit känd för att använda den här tekniken för att ladda ned mer skadlig kod till en komprometterad värd efter att en bifogad fil i ett nätfiskedokument har öppnats.
MITRE-taktik: -
Allvarlighetsgrad: Hög
Misstänkt namngiven pipe-kommunikation har identifierats
Beskrivning: Analys av värddata på %{Komprometterad värd} identifierade data som skrivits till ett lokalt namngivet pipe från ett Windows-konsolkommando. Namngivna rör är kända för att vara en kanal som används av angripare för att uppgift och kommunicera med ett skadligt implantat. Detta kan vara legitim aktivitet eller en indikation på en komprometterad värd.
MITRE-taktik: -
Allvarlighetsgrad: Hög
Misstänkt nätverksaktivitet har identifierats
Beskrivning: Analys av nätverkstrafik från %{Komprometterad värd} identifierade misstänkt nätverksaktivitet. Sådan trafik, även om den är möjligen godartad, används vanligtvis av en angripare för att kommunicera med skadliga servrar för nedladdning av verktyg, kommando och kontroll och exfiltrering av data. Typisk relaterad attackeringsaktivitet omfattar kopiering av fjärradministrationsverktyg till en komprometterad värd och exfiltrering av användardata från den.
MITRE-taktik: -
Allvarlighetsgrad: Låg
Misstänkt ny brandväggsregel har identifierats
Beskrivning: Analys av värddata som identifierats en ny brandväggsregel har lagts till via netsh.exe för att tillåta trafik från en körbar fil på en misstänkt plats.
MITRE-taktik: -
Allvarlighetsgrad: Medel
Misstänkt användning av Cacls har upptäckts för att sänka systemets säkerhetstillstånd
Beskrivning: Angripare använder otaliga sätt som brute force, spear phishing osv. för att uppnå en första kompromiss och få fotfäste i nätverket. När den första kompromissen har uppnåtts vidtar de ofta åtgärder för att sänka säkerhetsinställningarna för ett system. Caclsâ€"short for change access control list is Microsoft Windows native command-line utility often used for modifying the security permission on folders and files. Mycket tid som binärfilen används av angriparna för att sänka säkerhetsinställningarna för ett system. Detta görs genom att ge Alla fullständig åtkomst till några av system binärfiler som ftp.exe, net.exe, wscript.exe osv. Analys av värddata på %{Komprometterad värd} identifierade misstänkt användning av Cacls för att sänka säkerheten för ett system.
MITRE-taktik: -
Allvarlighetsgrad: Medel
Misstänkt användning av FTP-s-växel har identifierats
Beskrivning: Analys av processskapandedata från %{Komprometterad värd} identifierade användningen av FTP-växeln "-s:filename". Den här växeln används för att ange en FTP-skriptfil som klienten ska köra. Skadlig kod eller skadliga processer är kända för att använda den här FTP-växeln (-s:filename) för att peka på en skriptfil, som är konfigurerad för att ansluta till en fjärr-FTP-server och ladda ned fler skadliga binärfiler.
MITRE-taktik: -
Allvarlighetsgrad: Medel
Misstänkt användning av Pcalua.exe har upptäckts för att starta körbar kod
Beskrivning: Analys av värddata på %{Komprometterad värd} identifierade användningen av pcalua.exe för att starta körbar kod. Pcalua.exe är en komponent i Microsoft Windows "ProgramKompatibilitetsassistenten", som identifierar kompatibilitetsproblem under installationen eller körningen av ett program. Angripare är kända för att missbruka funktioner i legitima Windows-systemverktyg för att utföra skadliga åtgärder, till exempel med hjälp av pcalua.exe med växeln -a för att starta skadliga körbara filer antingen lokalt eller från fjärrresurser.
MITRE-taktik: -
Allvarlighetsgrad: Medel
Identifierade inaktivering av kritiska tjänster
Beskrivning: Analysen av värddata på %{Komprometterad värd} identifierade körningen av kommandot "net.exe stop" som används för att stoppa kritiska tjänster som SharedAccess eller Windows-säkerhet-appen. Att stoppa någon av dessa tjänster kan vara en indikation på ett skadligt beteende.
MITRE-taktik: -
Allvarlighetsgrad: Medel
Digitalt valutautvinningsrelaterat beteende har identifierats
Beskrivning: Analys av värddata på %{Komprometterad värd} identifierade körningen av en process eller ett kommando som normalt är associerat med utvinning av digital valuta.
MITRE-taktik: -
Allvarlighetsgrad: Hög
Dynamisk PS-skriptkonstruktion
Beskrivning: Analys av värddata på %{Komprometterad värd} identifierade ett PowerShell-skript som konstruerades dynamiskt. Angripare använder ibland den här metoden för att gradvis skapa ett skript för att undvika IDS-system. Det kan vara en legitim aktivitet eller en indikation på att en av dina datorer har komprometterats.
MITRE-taktik: -
Allvarlighetsgrad: Medel
Körbar fil hittades när den kördes från en misstänkt plats
Beskrivning: Analys av värddata identifierade en körbar fil på %{Komprometterad värd} som körs från en plats som är gemensam med kända misstänkta filer. Den här körbara filen kan antingen vara en legitim aktivitet eller en indikation på en komprometterad värd.
MITRE-taktik: -
Allvarlighetsgrad: Hög
Fillöst attackbeteende har identifierats
(VM_FilelessAttackBehavior.Windows)
Beskrivning: Minnet av den angivna processen innehåller beteenden som ofta används av fillösa attacker. Specifika beteenden är:
- Shellcode, som är en liten kod som vanligtvis används som nyttolast vid utnyttjande av en sårbarhet i programvaran.
- Aktiva nätverksanslutningar. Mer information finns i Nätverk Anslut ions nedan.
- Funktionsanrop till säkerhetskänsliga operativsystemgränssnitt. Se Funktioner nedan för refererade OS-funktioner.
- Innehåller en tråd som startades i ett dynamiskt allokerat kodsegment. Detta är ett vanligt mönster för processinmatningsattacker.
MITRE-taktik: Försvarsundandragande
Allvarlighetsgrad: Låg
Fillös attackteknik har identifierats
(VM_FilelessAttackTechnique.Windows)
Beskrivning: Minnet av processen som anges nedan innehåller bevis på en fillös attackteknik. Fillösa attacker används av angripare för att köra kod vid undvikande av identifiering av säkerhetsprogramvara. Specifika beteenden är:
- Shellcode, som är en liten kod som vanligtvis används som nyttolast vid utnyttjande av en sårbarhet i programvaran.
- Körbar bild som matas in i processen, till exempel i en kodinmatningsattack.
- Aktiva nätverksanslutningar. Mer information finns i Nätverk Anslut ions nedan.
- Funktionsanrop till säkerhetskänsliga operativsystemgränssnitt. Se Funktioner nedan för refererade OS-funktioner.
- Processhålning, vilket är en teknik som används av skadlig kod där en legitim process läses in i systemet för att fungera som en container för fientlig kod.
- Innehåller en tråd som startades i ett dynamiskt allokerat kodsegment. Detta är ett vanligt mönster för processinmatningsattacker.
MITRE-taktik: Defense Evasion, Execution
Allvarlighetsgrad: Hög
Fillös attackverktyg har identifierats
(VM_FilelessAttackToolkit.Windows)
Beskrivning: Minnet av den angivna processen innehåller en fillös attackverktyg: [toolkit name]. Fillösa attackverktyg använder tekniker som minimerar eller eliminerar spår av skadlig kod på disken och minskar risken för identifiering av diskbaserade lösningar för genomsökning av skadlig kod. Specifika beteenden är:
- Välkända verktyg och programvara för kryptoutvinning.
- Shellcode, som är en liten kod som vanligtvis används som nyttolast vid utnyttjande av en sårbarhet i programvaran.
- Inmatade skadlig körbar fil i processminnet.
MITRE-taktik: Defense Evasion, Execution
Allvarlighetsgrad: Medel
Programvara med hög risk har identifierats
Beskrivning: Analys av värddata från %{Komprometterad värd} har identifierat användningen av programvara som tidigare har associerats med installationen av skadlig kod. En vanlig teknik som används i distributionen av skadlig programvara är att paketera den i annars godartade verktyg, till exempel den som visas i den här aviseringen. När du använder dessa verktyg kan skadlig kod installeras tyst i bakgrunden.
MITRE-taktik: -
Allvarlighetsgrad: Medel
Gruppmedlemmar för lokala administratörer räknas upp
Beskrivning: Datorloggar visar en lyckad uppräkning i gruppen %{Uppräknat gruppdomännamn}%{Uppräknat gruppnamn}. Mer specifikt har %{Räkna upp användarnamn}%{Räkna upp användarnamn} fjärranräknat medlemmarna i gruppen %{Uppräknat gruppdomännamn}%{Uppräknat gruppnamn}%{Uppräknat gruppnamn}. Den här aktiviteten kan antingen vara en legitim aktivitet eller en indikation på att en dator i organisationen har komprometterats och använts för rekognosering %{vmname}.
MITRE-taktik: -
Allvarlighetsgrad: Information
Skadlig brandväggsregel som skapats av ZINK-serverimplantatet [visas flera gånger]
Beskrivning: En brandväggsregel skapades med hjälp av tekniker som matchar en känd aktör, ZINK. Regeln användes möjligen för att öppna en port på %{Komprometterad värd} för att tillåta kommunikation med kommando och kontroll. Det här beteendet sågs [x] gånger idag på följande datorer: [Datornamn]
MITRE-taktik: -
Allvarlighetsgrad: Hög
Skadlig SQL-aktivitet
Beskrivning: Datorloggar anger att %{processnamn} kördes av kontot: %{användarnamn}. Den här aktiviteten anses skadlig.
MITRE-taktik: -
Allvarlighetsgrad: Hög
Frågor om flera domänkonton
Beskrivning: Analys av värddata har fastställt att ett ovanligt antal distinkta domänkonton efterfrågas inom en kort tidsperiod från %{Komprometterad värd}. Den här typen av verksamhet kan vara legitim, men kan också vara ett tecken på kompromisser.
MITRE-taktik: -
Allvarlighetsgrad: Medel
Möjlig dumpning av autentiseringsuppgifter har identifierats [sett flera gånger]
Beskrivning: Analys av värddata har upptäckt användning av inbyggda Windows-verktyg (till exempel sqldumper.exe) som används på ett sätt som gör det möjligt att extrahera autentiseringsuppgifter från minnet. Angripare använder ofta dessa tekniker för att extrahera autentiseringsuppgifter som de sedan ytterligare använder för lateral förflyttning och eskalering av privilegier. Det här beteendet sågs [x] gånger idag på följande datorer: [Datornamn]
MITRE-taktik: -
Allvarlighetsgrad: Medel
Potentiellt försök att kringgå AppLocker har identifierats
Beskrivning: Analys av värddata på %{Komprometterad värd} identifierade ett potentiellt försök att kringgå AppLocker-begränsningar. AppLocker kan konfigureras för att implementera en princip som begränsar vilka körbara filer som tillåts köras i ett Windows-system. Kommandoradsmönstret som liknar det som identifierades i den här aviseringen har tidigare associerats med angripares försök att kringgå AppLocker-principen med hjälp av betrodda körbara filer (tillåtna av AppLocker-principen) för att köra kod som inte är betrodd. Detta kan vara legitim aktivitet eller en indikation på en komprometterad värd.
MITRE-taktik: -
Allvarlighetsgrad: Hög
Sällsynt SVCHOST-tjänstgrupp som körs
(VM_SvcHostRunInRareServiceGroup)
Beskrivning: Systemprocessen SVCHOST observerades köra en sällsynt tjänstgrupp. Skadlig kod använder ofta SVCHOST för att maskera dess skadliga aktivitet.
MITRE-taktik: Defense Evasion, Execution
Allvarlighetsgrad: Information
Attack med klibbiga nycklar har identifierats
Beskrivning: Analys av värddata indikerar att en angripare kan undergräva en binär tillgänglighet (till exempel kladdiga nycklar, skärmtangentbord, skärmläsare) för att ge serverdelsåtkomst till värden %{Komprometterad värd}.
MITRE-taktik: -
Allvarlighetsgrad: Medel
Lyckad brute force-attack
(VM_LoginBruteForceSuccess)
Beskrivning: Flera inloggningsförsök har identifierats från samma källa. Vissa har autentiserats till värden. Detta liknar en burst-attack, där en angripare utför flera autentiseringsförsök för att hitta giltiga kontoautentiseringsuppgifter.
MITRE-taktik: Utnyttjande
Allvarlighetsgrad: Medel/hög
Misstänkt integritetsnivå som tyder på RDP-kapning
Beskrivning: Analys av värddata har upptäckt tscon.exe körs med SYSTEM-privilegier – detta kan vara ett tecken på att en angripare missbrukar den här binärfilen för att växla kontext till alla andra inloggade användare på den här värden. Det är en känd metod för angripare för att kompromettera fler användarkonton och flytta i sidled över ett nätverk.
MITRE-taktik: -
Allvarlighetsgrad: Medel
Misstänkt tjänstinstallation
Beskrivning: Analys av värddata har upptäckt installationen av tscon.exe som en tjänst: den här binära filen som startas som en tjänst kan göra det möjligt för en angripare att enkelt växla till alla andra inloggade användare på den här värden genom att kapa RDP-anslutningar. Det är en känd metod för angripare för att kompromettera fler användarkonton och flytta i sidled över ett nätverk.
MITRE-taktik: -
Allvarlighetsgrad: Medel
Misstänkta Kerberos Golden Ticket-attackparametrar observerade
Beskrivning: Analys av värddata identifierade kommandoradsparametrar som överensstämmer med en Kerberos Golden Ticket-attack.
MITRE-taktik: -
Allvarlighetsgrad: Medel
Misstänkt kontoskapande har identifierats
Beskrivning: Analys av värddata på %{Komprometterad värd} har upptäckt att ett lokalt konto %{Misstänkt kontonamn} har skapats eller använts: det här kontonamnet liknar ett windows-standardkonto eller gruppnamn %{Liknande kontonamn}. Detta är potentiellt ett oseriöst konto som skapats av en angripare, så namngivet för att undvika att bli uppmärksammad av en mänsklig administratör.
MITRE-taktik: -
Allvarlighetsgrad: Medel
Misstänkt aktivitet har identifierats
(VM_SuspiciousActivity)
Beskrivning: Analys av värddata har identifierat en sekvens med en eller flera processer som körs på %{datornamn} som tidigare har associerats med skadlig aktivitet. Även om enskilda kommandon kan verka ofarliga poängsätts aviseringen baserat på en aggregering av dessa kommandon. Detta kan antingen vara legitim aktivitet eller en indikation på en komprometterad värd.
MITRE-taktik: Körning
Allvarlighetsgrad: Medel
Misstänkt autentiseringsaktivitet
(VM_LoginBruteForceValidUserFailed)
Beskrivning: Ingen av dem lyckades, men vissa av dem använde konton kändes igen av värden. Detta liknar en ordlisteattack, där en angripare utför många autentiseringsförsök med hjälp av en ordlista med fördefinierade kontonamn och lösenord för att hitta giltiga autentiseringsuppgifter för att få åtkomst till värden. Detta indikerar att vissa av dina värdkontonamn kan finnas i en välkänd kontonamnsordlista.
MITRE-taktik: Avsökning
Allvarlighetsgrad: Medel
Misstänkt kodsegment har identifierats
Beskrivning: Anger att ett kodsegment har allokerats med hjälp av icke-standardmetoder, till exempel reflekterande inmatning och processhålning. Aviseringen ger fler egenskaper för kodsegmentet som har bearbetats för att ge kontext för funktionerna i det rapporterade kodsegmentet.
MITRE-taktik: -
Allvarlighetsgrad: Medel
Misstänkt fil med dubbelt tillägg körs
Beskrivning: Analys av värddata indikerar en körning av en process med ett misstänkt dubbelt tillägg. Det här tillägget kan lura användare att tro att filer är säkra att öppnas och kan tyda på förekomsten av skadlig kod i systemet.
MITRE-taktik: -
Allvarlighetsgrad: Hög
Misstänkt nedladdning med certutil har identifierats [sett flera gånger]
Beskrivning: Analys av värddata på %{Komprometterad värd} identifierade användningen av certutil.exe, ett inbyggt administratörsverktyg, för nedladdning av en binär fil i stället för dess mainstream-syfte som relaterar till att manipulera certifikat och certifikatdata. Angripare är kända för att missbruka funktioner i legitima administratörsverktyg för att utföra skadliga åtgärder, till exempel med hjälp av certutil.exe för att ladda ned och avkoda en skadlig körbar fil som sedan kommer att köras. Det här beteendet sågs [x] gånger idag på följande datorer: [Datornamn]
MITRE-taktik: -
Allvarlighetsgrad: Medel
Misstänkt nedladdning med Certutil har identifierats
Beskrivning: Analys av värddata på %{Komprometterad värd} identifierade användningen av certutil.exe, ett inbyggt administratörsverktyg, för nedladdning av en binär fil i stället för dess mainstream-syfte som relaterar till att manipulera certifikat och certifikatdata. Angripare är kända för att missbruka funktioner i legitima administratörsverktyg för att utföra skadliga åtgärder, till exempel med hjälp av certutil.exe för att ladda ned och avkoda en skadlig körbar fil som sedan kommer att köras.
MITRE-taktik: -
Allvarlighetsgrad: Medel
Misstänkt PowerShell-aktivitet har identifierats
Beskrivning: Analys av värddata identifierade ett PowerShell-skript som körs på %{Komprometterad värd} som har funktioner som är gemensamma med kända misstänkta skript. Det här skriptet kan antingen vara en legitim aktivitet eller en indikation på en komprometterad värd.
MITRE-taktik: -
Allvarlighetsgrad: Hög
Misstänkta PowerShell-cmdletar körs
Beskrivning: Analys av värddata indikerar körning av kända skadliga PowerShell PowerSploit-cmdletar.
MITRE-taktik: -
Allvarlighetsgrad: Medel
Misstänkt process körs [visas flera gånger]
Beskrivning: Datorloggar indikerar att den misstänkta processen: %{Misstänkt process} kördes på datorn, ofta associerad med angripares försök att komma åt autentiseringsuppgifter. Det här beteendet sågs [x] gånger idag på följande datorer: [Datornamn]
MITRE-taktik: -
Allvarlighetsgrad: Hög
Misstänkt process har körts
Beskrivning: Datorloggar indikerar att den misstänkta processen: %{Misstänkt process} kördes på datorn, ofta associerad med angripares försök att komma åt autentiseringsuppgifter.
MITRE-taktik: -
Allvarlighetsgrad: Hög
Misstänkt processnamn har identifierats [sett flera gånger]
Beskrivning: Analys av värddata på %{Komprometterad värd} identifierade en process vars namn är misstänkt, till exempel motsvarande ett känt verktyg för angripare eller namngivet på ett sätt som tyder på angripare som försöker dölja i klarsynthet. Den här processen kan vara en legitim aktivitet eller en indikation på att en av dina datorer har komprometterats. Det här beteendet sågs [x] gånger idag på följande datorer: [Datornamn]
MITRE-taktik: -
Allvarlighetsgrad: Medel
Misstänkt processnamn har identifierats
Beskrivning: Analys av värddata på %{Komprometterad värd} identifierade en process vars namn är misstänkt, till exempel motsvarande ett känt verktyg för angripare eller namngivet på ett sätt som tyder på angripare som försöker dölja i klarsynthet. Den här processen kan vara en legitim aktivitet eller en indikation på att en av dina datorer har komprometterats.
MITRE-taktik: -
Allvarlighetsgrad: Medel
Misstänkt SQL-aktivitet
Beskrivning: Datorloggar anger att %{processnamn} kördes av kontot: %{användarnamn}. Den här aktiviteten är ovanlig med det här kontot.
MITRE-taktik: -
Allvarlighetsgrad: Medel
Misstänkt SVCHOST-process körs
Beskrivning: Systemprocessen SVCHOST observerades köras i en onormal kontext. Skadlig kod använder ofta SVCHOST för att maskera dess skadliga aktivitet.
MITRE-taktik: -
Allvarlighetsgrad: Hög
Misstänkt systemprocess körs
(VM_SystemProcessInAbnormalContext)
Beskrivning: Systemprocessen %{processnamn} observerades köras i en onormal kontext. Skadlig kod använder ofta det här processnamnet för att maskera dess skadliga aktivitet.
MITRE-taktik: Defense Evasion, Execution
Allvarlighetsgrad: Hög
Misstänkt volymskuggakopieringsaktivitet
Beskrivning: Analys av värddata har identifierat en aktivitet för borttagning av skuggkopior på resursen. Skuggkopia av volym (VSC) är en viktig artefakt som lagrar ögonblicksbilder av data. Viss skadlig kod och specifikt utpressningstrojaner riktar sig mot VSC för att sabotera säkerhetskopieringsstrategier.
MITRE-taktik: -
Allvarlighetsgrad: Hög
Misstänkt WindowPosition-registervärde har identifierats
Beskrivning: Analys av värddata på %{Komprometterad värd} identifierade ett försök till ändring av WindowsPosition-registerkonfigurationen som kan tyda på att dölja programfönster i icke-delbara delar av skrivbordet. Detta kan vara legitim aktivitet eller en indikation på en komprometterad dator: den här typen av aktivitet har tidigare associerats med kända adware (eller oönskad programvara) som Win32/OneSystemCare och Win32/SystemHealer och skadlig kod som Win32/Creprote. När värdet WindowPosition är inställt på 201329664 (Hex: 0x0c00 0c00, motsvarande X-axel=0c00 och Y-axeln=0c00) placerar detta konsolappens fönster i ett icke synligt avsnitt på användarens skärm i ett område som är dolt från vyn under den synliga startmenyn/aktivitetsfältet. Känt misstänkt Hex-värde inkluderar, men inte begränsat till c000c000.
MITRE-taktik: -
Allvarlighetsgrad: Låg
Misstänkt namngiven process har identifierats
Beskrivning: Analys av värddata på %{Komprometterad värd} identifierade en process vars namn är mycket likt men som skiljer sig från en mycket vanlig körningsprocess (%{Liknande processnamn}). Även om den här processen kan vara godartad kan angripare ibland gömma sig i klarsynthet genom att namnge sina skadliga verktyg så att de liknar legitima processnamn.
MITRE-taktik: -
Allvarlighetsgrad: Medel
Ovanlig konfigurationsåterställning på den virtuella datorn
(VM_VMAccessUnusualConfigReset)
Beskrivning: En ovanlig konfigurationsåterställning upptäcktes på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Även om den här åtgärden kan vara legitim kan angripare försöka använda tillägget för vm-åtkomst för att återställa konfigurationen på den virtuella datorn och kompromettera den.
MITRE-taktik: Åtkomst till autentiseringsuppgifter
Allvarlighetsgrad: Medel
Ovanlig processkörning har identifierats
Beskrivning: Analys av värddata på %{Komprometterad värd} identifierade körningen av en process av %{Användarnamn} som var ovanlig. Konton som %{Användarnamn} tenderar att utföra en begränsad uppsättning åtgärder, den här körningen bedömdes vara avvikande och kan vara misstänkt.
MITRE-taktik: -
Allvarlighetsgrad: Hög
Ovanlig återställning av användarlösenord på den virtuella datorn
(VM_VMAccessUnusualPasswordReset)
Beskrivning: En ovanlig återställning av användarlösenord upptäcktes på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Även om den här åtgärden kan vara legitim kan angripare försöka använda tillägget för vm-åtkomst för att återställa autentiseringsuppgifterna för en lokal användare på den virtuella datorn och kompromettera den.
MITRE-taktik: Åtkomst till autentiseringsuppgifter
Allvarlighetsgrad: Medel
Ovanlig SSH-nyckelåterställning för användare på den virtuella datorn
(VM_VMAccessUnusualSSHReset)
Beskrivning: En ovanlig SSH-nyckelåterställning för användare upptäcktes på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Även om den här åtgärden kan vara legitim kan angripare försöka använda tillägget för vm-åtkomst för att återställa SSH-nyckeln för ett användarkonto på den virtuella datorn och kompromettera den.
MITRE-taktik: Åtkomst till autentiseringsuppgifter
Allvarlighetsgrad: Medel
VBScript HTTP-objektallokering har identifierats
Beskrivning: Skapandet av en VBScript-fil med kommandotolken har identifierats. Följande skript innehåller HTTP-objektallokeringskommando. Den här åtgärden kan användas för att ladda ned skadliga filer.
Misstänkt installation av GPU-tillägget på den virtuella datorn (förhandsversion)
(VM_GPUDriverExtensionUnusualExecution)
Beskrivning: Misstänkt installation av ett GPU-tillägg upptäcktes på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Angripare kan använda GPU-drivrutinstillägget för att installera GPU-drivrutiner på den virtuella datorn via Azure Resource Manager för att utföra kryptokapning.
MITRE-taktik: Påverkan
Allvarlighetsgrad: Låg
Aviseringar för Linux-datorer
Microsoft Defender för servrar plan 2 tillhandahåller unika identifieringar och aviseringar, utöver de som tillhandahålls av Microsoft Defender för Endpoint. Aviseringarna som tillhandahålls för Linux-datorer är:
Mer information och anteckningar
en historikfil har rensats
Beskrivning: Analys av värddata anger att loggfilen för kommandohistorik har rensats. Angripare kan göra detta för att täcka sina spårningar. Åtgärden utfördes av användaren: %{användarnamn}.
MITRE-taktik: -
Allvarlighetsgrad: Medel
Principöverträdelse för anpassningsbar programkontroll granskades
(VM_AdaptiveApplicationControlLinuxViolationAudited)
Beskrivning: Nedanstående användare körde program som bryter mot organisationens programkontrollprincip på den här datorn. Det kan eventuellt utsätta datorn för skadlig kod eller programsårbarheter.
MITRE-taktik: Körning
Allvarlighetsgrad: Information
Undantag för program mot skadlig kod på den virtuella datorn
(VM_AmBroadFilesExclusion)
Beskrivning: Filundantag från program mot skadlig kod med bred exkluderingsregel identifierades på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Sådan exkludering inaktiverar praktiskt taget skyddet mot skadlig kod. Angripare kan exkludera filer från genomsökningen av program mot skadlig kod på den virtuella datorn för att förhindra identifiering när godtycklig kod körs eller infekterar datorn med skadlig kod.
MITRE-taktik: -
Allvarlighetsgrad: Medel
Program mot skadlig kod har inaktiverats och kodkörning på den virtuella datorn
(VM_AmDisablementAndCodeExecution)
Beskrivning: Program mot skadlig kod har inaktiverats samtidigt som kodkörningen på den virtuella datorn. Detta upptäcktes genom att analysera Azure Resource Manager-åtgärder i din prenumeration. Angripare inaktiverar skannrar mot skadlig kod för att förhindra identifiering när obehöriga verktyg körs eller infekterar datorn med skadlig kod.
MITRE-taktik: -
Allvarlighetsgrad: Hög
Program mot skadlig kod har inaktiverats på den virtuella datorn
(VM_AmDisablement)
Beskrivning: Program mot skadlig kod har inaktiverats på den virtuella datorn. Detta upptäcktes genom att analysera Azure Resource Manager-åtgärder i din prenumeration. Angripare kan inaktivera program mot skadlig kod på den virtuella datorn för att förhindra identifiering.
MITRE-taktik: Försvarsundandragande
Allvarlighetsgrad: Medel
Filundantag mot skadlig kod och kodkörning på den virtuella datorn
(VM_AmFileExclusionAndCodeExecution)
Beskrivning: Filen undantas från skannern för program mot skadlig kod samtidigt som koden kördes via ett anpassat skripttillägg på den virtuella datorn. Detta upptäcktes genom att analysera Azure Resource Manager-åtgärder i din prenumeration. Angripare kan exkludera filer från genomsökningen av program mot skadlig kod på den virtuella datorn för att förhindra identifiering när obehöriga verktyg körs eller infekterar datorn med skadlig kod.
MITRE-taktik: Defense Evasion, Execution
Allvarlighetsgrad: Hög
Filundantag mot skadlig kod och kodkörning på den virtuella datorn
(VM_AmTempFileExclusionAndCodeExecution)
Beskrivning: Tillfälligt filundantag från program mot skadlig kod parallellt med körning av kod via anpassat skripttillägg upptäcktes på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Angripare kan exkludera filer från genomsökningen av program mot skadlig kod på den virtuella datorn för att förhindra identifiering när godtycklig kod körs eller infekterar datorn med skadlig kod.
MITRE-taktik: Defense Evasion, Execution
Allvarlighetsgrad: Hög
Undantag för program mot skadlig kod på den virtuella datorn
(VM_AmTempFileExclusion)
Beskrivning: Filen undantas från skannern för program mot skadlig kod på den virtuella datorn. Detta upptäcktes genom att analysera Azure Resource Manager-åtgärder i din prenumeration. Angripare kan exkludera filer från genomsökningen av program mot skadlig kod på den virtuella datorn för att förhindra identifiering när obehöriga verktyg körs eller infekterar datorn med skadlig kod.
MITRE-taktik: Försvarsundandragande
Allvarlighetsgrad: Medel
Skydd mot skadlig kod i realtid har inaktiverats på den virtuella datorn
(VM_AmRealtimeProtectionDisabled)
Beskrivning: Inaktiverat skydd i realtid för tillägget mot skadlig kod identifierades på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Angripare kan inaktivera realtidsskydd från genomsökningen av program mot skadlig kod på den virtuella datorn för att undvika identifiering när godtycklig kod körs eller infekterar datorn med skadlig kod.
MITRE-taktik: Försvarsundandragande
Allvarlighetsgrad: Medel
Skydd mot skadlig kod i realtid inaktiverades tillfälligt på den virtuella datorn
(VM_AmTempRealtimeProtectionDisablement)
Beskrivning: Tillfällig inaktivering av tillägget mot skadlig kod i realtidsskydd upptäcktes på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Angripare kan inaktivera realtidsskydd från genomsökningen av program mot skadlig kod på den virtuella datorn för att undvika identifiering när godtycklig kod körs eller infekterar datorn med skadlig kod.
MITRE-taktik: Försvarsundandragande
Allvarlighetsgrad: Medel
Skydd mot skadlig kod i realtid inaktiverades tillfälligt medan koden kördes på den virtuella datorn
(VM_AmRealtimeProtectionDisablementAndCodeExec)
Beskrivning: Tillfällig inaktivering av tillägget mot skadlig kod i realtidsskydd parallellt med kodkörning via anpassat skripttillägg identifierades på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Angripare kan inaktivera realtidsskydd från genomsökningen av program mot skadlig kod på den virtuella datorn för att undvika identifiering när godtycklig kod körs eller infekterar datorn med skadlig kod.
MITRE-taktik: -
Allvarlighetsgrad: Hög
Genomsökningar mot skadlig kod blockeras efter filer som kan vara relaterade till kampanjer mot skadlig kod på den virtuella datorn (förhandsversion)
(VM_AmMalwareCampaignRelatedExclusion)
Beskrivning: En exkluderingsregel identifierades på den virtuella datorn för att förhindra att tillägget mot skadlig kod genomsöker vissa filer som misstänks vara relaterade till en kampanj för skadlig kod. Regeln identifierades genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Angripare kan exkludera filer från genomsökningar av program mot skadlig kod för att förhindra identifiering när godtycklig kod körs eller infekterar datorn med skadlig kod.
MITRE-taktik: Försvarsundandragande
Allvarlighetsgrad: Medel
Program mot skadlig kod inaktiveras tillfälligt på den virtuella datorn
(VM_AmTemporarilyDisablement)
Beskrivning: Program mot skadlig kod inaktiveras tillfälligt på den virtuella datorn. Detta upptäcktes genom att analysera Azure Resource Manager-åtgärder i din prenumeration. Angripare kan inaktivera program mot skadlig kod på den virtuella datorn för att förhindra identifiering.
MITRE-taktik: -
Allvarlighetsgrad: Medel
Ovanligt filundantag mot skadlig kod på den virtuella datorn
(VM_UnusualAmFileExclusion)
Beskrivning: Ovanligt filundantag från program mot skadlig kod upptäcktes på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Angripare kan exkludera filer från genomsökningen av program mot skadlig kod på den virtuella datorn för att förhindra identifiering när godtycklig kod körs eller infekterar datorn med skadlig kod.
MITRE-taktik: Försvarsundandragande
Allvarlighetsgrad: Medel
Beteende som liknar utpressningstrojan har identifierats [sett flera gånger]
Beskrivning: Analys av värddata på %{Komprometterad värd} identifierade körningen av filer som liknar kända utpressningstrojaner som kan hindra användare från att komma åt sina system eller personliga filer och kräver lösenbetalning för att få åtkomst igen. Det här beteendet sågs [x] gånger idag på följande datorer: [Datornamn]
MITRE-taktik: -
Allvarlighetsgrad: Hög
Kommunikation med misstänkt domän identifierad av hotinformation
(AzureDNS_ThreatIntelSuspectDomain)
Beskrivning: Kommunikation med misstänkt domän upptäcktes genom att analysera DNS-transaktioner från din resurs och jämföra med kända skadliga domäner som identifieras av hotinformationsflöden. Kommunikation till skadliga domäner utförs ofta av angripare och kan innebära att din resurs komprometteras.
MITRE-taktik: Initial åtkomst, beständighet, körning, kommando och kontroll, utnyttjande
Allvarlighetsgrad: Medel
Container med en mineravbildning identifierad
(VM_MinerInContainerImage)
Beskrivning: Datorloggar anger körning av en Docker-container som kör en avbildning som är associerad med en digital valutautvinning.
MITRE-taktik: Körning
Allvarlighetsgrad: Hög
Identifierade avvikande blandning av versaler och gemener i kommandoraden
Beskrivning: Analys av värddata på %{Komprometterad värd} identifierade en kommandorad med avvikande blandning av versaler och gemener. Den här typen av mönster, även om det är möjligt, är också typiskt för angripare som försöker dölja skiftlägeskänsliga eller hashbaserade regelmatchningar när de utför administrativa uppgifter på en komprometterad värd.
MITRE-taktik: -
Allvarlighetsgrad: Medel
Filnedladdning från en känd skadlig källa har identifierats
Beskrivning: Analys av värddata har upptäckt nedladdningen av en fil från en känd källa för skadlig kod på %{Komprometterad värd}.
MITRE-taktik: -
Allvarlighetsgrad: Medel
Misstänkt nätverksaktivitet har identifierats
Beskrivning: Analys av nätverkstrafik från %{Komprometterad värd} identifierade misstänkt nätverksaktivitet. Sådan trafik, även om den är möjligen godartad, används vanligtvis av en angripare för att kommunicera med skadliga servrar för nedladdning av verktyg, kommando och kontroll och exfiltrering av data. Typisk relaterad attackeringsaktivitet omfattar kopiering av fjärradministrationsverktyg till en komprometterad värd och exfiltrering av användardata från den.
MITRE-taktik: -
Allvarlighetsgrad: Låg
Digitalt valutautvinningsrelaterat beteende har identifierats
Beskrivning: Analys av värddata på %{Komprometterad värd} identifierade körningen av en process eller ett kommando som normalt är associerat med utvinning av digital valuta.
MITRE-taktik: -
Allvarlighetsgrad: Hög
Inaktivera granskningsloggning [visas flera gånger]
Beskrivning: Linux-granskningssystemet är ett sätt att spåra säkerhetsrelevent information om systemet. Den innehåller så mycket information om de händelser som händer i systemet som möjligt. Att inaktivera granskad loggning kan hindra identifiering av överträdelser av säkerhetsprinciper som används i systemet. Det här beteendet sågs [x] gånger idag på följande datorer: [Datornamn]
MITRE-taktik: -
Allvarlighetsgrad: Låg
Utnyttjande av Xorg-sårbarhet [visas flera gånger]
Beskrivning: Analys av värddata på %{Komprometterad värd} identifierade användaren av Xorg med misstänkta argument. Angripare kan använda den här tekniken vid eskaleringsförsök av privilegier. Det här beteendet sågs [x] gånger idag på följande datorer: [Datornamn]
MITRE-taktik: -
Allvarlighetsgrad: Medel
Misslyckad SSH-råstyrkeattack
(VM_SshBruteForceFailed)
Beskrivning: Misslyckade brute force-attacker identifierades från följande angripare: %{Angripare}. Angripare försökte komma åt värden med följande användarnamn: %{Konton som används vid misslyckad inloggning till värdförsök}.
MITRE-taktik: Avsökning
Allvarlighetsgrad: Medel
Fillöst attackbeteende har identifierats
(VM_FilelessAttackBehavior.Linux)
Beskrivning: Minnet av processen som anges nedan innehåller beteenden som ofta används av fillösa attacker. Specifika beteenden är: {lista över observerade beteenden}
MITRE-taktik: Körning
Allvarlighetsgrad: Låg
Fillös attackteknik har identifierats
(VM_FilelessAttackTechnique.Linux)
Beskrivning: Minnet av processen som anges nedan innehåller bevis på en fillös attackteknik. Fillösa attacker används av angripare för att köra kod vid undvikande av identifiering av säkerhetsprogramvara. Specifika beteenden är: {lista över observerade beteenden}
MITRE-taktik: Körning
Allvarlighetsgrad: Hög
Fillös attackverktyg har identifierats
(VM_FilelessAttackToolkit.Linux)
Beskrivning: Minnet av processen som anges nedan innehåller en fillös attackverktyg: {ToolKitName}. Fillösa attackverktyg har vanligtvis inte någon närvaro i filsystemet, vilket gör det svårt att identifiera traditionella antivirusprogram. Specifika beteenden är: {lista över observerade beteenden}
MITRE-taktik: Defense Evasion, Execution
Allvarlighetsgrad: Hög
Dold filkörning har identifierats
Beskrivning: Analys av värddata anger att en dold fil kördes av %{användarnamn}. Den här aktiviteten kan antingen vara legitim aktivitet eller en indikation på en komprometterad värd.
MITRE-taktik: -
Allvarlighetsgrad: Information
Ny SSH-nyckel har lagts till [visas flera gånger]
(VM_SshKeyAddition)
Beskrivning: En ny SSH-nyckel har lagts till i den auktoriserade nyckelfilen. Det här beteendet sågs [x] gånger idag på följande datorer: [Datornamn]
MITRE-taktik: Beständighet
Allvarlighetsgrad: Låg
Ny SSH-nyckel har lagts till
Beskrivning: En ny SSH-nyckel har lagts till i den auktoriserade nyckelfilen.
MITRE-taktik: -
Allvarlighetsgrad: Låg
Möjlig bakdörr har identifierats [sett flera gånger]
Beskrivning: Analys av värddata har upptäckt att en misstänkt fil laddas ned och sedan körs på %{Komprometterad värd} i din prenumeration. Den här aktiviteten har tidigare associerats med installation av en bakdörr. Det här beteendet sågs [x] gånger idag på följande datorer: [Datornamn]
MITRE-taktik: -
Allvarlighetsgrad: Medel
Eventuellt utnyttjande av den identifierade e-postservern
(VM_MailserverExploitation )
Beskrivning: Analys av värddata på %{Komprometterad värd} identifierade en ovanlig körning under e-postserverkontot
MITRE-taktik: Utnyttjande
Allvarlighetsgrad: Medel
Möjligt skadligt webbgränssnitt har identifierats
Beskrivning: Analys av värddata på %{Komprometterad värd} identifierade ett möjligt webbgränssnitt. Angripare laddar ofta upp ett webbgränssnitt till en dator som de har komprometterat för att få beständighet eller för ytterligare utnyttjande.
MITRE-taktik: -
Allvarlighetsgrad: Medel
Möjlig lösenordsändring med hjälp av crypt-method upptäckt [sett flera gånger]
Beskrivning: Analys av värddata på %{Komprometterad värd} identifierade lösenordsändring med hjälp av kryptmetoden. Angripare kan göra den här ändringen för att fortsätta åtkomsten och få beständighet efter att ha komprometterats. Det här beteendet sågs [x] gånger idag på följande datorer: [Datornamn]
MITRE-taktik: -
Allvarlighetsgrad: Medel
Process som är associerad med utvinning av digital valuta har identifierats [visas flera gånger]
Beskrivning: Analys av värddata på %{Komprometterad värd} identifierade körningen av en process som normalt är associerad med utvinning av digital valuta. Det här beteendet sågs över 100 gånger idag på följande datorer: [Datornamn]
MITRE-taktik: -
Allvarlighetsgrad: Medel
Process som är associerad med utvinning av digital valuta har identifierats
Beskrivning: Värddataanalys identifierade körningen av en process som normalt är associerad med utvinning av digital valuta.
MITRE-taktik: Utnyttjande, utförande
Allvarlighetsgrad: Medel
Python-kodad nedladdare har identifierats [visas flera gånger]
Beskrivning: Analys av värddata på %{Komprometterad värd} identifierade körningen av kodade Python som laddar ned och kör kod från en fjärrplats. Detta kan vara en indikation på skadlig aktivitet. Det här beteendet sågs [x] gånger idag på följande datorer: [Datornamn]
MITRE-taktik: -
Allvarlighetsgrad: Låg
Skärmbild som tagits på värden [visas flera gånger]
Beskrivning: Analys av värddata på %{Komprometterad värd} identifierade användaren av ett skärmdumpsverktyg. Angripare kan använda dessa verktyg för att komma åt privata data. Det här beteendet sågs [x] gånger idag på följande datorer: [Datornamn]
MITRE-taktik: -
Allvarlighetsgrad: Låg
Shellcode har identifierats [har setts flera gånger]
Beskrivning: Analys av värddata på %{Komprometterad värd} identifierade shellcode som genererades från kommandoraden. Den här processen kan vara en legitim aktivitet eller en indikation på att en av dina datorer har komprometterats. Det här beteendet sågs [x] gånger idag på följande datorer: [Datornamn]
MITRE-taktik: -
Allvarlighetsgrad: Medel
Lyckad SSH brute force-attack
(VM_SshBruteForceSuccess)
Beskrivning: Analys av värddata har identifierat en lyckad råstyrkeattack. IP-adressen %{Angripares käll-IP} sågs göra flera inloggningsförsök. Lyckade inloggningar har gjorts från den IP-adressen med följande användare: %{Konton som används för att logga in på värd}. Det innebär att värden kan komprometteras och kontrolleras av en illvillig aktör.
MITRE-taktik: Utnyttjande
Allvarlighetsgrad: Hög
Misstänkt kontoskapande har identifierats
Beskrivning: Analys av värddata på %{Komprometterad värd} har upptäckt att ett lokalt konto %{Misstänkt kontonamn} har skapats eller använts: det här kontonamnet liknar ett windows-standardkonto eller gruppnamn %{Liknande kontonamn}. Detta är potentiellt ett oseriöst konto som skapats av en angripare, så namngivet för att undvika att bli uppmärksammad av en mänsklig administratör.
MITRE-taktik: -
Allvarlighetsgrad: Medel
Misstänkt kernelmodul har identifierats [har setts flera gånger]
Beskrivning: Analys av värddata på %{Komprometterad värd} identifierade en delad objektfil som lästes in som en kernelmodul. Det kan vara en legitim aktivitet eller en indikation på att en av dina datorer har komprometterats. Det här beteendet sågs [x] gånger idag på följande datorer: [Datornamn]
MITRE-taktik: -
Allvarlighetsgrad: Medel
Misstänkt lösenordsåtkomst [visas flera gånger]
Beskrivning: Analys av värddata har identifierat misstänkt åtkomst till krypterade användarlösenord på %{Komprometterad värd}. Det här beteendet sågs [x] gånger idag på följande datorer: [Datornamn]
MITRE-taktik: -
Allvarlighetsgrad: Information
Misstänkt lösenordsåtkomst
Beskrivning: Analys av värddata har identifierat misstänkt åtkomst till krypterade användarlösenord på %{Komprometterad värd}.
MITRE-taktik: -
Allvarlighetsgrad: Information
Misstänkt begäran till Kubernetes-instrumentpanelen
(VM_KubernetesDashboard)
Beskrivning: Datorloggar anger att en misstänkt begäran gjordes till Kubernetes-instrumentpanelen. Begäran skickades från en Kubernetes-nod, eventuellt från en av containrarna som körs i noden. Även om det här beteendet kan vara avsiktligt kan det tyda på att noden kör en komprometterad container.
MITRE-taktik: LateralMovement
Allvarlighetsgrad: Medel
Ovanlig konfigurationsåterställning på den virtuella datorn
(VM_VMAccessUnusualConfigReset)
Beskrivning: En ovanlig konfigurationsåterställning upptäcktes på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Även om den här åtgärden kan vara legitim kan angripare försöka använda tillägget för vm-åtkomst för att återställa konfigurationen på den virtuella datorn och kompromettera den.
MITRE-taktik: Åtkomst till autentiseringsuppgifter
Allvarlighetsgrad: Medel
Ovanlig återställning av användarlösenord på den virtuella datorn
(VM_VMAccessUnusualPasswordReset)
Beskrivning: En ovanlig återställning av användarlösenord upptäcktes på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Även om den här åtgärden kan vara legitim kan angripare försöka använda tillägget för vm-åtkomst för att återställa autentiseringsuppgifterna för en lokal användare på den virtuella datorn och kompromettera den.
MITRE-taktik: Åtkomst till autentiseringsuppgifter
Allvarlighetsgrad: Medel
Ovanlig SSH-nyckelåterställning för användare på den virtuella datorn
(VM_VMAccessUnusualSSHReset)
Beskrivning: En ovanlig SSH-nyckelåterställning för användare upptäcktes på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Även om den här åtgärden kan vara legitim kan angripare försöka använda tillägget för vm-åtkomst för att återställa SSH-nyckeln för ett användarkonto på den virtuella datorn och kompromettera den.
MITRE-taktik: Åtkomst till autentiseringsuppgifter
Allvarlighetsgrad: Medel
Misstänkt installation av GPU-tillägget på den virtuella datorn (förhandsversion)
(VM_GPUDriverExtensionUnusualExecution)
Beskrivning: Misstänkt installation av ett GPU-tillägg upptäcktes på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Angripare kan använda GPU-drivrutinstillägget för att installera GPU-drivrutiner på den virtuella datorn via Azure Resource Manager för att utföra kryptokapning.
MITRE-taktik: Påverkan
Allvarlighetsgrad: Låg
Aviseringar för DNS
Viktigt!
Från och med den 1 augusti kan kunder med en befintlig prenumeration på Defender för DNS fortsätta att använda tjänsten, men nya prenumeranter får aviseringar om misstänkt DNS-aktivitet som en del av Defender för servrar P2.
Mer information och anteckningar
Avvikande nätverksprotokollanvändning
(AzureDNS_ProtocolAnomaly)
Beskrivning: Analys av DNS-transaktioner från %{CompromisedEntity} identifierade avvikande protokollanvändning. Sådan trafik, även om den är möjligen godartad, kan tyda på missbruk av det här gemensamma protokollet för att kringgå filtrering av nätverkstrafik. Typisk relaterad attackeringsaktivitet omfattar kopiering av fjärradministrationsverktyg till en komprometterad värd och exfiltrering av användardata från den.
MITRE-taktik: Exfiltrering
Allvarlighetsgrad: -
Nätverksaktivitet för anonymitet
(AzureDNS_DarkWeb)
Beskrivning: Analys av DNS-transaktioner från %{CompromisedEntity} identifierade anonymitetsnätverksaktivitet. Sådan aktivitet, även om det kan vara legitimt användarbeteende, används ofta av angripare för att undvika spårning och fingeravtryck av nätverkskommunikation. Typisk relaterad angripare aktivitet är sannolikt att inkludera nedladdning och körning av skadlig programvara eller fjärradministrationsverktyg.
MITRE-taktik: Exfiltrering
Allvarlighetsgrad: Låg
Anonymitetsnätverksaktivitet med hjälp av webbproxy
(AzureDNS_DarkWebProxy)
Beskrivning: Analys av DNS-transaktioner från %{CompromisedEntity} identifierade anonymitetsnätverksaktivitet. Sådan aktivitet, även om det kan vara legitimt användarbeteende, används ofta av angripare för att undvika spårning och fingeravtryck av nätverkskommunikation. Typisk relaterad angripare aktivitet är sannolikt att inkludera nedladdning och körning av skadlig programvara eller fjärradministrationsverktyg.
MITRE-taktik: Exfiltrering
Allvarlighetsgrad: Låg
Försök till kommunikation med misstänkt sinkholed-domän
(AzureDNS_SinkholedDomain)
Beskrivning: Analys av DNS-transaktioner från %{CompromisedEntity} identifierade begäran om sinkholed-domän. Sådan aktivitet, även om det kan vara ett legitimt användarbeteende, är ofta en indikation på nedladdning eller körning av skadlig programvara. Typisk relaterad angripare aktivitet är sannolikt att inkludera nedladdning och körning av ytterligare skadlig programvara eller fjärradministrationsverktyg.
MITRE-taktik: Exfiltrering
Allvarlighetsgrad: Medel
Kommunikation med möjlig nätfiskedomän
(AzureDNS_PhishingDomain)
Beskrivning: Analys av DNS-transaktioner från %{CompromisedEntity} identifierade en begäran om en möjlig nätfiskedomän. Sådan aktivitet, även om den är möjligen godartad, utförs ofta av angripare för att samla in autentiseringsuppgifter till fjärrtjänster. Typisk relaterad attackerande aktivitet kommer sannolikt att omfatta utnyttjande av eventuella autentiseringsuppgifter för den legitima tjänsten.
MITRE-taktik: Exfiltrering
Allvarlighetsgrad: Information
Kommunikation med misstänkt algoritmgenererad domän
(AzureDNS_DomainGenerationAlgorithm)
Beskrivning: Analys av DNS-transaktioner från %{CompromisedEntity} identifierade möjlig användning av en algoritm för domängenerering. Sådan aktivitet, även om den är möjligen godartad, utförs ofta av angripare för att undvika nätverksövervakning och filtrering. Typisk relaterad angripare aktivitet är sannolikt att inkludera nedladdning och körning av skadlig programvara eller fjärradministrationsverktyg.
MITRE-taktik: Exfiltrering
Allvarlighetsgrad: Information
Kommunikation med misstänkt domän identifierad av hotinformation
(AzureDNS_ThreatIntelSuspectDomain)
Beskrivning: Kommunikation med misstänkt domän upptäcktes genom att analysera DNS-transaktioner från din resurs och jämföra med kända skadliga domäner som identifieras av hotinformationsflöden. Kommunikation till skadliga domäner utförs ofta av angripare och kan innebära att din resurs komprometteras.
MITRE-taktik: Inledande åtkomst
Allvarlighetsgrad: Medel
Kommunikation med misstänkt slumpmässigt domännamn
(AzureDNS_RandomizedDomain)
Beskrivning: Analys av DNS-transaktioner från %{CompromisedEntity} identifierade användningen av ett misstänkt slumpmässigt genererat domännamn. Sådan aktivitet, även om den är möjligen godartad, utförs ofta av angripare för att undvika nätverksövervakning och filtrering. Typisk relaterad angripare aktivitet är sannolikt att inkludera nedladdning och körning av skadlig programvara eller fjärradministrationsverktyg.
MITRE-taktik: Exfiltrering
Allvarlighetsgrad: Information
Gruvaktivitet för digital valuta
(AzureDNS_CurrencyMining)
Beskrivning: Analys av DNS-transaktioner från %{CompromisedEntity} identifierade gruvaktivitet för digital valuta. Sådan aktivitet, även om det kan vara ett legitimt användarbeteende, utförs ofta av angripare efter att resurser har komprometterats. Typisk relaterad attackeringsaktivitet kommer sannolikt att omfatta nedladdning och körning av vanliga gruvverktyg.
MITRE-taktik: Exfiltrering
Allvarlighetsgrad: Låg
Aktivering av signatur för identifiering av nätverksintrång
(AzureDNS_SuspiciousDomain)
Beskrivning: Analys av DNS-transaktioner från %{CompromisedEntity} identifierade en känd signatur för skadligt nätverk. Sådan aktivitet, även om det kan vara ett legitimt användarbeteende, är ofta en indikation på nedladdning eller körning av skadlig programvara. Typisk relaterad angripare aktivitet är sannolikt att inkludera nedladdning och körning av ytterligare skadlig programvara eller fjärradministrationsverktyg.
MITRE-taktik: Exfiltrering
Allvarlighetsgrad: Medel
Möjlig datahämtning via DNS-tunnel
(AzureDNS_DataInfiltration)
Beskrivning: Analys av DNS-transaktioner från %{CompromisedEntity} identifierade en möjlig DNS-tunnel. Sådan aktivitet, även om det kan vara ett legitimt användarbeteende, utförs ofta av angripare för att undvika nätverksövervakning och filtrering. Typisk relaterad angripare aktivitet är sannolikt att inkludera nedladdning och körning av skadlig programvara eller fjärradministrationsverktyg.
MITRE-taktik: Exfiltrering
Allvarlighetsgrad: Låg
Möjlig dataexfiltrering via DNS-tunnel
(AzureDNS_DataExfiltration)
Beskrivning: Analys av DNS-transaktioner från %{CompromisedEntity} identifierade en möjlig DNS-tunnel. Sådan aktivitet, även om det kan vara ett legitimt användarbeteende, utförs ofta av angripare för att undvika nätverksövervakning och filtrering. Typisk relaterad angripare aktivitet är sannolikt att inkludera nedladdning och körning av skadlig programvara eller fjärradministrationsverktyg.
MITRE-taktik: Exfiltrering
Allvarlighetsgrad: Låg
Möjlig dataöverföring via DNS-tunnel
(AzureDNS_DataObfuscation)
Beskrivning: Analys av DNS-transaktioner från %{CompromisedEntity} identifierade en möjlig DNS-tunnel. Sådan aktivitet, även om det kan vara ett legitimt användarbeteende, utförs ofta av angripare för att undvika nätverksövervakning och filtrering. Typisk relaterad angripare aktivitet är sannolikt att inkludera nedladdning och körning av skadlig programvara eller fjärradministrationsverktyg.
MITRE-taktik: Exfiltrering
Allvarlighetsgrad: Låg
Aviseringar för Azure VM-tillägg
Dessa aviseringar fokuserar på att identifiera misstänkta aktiviteter i tillägg för virtuella Azure-datorer och ger insikter om angripares försök att kompromettera och utföra skadliga aktiviteter på dina virtuella datorer.
Tillägg för virtuella Azure-datorer är små program som körs efter distributionen på virtuella datorer och som tillhandahåller funktioner som konfiguration, automatisering, övervakning, säkerhet med mera. Tillägg är ett kraftfullt verktyg, men de kan användas av hotaktörer för olika skadliga avsikter, till exempel:
Datainsamling och övervakning
Kodkörning och konfigurationsdistribution med hög behörighet
Återställa autentiseringsuppgifter och skapa administrativa användare
Kryptera diskar
Läs mer om Defender för molnet senaste skyddet mot missbruk av Azure VM-tillägg.
Misstänkt fel vid installation av GPU-tillägget i din prenumeration (förhandsversion)
(VM_GPUExtensionSuspiciousFailure)
Beskrivning: Misstänkt avsikt att installera ett GPU-tillägg på virtuella datorer som inte stöds. Det här tillägget bör installeras på virtuella datorer som är utrustade med en grafisk processor, och i det här fallet är de virtuella datorerna inte utrustade med sådana. Dessa fel kan ses när skadliga angripare kör flera installationer av ett sådant tillägg i kryptoutvinningssyfte.
MITRE-taktik: Påverkan
Allvarlighetsgrad: Medel
Misstänkt installation av ett GPU-tillägg upptäcktes på den virtuella datorn (förhandsversion)
(VM_GPUDriverExtensionUnusualExecution)
Beskrivning: Misstänkt installation av ett GPU-tillägg upptäcktes på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Angripare kan använda GPU-drivrutinstillägget för att installera GPU-drivrutiner på den virtuella datorn via Azure Resource Manager för att utföra kryptokapning. Den här aktiviteten anses misstänkt eftersom huvudmannens beteende avviker från de vanliga mönstren.
MITRE-taktik: Påverkan
Allvarlighetsgrad: Låg
Kör kommandot med ett misstänkt skript upptäcktes på den virtuella datorn (förhandsversion)
(VM_RunCommandSuspiciousScript)
Beskrivning: Ett körningskommando med ett misstänkt skript upptäcktes på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Angripare kan använda Kör kommando för att köra skadlig kod med hög behörighet på den virtuella datorn via Azure Resource Manager. Skriptet anses misstänkt eftersom vissa delar identifierades som potentiellt skadliga.
MITRE-taktik: Körning
Allvarlighetsgrad: Hög
Misstänkt obehörig körningskommandoanvändning upptäcktes på den virtuella datorn (förhandsversion)
(VM_RunCommandSuspiciousFailure)
Beskrivning: Misstänkt obehörig användning av Körningskommandot misslyckades och upptäcktes på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Angripare kan försöka använda Kör kommando för att köra skadlig kod med hög behörighet på dina virtuella datorer via Azure Resource Manager. Den här aktiviteten anses misstänkt eftersom den inte har setts tidigare.
MITRE-taktik: Körning
Allvarlighetsgrad: Medel
Misstänkt körningskommandoanvändning identifierades på den virtuella datorn (förhandsversion)
(VM_RunCommandSuspiciousUsage)
Beskrivning: Misstänkt användning av Kör kommando upptäcktes på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Angripare kan använda Kör kommando för att köra skadlig kod med hög behörighet på dina virtuella datorer via Azure Resource Manager. Den här aktiviteten anses misstänkt eftersom den inte har setts tidigare.
MITRE-taktik: Körning
Allvarlighetsgrad: Låg
Misstänkt användning av flera övervaknings- eller datainsamlingstillägg upptäcktes på dina virtuella datorer (förhandsversion)
(VM_SuspiciousMultiExtensionUsage)
Beskrivning: Misstänkt användning av flera övervaknings- eller datainsamlingstillägg upptäcktes på dina virtuella datorer genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Angripare kan missbruka sådana tillägg för datainsamling, övervakning av nätverkstrafik med mera i din prenumeration. Den här användningen anses misstänkt eftersom den inte har setts tidigare.
MITRE-taktik: Rekognosering
Allvarlighetsgrad: Medel
Misstänkt installation av diskkrypteringstillägg upptäcktes på dina virtuella datorer (förhandsversion)
(VM_DiskEncryptionSuspiciousUsage)
Beskrivning: Misstänkt installation av diskkrypteringstillägg upptäcktes på dina virtuella datorer genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Angripare kan missbruka diskkrypteringstillägget för att distribuera fullständiga diskkrypteringar på dina virtuella datorer via Azure Resource Manager i ett försök att utföra utpressningstrojanaktivitet. Den här aktiviteten anses misstänkt eftersom den inte har setts tidigare och på grund av det stora antalet tilläggsinstallationer.
MITRE-taktik: Påverkan
Allvarlighetsgrad: Medel
Misstänkt användning av VMAccess-tillägget upptäcktes på dina virtuella datorer (förhandsversion)
(VM_VMAccessSuspiciousUsage)
Beskrivning: Misstänkt användning av VMAccess-tillägget upptäcktes på dina virtuella datorer. Angripare kan missbruka VMAccess-tillägget för att få åtkomst till och kompromettera dina virtuella datorer med hög behörighet genom att återställa åtkomsten eller hantera administrativa användare. Den här aktiviteten anses misstänkt eftersom huvudkontots beteende avviker från de vanliga mönstren och på grund av det stora antalet tilläggsinstallationer.
MITRE-taktik: Beständighet
Allvarlighetsgrad: Medel
DSC-tillägget (Desired State Configuration) med ett misstänkt skript upptäcktes på den virtuella datorn (förhandsversion)
(VM_DSCExtensionSuspiciousScript)
Beskrivning: DSC-tillägget (Desired State Configuration) med ett misstänkt skript upptäcktes på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Angripare kan använda DSC-tillägget (Desired State Configuration) för att distribuera skadliga konfigurationer, till exempel beständighetsmekanismer, skadliga skript med mera, med hög behörighet, på dina virtuella datorer. Skriptet anses misstänkt eftersom vissa delar identifierades som potentiellt skadliga.
MITRE-taktik: Körning
Allvarlighetsgrad: Hög
Misstänkt användning av ett DSC-tillägg (Desired State Configuration) identifierades på dina virtuella datorer (förhandsversion)
(VM_DSCExtensionSuspiciousUsage)
Beskrivning: Misstänkt användning av ett DSC-tillägg (Desired State Configuration) identifierades på dina virtuella datorer genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Angripare kan använda DSC-tillägget (Desired State Configuration) för att distribuera skadliga konfigurationer, till exempel beständighetsmekanismer, skadliga skript med mera, med hög behörighet, på dina virtuella datorer. Den här aktiviteten anses misstänkt eftersom huvudkontots beteende avviker från de vanliga mönstren och på grund av det stora antalet tilläggsinstallationer.
MITRE-taktik: Körning
Allvarlighetsgrad: Låg
Anpassat skripttillägg med ett misstänkt skript upptäcktes på den virtuella datorn (förhandsversion)
(VM_CustomScriptExtensionSuspiciousCmd)
Beskrivning: Anpassat skripttillägg med ett misstänkt skript upptäcktes på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Angripare kan använda tillägget Anpassat skript för att köra skadlig kod med hög behörighet på den virtuella datorn via Azure Resource Manager. Skriptet anses misstänkt eftersom vissa delar identifierades som potentiellt skadliga.
MITRE-taktik: Körning
Allvarlighetsgrad: Hög
Misstänkt misslyckad körning av tillägget för anpassat skript på den virtuella datorn
(VM_CustomScriptExtensionSuspiciousFailure)
Beskrivning: Misstänkt fel i ett anpassat skripttillägg upptäcktes på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Sådana fel kan associeras med skadliga skript som körs av det här tillägget.
MITRE-taktik: Körning
Allvarlighetsgrad: Medel
Ovanlig borttagning av tillägg för anpassade skript på den virtuella datorn
(VM_CustomScriptExtensionUnusualDeletion)
Beskrivning: Ovanlig borttagning av ett tillägg för anpassat skript upptäcktes på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Angripare kan använda anpassade skripttillägg för att köra skadlig kod på dina virtuella datorer via Azure Resource Manager.
MITRE-taktik: Körning
Allvarlighetsgrad: Medel
Ovanlig körning av tillägg för anpassade skript på den virtuella datorn
(VM_CustomScriptExtensionUnusualExecution)
Beskrivning: Ovanlig körning av ett anpassat skripttillägg upptäcktes på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Angripare kan använda anpassade skripttillägg för att köra skadlig kod på dina virtuella datorer via Azure Resource Manager.
MITRE-taktik: Körning
Allvarlighetsgrad: Medel
Tillägg för anpassat skript med misstänkt startpunkt på den virtuella datorn
(VM_CustomScriptExtensionSuspiciousEntryPoint)
Beskrivning: Det anpassade skripttillägget med en misstänkt startpunkt upptäcktes på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Startpunkten refererar till en misstänkt GitHub-lagringsplats. Angripare kan använda anpassade skripttillägg för att köra skadlig kod på dina virtuella datorer via Azure Resource Manager.
MITRE-taktik: Körning
Allvarlighetsgrad: Medel
Tillägg för anpassat skript med misstänkt nyttolast på den virtuella datorn
(VM_CustomScriptExtensionSuspiciousPayload)
Beskrivning: Anpassat skripttillägg med en nyttolast från en misstänkt GitHub-lagringsplats upptäcktes på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Angripare kan använda anpassade skripttillägg för att köra skadlig kod på dina virtuella datorer via Azure Resource Manager.
MITRE-taktik: Körning
Allvarlighetsgrad: Medel
Aviseringar för Azure App Service
Mer information och anteckningar
Ett försök att köra Linux-kommandon på en Windows App Service
(AppServices_LinuxCommandOnWindows)
Beskrivning: Analys av App Service-processer upptäckte ett försök att köra ett Linux-kommando på en Windows App Service. Den här åtgärden kördes av webbprogrammet. Det här beteendet visas ofta under kampanjer som utnyttjar en säkerhetsrisk i ett gemensamt webbprogram. (Gäller för: App Service i Windows)
MITRE-taktik: -
Allvarlighetsgrad: Medel
En IP-adress som är ansluten till azure App Service FTP-gränssnittet hittades i Threat Intelligence
(AppServices_IncomingTiClientIpFtp)
Beskrivning: Azure App Service FTP-loggen anger en anslutning från en källadress som hittades i hotinformationsflödet. Under den här anslutningen har en användare använt sidorna i listan. (Gäller för: App Service i Windows och App Service på Linux)
MITRE-taktik: Inledande åtkomst
Allvarlighetsgrad: Medel
Försök att köra högprivilegier har identifierats
(AppServices_HighPrivilegeCommand)
Beskrivning: Analys av App Service-processer upptäckte ett försök att köra ett kommando som kräver hög behörighet. Kommandot kördes i webbprogramkontexten. Det här beteendet kan vara legitimt, men i webbprogram observeras även det här beteendet i skadliga aktiviteter. (Gäller för: App Service i Windows)
MITRE-taktik: -
Allvarlighetsgrad: Medel
Kommunikation med misstänkt domän identifierad av hotinformation
(AzureDNS_ThreatIntelSuspectDomain)
Beskrivning: Kommunikation med misstänkt domän upptäcktes genom att analysera DNS-transaktioner från din resurs och jämföra med kända skadliga domäner som identifieras av hotinformationsflöden. Kommunikation till skadliga domäner utförs ofta av angripare och kan innebära att din resurs komprometteras.
MITRE-taktik: Initial åtkomst, beständighet, körning, kommando och kontroll, utnyttjande
Allvarlighetsgrad: Medel
Anslut ion till webbsida från avvikande IP-adress har identifierats
(AppServices_AnomalousPageAccess)
Beskrivning: Azure App Service-aktivitetsloggen anger en avvikande anslutning till en känslig webbsida från den angivna käll-IP-adressen. Detta kan tyda på att någon försöker utföra en råstyrkeattack på dina webbappsadministrationssidor. Det kan också bero på att en ny IP-adress används av en legitim användare. Om källans IP-adress är betrodd kan du på ett säkert sätt ignorera den här aviseringen för den här resursen. Information om hur du undertrycker säkerhetsaviseringar finns i Utelämna aviseringar från Microsoft Defender för molnet. (Gäller för: App Service i Windows och App Service på Linux)
MITRE-taktik: Inledande åtkomst
Allvarlighetsgrad: Låg
Dangling DNS-post för en App Service-resurs identifierad
(AppServices_DanglingDomain)
Beskrivning: En DNS-post som pekar på en nyligen borttagen App Service-resurs (även kallad "dangling DNS"-post) har identifierats. Detta gör dig mottaglig för ett underdomänövertagande. Underdomänövertaganden gör det möjligt för skadliga aktörer att omdirigera trafik som är avsedd för en organisations domän till en webbplats som utför skadlig aktivitet. (Gäller för: App Service i Windows och App Service på Linux)
MITRE-taktik: -
Allvarlighetsgrad: Hög
Identifierad kodad körbar fil i kommandoradsdata
(AppServices_Base64EncodedExecutableInCommandLineParams)
Beskrivning: Analys av värddata på {Komprometterad värd} identifierade en base-64-kodad körbar fil. Detta har tidigare associerats med angripare som försöker konstruera körbara filer i farten genom en sekvens med kommandon och försöker undvika intrångsidentifieringssystem genom att säkerställa att inget enskilt kommando utlöser en avisering. Detta kan vara legitim aktivitet eller en indikation på en komprometterad värd. (Gäller för: App Service i Windows)
MITRE-taktik: Defense Evasion, Execution
Allvarlighetsgrad: Hög
Filnedladdning från en känd skadlig källa har identifierats
(AppServices_SuspectDownload)
Beskrivning: Analys av värddata har upptäckt nedladdningen av en fil från en känd källa för skadlig kod på värden. (Gäller för: App Service på Linux)
MITRE-taktik: Privilege Escalation, Execution, Exfiltration, Command and Control
Allvarlighetsgrad: Medel
Misstänkt filnedladdning har identifierats
(AppServices_SuspectDownloadArtifacts)
Beskrivning: Analys av värddata har upptäckt misstänkt nedladdning av fjärrfil. (Gäller för: App Service på Linux)
MITRE-taktik: Beständighet
Allvarlighetsgrad: Medel
Digitalt valutautvinningsrelaterat beteende har identifierats
(AppServices_DigitalCurrencyMining)
Beskrivning: Analys av värddata på Inn-Flow-WebJobs identifierade körningen av en process eller ett kommando som normalt är associerat med utvinning av digital valuta. (Gäller för: App Service i Windows och App Service på Linux)
MITRE-taktik: Körning
Allvarlighetsgrad: Hög
Körbar avkodad med certutil
(AppServices_ExecutableDecodedUsingCertutil)
Beskrivning: Analys av värddata på [komprometterad entitet] upptäckte att certutil.exe, ett inbyggt administratörsverktyg, användes för att avkoda en körbar fil i stället för dess mainstream-syfte som rör manipulering av certifikat och certifikatdata. Angripare är kända för att missbruka funktioner hos legitima administratörsverktyg för att utföra skadliga åtgärder, till exempel med ett verktyg som certutil.exe, för att avkoda en skadlig körbar fil som sedan ska köras. (Gäller för: App Service i Windows)
MITRE-taktik: Defense Evasion, Execution
Allvarlighetsgrad: Hög
Fillöst attackbeteende har identifierats
(AppServices_FilelessAttackBehaviorDetection)
Beskrivning: Minnet av processen som anges nedan innehåller beteenden som ofta används av fillösa attacker. Specifika beteenden är: {lista över observerade beteenden} (gäller för: App Service i Windows och App Service på Linux)
MITRE-taktik: Körning
Allvarlighetsgrad: Medel
Fillös attackteknik har identifierats
(AppServices_FilelessAttackTechniqueDetection)
Beskrivning: Minnet av processen som anges nedan innehåller bevis på en fillös attackteknik. Fillösa attacker används av angripare för att köra kod vid undvikande av identifiering av säkerhetsprogramvara. Specifika beteenden är: {lista över observerade beteenden} (gäller för: App Service i Windows och App Service på Linux)
MITRE-taktik: Körning
Allvarlighetsgrad: Hög
Fillös attackverktyg har identifierats
(AppServices_FilelessAttackToolkitDetection)
Beskrivning: Minnet av processen som anges nedan innehåller en fillös attackverktyg: {ToolKitName}. Fillösa attackverktyg har vanligtvis inte någon närvaro i filsystemet, vilket gör det svårt att identifiera traditionella antivirusprogram. Specifika beteenden är: {lista över observerade beteenden} (gäller för: App Service i Windows och App Service på Linux)
MITRE-taktik: Defense Evasion, Execution
Allvarlighetsgrad: Hög
Microsoft Defender för molnet testavisering för App Service (inte ett hot)
(AppServices_EICAR)
Beskrivning: Det här är en testavisering som genereras av Microsoft Defender för molnet. Ingen ytterligare åtgärd krävs. (Gäller för: App Service i Windows och App Service på Linux)
MITRE-taktik: -
Allvarlighetsgrad: Hög
NMap-genomsökning har identifierats
(AppServices_Nmap)
Beskrivning: Azure App Service-aktivitetsloggen anger en möjlig aktivitet med fingeravtryck på din App Service-resurs. Den misstänkta aktiviteten som identifieras är associerad med NMAP. Angripare använder ofta det här verktyget för att söka efter säkerhetsrisker i webbprogrammet. (Gäller för: App Service i Windows och App Service på Linux)
MITRE-taktik: PreAttack
Allvarlighetsgrad: Information
Nätfiskeinnehåll som finns i Azure Webapps
(AppServices_PhishingContent)
Beskrivning: URL som används för nätfiskeattacker som finns på Azure AppServices webbplats. Den här URL:en var en del av en nätfiskeattack som skickades till Microsoft 365-kunder. Innehållet lockar vanligtvis besökare att ange sina företagsautentiseringsuppgifter eller finansiell information på en legitim webbplats. (Gäller för: App Service i Windows och App Service på Linux)
MITRE-taktik: Samling
Allvarlighetsgrad: Hög
PHP-fil i uppladdningsmapp
(AppServices_PhpInUploadFolder)
Beskrivning: Azure App Service-aktivitetsloggen anger en åtkomst till en misstänkt PHP-sida som finns i uppladdningsmappen. Den här typen av mapp innehåller vanligtvis inte PHP-filer. Förekomsten av den här typen av fil kan tyda på ett utnyttjande som utnyttjar sårbarheter för godtycklig filuppladdning. (Gäller för: App Service i Windows och App Service på Linux)
MITRE-taktik: Körning
Allvarlighetsgrad: Medel
Möjlig nedladdning av Cryptocoinminer har identifierats
(AppServices_CryptoCoinMinerDownload)
Beskrivning: Analys av värddata har upptäckt nedladdningen av en fil som normalt är associerad med utvinning av digital valuta. (Gäller för: App Service på Linux)
MITRE-taktik: Försvarsundandragande, kommando och kontroll, utnyttjande
Allvarlighetsgrad: Medel
Möjlig dataexfiltrering har identifierats
(AppServices_DataEgressArtifacts)
Beskrivning: Analys av värd-/enhetsdata identifierade ett möjligt datautgående villkor. Angripare tar ofta ut data från datorer som de har komprometterat. (Gäller för: App Service på Linux)
MITRE-taktik: Samling, Exfiltrering
Allvarlighetsgrad: Medel
Potentiell dangling DNS-post för en App Service-resurs har identifierats
(AppServices_PotentialDanglingDomain)
Beskrivning: En DNS-post som pekar på en nyligen borttagen App Service-resurs (även kallad "dangling DNS"-post) har identifierats. Detta kan göra dig mottaglig för ett underdomänövertagande. Underdomänövertaganden gör det möjligt för skadliga aktörer att omdirigera trafik som är avsedd för en organisations domän till en webbplats som utför skadlig aktivitet. I det här fallet hittades en textpost med domänverifierings-ID:t. Sådana textposter förhindrar underdomänövertagande, men vi rekommenderar ändå att du tar bort dangling-domänen. Om du lämnar DNS-posten pekar på underdomänen är du i riskzonen om någon i din organisation tar bort TXT-filen eller posten i framtiden. (Gäller för: App Service i Windows och App Service på Linux)
MITRE-taktik: -
Allvarlighetsgrad: Låg
Potentiellt omvändt gränssnitt har identifierats
(AppServices_ReverseShell)
Beskrivning: Analys av värddata identifierade ett potentiellt omvändt gränssnitt. Dessa används för att få en komprometterad dator att anropa tillbaka till en dator som en angripare äger. (Gäller för: App Service på Linux)
MITRE-taktik: Exfiltrering, exploatering
Allvarlighetsgrad: Medel
Nedladdning av rådata har identifierats
(AppServices_DownloadCodeFromWebsite)
Beskrivning: Analys av App Service-processer upptäckte ett försök att ladda ned kod från rådatawebbplatser som Pastebin. Den här åtgärden kördes av en PHP-process. Det här beteendet är kopplat till försök att ladda ned webbgränssnitt eller andra skadliga komponenter till App Service. (Gäller för: App Service i Windows)
MITRE-taktik: Körning
Allvarlighetsgrad: Medel
Spara curl-utdata till disk identifierad
(AppServices_CurlToDisk)
Beskrivning: Analys av App Service-processer identifierade körningen av ett curl-kommando där utdata sparades på disken. Det här beteendet kan vara legitimt, men i webbprogram observeras även det här beteendet i skadliga aktiviteter, till exempel försök att infektera webbplatser med webbgränssnitt. (Gäller för: App Service i Windows)
MITRE-taktik: -
Allvarlighetsgrad: Låg
Mappreferens för skräppost har identifierats
(AppServices_SpamReferrer)
Beskrivning: Aktivitetsloggen i Azure App Service anger webbaktivitet som har identifierats som från en webbplats som är associerad med skräppostaktivitet. Detta kan inträffa om din webbplats komprometteras och används för skräppostaktivitet. (Gäller för: App Service i Windows och App Service på Linux)
MITRE-taktik: -
Allvarlighetsgrad: Låg
Misstänkt åtkomst till potentiellt sårbar webbsida har identifierats
(AppServices_ScanSensitivePage)
Beskrivning: Aktivitetsloggen i Azure App Service anger en webbsida som verkar vara känslig. Den här misstänkta aktiviteten kommer från en käll-IP-adress vars åtkomstmönster liknar en webbskanners. Den här aktiviteten är ofta associerad med ett försök av en angripare att genomsöka nätverket för att försöka få åtkomst till känsliga eller sårbara webbsidor. (Gäller för: App Service i Windows och App Service på Linux)
MITRE-taktik: -
Allvarlighetsgrad: Låg
Referens för misstänkt domännamn
(AppServices_CommandlineSuspectDomain)
Beskrivning: Analys av värddata upptäckt referens till misstänkt domännamn. Sådan aktivitet, även om det kan vara ett legitimt användarbeteende, är ofta en indikation på nedladdning eller körning av skadlig programvara. Typisk relaterad angripare aktivitet är sannolikt att inkludera nedladdning och körning av ytterligare skadlig programvara eller fjärradministrationsverktyg. (Gäller för: App Service på Linux)
MITRE-taktik: Exfiltrering
Allvarlighetsgrad: Låg
Misstänkt nedladdning med Certutil har identifierats
(AppServices_DownloadUsingCertutil)
Beskrivning: Analys av värddata på {NAME} identifierade användningen av certutil.exe, ett inbyggt administratörsverktyg, för nedladdning av en binär fil i stället för dess mainstream-syfte som relaterar till att manipulera certifikat och certifikatdata. Angripare är kända för att missbruka funktioner i legitima administratörsverktyg för att utföra skadliga åtgärder, till exempel med hjälp av certutil.exe för att ladda ned och avkoda en skadlig körbar fil som sedan kommer att köras. (Gäller för: App Service i Windows)
MITRE-taktik: Körning
Allvarlighetsgrad: Medel
Misstänkt PHP-körning har identifierats
(AppServices_SuspectPhp)
Beskrivning: Datorloggar visar att en misstänkt PHP-process körs. Åtgärden inkluderade ett försök att köra operativsystemkommandon eller PHP-kod från kommandoraden med hjälp av PHP-processen. Även om det här beteendet kan vara legitimt kan det här beteendet i webbprogram tyda på skadliga aktiviteter, till exempel försök att infektera webbplatser med webbgränssnitt. (Gäller för: App Service i Windows och App Service på Linux)
MITRE-taktik: Körning
Allvarlighetsgrad: Medel
Misstänkta PowerShell-cmdletar körs
(AppServices_PowerShellPowerSploitScriptExecution)
Beskrivning: Analys av värddata indikerar körning av kända skadliga PowerShell PowerSploit-cmdletar. (Gäller för: App Service i Windows)
MITRE-taktik: Körning
Allvarlighetsgrad: Medel
Misstänkt process har körts
(AppServices_KnownCredential AccessTools)
Beskrivning: Datorloggar indikerar att den misstänkta processen: %{process path} kördes på datorn, ofta associerad med angripares försök att komma åt autentiseringsuppgifter. (Gäller för: App Service i Windows)
MITRE-taktik: Åtkomst till autentiseringsuppgifter
Allvarlighetsgrad: Hög
Misstänkt processnamn har identifierats
(AppServices_ProcessWithKnownSuspiciousExtension)
Beskrivning: Analys av värddata på {NAME} identifierade en process vars namn är misstänkt, till exempel motsvarande ett känt verktyg för angripare eller namngivet på ett sätt som tyder på angripares verktyg som försöker dölja i klarsynthet. Den här processen kan vara en legitim aktivitet eller en indikation på att en av dina datorer har komprometterats. (Gäller för: App Service i Windows)
MITRE-taktik: Beständighet, försvarsundandragande
Allvarlighetsgrad: Medel
Misstänkt SVCHOST-process körs
(AppServices_SVCHostFromInvalidPath)
Beskrivning: Systemprocessen SVCHOST observerades köras i en onormal kontext. Skadlig kod använder ofta SVCHOST för att maskera dess skadliga aktivitet. (Gäller för: App Service i Windows)
MITRE-taktik: Defense Evasion, Execution
Allvarlighetsgrad: Hög
Misstänkt användaragent har identifierats
(AppServices_UserAgentInjection)
Beskrivning: Aktivitetsloggen i Azure App Service anger begäranden med misstänkt användaragent. Det här beteendet kan tyda på försök att utnyttja en säkerhetsrisk i App Service-programmet. (Gäller för: App Service i Windows och App Service på Linux)
MITRE-taktik: Inledande åtkomst
Allvarlighetsgrad: Information
Misstänkt WordPress-temaanrop har identifierats
(AppServices_WpThemeInjection)
Beskrivning: Azure App Service-aktivitetsloggen anger en möjlig kodinmatningsaktivitet på din App Service-resurs. Den misstänkta aktiviteten som identifieras liknar en manipulering av WordPress-temat för att stödja körning av kod på serversidan, följt av en direkt webbbegäran om att anropa den manipulerade temafilen. Den här typen av aktivitet sågs tidigare som en del av en attackkampanj över WordPress. Om din App Service-resurs inte är värd för en WordPress-webbplats är den inte sårbar för den här specifika kodinmatningsexploateringen och du kan på ett säkert sätt undertrycka den här aviseringen för resursen. Information om hur du undertrycker säkerhetsaviseringar finns i Utelämna aviseringar från Microsoft Defender för molnet. (Gäller för: App Service i Windows och App Service på Linux)
MITRE-taktik: Körning
Allvarlighetsgrad: Hög
Sårbarhetsskanner identifierad
(AppServices_DrupalScanner)
Beskrivning: Azure App Service-aktivitetsloggen anger att en möjlig sårbarhetsskanner användes på din App Service-resurs. Den misstänkta aktiviteten som identifieras liknar den för verktyg som riktar sig mot ett innehållshanteringssystem (CMS). Om din App Service-resurs inte är värd för en Drupal-webbplats är den inte sårbar för den här specifika kodinmatningsexploateringen och du kan på ett säkert sätt undertrycka den här aviseringen för resursen. Information om hur du undertrycker säkerhetsaviseringar finns i Utelämna aviseringar från Microsoft Defender för molnet. (Gäller för: App Service i Windows)
MITRE-taktik: PreAttack
Allvarlighetsgrad: Låg
Sårbarhetsskanner identifierad
(AppServices_JoomlaScanner)
Beskrivning: Azure App Service-aktivitetsloggen anger att en möjlig sårbarhetsskanner användes på din App Service-resurs. Den misstänkta aktiviteten som identifieras liknar den för verktyg som riktar sig till Joomla-program. Om din App Service-resurs inte är värd för en Joomla-webbplats är den inte sårbar för den här specifika kodinmatningsexploateringen och du kan på ett säkert sätt förhindra den här aviseringen för resursen. Information om hur du undertrycker säkerhetsaviseringar finns i Utelämna aviseringar från Microsoft Defender för molnet. (Gäller för: App Service i Windows och App Service på Linux)
MITRE-taktik: PreAttack
Allvarlighetsgrad: Låg
Sårbarhetsskanner identifierad
(AppServices_WpScanner)
Beskrivning: Azure App Service-aktivitetsloggen anger att en möjlig sårbarhetsskanner användes på din App Service-resurs. Den misstänkta aktiviteten som identifieras liknar den för verktyg som riktar sig till WordPress-program. Om din App Service-resurs inte är värd för en WordPress-webbplats är den inte sårbar för den här specifika kodinmatningsexploateringen och du kan på ett säkert sätt undertrycka den här aviseringen för resursen. Information om hur du undertrycker säkerhetsaviseringar finns i Utelämna aviseringar från Microsoft Defender för molnet. (Gäller för: App Service i Windows och App Service på Linux)
MITRE-taktik: PreAttack
Allvarlighetsgrad: Låg
Webb fingeravtryck har identifierats
(AppServices_WebFingerprinting)
Beskrivning: Azure App Service-aktivitetsloggen anger en möjlig aktivitet med fingeravtryck på din App Service-resurs. Den misstänkta aktiviteten som identifieras är associerad med ett verktyg som kallas Blind Elephant. Verktyget fingeravtryck webbservrar och försöker identifiera installerade program och version. Angripare använder ofta det här verktyget för att söka efter säkerhetsrisker i webbprogrammet. (Gäller för: App Service i Windows och App Service på Linux)
MITRE-taktik: PreAttack
Allvarlighetsgrad: Medel
Webbplatsen taggas som skadlig i hotinformationsflödet
(AppServices_SmartScreen)
Beskrivning: Webbplatsen enligt beskrivningen nedan är markerad som en skadlig webbplats av Windows SmartScreen. Om du tror att det här är en falsk positiv identifiering kontaktar du Windows SmartScreen via länken för rapportfeedback. (Gäller för: App Service i Windows och App Service på Linux)
MITRE-taktik: Samling
Allvarlighetsgrad: Medel
Aviseringar för containrar – Kubernetes-kluster
Microsoft Defender för containrar tillhandahåller säkerhetsaviseringar på klusternivå och på de underliggande klusternoderna genom att övervaka både kontrollplanet (API-servern) och själva den containerbaserade arbetsbelastningen. Säkerhetsaviseringar för kontrollplan kan identifieras med ett prefix av aviseringstypen K8S_
. Säkerhetsaviseringar för körningsarbetsbelastning i klustren kan identifieras av prefixet K8S.NODE_
för aviseringstypen. Alla aviseringar stöds endast på Linux, om inget annat anges.
Mer information och anteckningar
Exponerad Postgres-tjänst med förtroendeautentiseringskonfiguration i Kubernetes identifierad (förhandsversion)
(K8S_ExposedPostgresTrustAuth)
Beskrivning: Kubernetes klusterkonfigurationsanalys identifierade exponering av en Postgres-tjänst av en lastbalanserare. Tjänsten är konfigurerad med autentiseringsmetod för förtroende, vilket inte kräver autentiseringsuppgifter.
MITRE-taktik: InitialAccess
Allvarlighetsgrad: Medel
Exponerad Postgres-tjänst med riskfylld konfiguration i Kubernetes identifierad (förhandsversion)
(K8S_ExposedPostgresBroadIPRange)
Beskrivning: Kubernetes klusterkonfigurationsanalys identifierade exponeringen av en Postgres-tjänst av en lastbalanserare med en riskfylld konfiguration. Att exponera tjänsten för ett stort antal IP-adresser utgör en säkerhetsrisk.
MITRE-taktik: InitialAccess
Allvarlighetsgrad: Medel
Försök att skapa ett nytt Linux-namnområde från en container som identifierats
(K8S. NODE_NamespaceCreation) 1
Beskrivning: Analys av processer som körs i en container i Kubernetes-klustret upptäckte ett försök att skapa ett nytt Linux-namnområde. Även om det här beteendet kan vara legitimt kan det tyda på att en angripare försöker fly från containern till noden. Vissa CVE-2022-0185-utnyttjanden använder den här tekniken.
MITRE-taktik: PrivilegeEscalation
Allvarlighetsgrad: Information
En historikfil har rensats
(K8S. NODE_HistoryFileCleared) 1
Beskrivning: Analys av processer som körs i en container eller direkt på en Kubernetes-nod har upptäckt att loggfilen för kommandohistorik har rensats. Angripare kan göra detta för att dölja sina spår. Åtgärden utfördes av det angivna användarkontot.
MITRE-taktik: DefenseEvasion
Allvarlighetsgrad: Medel
Onormal aktivitet för hanterad identitet som är associerad med Kubernetes (förhandsversion)
(K8S_AbnormalMiActivity)
Beskrivning: Analys av Azure Resource Manager-åtgärder identifierade ett onormalt beteende för en hanterad identitet som används av ett AKS-tillägg. Den identifierade aktiviteten överensstämmer inte med beteendet för det associerade tillägget. Även om den här aktiviteten kan vara legitim kan ett sådant beteende tyda på att identiteten har vunnits av en angripare, eventuellt från en komprometterad container i Kubernetes-klustret.
MITRE-taktik: Lateral rörelse
Allvarlighetsgrad: Medel
Onormal kubernetes-tjänstkontoåtgärd har identifierats
(K8S_ServiceAccountRareOperation)
Beskrivning: Kubernetes granskningslogganalys identifierade onormalt beteende av ett tjänstkonto i kubernetes-klustret. Tjänstkontot användes för en åtgärd, vilket inte är vanligt för det här tjänstkontot. Även om den här aktiviteten kan vara legitim kan ett sådant beteende tyda på att tjänstkontot används i skadliga syften.
MITRE-taktik: Lateral rörelse, åtkomst till autentiseringsuppgifter
Allvarlighetsgrad: Medel
Ett ovanligt anslutningsförsök har identifierats
(K8S. NODE_Suspect Anslut ion) 1
Beskrivning: Analys av processer som körs i en container eller direkt på en Kubernetes-nod har upptäckt ett ovanligt anslutningsförsök med hjälp av ett socks-protokoll. Detta är mycket sällsynt i normala åtgärder, men en känd teknik för angripare som försöker kringgå identifieringar på nätverksnivå.
MITRE-taktik: Utförande, exfiltrering, utnyttjande
Allvarlighetsgrad: Medel
Försök att stoppa tjänsten apt-daily-upgrade.timer har identifierats
(K8S. NODE_TimerServiceDisabled) 1
Beskrivning: Analys av processer som körs i en container eller direkt på en Kubernetes-nod har upptäckt ett försök att stoppa tjänsten apt-daily-upgrade.timer. Angripare har observerats stoppa den här tjänsten för att ladda ned skadliga filer och bevilja körningsprivilegier för sina attacker. Den här aktiviteten kan också inträffa om tjänsten uppdateras via normala administrativa åtgärder.
MITRE-taktik: DefenseEvasion
Allvarlighetsgrad: Information
Beteende som liknar vanliga Linux-robotar som identifierats (förhandsversion)
(K8S. NODE_CommonBot)
Beskrivning: Analys av processer som körs i en container eller direkt på en Kubernetes-nod har identifierat körningen av en process som normalt är associerad med vanliga Linux-botnät.
MITRE-taktik: Körning, samling, kommando och kontroll
Allvarlighetsgrad: Medel
Kommando i en container som körs med hög behörighet
(K8S. NODE_PrivilegedExecutionInContainer) 1
Beskrivning: Datorloggar anger att ett privilegierat kommando kördes i en Docker-container. Ett privilegierat kommando har utökade privilegier på värddatorn.
MITRE-taktik: PrivilegeEscalation
Allvarlighetsgrad: Information
Container som körs i privilegierat läge
(K8S. NODE_PrivilegedContainerArtifacts) 1
Beskrivning: Analys av processer som körs i en container eller direkt på en Kubernetes-nod har identifierat körningen av ett Docker-kommando som kör en privilegierad container. Den privilegierade containern har fullständig åtkomst till värdpodden eller värdresursen. Om det komprometteras kan en angripare använda den privilegierade containern för att få åtkomst till värdpodden eller värden.
MITRE-taktik: PrivilegeEscalation, Execution
Allvarlighetsgrad: Information
Container med en känslig volymmontering identifierad
(K8S_SensitiveMount)
Beskrivning: Kubernetes granskningslogganalys identifierade en ny container med en känslig volymmontering. Volymen som identifierades är en hostPath-typ som monterar en känslig fil eller mapp från noden till containern. Om containern komprometteras kan angriparen använda den här monteringen för att få åtkomst till noden.
MITRE-taktik: Privilegieeskalering
Allvarlighetsgrad: Information
CoreDNS-ändring i Kubernetes har identifierats
Beskrivning: Kubernetes granskningslogganalys identifierade en ändring av CoreDNS-konfigurationen. Konfigurationen av CoreDNS kan ändras genom att åsidosätta dess konfigurationskarta. Den här aktiviteten kan vara legitim, men om angripare har behörighet att ändra konfigurationskartan kan de ändra beteendet för klustrets DNS-server och förgifta den.
MITRE-taktik: Lateral rörelse
Allvarlighetsgrad: Låg
Skapande av webhookskonfiguration för antagning har identifierats
(K8S_AdmissionController) 3
Beskrivning: Kubernetes granskningslogganalys identifierade en ny webhook-konfiguration för antagning. Kubernetes har två inbyggda generiska antagningskontrollanter: MutatingAdmissionWebhook och ValidatingAdmissionWebhook. Beteendet för dessa antagningskontrollanter bestäms av en webhook för antagning som användaren distribuerar till klustret. Användningen av sådana antagningskontrollanter kan vara legitim, men angripare kan använda sådana webhooks för att ändra begäranden (i händelse av mutatingAdmissionWebhook) eller inspektera begäranden och få känslig information (i händelse av ValidatingAdmissionWebhook).
MITRE-taktik: Åtkomst till autentiseringsuppgifter, beständighet
Allvarlighetsgrad: Information
Filnedladdning från en känd skadlig källa har identifierats
(K8S. NODE_SuspectDownload) 1
Beskrivning: Analys av processer som körs i en container eller direkt på en Kubernetes-nod har identifierat en nedladdning av en fil från en källa som ofta används för att distribuera skadlig kod.
MITRE-taktik: PrivilegeEscalation, Execution, Exfiltration, Command and Control
Allvarlighetsgrad: Medel
Misstänkt filnedladdning har identifierats
(K8S. NODE_SuspectDownloadArtifacts) 1
Beskrivning: Analys av processer som körs i en container eller direkt på en Kubernetes-nod har identifierat en misstänkt nedladdning av en fjärrfil.
MITRE-taktik: Beständighet
Allvarlighetsgrad: Information
Misstänkt användning av nohup-kommandot har identifierats
(K8S. NODE_SuspectNohup) 1
Beskrivning: Analys av processer som körs i en container eller direkt på en Kubernetes-nod har identifierat en misstänkt användning av nohup-kommandot. Angripare har setts använda kommandot nohup för att köra dolda filer från en tillfällig katalog så att deras körbara filer kan köras i bakgrunden. Det är ovanligt att det här kommandot körs på dolda filer som finns i en tillfällig katalog.
MITRE-taktik: Beständighet, DefenseEvasion
Allvarlighetsgrad: Medel
Misstänkt användning av useradd-kommandot har identifierats
(K8S. NODE_SuspectUserAddition) 1
Beskrivning: Analys av processer som körs i en container eller direkt på en Kubernetes-nod har identifierat en misstänkt användning av useradd-kommandot.
MITRE-taktik: Beständighet
Allvarlighetsgrad: Medel
Digital valutautvinningscontainer identifierad
(K8S_MaliciousContainerImage) 3
Beskrivning: Kubernetes granskningslogganalys identifierade en container som har en avbildning associerad med ett verktyg för utvinning av digital valuta.
MITRE-taktik: Körning
Allvarlighetsgrad: Hög
Digitalt valutautvinningsrelaterat beteende har identifierats
(K8S. NODE_DigitalCurrencyMining) 1
Beskrivning: Analys av processer som körs i en container eller direkt på en Kubernetes-nod, har identifierat en körning av en process eller ett kommando som normalt är associerat med utvinning av digital valuta.
MITRE-taktik: Körning
Allvarlighetsgrad: Hög
Docker-byggåtgärd identifierad på en Kubernetes-nod
(K8S. NODE_ImageBuildOnNode) 1
Beskrivning: Analys av processer som körs i en container eller direkt på en Kubernetes-nod har identifierat en byggåtgärd av en containeravbildning på en Kubernetes-nod. Även om det här beteendet kan vara legitimt kan angripare skapa sina skadliga avbildningar lokalt för att undvika identifiering.
MITRE-taktik: DefenseEvasion
Allvarlighetsgrad: Information
Exponerad Kubeflow-instrumentpanel har identifierats
(K8S_ExposedKubeflow)
Beskrivning: Kubernetes granskningslogganalys identifierade exponering av Istio-ingressen av en lastbalanserare i ett kluster som kör Kubeflow. Den här åtgärden kan exponera Kubeflow-instrumentpanelen för Internet. Om instrumentpanelen exponeras för Internet kan angripare komma åt den och köra skadliga containrar eller kod i klustret. Mer information finns i följande artikel: https://aka.ms/exposedkubeflow-blog
MITRE-taktik: Inledande åtkomst
Allvarlighetsgrad: Medel
Exponerad Kubernetes-instrumentpanel har identifierats
(K8S_ExposedDashboard)
Beskrivning: Kubernetes granskningslogganalys identifierade exponering av Kubernetes-instrumentpanelen av en LoadBalancer-tjänst. Den exponerade instrumentpanelen ger en oautentiserad åtkomst till klusterhanteringen och utgör ett säkerhetshot.
MITRE-taktik: Inledande åtkomst
Allvarlighetsgrad: Hög
Exponerad Kubernetes-tjänst har identifierats
(K8S_ExposedService)
Beskrivning: Kubernetes granskningslogganalys identifierade en tjänsts exponering av en lastbalanserare. Den här tjänsten är relaterad till ett känsligt program som tillåter åtgärder med hög påverkan i klustret, till exempel att köra processer på noden eller skapa nya containrar. I vissa fall kräver den här tjänsten inte autentisering. Om tjänsten inte kräver autentisering utgör det en säkerhetsrisk att exponera den för Internet.
MITRE-taktik: Inledande åtkomst
Allvarlighetsgrad: Medel
Redis-tjänsten i AKS har identifierats
(K8S_ExposedRedis)
Beskrivning: Kubernetes granskningslogganalys identifierade exponering av en Redis-tjänst av en lastbalanserare. Om tjänsten inte kräver autentisering utgör det en säkerhetsrisk att exponera den för Internet.
MITRE-taktik: Inledande åtkomst
Allvarlighetsgrad: Låg
Indikatorer som är associerade med DDOS-verktyg har identifierats
(K8S. NODE_KnownLinuxDDoSToolkit) 1
Beskrivning: Analys av processer som körs i en container eller direkt på en Kubernetes-nod, har identifierat filnamn som ingår i en verktygslåda som är associerad med skadlig kod som kan starta DDoS-attacker, öppna portar och tjänster och ta full kontroll över det infekterade systemet. Detta kan också vara legitim verksamhet.
MITRE-taktik: Persistence, LateralMovement, Execution, Exploitation
Allvarlighetsgrad: Medel
K8S API-begäranden från proxy-IP-adress har identifierats
(K8S_TI_Proxy) 3
Beskrivning: Kubernetes granskningslogganalys identifierade API-begäranden till klustret från en IP-adress som är associerad med proxytjänster, till exempel TOR. Även om det här beteendet kan vara legitimt, visas det ofta i skadliga aktiviteter när angripare försöker dölja sin käll-IP.
MITRE-taktik: Körning
Allvarlighetsgrad: Låg
Kubernetes-händelser har tagits bort
Beskrivning: Defender för molnet upptäckt att vissa Kubernetes-händelser har tagits bort. Kubernetes-händelser är objekt i Kubernetes som innehåller information om ändringar i klustret. Angripare kan ta bort dessa händelser för att dölja sina åtgärder i klustret.
MITRE-taktik: Försvarsundandragande
Allvarlighetsgrad: Låg
Testverktyget för Kubernetes-intrång har identifierats
(K8S_PenTestToolsKubeHunter)
Beskrivning: Kubernetes granskningslogganalys upptäckte användning av Kubernetes penetrationstestverktyg i AKS-klustret. Även om det här beteendet kan vara legitimt kan angripare använda sådana offentliga verktyg i skadliga syften.
MITRE-taktik: Körning
Allvarlighetsgrad: Låg
Microsoft Defender för molnet testavisering (inte ett hot).
(K8S. NODE_EICAR) 1
Beskrivning: Det här är en testavisering som genereras av Microsoft Defender för molnet. Ingen ytterligare åtgärd krävs.
MITRE-taktik: Körning
Allvarlighetsgrad: Hög
Ny container i kube-system-namnområdet har identifierats
(K8S_KubeSystemContainer) 3
Beskrivning: Kubernetes granskningslogganalys identifierade en ny container i kube-system-namnområdet som inte finns bland de containrar som normalt körs i det här namnområdet. Kube-system-namnrymderna får inte innehålla användarresurser. Angripare kan använda det här namnområdet för att dölja skadliga komponenter.
MITRE-taktik: Beständighet
Allvarlighetsgrad: Information
Ny roll med höga privilegier har identifierats
(K8S_HighPrivilegesRole) 3
Beskrivning: Kubernetes granskningslogganalys identifierade en ny roll med hög behörighet. En bindning till en roll med hög behörighet ger användaren/gruppen höga behörigheter i klustret. Onödiga privilegier kan orsaka behörighetseskalering i klustret.
MITRE-taktik: Beständighet
Allvarlighetsgrad: Information
Möjligt attackverktyg har identifierats
(K8S. NODE_KnownLinuxAttackTool) 1
Beskrivning: Analys av processer som körs i en container eller direkt på en Kubernetes-nod har identifierat ett misstänkt verktygsanrop. Det här verktyget är ofta associerat med skadliga användare som attackerar andra.
MITRE-taktik: Körning, samling, kommando och kontroll, avsökning
Allvarlighetsgrad: Medel
Möjlig bakdörr har identifierats
(K8S. NODE_LinuxBackdoorArtifact) 1
Beskrivning: Analys av processer som körs i en container eller direkt på en Kubernetes-nod, har identifierat en misstänkt fil som laddas ned och körs. Den här aktiviteten har tidigare associerats med installation av en bakdörr.
MITRE-taktik: Persistence, DefenseEvasion, Execution, Exploitation
Allvarlighetsgrad: Medel
Möjligt försök att utnyttja kommandoraden
(K8S. NODE_ExploitAttempt) 1
Beskrivning: Analys av processer som körs i en container eller direkt på en Kubernetes-nod har identifierat ett möjligt utnyttjandeförsök mot en känd säkerhetsrisk.
MITRE-taktik: Utnyttjande
Allvarlighetsgrad: Medel
Möjligt åtkomstverktyg för autentiseringsuppgifter har identifierats
(K8S. NODE_KnownLinuxCredentialAccessTool) 1
Beskrivning: Analys av processer som körs i en container eller direkt på en Kubernetes-nod, har upptäckt att ett möjligt känt åtkomstverktyg för autentiseringsuppgifter kördes i containern, vilket identifierades av det angivna objektet för process- och kommandoradshistorik. Det här verktyget är ofta associerat med attackerare som försöker komma åt autentiseringsuppgifter.
MITRE-taktik: CredentialAccess
Allvarlighetsgrad: Medel
Möjlig nedladdning av Cryptocoinminer har identifierats
(K8S. NODE_CryptoCoinMinerDownload) 1
Beskrivning: Analys av processer som körs i en container eller direkt på en Kubernetes-nod har identifierat nedladdning av en fil som normalt är associerad med utvinning av digital valuta.
MITRE-taktik: DefenseEvasion, kommando och kontroll, utnyttjande
Allvarlighetsgrad: Medel
Möjlig loggmanipuleringsaktivitet har identifierats
(K8S. NODE_SystemLogRemoval) 1
Beskrivning: Analys av processer som körs i en container eller direkt på en Kubernetes-nod, har identifierat en möjlig borttagning av filer som spårar användarens aktivitet under åtgärden. Angripare försöker ofta undvika identifiering och lämnar inga spår av skadliga aktiviteter genom att ta bort sådana loggfiler.
MITRE-taktik: DefenseEvasion
Allvarlighetsgrad: Medel
Möjlig lösenordsändring med hjälp av crypt-method har identifierats
(K8S. NODE_SuspectPasswordChange) 1
Beskrivning: Analys av processer som körs i en container eller direkt på en Kubernetes-nod har identifierat en lösenordsändring med hjälp av kryptan. Angripare kan göra den här ändringen för att fortsätta åtkomsten och få beständighet efter att ha komprometterats.
MITRE-taktik: CredentialAccess
Allvarlighetsgrad: Medel
Potentiell portvidarebefordring till extern IP-adress
(K8S. NODE_SuspectPortForwarding) 1
Beskrivning: Analys av processer som körs i en container eller direkt på en Kubernetes-nod har identifierat en initiering av portvidarebefordring till en extern IP-adress.
MITRE-taktik: Exfiltrering, kommando och kontroll
Allvarlighetsgrad: Medel
Potentiellt omvändt gränssnitt har identifierats
(K8S. NODE_ReverseShell) 1
Beskrivning: Analys av processer som körs i en container eller direkt på en Kubernetes-nod har identifierat ett potentiellt omvändt gränssnitt. Dessa används för att få en komprometterad dator att anropa tillbaka till en dator som en angripare äger.
MITRE-taktik: Exfiltrering, exploatering
Allvarlighetsgrad: Medel
Privilegierad container har identifierats
(K8S_PrivilegedContainer)
Beskrivning: Kubernetes granskningslogganalys identifierade en ny privilegierad container. En privilegierad container har åtkomst till nodens resurser och bryter isoleringen mellan containrar. Om den komprometteras kan en angripare använda den privilegierade containern för att få åtkomst till noden.
MITRE-taktik: Privilegieeskalering
Allvarlighetsgrad: Information
Process som är associerad med utvinning av digital valuta har identifierats
(K8S. NODE_CryptoCoinMinerArtifacts) 1
Beskrivning: Analys av processer som körs i en container har identifierat körningen av en process som normalt är associerad med utvinning av digital valuta.
MITRE-taktik: Utförande, utnyttjande
Allvarlighetsgrad: Medel
Processen har visats komma åt den SSH-auktoriserade nyckelfilen på ett ovanligt sätt
(K8S. NODE_SshKeyAccess) 1
Beskrivning: En SSH-authorized_keys fil användes i en metod som liknar kända kampanjer för skadlig kod. Den här åtkomsten kan innebära att en aktör försöker få beständig åtkomst till en dator.
MITRE-taktik: Okänd
Allvarlighetsgrad: Information
Rollbindning till klusteradministratörsrollen har identifierats
(K8S_ClusterAdminBinding)
Beskrivning: Kubernetes granskningslogganalys identifierade en ny bindning till rollen klusteradministratör som ger administratörsbehörighet. Onödiga administratörsbehörigheter kan orsaka behörighetseskalering i klustret.
MITRE-taktik: Beständighet
Allvarlighetsgrad: Information
Säkerhetsrelaterad processavslut har identifierats
(K8S. NODE_SuspectProcessTermination) 1
Beskrivning: Analys av processer som körs i en container eller direkt på en Kubernetes-nod har identifierat ett försök att avsluta processer som rör säkerhetsövervakning på containern. Angripare försöker ofta avsluta sådana processer med fördefinierade skript efter kompromissen.
MITRE-taktik: Beständighet
Allvarlighetsgrad: Låg
SSH-servern körs i en container
(K8S. NODE_ContainerSSH) 1
Beskrivning: Analys av processer som körs i en container har identifierat en SSH-server som körs i containern.
MITRE-taktik: Körning
Allvarlighetsgrad: Information
Misstänkt filtidsstämpeländring
(K8S. NODE_TimestampTampering) 1
Beskrivning: Analys av processer som körs i en container eller direkt på en Kubernetes-nod har identifierat en misstänkt tidsstämpeländring. Angripare kopierar ofta tidsstämplar från befintliga legitima filer till nya verktyg för att undvika identifiering av de nyligen borttagna filerna.
MITRE-taktik: Beständighet, DefenseEvasion
Allvarlighetsgrad: Låg
Misstänkt begäran till Kubernetes API
(K8S. NODE_KubernetesAPI) 1
Beskrivning: Analys av processer som körs i en container anger att en misstänkt begäran gjordes till Kubernetes-API:et. Begäran skickades från en container i klustret. Även om det här beteendet kan vara avsiktligt kan det tyda på att en komprometterad container körs i klustret.
MITRE-taktik: LateralMovement
Allvarlighetsgrad: Medel
Misstänkt begäran till Kubernetes-instrumentpanelen
(K8S. NODE_KubernetesDashboard) 1
Beskrivning: Analys av processer som körs i en container indikerar att en misstänkt begäran gjordes till Kubernetes-instrumentpanelen. Begäran skickades från en container i klustret. Även om det här beteendet kan vara avsiktligt kan det tyda på att en komprometterad container körs i klustret.
MITRE-taktik: LateralMovement
Allvarlighetsgrad: Medel
Potentiell kryptomyntgrävare startad
(K8S. NODE_CryptoCoinMinerExecution) 1
Beskrivning: Analys av processer som körs i en container eller direkt på en Kubernetes-nod har identifierat en process som startas på ett sätt som normalt är associerat med utvinning av digital valuta.
MITRE-taktik: Körning
Allvarlighetsgrad: Medel
Misstänkt lösenordsåtkomst
(K8S. NODE_SuspectPasswordFileAccess) 1
Beskrivning: Analys av processer som körs i en container eller direkt på en Kubernetes-nod har upptäckt misstänkt försök att komma åt krypterade användarlösenord.
MITRE-taktik: Beständighet
Allvarlighetsgrad: Information
Möjligt skadligt webbgränssnitt har identifierats.
(K8S. NODE_Webshell) 1
Beskrivning: Analys av processer som körs i en container har identifierat ett möjligt webbgränssnitt. Angripare laddar ofta upp ett webbgränssnitt till en beräkningsresurs som de har komprometterat för att få beständighet eller för ytterligare utnyttjande.
MITRE-taktik: Beständighet, exploatering
Allvarlighetsgrad: Medel
Burst av flera rekognoseringskommandon kan indikera inledande aktivitet efter kompromiss
(K8S. NODE_ReconnaissanceArtifactsBurst) 1
Beskrivning: Analys av värd-/enhetsdata upptäckte körning av flera rekognoseringskommandon relaterade till insamling av system- eller värdinformation som utförts av angripare efter den första kompromissen.
MITRE-taktik: Identifiering, samling
Allvarlighetsgrad: Låg
Misstänkt nedladdning kör sedan aktivitet
(K8S. NODE_DownloadAndRunCombo) 1
Beskrivning: Analys av processer som körs i en container eller direkt på en Kubernetes-nod, har identifierat en fil som laddas ned och körs sedan i samma kommando. Även om detta inte alltid är skadligt är detta en mycket vanlig teknik som angripare använder för att få skadliga filer till offerdatorer.
MITRE-taktik: Execution, CommandAndControl, Exploitation
Allvarlighetsgrad: Medel
Åtkomst till kubelet kubeconfig-fil har identifierats
(K8S. NODE_KubeConfigAccess) 1
Beskrivning: Analys av processer som körs på en Kubernetes-klusternod identifierade åtkomst till kubeconfig-filen på värden. Kubeconfig-filen, som normalt används av Kubelet-processen, innehåller autentiseringsuppgifter för Kubernetes-klustrets API-server. Åtkomst till den här filen är ofta associerad med angripare som försöker komma åt dessa autentiseringsuppgifter eller med säkerhetsgenomsökningsverktyg som kontrollerar om filen är tillgänglig.
MITRE-taktik: CredentialAccess
Allvarlighetsgrad: Medel
Åtkomst till molnmetadatatjänsten har identifierats
(K8S. NODE_ImdsCall) 1
Beskrivning: Analys av processer som körs i en container har identifierat åtkomst till molnmetadatatjänsten för att hämta identitetstoken. Containern utför normalt inte en sådan åtgärd. Även om det här beteendet kan vara legitimt kan angripare använda den här tekniken för att komma åt molnresurser när de har fått inledande åtkomst till en container som körs.
MITRE-taktik: CredentialAccess
Allvarlighetsgrad: Medel
MITRE Caldera-agenten har identifierats
(K8S. NODE_MitreCalderaTools) 1
Beskrivning: Analys av processer som körs i en container eller direkt på en Kubernetes-nod har identifierat en misstänkt process. Detta är ofta associerat med MITRE 54ndc47-agenten, som kan användas skadligt för att attackera andra datorer.
MITRE-taktik: Persistence, PrivilegeEscalation, DefenseEvasion, CredentialAccess, Discovery, LateralMovement, Execution, Collection, Exfiltration, Command and Control, Probing, Exploitation
Allvarlighetsgrad: Medel
1: Förhandsversion för icke-AKS-kluster: Den här aviseringen är allmänt tillgänglig för AKS-kluster, men den är i förhandsversion för andra miljöer, till exempel Azure Arc, EKS och GKE.
2: Begränsningar för GKE-kluster: GKE använder en Kubernetes-granskningsprincip som inte stöder alla aviseringstyper. Därför stöds inte den här säkerhetsaviseringen, som baseras på Kubernetes-granskningshändelser, för GKE-kluster.
3: Den här aviseringen stöds på Windows-noder/containrar.
Aviseringar för SQL Database och Azure Synapse Analytics
Mer information och anteckningar
En möjlig säkerhetsrisk för SQL-inmatning
(SQL. DB_VulnerabilityToSqlInjection SQL. VM_VulnerabilityToSqlInjection SQL.MI_VulnerabilityToSqlInjection SQL. DW_VulnerabilityToSqlInjection Synapse.SQLPool_VulnerabilityToSqlInjection)
Beskrivning: Ett program har genererat en felaktig SQL-instruktion i databasen. Detta kan tyda på en möjlig säkerhetsrisk för SQL-inmatningsattacker. Det finns två möjliga orsaker till en felaktig instruktion. Ett fel i programkoden kan ha konstruerat den felaktiga SQL-instruktionen. Eller så sanerade inte programkod eller lagrade procedurer användarindata när den felaktiga SQL-instruktionen konstruerades, som kan utnyttjas för SQL-inmatning.
MITRE-taktik: PreAttack
Allvarlighetsgrad: Medel
Försök att logga in av ett potentiellt skadligt program
(SQL. DB_HarmfulApplication SQL. VM_HarmfulApplication SQL.MI_HarmfulApplication SQL. DW_HarmfulApplication Synapse.SQLPool_HarmfulApplication)
Beskrivning: Ett potentiellt skadligt program försökte komma åt resursen.
MITRE-taktik: PreAttack
Allvarlighetsgrad: Hög
Logga in från ett ovanligt Azure Data Center
(SQL. DB_DataCenterAnomaly SQL. VM_DataCenterAnomaly SQL. DW_DataCenterAnomaly SQL.MI_DataCenterAnomaly Synapse.SQLPool_DataCenterAnomaly)
Beskrivning: Det har skett en ändring i åtkomstmönstret till en SQL Server, där någon har loggat in på servern från ett ovanligt Azure Data Center. I vissa fall identifierar aviseringen en legitim åtgärd (ett nytt program eller en Azure-tjänst). I andra fall identifierar aviseringen en skadlig åtgärd (angripare som arbetar från en resurs som har brutits i Azure).
MITRE-taktik: Avsökning
Allvarlighetsgrad: Låg
Logga in från en ovanlig plats
(SQL. DB_GeoAnomaly SQL. VM_GeoAnomaly SQL. DW_GeoAnomaly SQL.MI_GeoAnomaly Synapse.SQLPool_GeoAnomaly)
Beskrivning: Det har skett en ändring i åtkomstmönstret till SQL Server, där någon har loggat in på servern från en ovanlig geografisk plats. I vissa fall identifierar aviseringen en giltig åtgärd (ett nytt program eller nytt underhåll av utvecklare). I andra fall identifierar aviseringen en skadlig åtgärd (en tidigare anställd eller extern angripare).
MITRE-taktik: Utnyttjande
Allvarlighetsgrad: Medel
Logga in från en huvudanvändare som inte setts på 60 dagar
(SQL. DB_PrincipalAnomaly SQL. VM_PrincipalAnomaly SQL. DW_PrincipalAnomaly SQL.MI_PrincipalAnomaly Synapse.SQLPool_PrincipalAnomaly)
Beskrivning: En huvudanvändare som inte har setts under de senaste 60 dagarna har loggat in på databasen. Om den här databasen är ny eller om det här är ett förväntat beteende som orsakas av de senaste ändringarna i de användare som kommer åt databasen kommer Defender för molnet att identifiera betydande ändringar i åtkomstmönstren och försöka förhindra framtida falska positiva identifieringar.
MITRE-taktik: Utnyttjande
Allvarlighetsgrad: Medel
Logga in från en domän som inte visas på 60 dagar
(SQL. DB_DomainAnomaly SQL. VM_DomainAnomaly SQL. DW_DomainAnomaly SQL.MI_DomainAnomaly Synapse.SQLPool_DomainAnomaly)
Beskrivning: En användare har loggat in på resursen från en domän som inga andra användare har anslutit från under de senaste 60 dagarna. Om den här resursen är ny eller om det här är ett förväntat beteende som orsakas av de senaste ändringarna i de användare som kommer åt resursen identifierar Defender för molnet betydande ändringar i åtkomstmönstren och försöker förhindra framtida falska positiva identifieringar.
MITRE-taktik: Utnyttjande
Allvarlighetsgrad: Medel
Logga in från en misstänkt IP-adress
(SQL. DB_SuspiciousIpAnomaly SQL. VM_SuspiciousIpAnomaly SQL. DW_SuspiciousIpAnomaly SQL.MI_SuspiciousIpAnomaly Synapse.SQLPool_SuspiciousIpAnomaly)
Beskrivning: Resursen har använts från en IP-adress som Microsoft Threat Intelligence har associerat med misstänkt aktivitet.
MITRE-taktik: PreAttack
Allvarlighetsgrad: Medel
Potentiell SQL-inmatning
(SQL. DB_PotentialSqlInjection SQL. VM_PotentialSqlInjection SQL.MI_PotentialSqlInjection SQL. DW_PotentialSqlInjection Synapse.SQLPool_PotentialSqlInjection)
Beskrivning: En aktiv exploatering har inträffat mot ett identifierat program som är sårbart för SQL-inmatning. Det innebär att en angripare försöker mata in skadliga SQL-instruktioner med hjälp av den sårbara programkoden eller lagrade procedurer.
MITRE-taktik: PreAttack
Allvarlighetsgrad: Hög
Misstänkt råstyrkeattack med en giltig användare
(SQL. DB_BruteForce SQL. VM_BruteForce SQL. DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)
Beskrivning: En potentiell råstyrkeattack har identifierats på resursen. Angriparen använder den giltiga användaren (användarnamnet), som har behörighet att logga in.
MITRE-taktik: PreAttack
Allvarlighetsgrad: Hög
Misstänkt brute force-attack
(SQL. DB_BruteForce SQL. VM_BruteForce SQL. DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)
Beskrivning: En potentiell råstyrkeattack har identifierats på resursen.
MITRE-taktik: PreAttack
Allvarlighetsgrad: Hög
Misstänkt lyckad brute force-attack
(SQL. DB_BruteForce SQL. VM_BruteForce SQL. DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)
Beskrivning: En lyckad inloggning inträffade efter en uppenbar råstyrkeattack på resursen.
MITRE-taktik: PreAttack
Allvarlighetsgrad: Hög
SQL Server skapade potentiellt ett Windows-kommandogränssnitt och fick åtkomst till en onormal extern källa
(SQL. DB_ShellExternalSourceAnomaly SQL. VM_ShellExternalSourceAnomaly SQL. DW_ShellExternalSourceAnomaly SQL.MI_ShellExternalSourceAnomaly Synapse.SQLPool_ShellExternalSourceAnomaly)
Beskrivning: En misstänkt SQL-instruktion kan ge upphov till ett Windows-kommandogränssnitt med en extern källa som inte har setts tidigare. Att köra ett gränssnitt som har åtkomst till en extern källa är en metod som används av angripare för att ladda ned skadlig nyttolast och sedan köra den på datorn och kompromettera den. Detta gör det möjligt för en angripare att utföra skadliga uppgifter under fjärrriktning. Du kan också använda åtkomst till en extern källa för att exfiltera data till ett externt mål.
MITRE-taktik: Körning
Allvarlighetsgrad: Hög
Ovanlig nyttolast med fördunklade delar har initierats av SQL Server
(SQL. VM_PotentialSqlInjection)
Beskrivning: Någon har initierat en ny nyttolast med hjälp av lagret i SQL Server som kommunicerar med operativsystemet samtidigt som kommandot i SQL-frågan döljs. Angripare döljer ofta effektfulla kommandon som övervakas populärt som xp_cmdshell, sp_add_job och andra. Fördunklingstekniker missbrukar legitima kommandon som strängsammanfogning, gjutning, basbyte och andra för att undvika regexidentifiering och skada loggarnas läsbarhet.
MITRE-taktik: Körning
Allvarlighetsgrad: Hög
Aviseringar för relationsdatabaser med öppen källkod
Mer information och anteckningar
Misstänkt råstyrkeattack med en giltig användare
(SQL. PostgreSQL_BruteForce SQL. MariaDB_BruteForce SQL. MySQL_BruteForce)
Beskrivning: En potentiell råstyrkeattack har identifierats på resursen. Angriparen använder den giltiga användaren (användarnamnet), som har behörighet att logga in.
MITRE-taktik: PreAttack
Allvarlighetsgrad: Hög
Misstänkt lyckad brute force-attack
(SQL. PostgreSQL_BruteForce SQL. MySQL_BruteForce SQL. MariaDB_BruteForce)
Beskrivning: En lyckad inloggning inträffade efter en uppenbar råstyrkeattack på resursen.
MITRE-taktik: PreAttack
Allvarlighetsgrad: Hög
Misstänkt brute force-attack
(SQL. PostgreSQL_BruteForce SQL. MySQL_BruteForce SQL. MariaDB_BruteForce)
Beskrivning: En potentiell råstyrkeattack har identifierats på resursen.
MITRE-taktik: PreAttack
Allvarlighetsgrad: Hög
Försök att logga in av ett potentiellt skadligt program
(SQL. PostgreSQL_HarmfulApplication SQL. MariaDB_HarmfulApplication SQL. MySQL_HarmfulApplication)
Beskrivning: Ett potentiellt skadligt program försökte komma åt resursen.
MITRE-taktik: PreAttack
Allvarlighetsgrad: Hög
Logga in från en huvudanvändare som inte setts på 60 dagar
(SQL. PostgreSQL_PrincipalAnomaly SQL. MariaDB_PrincipalAnomaly SQL. MySQL_PrincipalAnomaly)
Beskrivning: En huvudanvändare som inte har setts under de senaste 60 dagarna har loggat in på databasen. Om den här databasen är ny eller om det här är ett förväntat beteende som orsakas av de senaste ändringarna i de användare som kommer åt databasen kommer Defender för molnet att identifiera betydande ändringar i åtkomstmönstren och försöka förhindra framtida falska positiva identifieringar.
MITRE-taktik: Utnyttjande
Allvarlighetsgrad: Medel
Logga in från en domän som inte visas på 60 dagar
(SQL. MariaDB_DomainAnomaly SQL. PostgreSQL_DomainAnomaly SQL. MySQL_DomainAnomaly)
Beskrivning: En användare har loggat in på resursen från en domän som inga andra användare har anslutit från under de senaste 60 dagarna. Om den här resursen är ny eller om det här är ett förväntat beteende som orsakas av de senaste ändringarna i de användare som kommer åt resursen identifierar Defender för molnet betydande ändringar i åtkomstmönstren och försöker förhindra framtida falska positiva identifieringar.
MITRE-taktik: Utnyttjande
Allvarlighetsgrad: Medel
Logga in från ett ovanligt Azure Data Center
(SQL. PostgreSQL_DataCenterAnomaly SQL. MariaDB_DataCenterAnomaly SQL. MySQL_DataCenterAnomaly)
Beskrivning: Någon har loggat in på din resurs från ett ovanligt Azure Data Center.
MITRE-taktik: Avsökning
Allvarlighetsgrad: Låg
Logga in från en ovanlig molnleverantör
(SQL. PostgreSQL_CloudProviderAnomaly SQL. MariaDB_CloudProviderAnomaly SQL. MySQL_CloudProviderAnomaly)
Beskrivning: Någon har loggat in på din resurs från en molnleverantör som inte har setts under de senaste 60 dagarna. Det är snabbt och enkelt för hotaktörer att få disponibel beräkningskraft för användning i sina kampanjer. Om detta är förväntat beteende som orsakas av den senaste implementeringen av en ny molnleverantör lär Defender för molnet sig över tid och försöker förhindra framtida falska positiva identifieringar.
MITRE-taktik: Utnyttjande
Allvarlighetsgrad: Medel
Logga in från en ovanlig plats
(SQL. MariaDB_GeoAnomaly SQL. PostgreSQL_GeoAnomaly SQL. MySQL_GeoAnomaly)
Beskrivning: Någon har loggat in på din resurs från ett ovanligt Azure Data Center.
MITRE-taktik: Utnyttjande
Allvarlighetsgrad: Medel
Logga in från en misstänkt IP-adress
(SQL. PostgreSQL_SuspiciousIpAnomaly SQL. MariaDB_SuspiciousIpAnomaly SQL. MySQL_SuspiciousIpAnomaly)
Beskrivning: Resursen har använts från en IP-adress som Microsoft Threat Intelligence har associerat med misstänkt aktivitet.
MITRE-taktik: PreAttack
Allvarlighetsgrad: Medel
Aviseringar för Resource Manager
Kommentar
Aviseringar med en delegerad åtkomstindikator utlöses på grund av aktivitet hos tredjepartstjänstleverantörer. läs mer om aktivitetsadikationer för tjänsteleverantörer.
Mer information och anteckningar
Azure Resource Manager-åtgärd från misstänkt IP-adress
(ARM_OperationFromSuspiciousIP)
Beskrivning: Microsoft Defender för Resource Manager har identifierat en åtgärd från en IP-adress som har markerats som misstänkt i hotinformationsflöden.
MITRE-taktik: Körning
Allvarlighetsgrad: Medel
Azure Resource Manager-åtgärd från misstänkt proxy-IP-adress
(ARM_OperationFromSuspiciousProxyIP)
Beskrivning: Microsoft Defender för Resource Manager identifierade en resurshanteringsåtgärd från en IP-adress som är associerad med proxytjänster, till exempel TOR. Även om det här beteendet kan vara legitimt, visas det ofta i skadliga aktiviteter, när hotaktörer försöker dölja sin käll-IP.
MITRE-taktik: Försvarsundandragande
Allvarlighetsgrad: Medel
Verktyg för MicroBurst-exploatering som används för att räkna upp resurser i dina prenumerationer
(ARM_MicroBurst.AzDomainInfo)
Beskrivning: Ett PowerShell-skript kördes i din prenumeration och utförde ett misstänkt mönster för att köra en informationsinsamling för att identifiera resurser, behörigheter och nätverksstrukturer. Hotaktörer använder automatiserade skript, till exempel MicroBurst, för att samla in information om skadliga aktiviteter. Detta upptäcktes genom att analysera Azure Resource Manager-åtgärder i din prenumeration. Den här åtgärden kan tyda på att en identitet i organisationen har brutits och att hotskådespelaren försöker kompromettera din miljö för skadliga avsikter.
MITRE-taktik: -
Allvarlighetsgrad: Låg
Verktyg för MicroBurst-exploatering som används för att räkna upp resurser i dina prenumerationer
(ARM_MicroBurst.AzureDomainInfo)
Beskrivning: Ett PowerShell-skript kördes i din prenumeration och utförde ett misstänkt mönster för att köra en informationsinsamling för att identifiera resurser, behörigheter och nätverksstrukturer. Hotaktörer använder automatiserade skript, till exempel MicroBurst, för att samla in information om skadliga aktiviteter. Detta upptäcktes genom att analysera Azure Resource Manager-åtgärder i din prenumeration. Den här åtgärden kan tyda på att en identitet i organisationen har brutits och att hotskådespelaren försöker kompromettera din miljö för skadliga avsikter.
MITRE-taktik: -
Allvarlighetsgrad: Låg
MicroBurst-exploateringsverktyg som används för att köra kod på den virtuella datorn
(ARM_MicroBurst.AzVMBulkCMD)
Beskrivning: Ett PowerShell-skript kördes i din prenumeration och utförde ett misstänkt mönster för att köra kod på en virtuell dator eller en lista över virtuella datorer. Hotaktörer använder automatiserade skript, till exempel MicroBurst, för att köra ett skript på en virtuell dator för skadliga aktiviteter. Detta upptäcktes genom att analysera Azure Resource Manager-åtgärder i din prenumeration. Den här åtgärden kan tyda på att en identitet i organisationen har brutits och att hotskådespelaren försöker kompromettera din miljö för skadliga avsikter.
MITRE-taktik: Körning
Allvarlighetsgrad: Hög
MicroBurst-exploateringsverktyg som används för att köra kod på den virtuella datorn
(RM_MicroBurst.AzureRmVMBulkCMD)
Beskrivning: MicroBursts verktyg för exploatering användes för att köra kod på dina virtuella datorer. Detta upptäcktes genom att analysera Azure Resource Manager-åtgärder i din prenumeration.
MITRE-taktik: -
Allvarlighetsgrad: Hög
Verktyg för microBurst-exploatering som används för att extrahera nycklar från dina Azure-nyckelvalv
(ARM_MicroBurst.AzKeyVaultKeysREST)
Beskrivning: Ett PowerShell-skript kördes i din prenumeration och utförde ett misstänkt mönster för att extrahera nycklar från ett Azure Key Vault(er). Hotaktörer använder automatiserade skript, till exempel MicroBurst, för att lista nycklar och använda dem för att komma åt känsliga data eller utföra lateral förflyttning. Detta upptäcktes genom att analysera Azure Resource Manager-åtgärder i din prenumeration. Den här åtgärden kan tyda på att en identitet i organisationen har brutits och att hotskådespelaren försöker kompromettera din miljö för skadliga avsikter.
MITRE-taktik: -
Allvarlighetsgrad: Hög
Verktyg för microBurst-exploatering som används för att extrahera nycklar till dina lagringskonton
(ARM_MicroBurst.AZStorageKeysREST)
Beskrivning: Ett PowerShell-skript kördes i din prenumeration och utförde ett misstänkt mönster för att extrahera nycklar till lagringskonton. Hotaktörer använder automatiserade skript, till exempel MicroBurst, för att lista nycklar och använda dem för att komma åt känsliga data i dina lagringskonton. Detta upptäcktes genom att analysera Azure Resource Manager-åtgärder i din prenumeration. Den här åtgärden kan tyda på att en identitet i organisationen har brutits och att hotskådespelaren försöker kompromettera din miljö för skadliga avsikter.
MITRE-taktik: Samling
Allvarlighetsgrad: Hög
Verktyg för microBurst-exploatering som används för att extrahera hemligheter från dina Azure-nyckelvalv
(ARM_MicroBurst.AzKeyVaultSecretsREST)
Beskrivning: Ett PowerShell-skript kördes i din prenumeration och utförde ett misstänkt mönster för att extrahera hemligheter från ett Azure Key Vault(er). Hotaktörer använder automatiserade skript, till exempel MicroBurst, för att lista hemligheter och använda dem för att komma åt känsliga data eller utföra laterala förflyttningar. Detta upptäcktes genom att analysera Azure Resource Manager-åtgärder i din prenumeration. Den här åtgärden kan tyda på att en identitet i organisationen har brutits och att hotskådespelaren försöker kompromettera din miljö för skadliga avsikter.
MITRE-taktik: -
Allvarlighetsgrad: Hög
Verktyg för PowerZure-exploatering som används för att höja åtkomsten från Azure AD till Azure
(ARM_PowerZure.AzureElevatedPrivileges)
Beskrivning: PowerZure-exploateringsverktyg användes för att höja åtkomsten från AzureAD till Azure. Detta identifierades genom att analysera Azure Resource Manager-åtgärder i din klientorganisation.
MITRE-taktik: -
Allvarlighetsgrad: Hög
PowerZure-exploateringsverktyg som används för att räkna upp resurser
(ARM_PowerZure.GetAzureTargets)
Beskrivning: PowerZure-exploateringsverktyg användes för att räkna upp resurser för ett legitimt användarkonto i din organisation. Detta upptäcktes genom att analysera Azure Resource Manager-åtgärder i din prenumeration.
MITRE-taktik: Samling
Allvarlighetsgrad: Hög
PowerZure-exploateringsverktyg som används för att räkna upp lagringscontainrar, resurser och tabeller
(ARM_PowerZure.ShowStorageContent)
Beskrivning: PowerZure-exploateringsverktyg användes för att räkna upp lagringsresurser, tabeller och containrar. Detta upptäcktes genom att analysera Azure Resource Manager-åtgärder i din prenumeration.
MITRE-taktik: -
Allvarlighetsgrad: Hög
PowerZure-exploateringsverktyg som används för att köra en Runbook i din prenumeration
(ARM_PowerZure.StartRunbook)
Beskrivning: PowerZure-exploateringsverktyg användes för att köra en Runbook. Detta upptäcktes genom att analysera Azure Resource Manager-åtgärder i din prenumeration.
MITRE-taktik: -
Allvarlighetsgrad: Hög
PowerZure-exploateringsverktyg som används för att extrahera Runbooks-innehåll
(ARM_PowerZure.AzureRunbookContent)
Beskrivning: PowerZure-exploateringsverktyg användes för att extrahera Runbook-innehåll. Detta upptäcktes genom att analysera Azure Resource Manager-åtgärder i din prenumeration.
MITRE-taktik: Samling
Allvarlighetsgrad: Hög
FÖRHANDSVERSION – Azurite toolkit-körning har identifierats
(ARM_Azurite)
Beskrivning: En känd rekognoseringsverktygskörning för molnmiljö har identifierats i din miljö. Verktyget Azurite kan användas av en angripare (eller intrångstestare) för att mappa prenumerationernas resurser och identifiera osäkra konfigurationer.
MITRE-taktik: Samling
Allvarlighetsgrad: Hög
FÖRHANDSVERSION – Misstänkt skapande av beräkningsresurser har identifierats
(ARM_SuspiciousComputeCreation)
Beskrivning: Microsoft Defender för Resource Manager har identifierat ett misstänkt skapande av beräkningsresurser i din prenumeration med virtuella datorer/Azure-skalningsuppsättningar. De identifierade åtgärderna är utformade för att administratörer effektivt ska kunna hantera sina miljöer genom att distribuera nya resurser vid behov. Även om den här aktiviteten kan vara legitim kan en hotskådespelare använda sådana åtgärder för att utföra kryptoutvinning. Aktiviteten anses misstänkt eftersom skalningen för beräkningsresurser är högre än vad som tidigare observerats i prenumerationen. Detta kan tyda på att huvudkontot har komprometterats och används med skadlig avsikt.
MITRE-taktik: Påverkan
Allvarlighetsgrad: Medel
FÖRHANDSVERSION – Misstänkt återställning av nyckelvalv har identifierats
(Arm_Suspicious_Vault_Recovering)
Beskrivning: Microsoft Defender för Resource Manager har identifierat en misstänkt återställningsåtgärd för en resurs med mjukt borttaget nyckelvalv. Användaren som återställer resursen skiljer sig från användaren som tog bort den. Detta är mycket misstänkt eftersom användaren sällan anropar en sådan åtgärd. Dessutom loggade användaren in utan multifaktorautentisering (MFA). Detta kan tyda på att användaren är komprometterad och försöker identifiera hemligheter och nycklar för att få åtkomst till känsliga resurser eller utföra laterala rörelser i nätverket.
MITRE-taktik: Lateral rörelse
Allvarlighetsgrad: Medel/hög
FÖRHANDSVERSION – Misstänkt hanteringssession med ett inaktivt konto har identifierats
(ARM_UnusedAccountPersistence)
Beskrivning: Analys av prenumerationsaktivitetsloggar har identifierat misstänkt beteende. Ett huvudnamn som inte används under en längre tid utför nu åtgärder som kan skydda beständighet för en angripare.
MITRE-taktik: Beständighet
Allvarlighetsgrad: Medel
FÖRHANDSVERSION – Misstänkt anrop av en högriskåtgärd för åtkomst till autentiseringsuppgifter av ett tjänstens huvudnamn har identifierats
(ARM_AnomalousServiceOperation.CredentialAccess)
Beskrivning: Microsoft Defender för Resource Manager identifierade ett misstänkt anrop av en högriskåtgärd i din prenumeration, vilket kan tyda på ett försök att komma åt autentiseringsuppgifter. De identifierade åtgärderna är utformade för att administratörer effektivt ska kunna hantera sina miljöer. Även om den här aktiviteten kan vara legitim kan en hotakterare använda sådana åtgärder för att få åtkomst till begränsade autentiseringsuppgifter och kompromettera resurser i din miljö. Detta kan tyda på att tjänstens huvudnamn är komprometterat och används med skadlig avsikt.
MITRE-taktik: Åtkomst till autentiseringsuppgifter
Allvarlighetsgrad: Medel
FÖRHANDSVERSION – Misstänkt anrop av en högriskåtgärd för datainsamling av ett tjänstens huvudnamn har identifierats
(ARM_AnomalousServiceOperation.Collection)
Beskrivning: Microsoft Defender för Resource Manager identifierade ett misstänkt anrop av en högriskåtgärd i din prenumeration, vilket kan tyda på ett försök att samla in data. De identifierade åtgärderna är utformade för att administratörer effektivt ska kunna hantera sina miljöer. Även om den här aktiviteten kan vara legitim kan en hotakterare använda sådana åtgärder för att samla in känsliga data om resurser i din miljö. Detta kan tyda på att tjänstens huvudnamn är komprometterat och används med skadlig avsikt.
MITRE-taktik: Samling
Allvarlighetsgrad: Medel
FÖRHANDSVERSION – Misstänkt anrop av en högriskåtgärd för "försvarsundandragande" av ett huvudnamn för tjänsten har identifierats
(ARM_AnomalousServiceOperation.DefenseEvasion)
Beskrivning: Microsoft Defender för Resource Manager identifierade ett misstänkt anrop av en högriskåtgärd i din prenumeration, vilket kan tyda på ett försök att undvika skydd. De identifierade åtgärderna är utformade för att administratörer effektivt ska kunna hantera säkerhetsstatusen i sina miljöer. Även om den här aktiviteten kan vara legitim kan en hotskådespelare använda sådana åtgärder för att undvika att identifieras samtidigt som resurser i din miljö komprometteras. Detta kan tyda på att tjänstens huvudnamn är komprometterat och används med skadlig avsikt.
MITRE-taktik: Försvarsundandragande
Allvarlighetsgrad: Medel
FÖRHANDSVERSION – Misstänkt anrop av en högriskåtgärd för körning av tjänstens huvudnamn har identifierats
(ARM_AnomalousServiceOperation.Execution)
Beskrivning: Microsoft Defender för Resource Manager identifierade ett misstänkt anrop av en högriskåtgärd på en dator i din prenumeration, vilket kan tyda på ett försök att köra kod. De identifierade åtgärderna är utformade för att administratörer effektivt ska kunna hantera sina miljöer. Även om den här aktiviteten kan vara legitim kan en hotakterare använda sådana åtgärder för att få åtkomst till begränsade autentiseringsuppgifter och kompromettera resurser i din miljö. Detta kan tyda på att tjänstens huvudnamn är komprometterat och används med skadlig avsikt.
MITRE-taktik: Försvarskörning
Allvarlighetsgrad: Medel
FÖRHANDSVERSION – Misstänkt anrop av en högriskåtgärd för "Påverkan" av ett tjänstens huvudnamn har identifierats
(ARM_AnomalousServiceOperation.Impact)
Beskrivning: Microsoft Defender för Resource Manager identifierade ett misstänkt anrop av en högriskåtgärd i din prenumeration, vilket kan tyda på ett försök till konfigurationsändring. De identifierade åtgärderna är utformade för att administratörer effektivt ska kunna hantera sina miljöer. Även om den här aktiviteten kan vara legitim kan en hotakterare använda sådana åtgärder för att få åtkomst till begränsade autentiseringsuppgifter och kompromettera resurser i din miljö. Detta kan tyda på att tjänstens huvudnamn är komprometterat och används med skadlig avsikt.
MITRE-taktik: Påverkan
Allvarlighetsgrad: Medel
FÖRHANDSVERSION – Misstänkt anrop av en högriskåtgärd för "initial åtkomst" av ett tjänstens huvudnamn har identifierats
(ARM_AnomalousServiceOperation.InitialAccess)
Beskrivning: Microsoft Defender för Resource Manager identifierade ett misstänkt anrop av en högriskåtgärd i din prenumeration, vilket kan tyda på ett försök att komma åt begränsade resurser. De identifierade åtgärderna är utformade för att administratörer effektivt ska kunna komma åt sina miljöer. Även om den här aktiviteten kan vara legitim kan en hotskådespelare använda sådana åtgärder för att få inledande åtkomst till begränsade resurser i din miljö. Detta kan tyda på att tjänstens huvudnamn är komprometterat och används med skadlig avsikt.
MITRE-taktik: Inledande åtkomst
Allvarlighetsgrad: Medel
FÖRHANDSVERSION – Misstänkt anrop av en högriskåtgärd för "lateral förflyttningsåtkomst" av ett huvudnamn för tjänsten har identifierats
(ARM_AnomalousServiceOperation.LateralMovement)
Beskrivning: Microsoft Defender för Resource Manager identifierade ett misstänkt anrop av en högriskåtgärd i din prenumeration, vilket kan tyda på ett försök att utföra lateral förflyttning. De identifierade åtgärderna är utformade för att administratörer effektivt ska kunna hantera sina miljöer. Även om den här aktiviteten kan vara legitim kan en hotakterare använda sådana åtgärder för att kompromettera fler resurser i din miljö. Detta kan tyda på att tjänstens huvudnamn är komprometterat och används med skadlig avsikt.
MITRE-taktik: Lateral rörelse
Allvarlighetsgrad: Medel
FÖRHANDSVERSION – Misstänkt anrop av en högriskåtgärd för "beständighet" av ett tjänstens huvudnamn har identifierats
(ARM_AnomalousServiceOperation.Persistence)
Beskrivning: Microsoft Defender för Resource Manager identifierade ett misstänkt anrop av en högriskåtgärd i din prenumeration, vilket kan tyda på ett försök att fastställa beständighet. De identifierade åtgärderna är utformade för att administratörer effektivt ska kunna hantera sina miljöer. Även om den här aktiviteten kan vara legitim kan en hotaktör använda sådana åtgärder för att etablera beständighet i din miljö. Detta kan tyda på att tjänstens huvudnamn är komprometterat och används med skadlig avsikt.
MITRE-taktik: Beständighet
Allvarlighetsgrad: Medel
FÖRHANDSVERSION – Misstänkt anrop av en högriskåtgärd för "Privilege Escalation" av ett tjänstens huvudnamn har identifierats
(ARM_AnomalousServiceOperation.PrivilegeEscalation)
Beskrivning: Microsoft Defender för Resource Manager identifierade ett misstänkt anrop av en högriskåtgärd i din prenumeration, vilket kan tyda på ett försök att eskalera privilegier. De identifierade åtgärderna är utformade för att administratörer effektivt ska kunna hantera sina miljöer. Även om den här aktiviteten kan vara legitim kan en hotskådespelare använda sådana åtgärder för att eskalera privilegier samtidigt som resurser i din miljö äventyras. Detta kan tyda på att tjänstens huvudnamn är komprometterat och används med skadlig avsikt.
MITRE-taktik: Privilegieeskalering
Allvarlighetsgrad: Medel
FÖRHANDSVERSION – Misstänkt hanteringssession med ett inaktivt konto har identifierats
(ARM_UnusedAccountPersistence)
Beskrivning: Analys av prenumerationsaktivitetsloggar har identifierat misstänkt beteende. Ett huvudnamn som inte används under en längre tid utför nu åtgärder som kan skydda beständighet för en angripare.
MITRE-taktik: Beständighet
Allvarlighetsgrad: Medel
FÖRHANDSVERSION – Misstänkt hanteringssession med PowerShell har identifierats
(ARM_UnusedAppPowershellPersistence)
Beskrivning: Analys av prenumerationsaktivitetsloggar har identifierat misstänkt beteende. Ett huvudnamn som inte regelbundet använder PowerShell för att hantera prenumerationsmiljön använder nu PowerShell och utför åtgärder som kan skydda beständighet för en angripare.
MITRE-taktik: Beständighet
Allvarlighetsgrad: Medel
FÖRHANDSVERSION â€" Misstänkt hanteringssession med Azure-portalen har identifierats
(ARM_UnusedAppIbizaPersistence)
Beskrivning: Analys av dina prenumerationsaktivitetsloggar har identifierat ett misstänkt beteende. Ett huvudnamn som inte regelbundet använder Azure-portalen (Ibiza) för att hantera prenumerationsmiljön (har inte använt Azure-portalen för att hantera under de senaste 45 dagarna eller en prenumeration som den aktivt hanterar) använder nu Azure-portalen och utför åtgärder som kan skydda beständighet för en angripare.
MITRE-taktik: Beständighet
Allvarlighetsgrad: Medel
Privilegierad anpassad roll som skapats för din prenumeration på ett misstänkt sätt (förhandsversion)
(ARM_PrivilegedRoleDefinitionCreation)
Beskrivning: Microsoft Defender för Resource Manager har identifierat en misstänkt skapande av privilegierad anpassad rolldefinition i din prenumeration. Den här åtgärden kan ha utförts av en legitim användare i din organisation. Alternativt kan det tyda på att ett konto i din organisation har brutits och att hotskådespelaren försöker skapa en privilegierad roll som ska användas i framtiden för att undvika identifiering.
MITRE-taktik: Privilege Escalation, Defense Evasion
Allvarlighetsgrad: Information
Misstänkt Azure-rolltilldelning har identifierats (förhandsversion)
(ARM_AnomalousRBACRoleAssignment)
Beskrivning: Microsoft Defender för Resource Manager identifierade en misstänkt Azure-rolltilldelning/utfördes med PIM (Privileged Identity Management) i din klientorganisation, vilket kan tyda på att ett konto i din organisation har komprometterats. De identifierade åtgärderna är utformade för att tillåta administratörer att bevilja huvudnamn åtkomst till Azure-resurser. Även om den här aktiviteten kan vara legitim kan en hotskådespelare använda rolltilldelning för att eskalera sina behörigheter så att de kan gå vidare med attacken.
MITRE-taktik: Lateral rörelse, försvarsundandragande
Allvarlighetsgrad: Låg (PIM) /Hög
Misstänkt anrop av en högriskåtgärd för åtkomst till autentiseringsuppgifter har identifierats (förhandsversion)
(ARM_AnomalousOperation.CredentialAccess)
Beskrivning: Microsoft Defender för Resource Manager identifierade ett misstänkt anrop av en högriskåtgärd i din prenumeration, vilket kan tyda på ett försök att komma åt autentiseringsuppgifter. De identifierade åtgärderna är utformade för att administratörer effektivt ska kunna komma åt sina miljöer. Även om den här aktiviteten kan vara legitim kan en hotakterare använda sådana åtgärder för att få åtkomst till begränsade autentiseringsuppgifter och kompromettera resurser i din miljö. Detta kan tyda på att kontot har komprometterats och används med skadlig avsikt.
MITRE-taktik: Åtkomst till autentiseringsuppgifter
Allvarlighetsgrad: Medel
Misstänkt anrop av en högriskåtgärd för datainsamling har identifierats (förhandsversion)
(ARM_AnomalousOperation.Collection)
Beskrivning: Microsoft Defender för Resource Manager identifierade ett misstänkt anrop av en högriskåtgärd i din prenumeration, vilket kan tyda på ett försök att samla in data. De identifierade åtgärderna är utformade för att administratörer effektivt ska kunna hantera sina miljöer. Även om den här aktiviteten kan vara legitim kan en hotakterare använda sådana åtgärder för att samla in känsliga data om resurser i din miljö. Detta kan tyda på att kontot har komprometterats och används med skadlig avsikt.
MITRE-taktik: Samling
Allvarlighetsgrad: Medel
Misstänkt anrop av en högriskåtgärd för "försvarsundandragande" har identifierats (förhandsversion)
(ARM_AnomalousOperation.DefenseEvasion)
Beskrivning: Microsoft Defender för Resource Manager identifierade ett misstänkt anrop av en högriskåtgärd i din prenumeration, vilket kan tyda på ett försök att undvika skydd. De identifierade åtgärderna är utformade för att administratörer effektivt ska kunna hantera säkerhetsstatusen i sina miljöer. Även om den här aktiviteten kan vara legitim kan en hotskådespelare använda sådana åtgärder för att undvika att identifieras samtidigt som resurser i din miljö komprometteras. Detta kan tyda på att kontot har komprometterats och används med skadlig avsikt.
MITRE-taktik: Försvarsundandragande
Allvarlighetsgrad: Medel
Misstänkt anrop av en högriskåtgärd för körning har identifierats (förhandsversion)
(ARM_AnomalousOperation.Execution)
Beskrivning: Microsoft Defender för Resource Manager identifierade ett misstänkt anrop av en högriskåtgärd på en dator i din prenumeration, vilket kan tyda på ett försök att köra kod. De identifierade åtgärderna är utformade för att administratörer effektivt ska kunna hantera sina miljöer. Även om den här aktiviteten kan vara legitim kan en hotakterare använda sådana åtgärder för att få åtkomst till begränsade autentiseringsuppgifter och kompromettera resurser i din miljö. Detta kan tyda på att kontot har komprometterats och används med skadlig avsikt.
MITRE-taktik: Körning
Allvarlighetsgrad: Medel
Misstänkt anrop av en högriskåtgärd för påverkan har identifierats (förhandsversion)
(ARM_AnomalousOperation.Impact)
Beskrivning: Microsoft Defender för Resource Manager identifierade ett misstänkt anrop av en högriskåtgärd i din prenumeration, vilket kan tyda på ett försök till konfigurationsändring. De identifierade åtgärderna är utformade för att administratörer effektivt ska kunna hantera sina miljöer. Även om den här aktiviteten kan vara legitim kan en hotakterare använda sådana åtgärder för att få åtkomst till begränsade autentiseringsuppgifter och kompromettera resurser i din miljö. Detta kan tyda på att kontot har komprometterats och används med skadlig avsikt.
MITRE-taktik: Påverkan
Allvarlighetsgrad: Medel
Misstänkt anrop av en högriskåtgärd för "initial åtkomst" har identifierats (förhandsversion)
(ARM_AnomalousOperation.InitialAccess)
Beskrivning: Microsoft Defender för Resource Manager identifierade ett misstänkt anrop av en högriskåtgärd i din prenumeration, vilket kan tyda på ett försök att komma åt begränsade resurser. De identifierade åtgärderna är utformade för att administratörer effektivt ska kunna komma åt sina miljöer. Även om den här aktiviteten kan vara legitim kan en hotskådespelare använda sådana åtgärder för att få inledande åtkomst till begränsade resurser i din miljö. Detta kan tyda på att kontot har komprometterats och används med skadlig avsikt.
MITRE-taktik: Inledande åtkomst
Allvarlighetsgrad: Medel
Misstänkt anrop av en högriskåtgärd för lateral förflyttning har identifierats (förhandsversion)
(ARM_AnomalousOperation.LateralMovement)
Beskrivning: Microsoft Defender för Resource Manager identifierade ett misstänkt anrop av en högriskåtgärd i din prenumeration, vilket kan tyda på ett försök att utföra lateral förflyttning. De identifierade åtgärderna är utformade för att administratörer effektivt ska kunna hantera sina miljöer. Även om den här aktiviteten kan vara legitim kan en hotakterare använda sådana åtgärder för att kompromettera fler resurser i din miljö. Detta kan tyda på att kontot har komprometterats och används med skadlig avsikt.
MITRE-taktik: Lateral rörelse
Allvarlighetsgrad: Medel
Misstänkt utökade åtkomståtgärder (förhandsversion)(ARM_AnomalousElevateAccess)
Beskrivning: Microsoft Defender för Resource Manager identifierade en misstänkt åtgärd för att höja åtkomsten. Aktiviteten anses misstänkt eftersom det här huvudkontot sällan anropar sådana åtgärder. Även om den här aktiviteten kan vara legitim kan en hotskådespelare använda en åtgärd för att öka åtkomsten för att utföra behörighetseskalering för en komprometterad användare.
MITRE-taktik: Privilegieeskalering
Allvarlighetsgrad: Medel
Misstänkt anrop av en högriskåtgärd för beständighet har identifierats (förhandsversion)
(ARM_AnomalousOperation.Persistence)
Beskrivning: Microsoft Defender för Resource Manager identifierade ett misstänkt anrop av en högriskåtgärd i din prenumeration, vilket kan tyda på ett försök att fastställa beständighet. De identifierade åtgärderna är utformade för att administratörer effektivt ska kunna hantera sina miljöer. Även om den här aktiviteten kan vara legitim kan en hotaktör använda sådana åtgärder för att etablera beständighet i din miljö. Detta kan tyda på att kontot har komprometterats och används med skadlig avsikt.
MITRE-taktik: Beständighet
Allvarlighetsgrad: Medel
Misstänkt anrop av en högriskåtgärd för "Privilege Escalation" har identifierats (förhandsversion)
(ARM_AnomalousOperation.PrivilegeEscalation)
Beskrivning: Microsoft Defender för Resource Manager identifierade ett misstänkt anrop av en högriskåtgärd i din prenumeration, vilket kan tyda på ett försök att eskalera privilegier. De identifierade åtgärderna är utformade för att administratörer effektivt ska kunna hantera sina miljöer. Även om den här aktiviteten kan vara legitim kan en hotskådespelare använda sådana åtgärder för att eskalera privilegier samtidigt som resurser i din miljö äventyras. Detta kan tyda på att kontot har komprometterats och används med skadlig avsikt.
MITRE-taktik: Privilegieeskalering
Allvarlighetsgrad: Medel
Användning av Verktyg för microBurst-exploatering för att köra en godtycklig kod eller exfiltera autentiseringsuppgifter för Azure Automation-kontot
(ARM_MicroBurst.RunCodeOnBehalf)
Beskrivning: Ett PowerShell-skript kördes i din prenumeration och utförde ett misstänkt mönster för att köra en godtycklig kod eller exfiltera autentiseringsuppgifter för Azure Automation-kontot. Hotaktörer använder automatiserade skript, till exempel MicroBurst, för att köra godtycklig kod för skadliga aktiviteter. Detta upptäcktes genom att analysera Azure Resource Manager-åtgärder i din prenumeration. Den här åtgärden kan tyda på att en identitet i organisationen har brutits och att hotskådespelaren försöker kompromettera din miljö för skadliga avsikter.
MITRE-taktik: Beständighet, åtkomst till autentiseringsuppgifter
Allvarlighetsgrad: Hög
Användning av NetSPI-tekniker för att upprätthålla beständighet i din Azure-miljö
(ARM_NetSPI.MaintainPersistence)
Beskrivning: Användning av NetSPI-beständighetsteknik för att skapa en webhook-bakdörr och upprätthålla beständighet i din Azure-miljö. Detta upptäcktes genom att analysera Azure Resource Manager-åtgärder i din prenumeration.
MITRE-taktik: -
Allvarlighetsgrad: Hög
Användning av PowerZure-verktyg för exploatering för att köra en godtycklig kod eller exfiltera autentiseringsuppgifter för Azure Automation-kontot
(ARM_PowerZure.RunCodeOnBehalf)
Beskrivning: PowerZure-exploateringsverktyg har identifierat försök att köra kod eller exfiltera autentiseringsuppgifter för Azure Automation-kontot. Detta upptäcktes genom att analysera Azure Resource Manager-åtgärder i din prenumeration.
MITRE-taktik: -
Allvarlighetsgrad: Hög
Användning av PowerZure-funktionen för att upprätthålla beständighet i din Azure-miljö
(ARM_PowerZure.MaintainPersistence)
Beskrivning: PowerZure-exploateringsverktyg har identifierat skapandet av en webhook-bakdörr för att upprätthålla beständighet i din Azure-miljö. Detta upptäcktes genom att analysera Azure Resource Manager-åtgärder i din prenumeration.
MITRE-taktik: -
Allvarlighetsgrad: Hög
Misstänkt klassisk rolltilldelning identifierad (förhandsversion)
(ARM_AnomalousClassicRoleAssignment)
Beskrivning: Microsoft Defender för Resource Manager identifierade en misstänkt klassisk rolltilldelning i klientorganisationen, vilket kan tyda på att ett konto i din organisation har komprometterats. De identifierade åtgärderna är utformade för att ge bakåtkompatibilitet med klassiska roller som inte längre används ofta. Även om den här aktiviteten kan vara legitim kan en hotskådespelare använda en sådan tilldelning för att bevilja behörigheter till ett annat användarkonto under deras kontroll.
MITRE-taktik: Lateral rörelse, försvarsundandragande
Allvarlighetsgrad: Hög
Aviseringar för Azure Storage
Mer information och anteckningar
Åtkomst från ett misstänkt program
(Storage.Blob_SuspiciousApp)
Beskrivning: Anger att ett misstänkt program har åtkomst till en container för ett lagringskonto med autentisering. Detta kan tyda på att en angripare har fått de autentiseringsuppgifter som krävs för att komma åt kontot och utnyttjar det. Detta kan också vara en indikation på ett intrångstest som utförs i din organisation. Gäller för: Azure Blob Storage, Azure Data Lake Storage Gen2
MITRE-taktik: Inledande åtkomst
Allvarlighetsgrad: Hög/medelhög
Åtkomst från en misstänkt IP-adress
(Storage.Blob_SuspiciousIp Storage.Files_SuspiciousIp)
Beskrivning: Anger att det här lagringskontot har använts från en IP-adress som anses vara misstänkt. Den här aviseringen drivs av Microsoft Threat Intelligence. Läs mer om Microsofts funktioner för hotinformation. Gäller för: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
MITRE-taktik: Före attack
Allvarlighetsgrad: Hög/medel/låg
Nätfiskeinnehåll som finns på ett lagringskonto
(Storage.Blob_PhishingContent Storage.Files_PhishingContent)
Beskrivning: En URL som används i en nätfiskeattack pekar på ditt Azure Storage-konto. Den här URL:en var en del av en nätfiskeattack som påverkade användare av Microsoft 365. Vanligtvis är innehåll som finns på sådana sidor utformat för att lura besökare att ange sina företagsautentiseringsuppgifter eller ekonomisk information i ett webbformulär som ser legitimt ut. Den här aviseringen drivs av Microsoft Threat Intelligence. Läs mer om Microsofts funktioner för hotinformation. Gäller för: Azure Blob Storage, Azure Files
MITRE-taktik: Samling
Allvarlighetsgrad: Hög
Lagringskonto identifieras som källa för distribution av skadlig kod
(Storage.Files_WidespreadeAm)
Beskrivning: Aviseringar om program mot skadlig kod anger att en eller flera infekterade filer lagras i en Azure-filresurs som är monterad på flera virtuella datorer. Om angripare får åtkomst till en virtuell dator med en monterad Azure-filresurs kan de använda den för att sprida skadlig kod till andra virtuella datorer som monterar samma resurs. Gäller för: Azure Files
MITRE-taktik: Körning
Allvarlighetsgrad: Medel
Åtkomstnivån för en potentiellt känslig lagringsblobcontainer ändrades för att tillåta oautentiserad offentlig åtkomst
(Storage.Blob_OpenACL)
Beskrivning: Aviseringen anger att någon har ändrat åtkomstnivån för en blobcontainer i lagringskontot, som kan innehålla känsliga data, till containernivån för att tillåta oautentiserad (anonym) offentlig åtkomst. Ändringen gjordes via Azure-portalen. Baserat på statistisk analys flaggas blobcontainern som möjligen innehåller känsliga data. Den här analysen tyder på att blobcontainrar eller lagringskonton med liknande namn vanligtvis inte exponeras för offentlig åtkomst. Gäller för: Azure Blob-lagringskonton (standard för generell användning v2, Azure Data Lake Storage Gen2 eller Premium Block Blobs).
MITRE-taktik: Samling
Allvarlighetsgrad: Medel
Autentiserad åtkomst från en tor-slutnod
(Storage.Blob_TorAnomaly Storage.Files_TorAnomaly)
Beskrivning: En eller flera lagringscontainrar/filresurser i ditt lagringskonto har använts från en IP-adress som är känd för att vara en aktiv slutnod i Tor (en anonymiseringsproxy). Hotaktörer använder Tor för att göra det svårt att spåra aktiviteten tillbaka till dem. Autentiserad åtkomst från en tor-utgångsnod är en sannolik indikation på att en hotskådespelare försöker dölja sin identitet. Gäller för: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
MITRE-taktik: Inledande åtkomst/förattack
Allvarlighetsgrad: Hög/medelhög
Åtkomst från en ovanlig plats till ett lagringskonto
(Storage.Blob_GeoAnomaly Storage.Files_GeoAnomaly)
Beskrivning: Anger att åtkomstmönstret har ändrats till ett Azure Storage-konto. Någon har använt det här kontot från en IP-adress som anses vara obekant jämfört med den senaste aktiviteten. Antingen har en angripare fått åtkomst till kontot eller så har en legitim användare anslutit från en ny eller ovanlig geografisk plats. Ett exempel på det senare är fjärrunderhåll från ett nytt program eller en ny utvecklare. Gäller för: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
MITRE-taktik: Inledande åtkomst
Allvarlighetsgrad: Hög/medel/låg
Ovanlig oautentiserad åtkomst till en lagringscontainer
(Storage.Blob_AnonymousAccessAnomaly)
Beskrivning: Det här lagringskontot användes utan autentisering, vilket är en ändring i det gemensamma åtkomstmönstret. Läsbehörighet till den här containern autentiseras vanligtvis. Detta kan tyda på att en hotskådespelare kunde utnyttja offentlig läsåtkomst till lagringscontainrar i det här lagringskontot. Gäller för: Azure Blob Storage
MITRE-taktik: Inledande åtkomst
Allvarlighetsgrad: Hög/låg
Potentiell skadlig kod som laddats upp till ett lagringskonto
(Storage.Blob_MalwareHashReputation Storage.Files_MalwareHashReputation)
Beskrivning: Anger att en blob som innehåller potentiell skadlig kod har laddats upp till en blobcontainer eller en filresurs i ett lagringskonto. Den här varningen baseras på hash-ryktesanalys som utnyttjar kraften i Microsofts hotinformation, som innehåller hashvärden för virus, trojaner, spionprogram och utpressningstrojaner. Potentiella orsaker kan vara en avsiktlig uppladdning av skadlig kod av en angripare eller en oavsiktlig uppladdning av en potentiellt skadlig blob av en legitim användare. Gäller för: Azure Blob Storage, Azure Files (endast för transaktioner via REST API) Läs mer om Microsofts funktioner för hotinformation.
MITRE-taktik: Lateral rörelse
Allvarlighetsgrad: Hög
Offentligt tillgängliga lagringscontainrar har identifierats
(Storage.Blob_OpenContainersScanning.SuccessfulDiscovery)
Beskrivning: En lyckad identifiering av offentligt öppna lagringscontainrar i ditt lagringskonto utfördes under den senaste timmen av ett genomsökningsskript eller verktyg.
Detta indikerar vanligtvis en rekognoseringsattack, där hotskådespelaren försöker lista blobar genom att gissa containernamn, i hopp om att hitta felkonfigurerade öppna lagringscontainrar med känsliga data i dem.
Hotskådespelaren kan använda sitt eget skript eller använda kända genomsökningsverktyg som Microburst för att söka efter offentligt öppna containrar.
✔ Azure Blob Storage ✖ Azure Files ✖ Azure Data Lake Storage Gen2
MITRE-taktik: Samling
Allvarlighetsgrad: Hög/medelhög
Offentligt tillgängliga lagringscontainrar genomsöks utan framgång
(Storage.Blob_OpenContainersScanning.FailedAttempt)
Beskrivning: En serie misslyckade försök att söka efter offentligt öppna lagringscontainrar utfördes under den senaste timmen.
Detta indikerar vanligtvis en rekognoseringsattack, där hotskådespelaren försöker lista blobar genom att gissa containernamn, i hopp om att hitta felkonfigurerade öppna lagringscontainrar med känsliga data i dem.
Hotskådespelaren kan använda sitt eget skript eller använda kända genomsökningsverktyg som Microburst för att söka efter offentligt öppna containrar.
✔ Azure Blob Storage ✖ Azure Files ✖ Azure Data Lake Storage Gen2
MITRE-taktik: Samling
Allvarlighetsgrad: Hög/låg
Ovanlig åtkomstkontroll i ett lagringskonto
(Storage.Blob_AccessInspectionAnomaly Storage.Files_AccessInspectionAnomaly)
Beskrivning: Anger att åtkomstbehörigheterna för ett lagringskonto har inspekterats på ett ovanligt sätt jämfört med den senaste aktiviteten för det här kontot. En möjlig orsak är att en angripare har utfört rekognosering för en framtida attack. Gäller för: Azure Blob Storage, Azure Files
MITRE-taktik: Identifiering
Allvarlighetsgrad: Hög/medelhög
Ovanlig mängd data som extraheras från ett lagringskonto
(Storage.Blob_DataExfiltration.AmountOfDataAnomaly Storage.Blob_DataExfiltration.NumberOfBlobsAnomaly Storage.Files_DataExfiltration.AmountOfDataAnomaly Storage.Files_DataExfiltration.NumberOfFilesAnomaly)
Beskrivning: Anger att en ovanligt stor mängd data har extraherats jämfört med den senaste aktiviteten i den här lagringscontainern. En potentiell orsak är att en angripare har extraherat en stor mängd data från en container som innehåller bloblagring. Gäller för: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
MITRE-taktik: Exfiltrering
Allvarlighetsgrad: Hög/låg
Ovanligt program som används för ett lagringskonto
(Storage.Blob_ApplicationAnomaly Storage.Files_ApplicationAnomaly)
Beskrivning: Anger att ett ovanligt program har använt det här lagringskontot. En möjlig orsak är att en angripare har åtkomst till ditt lagringskonto med hjälp av ett nytt program. Gäller för: Azure Blob Storage, Azure Files
MITRE-taktik: Körning
Allvarlighetsgrad: Hög/medelhög
Ovanlig datautforskning i ett lagringskonto
(Storage.Blob_DataExplorationAnomaly Storage.Files_DataExplorationAnomaly)
Beskrivning: Anger att blobar eller containrar i ett lagringskonto har uppräknats på ett onormalt sätt jämfört med den senaste aktiviteten för det här kontot. En möjlig orsak är att en angripare har utfört rekognosering för en framtida attack. Gäller för: Azure Blob Storage, Azure Files
MITRE-taktik: Körning
Allvarlighetsgrad: Hög/medelhög
Ovanlig borttagning i ett lagringskonto
(Storage.Blob_DeletionAnomaly Storage.Files_DeletionAnomaly)
Beskrivning: Anger att en eller flera oväntade borttagningsåtgärder har inträffat i ett lagringskonto jämfört med den senaste aktiviteten för det här kontot. En möjlig orsak är att en angripare har tagit bort data från ditt lagringskonto. Gäller för: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
MITRE-taktik: Exfiltrering
Allvarlighetsgrad: Hög/medelhög
Ovanlig oautentiserad offentlig åtkomst till en känslig blobcontainer (förhandsversion)
Storage.Blob_AnonymousAccessAnomaly.Sensitive
Beskrivning: Aviseringen anger att någon har använt en blobcontainer med känsliga data i lagringskontot utan autentisering med hjälp av en extern (offentlig) IP-adress. Den här åtkomsten är misstänkt eftersom blobcontainern är öppen för offentlig åtkomst och vanligtvis endast används med autentisering från interna nätverk (privata IP-adresser). Den här åtkomsten kan tyda på att blobcontainerns åtkomstnivå är felkonfigurerad och att en obehörig aktör kan ha utnyttjat den offentliga åtkomsten. Säkerhetsaviseringen innehåller den identifierade kontexten för känslig information (genomsökningstid, klassificeringsetikett, informationstyper och filtyper). Läs mer om identifiering av känsligt datahot. Gäller för: Lagringskonton för Azure Blob (Standard general-purpose v2, Azure Data Lake Storage Gen2 eller Premium Block Blobs) med den nya Defender for Storage-planen med funktionen för identifiering av hot mot datakänslighet aktiverad.
MITRE-taktik: Inledande åtkomst
Allvarlighetsgrad: Hög
Ovanlig mängd data som extraheras från en känslig blobcontainer (förhandsversion)
Storage.Blob_DataExfiltration.AmountOfDataAnomaly.Sensitive
Beskrivning: Aviseringen anger att någon har extraherat en ovanligt stor mängd data från en blobcontainer med känsliga data i lagringskontot. Gäller för: Lagringskonton för Azure Blob (Standard general-purpose v2, Azure Data Lake Storage Gen2 eller Premium Block Blobs) med den nya Defender for Storage-planen med funktionen för identifiering av hot mot datakänslighet aktiverad.
MITRE-taktik: Exfiltrering
Allvarlighetsgrad: Medel
Ovanligt antal blobar som extraherats från en känslig blobcontainer (förhandsversion)
Storage.Blob_DataExfiltration.NumberOfBlobsAnomaly.Sensitive
Beskrivning: Aviseringen anger att någon har extraherat ett ovanligt stort antal blobar från en blobcontainer med känsliga data i lagringskontot. Gäller för: Lagringskonton för Azure Blob (Standard general-purpose v2, Azure Data Lake Storage Gen2 eller Premium Block Blobs) med den nya Defender for Storage-planen med funktionen för identifiering av hot mot datakänslighet aktiverad.
MITRE-taktik: Exfiltrering
Åtkomst från ett känt misstänkt program till en känslig blobcontainer (förhandsversion)
Storage.Blob_SuspiciousApp.Sensitive
Beskrivning: Aviseringen anger att någon med ett känt misstänkt program har åtkomst till en blobcontainer med känsliga data i lagringskontot och utfört autentiserade åtgärder.
Åtkomsten kan tyda på att en hotskådespelare har fått autentiseringsuppgifter för att komma åt lagringskontot med hjälp av ett känt misstänkt program. Åtkomsten kan dock också tyda på ett intrångstest som utförs i organisationen.
Gäller för: Lagringskonton för Azure Blob (Standard general-purpose v2, Azure Data Lake Storage Gen2 eller Premium Block Blobs) med den nya Defender for Storage-planen med funktionen för identifiering av hot mot datakänslighet aktiverad.
MITRE-taktik: Inledande åtkomst
Allvarlighetsgrad: Hög
Åtkomst från en känd misstänkt IP-adress till en känslig blobcontainer (förhandsversion)
Storage.Blob_SuspiciousIp.Sensitive
Beskrivning: Aviseringen anger att någon har använt en blobcontainer med känsliga data i lagringskontot från en känd misstänkt IP-adress som är associerad med hotinformation från Microsoft Threat Intelligence. Eftersom åtkomsten autentiserades är det möjligt att autentiseringsuppgifterna som tillåter åtkomst till det här lagringskontot komprometterades. Läs mer om Microsofts funktioner för hotinformation. Gäller för: Lagringskonton för Azure Blob (Standard general-purpose v2, Azure Data Lake Storage Gen2 eller Premium Block Blobs) med den nya Defender for Storage-planen med funktionen för identifiering av hot mot datakänslighet aktiverad.
MITRE-taktik: Före attack
Allvarlighetsgrad: Hög
Åtkomst från en tor-slutnod till en känslig blobcontainer (förhandsversion)
Storage.Blob_TorAnomaly.Sensitive
Beskrivning: Aviseringen anger att någon med en IP-adress som är känd som en Tor-slutnod har åtkomst till en blobcontainer med känsliga data i lagringskontot med autentiserad åtkomst. Autentiserad åtkomst från en Tor-avslutningsnod indikerar starkt att aktören försöker vara anonym för eventuell skadlig avsikt. Eftersom åtkomsten autentiserades är det möjligt att autentiseringsuppgifterna som tillåter åtkomst till det här lagringskontot komprometterades. Gäller för: Lagringskonton för Azure Blob (Standard general-purpose v2, Azure Data Lake Storage Gen2 eller Premium Block Blobs) med den nya Defender for Storage-planen med funktionen för identifiering av hot mot datakänslighet aktiverad.
MITRE-taktik: Före attack
Allvarlighetsgrad: Hög
Åtkomst från en ovanlig plats till en känslig blobcontainer (förhandsversion)
Storage.Blob_GeoAnomaly.Sensitive
Beskrivning: Aviseringen anger att någon har använt blobcontainer med känsliga data i lagringskontot med autentisering från en ovanlig plats. Eftersom åtkomsten autentiserades är det möjligt att autentiseringsuppgifterna som tillåter åtkomst till det här lagringskontot komprometterades. Gäller för: Lagringskonton för Azure Blob (Standard general-purpose v2, Azure Data Lake Storage Gen2 eller Premium Block Blobs) med den nya Defender for Storage-planen med funktionen för identifiering av hot mot datakänslighet aktiverad.
MITRE-taktik: Inledande åtkomst
Allvarlighetsgrad: Medel
Åtkomstnivån för en känslig lagringsblobcontainer ändrades för att tillåta oautentiserad offentlig åtkomst (förhandsversion)
Storage.Blob_OpenACL.Sensitive
Beskrivning: Aviseringen anger att någon har ändrat åtkomstnivån för en blobcontainer i lagringskontot, som innehåller känsliga data, till containernivån, vilket tillåter oautentiserad (anonym) offentlig åtkomst. Ändringen gjordes via Azure-portalen. Ändringen av åtkomstnivå kan äventyra säkerheten för data. Vi rekommenderar att du vidtar omedelbara åtgärder för att skydda data och förhindra obehörig åtkomst om aviseringen utlöses. Gäller för: Lagringskonton för Azure Blob (Standard general-purpose v2, Azure Data Lake Storage Gen2 eller Premium Block Blobs) med den nya Defender for Storage-planen med funktionen för identifiering av hot mot datakänslighet aktiverad.
MITRE-taktik: Samling
Allvarlighetsgrad: Hög
Misstänkt extern åtkomst till ett Azure Storage-konto med alltför tillåtande SAS-token (förhandsversion)
Storage.Blob_AccountSas.InternalSasUsedExternally
Beskrivning: Aviseringen anger att någon med en extern (offentlig) IP-adress har åtkomst till lagringskontot med en alltför tillåtande SAS-token med ett långt utgångsdatum. Den här typen av åtkomst anses misstänkt eftersom SAS-token vanligtvis endast används i interna nätverk (från privata IP-adresser). Aktiviteten kan tyda på att en SAS-token har läckts av en illvillig aktör eller läckt oavsiktligt från en legitim källa. Även om åtkomsten är legitim strider användningen av en SAS-token med hög behörighet med ett långt utgångsdatum mot bästa praxis för säkerhet och utgör en potentiell säkerhetsrisk. Gäller för: Azure Blob-lagringskonton (Standard general-purpose v2, Azure Data Lake Storage Gen2 eller Premium Block Blobs) med den nya Defender for Storage-planen.
MITRE-taktik: Exfiltrering/Resursutveckling/Påverkan
Allvarlighetsgrad: Medel
Misstänkt extern åtgärd till ett Azure Storage-konto med alltför tillåtande SAS-token (förhandsversion)
Storage.Blob_AccountSas.UnusualOperationFromExternalIp
Beskrivning: Aviseringen anger att någon med en extern (offentlig) IP-adress har åtkomst till lagringskontot med en alltför tillåtande SAS-token med ett långt utgångsdatum. Åtkomsten anses misstänkt eftersom åtgärder som anropas utanför nätverket (inte från privata IP-adresser) med den här SAS-token vanligtvis används för en specifik uppsättning läs-/skriv-/borttagningsåtgärder, men andra åtgärder har inträffat, vilket gör den här åtkomsten misstänkt. Den här aktiviteten kan tyda på att en SAS-token har läckts av en illvillig aktör eller läckt oavsiktligt från en legitim källa. Även om åtkomsten är legitim strider användningen av en SAS-token med hög behörighet med ett långt utgångsdatum mot bästa praxis för säkerhet och utgör en potentiell säkerhetsrisk. Gäller för: Azure Blob-lagringskonton (Standard general-purpose v2, Azure Data Lake Storage Gen2 eller Premium Block Blobs) med den nya Defender for Storage-planen.
MITRE-taktik: Exfiltrering/Resursutveckling/Påverkan
Allvarlighetsgrad: Medel
Ovanlig SAS-token användes för att komma åt ett Azure Storage-konto från en offentlig IP-adress (förhandsversion)
Storage.Blob_AccountSas.UnusualExternalAccess
Beskrivning: Aviseringen anger att någon med en extern (offentlig) IP-adress har åtkomst till lagringskontot med hjälp av en SAS-token för kontot. Åtkomsten är mycket ovanlig och anses misstänkt, eftersom åtkomsten till lagringskontot med SAS-token vanligtvis endast kommer från interna (privata) IP-adresser. Det är möjligt att en SAS-token läckte ut eller genererades av en skadlig aktör antingen inifrån din organisation eller externt för att få åtkomst till det här lagringskontot. Gäller för: Azure Blob-lagringskonton (Standard general-purpose v2, Azure Data Lake Storage Gen2 eller Premium Block Blobs) med den nya Defender for Storage-planen.
MITRE-taktik: Exfiltrering/Resursutveckling/Påverkan
Allvarlighetsgrad: Låg
Skadlig fil som laddats upp till lagringskontot
Storage.Blob_AM. MalwareFound
Beskrivning: Aviseringen anger att en skadlig blob laddades upp till ett lagringskonto. Den här säkerhetsaviseringen genereras av funktionen Genomsökning av skadlig kod i Defender för lagring. Potentiella orsaker kan vara en avsiktlig uppladdning av skadlig kod av en hotskådespelare eller en oavsiktlig uppladdning av en skadlig fil av en legitim användare. Gäller för: Lagringskonton för Azure Blob (Standard general-purpose v2, Azure Data Lake Storage Gen2 eller Premium Block Blobs) med den nya Defender for Storage-planen med funktionen Genomsökning av skadlig kod aktiverad.
MITRE-taktik: Lateral rörelse
Allvarlighetsgrad: Hög
Skadlig blob laddades ned från ett lagringskonto (förhandsversion)
Storage.Blob_MalwareDownload
Beskrivning: Aviseringen anger att en skadlig blob laddades ned från ett lagringskonto. Potentiella orsaker kan vara skadlig kod som har laddats upp till lagringskontot och inte tagits bort eller satts i karantän, vilket gör det möjligt för en hotaktör att ladda ned den eller en oavsiktlig nedladdning av skadlig kod av legitima användare eller program. Gäller för: Lagringskonton för Azure Blob (Standard general-purpose v2, Azure Data Lake Storage Gen2 eller Premium Block Blobs) med den nya Defender for Storage-planen med funktionen Genomsökning av skadlig kod aktiverad.
MITRE-taktik: Lateral rörelse
Allvarlighetsgrad: Hög, om Eicar - låg
Aviseringar för Azure Cosmos DB
Mer information och anteckningar
Åtkomst från en tor-slutnod
(CosmosDB_TorAnomaly)
Beskrivning: Det här Azure Cosmos DB-kontot har använts från en IP-adress som är känd för att vara en aktiv slutnod i Tor, en anonymiseringsproxy. Autentiserad åtkomst från en tor-utgångsnod är en sannolik indikation på att en hotskådespelare försöker dölja sin identitet.
MITRE-taktik: Inledande åtkomst
Allvarlighetsgrad: Hög/medelhög
Åtkomst från en misstänkt IP-adress
(CosmosDB_SuspiciousIp)
Beskrivning: Det här Azure Cosmos DB-kontot har använts från en IP-adress som identifierades som ett hot av Microsoft Threat Intelligence.
MITRE-taktik: Inledande åtkomst
Allvarlighetsgrad: Medel
Åtkomst från en ovanlig plats
(CosmosDB_GeoAnomaly)
Beskrivning: Det här Azure Cosmos DB-kontot användes från en plats som anses obekant, baserat på det vanliga åtkomstmönstret.
Antingen har en hotaktör fått åtkomst till kontot eller så har en legitim användare anslutit från en ny eller ovanlig geografisk plats
MITRE-taktik: Inledande åtkomst
Allvarlighetsgrad: Låg
Ovanlig mängd data som extraherats
(CosmosDB_DataExfiltrationAnomaly)
Beskrivning: En ovanligt stor mängd data har extraherats från det här Azure Cosmos DB-kontot. Detta kan tyda på att en hotskådespelare exfiltraterade data.
MITRE-taktik: Exfiltrering
Allvarlighetsgrad: Medel
Extrahering av Azure Cosmos DB-kontonycklar via ett potentiellt skadligt skript
(CosmosDB_SuspiciousListKeys.MaliciousScript)
Beskrivning: Ett PowerShell-skript kördes i din prenumeration och utförde ett misstänkt mönster med nyckellistningsåtgärder för att hämta nycklarna för Azure Cosmos DB-konton i din prenumeration. Hotaktörer använder automatiserade skript, till exempel Microburst, för att lista nycklar och hitta Azure Cosmos DB-konton som de kan komma åt.
Den här åtgärden kan tyda på att en identitet i din organisation har brutits och att hotskådespelaren försöker kompromettera Azure Cosmos DB-konton i din miljö för skadliga avsikter.
Alternativt kan en obehörig insider försöka komma åt känsliga data och utföra lateral förflyttning.
MITRE-taktik: Samling
Allvarlighetsgrad: Medel
Misstänkt extrahering av Azure Cosmos DB-kontonycklar (AzureCosmosDB_SuspiciousListKeys.SuspiciousPrincipal)
Beskrivning: En misstänkt källa extraherade Åtkomstnycklar för Azure Cosmos DB-kontot från din prenumeration. Om den här källan inte är en legitim källa kan det vara ett problem med hög påverkan. Åtkomstnyckeln som extraherades ger fullständig kontroll över de associerade databaserna och de data som lagras i. Se information om varje specifik avisering för att förstå varför källan flaggades som misstänkt.
MITRE-taktik: Åtkomst till autentiseringsuppgifter
Allvarlighetsgrad: hög
SQL-inmatning: potentiell dataexfiltrering
(CosmosDB_SqlInjection.DataExfiltration)
Beskrivning: En misstänkt SQL-instruktion användes för att fråga en container i det här Azure Cosmos DB-kontot.
Den inmatade instruktionen kan ha lyckats exfiltratera data som hotskådespelaren inte har behörighet att komma åt.
På grund av strukturen och funktionerna i Azure Cosmos DB-frågor kan många kända SQL-inmatningsattacker på Azure Cosmos DB-konton inte fungera. Den variant som används i den här attacken kan dock fungera och hotaktörer kan exfiltera data.
MITRE-taktik: Exfiltrering
Allvarlighetsgrad: Medel
SQL-inmatning: fuzzing-försök
(CosmosDB_SqlInjection.FailedFuzzingAttempt)
Beskrivning: En misstänkt SQL-instruktion användes för att fråga en container i det här Azure Cosmos DB-kontot.
Precis som andra välkända SQL-inmatningsattacker lyckas den här attacken inte äventyra Azure Cosmos DB-kontot.
Det är dock en indikation på att en hotskådespelare försöker attackera resurserna i det här kontot och att ditt program kan komma att komprometteras.
Vissa SQL-inmatningsattacker kan lyckas och användas för att exfiltera data. Det innebär att om angriparen fortsätter att utföra SQL-inmatningsförsök kan de kanske kompromettera ditt Azure Cosmos DB-konto och exfiltera data.
Du kan förhindra det här hotet med hjälp av parametriserade frågor.
MITRE-taktik: Före attack
Allvarlighetsgrad: Låg
Aviseringar för Azure-nätverkslager
Mer information och anteckningar
Nätverkskommunikation med en skadlig dator har identifierats
(Network_CommunicationWithC2)
Beskrivning: Analysen av nätverkstrafik anger att datorn (IP %{Victim IP}) har kommunicerat med vad som eventuellt är ett kommando- och kontrollcenter. När den komprometterade resursen är en lastbalanserare eller en programgateway kan den misstänkta aktiviteten indikera att en eller flera av resurserna i serverdelspoolen (av lastbalanseraren eller programgatewayen) har kommunicerat med vad som eventuellt är ett kommando- och kontrollcenter.
MITRE-taktik: Kommando och kontroll
Allvarlighetsgrad: Medel
Möjlig komprometterad dator har identifierats
(Network_ResourceIpIndicatedAsMalicious)
Beskrivning: Hotinformation anger att datorn (på IP %{Machine IP}) kan ha komprometterats av en skadlig kod av typen Conficker. Conficker var en datormask som riktar sig mot Microsoft Windows-operativsystemet och upptäcktes först i november 2008. Conficker smittade miljontals datorer inklusive myndigheter, företag och hemdatorer i över 200 länder/regioner, vilket gör det till den största kända datormaskinfektionen sedan Welchia-masken 2003.
MITRE-taktik: Kommando och kontroll
Allvarlighetsgrad: Medel
Möjliga inkommande %{Service Name} brute force-försök har identifierats
(Generic_Incoming_BF_OneToOne)
Beskrivning: Nätverkstrafikanalysen identifierade inkommande %{Tjänstnamn} kommunikation till %{Offer IP}, associerad med resursen %{Komprometterad värd} från %{Angripares IP}. När den komprometterade resursen är en lastbalanserare eller en programgateway har den misstänkta inkommande trafiken vidarebefordrats till en eller flera av resurserna i serverdelspoolen (av lastbalanseraren eller programgatewayen). Mer specifikt visar exempelnätverksdata misstänkt aktivitet mellan %{Starttid} och %{Sluttid} på port %{Offerport}. Den här aktiviteten är konsekvent med råstyrkeförsök mot %{Service Name}-servrar.
MITRE-taktik: PreAttack
Allvarlighetsgrad: Information
Möjliga inkommande SQL brute force-försök har identifierats
(SQL_Incoming_BF_OneToOne)
Beskrivning: Nätverkstrafikanalysen identifierade inkommande SQL-kommunikation till %{Victim IP}, associerad med resursen %{Komprometterad värd}, från %{Angriparens IP}. När den komprometterade resursen är en lastbalanserare eller en programgateway har den misstänkta inkommande trafiken vidarebefordrats till en eller flera av resurserna i serverdelspoolen (av lastbalanseraren eller programgatewayen). Mer specifikt visar exempelnätverksdata misstänkt aktivitet mellan %{Starttid} och %{Sluttid} på port %{Portnummer} (%{SQL Service Type}). Den här aktiviteten är konsekvent med råstyrkeattacker mot SQL-servrar.
MITRE-taktik: PreAttack
Allvarlighetsgrad: Medel
Möjliga utgående överbelastningsattacker har identifierats
(DDOS)
Beskrivning: Analysen av nätverkstrafik identifierade avvikande utgående aktivitet från %{Komprometterad värd}, en resurs i distributionen. Den här aktiviteten kan tyda på att resursen har komprometterats och nu är inblandad i överbelastningsattacker mot externa slutpunkter. När den komprometterade resursen är en lastbalanserare eller en programgateway kan den misstänkta aktiviteten indikera att en eller flera av resurserna i serverdelspoolen (av lastbalanseraren eller programgatewayen) komprometterades. Baserat på mängden anslutningar tror vi att följande IP-adresser kan vara mål för DOS-attacken: %{Möjliga offer}. Observera att det är möjligt att kommunikationen till vissa av dessa IP-adresser är legitim.
MITRE-taktik: Påverkan
Allvarlighetsgrad: Medel
Misstänkt inkommande RDP-nätverksaktivitet från flera källor
(RDP_Incoming_BF_ManyToOne)
Beskrivning: Nätverkstrafikanalys identifierade avvikande inkommande RDP-kommunikation (Remote Desktop Protocol) till %{Victim IP}, associerad med resursen %{Komprometterad värd}, från flera källor. När den komprometterade resursen är en lastbalanserare eller en programgateway har den misstänkta inkommande trafiken vidarebefordrats till en eller flera av resurserna i serverdelspoolen (av lastbalanseraren eller programgatewayen). Mer specifikt visar exempelnätverksdata %{Antal attackerande IP-adresser} unika IP-adresser som ansluter till resursen, vilket anses onormalt för den här miljön. Den här aktiviteten kan tyda på ett försök att råstyra RDP-slutpunkten från flera värdar (Botnet).
MITRE-taktik: PreAttack
Allvarlighetsgrad: Medel
Misstänkt inkommande RDP-nätverksaktivitet
(RDP_Incoming_BF_OneToOne)
Beskrivning: Nätverkstrafikanalysen identifierade avvikande inkommande RDP-kommunikation (Remote Desktop Protocol) till %{Victim IP}, associerad med resursen %{Komprometterad värd}, från %{Attacker IP}. När den komprometterade resursen är en lastbalanserare eller en programgateway har den misstänkta inkommande trafiken vidarebefordrats till en eller flera av resurserna i serverdelspoolen (av lastbalanseraren eller programgatewayen). Mer specifikt visar exempelnätverksdata %{Antal Anslut ions} inkommande anslutningar till resursen, vilket anses onormalt för den här miljön. Den här aktiviteten kan tyda på ett försök att råstyra RDP-slutpunkten
MITRE-taktik: PreAttack
Allvarlighetsgrad: Medel
Misstänkt inkommande SSH-nätverksaktivitet från flera källor
(SSH_Incoming_BF_ManyToOne)
Beskrivning: Nätverkstrafikanalysen identifierade avvikande inkommande SSH-kommunikation till %{Victim IP}, associerad med resursen %{Komprometterad värd}, från flera källor. När den komprometterade resursen är en lastbalanserare eller en programgateway har den misstänkta inkommande trafiken vidarebefordrats till en eller flera av resurserna i serverdelspoolen (av lastbalanseraren eller programgatewayen). Mer specifikt visar exempelnätverksdata %{Antal attackerande IP-adresser} unika IP-adresser som ansluter till resursen, vilket anses onormalt för den här miljön. Den här aktiviteten kan tyda på ett försök att råstyra SSH-slutpunkten från flera värdar (Botnet)
MITRE-taktik: PreAttack
Allvarlighetsgrad: Medel
Misstänkt inkommande SSH-nätverksaktivitet
(SSH_Incoming_BF_OneToOne)
Beskrivning: Nätverkstrafikanalysen identifierade avvikande inkommande SSH-kommunikation till %{Victim IP}, associerad med resursen %{Komprometterad värd}, från %{Attacker IP}. När den komprometterade resursen är en lastbalanserare eller en programgateway har den misstänkta inkommande trafiken vidarebefordrats till en eller flera av resurserna i serverdelspoolen (av lastbalanseraren eller programgatewayen). Mer specifikt visar exempelnätverksdata %{Antal Anslut ions} inkommande anslutningar till resursen, vilket anses onormalt för den här miljön. Den här aktiviteten kan tyda på ett försök att råstyra SSH-slutpunkten
MITRE-taktik: PreAttack
Allvarlighetsgrad: Medel
Misstänkt utgående %{Attackerade protokoll} trafik har identifierats
(PortScanning)
Beskrivning: Analysen av nätverkstrafik identifierade misstänkt utgående trafik från %{Komprometterad värd} till målporten %{Den vanligaste porten}. När den komprometterade resursen är en lastbalanserare eller en programgateway har den misstänkta utgående trafiken härstammar från till en eller flera av resurserna i serverdelspoolen (för lastbalanseraren eller programgatewayen). Det här beteendet kan tyda på att resursen deltar i %{Attacked Protocol} brute force-försök eller portgenomsökningsattacker.
MITRE-taktik: Identifiering
Allvarlighetsgrad: Medel
Misstänkt utgående RDP-nätverksaktivitet till flera mål
(RDP_Outgoing_BF_OneToMany)
Beskrivning: Nätverkstrafikanalys identifierade avvikande utgående RDP-kommunikation (Remote Desktop Protocol) till flera mål från %{Komprometterad värd} (%{Angripare IP}), en resurs i distributionen. När den komprometterade resursen är en lastbalanserare eller en programgateway har den misstänkta utgående trafiken härstammar från till en eller flera av resurserna i serverdelspoolen (för lastbalanseraren eller programgatewayen). Mer specifikt visar exempelnätverksdata att datorn ansluter till %{Antal angripna IP-adresser} unika IP-adresser, vilket anses vara onormalt för den här miljön. Den här aktiviteten kan tyda på att resursen har komprometterats och nu används för att råstyra externa RDP-slutpunkter. Observera att den här typen av aktivitet skulle kunna göra att din IP-adress flaggas som skadlig av externa enheter.
MITRE-taktik: Identifiering
Allvarlighetsgrad: Hög
Misstänkt utgående RDP-nätverksaktivitet
(RDP_Outgoing_BF_OneToOne)
Beskrivning: Nätverkstrafikanalysen identifierade avvikande utgående RDP-kommunikation (Remote Desktop Protocol) till %{Victim IP} som kommer från %{Komprometterad värd} (%{Attacker IP}), en resurs i distributionen. När den komprometterade resursen är en lastbalanserare eller en programgateway har den misstänkta utgående trafiken härstammar från till en eller flera av resurserna i serverdelspoolen (för lastbalanseraren eller programgatewayen). Mer specifikt visar exempelnätverksdata %{Antal Anslut ions} utgående anslutningar från resursen, vilket anses onormalt för den här miljön. Den här aktiviteten kan tyda på att datorn har komprometterats och nu används för att råstyra externa RDP-slutpunkter. Observera att den här typen av aktivitet skulle kunna göra att din IP-adress flaggas som skadlig av externa enheter.
MITRE-taktik: Lateral rörelse
Allvarlighetsgrad: Hög
Misstänkt utgående SSH-nätverksaktivitet till flera mål
(SSH_Outgoing_BF_OneToMany)
Beskrivning: Nätverkstrafikanalysen identifierade avvikande utgående SSH-kommunikation till flera mål från %{Komprometterad värd} (%{Angripare IP}), en resurs i distributionen. När den komprometterade resursen är en lastbalanserare eller en programgateway har den misstänkta utgående trafiken härstammar från till en eller flera av resurserna i serverdelspoolen (för lastbalanseraren eller programgatewayen). Mer specifikt visar exempelnätverksdata att resursen ansluter till %{Antal angripna IP-adresser} unika IP-adresser, vilket anses vara onormalt för den här miljön. Den här aktiviteten kan tyda på att resursen har komprometterats och nu används för att råstyra externa SSH-slutpunkter. Observera att den här typen av aktivitet skulle kunna göra att din IP-adress flaggas som skadlig av externa enheter.
MITRE-taktik: Identifiering
Allvarlighetsgrad: Medel
Misstänkt utgående SSH-nätverksaktivitet
(SSH_Outgoing_BF_OneToOne)
Beskrivning: Nätverkstrafikanalysen identifierade avvikande utgående SSH-kommunikation till %{Victim IP} med ursprung från %{Komprometterad värd} (%{Angripare IP}), en resurs i distributionen. När den komprometterade resursen är en lastbalanserare eller en programgateway har den misstänkta utgående trafiken härstammar från till en eller flera av resurserna i serverdelspoolen (för lastbalanseraren eller programgatewayen). Mer specifikt visar exempelnätverksdata %{Antal Anslut ions} utgående anslutningar från resursen, vilket anses onormalt för den här miljön. Den här aktiviteten kan tyda på att resursen har komprometterats och nu används för att råstyra externa SSH-slutpunkter. Observera att den här typen av aktivitet skulle kunna göra att din IP-adress flaggas som skadlig av externa enheter.
MITRE-taktik: Lateral rörelse
Allvarlighetsgrad: Medel
Trafik identifierad från IP-adresser som rekommenderas för blockering
(Network_TrafficFromUnrecommendedIP)
Beskrivning: Microsoft Defender för molnet upptäckt inkommande trafik från IP-adresser som rekommenderas att blockeras. Detta inträffar vanligtvis när den här IP-adressen inte kommunicerar regelbundet med den här resursen. Alternativt har IP-adressen flaggats som skadlig av Defender för molnet hotinformationskällor.
MITRE-taktik: Avsökning
Allvarlighetsgrad: Information
Aviseringar för Azure Key Vault
Mer information och anteckningar
Åtkomst från en misstänkt IP-adress till ett nyckelvalv
(KV_SuspiciousIPAccess)
Beskrivning: Ett nyckelvalv har använts av en IP-adress som har identifierats av Microsoft Threat Intelligence som en misstänkt IP-adress. Detta kan tyda på att infrastrukturen har komprometterats. Vi rekommenderar ytterligare undersökning. Läs mer om Microsofts funktioner för hotinformation.
MITRE-taktik: Åtkomst till autentiseringsuppgifter
Allvarlighetsgrad: Medel
Åtkomst från en TOR-slutnod till ett nyckelvalv
(KV_TORAccess)
Beskrivning: Ett nyckelvalv har använts från en känd TOR-avslutningsnod. Detta kan vara en indikation på att en hotskådespelare har åtkomst till nyckelvalvet och använder TOR-nätverket för att dölja sin källplats. Vi rekommenderar ytterligare undersökningar.
MITRE-taktik: Åtkomst till autentiseringsuppgifter
Allvarlighetsgrad: Medel
Stora mängder åtgärder i ett nyckelvalv
(KV_OperationVolumeAnomaly)
Beskrivning: Ett avvikande antal nyckelvalvsåtgärder utfördes av en användare, tjänstens huvudnamn och/eller ett specifikt nyckelvalv. Det här avvikande aktivitetsmönstret kan vara legitimt, men det kan vara en indikation på att en hotskådespelare har fått åtkomst till nyckelvalvet och hemligheterna i det. Vi rekommenderar ytterligare undersökningar.
MITRE-taktik: Åtkomst till autentiseringsuppgifter
Allvarlighetsgrad: Medel
Misstänkt principändring och hemlig fråga i ett nyckelvalv
(KV_PutGetAnomaly)
Beskrivning: En användare eller tjänstens huvudnamn har utfört en avvikande ändringsåtgärd för Valv put-princip följt av en eller flera hemliga Get-åtgärder. Det här mönstret utförs normalt inte av den angivna användaren eller tjänstens huvudnamn. Detta kan vara en legitim aktivitet, men det kan vara en indikation på att en hotskådespelare har uppdaterat nyckelvalvspolicyn för att få åtkomst till tidigare otillgängliga hemligheter. Vi rekommenderar ytterligare undersökningar.
MITRE-taktik: Åtkomst till autentiseringsuppgifter
Allvarlighetsgrad: Medel
Misstänkt hemlig lista och fråga i ett nyckelvalv
(KV_ListGetAnomaly)
Beskrivning: En användare eller tjänstens huvudnamn har utfört en avvikande hemlighetslista följt av en eller flera åtgärder för hemlig get. Detta mönster utförs normalt inte av den angivna användaren eller tjänstens huvudnamn och är vanligtvis associerat med hemlig dumpning. Detta kan vara en legitim aktivitet, men det kan vara en indikation på att en hotaktör har fått åtkomst till nyckelvalvet och försöker identifiera hemligheter som kan användas för att flytta i sidled genom nätverket och/eller få åtkomst till känsliga resurser. Vi rekommenderar ytterligare undersökningar.
MITRE-taktik: Åtkomst till autentiseringsuppgifter
Allvarlighetsgrad: Medel
Ovanlig åtkomst nekad – Användare som har åtkomst till stora mängder nyckelvalv nekas
(KV_AccountVolumeAccessDeniedAnomaly)
Beskrivning: En användare eller tjänstens huvudnamn har försökt komma åt avvikande stora mängder nyckelvalv under de senaste 24 timmarna. Det här avvikande åtkomstmönstret kan vara en legitim aktivitet. Även om det här försöket misslyckades kan det vara en indikation på ett möjligt försök att få åtkomst till nyckelvalvet och hemligheterna i det. Vi rekommenderar ytterligare undersökningar.
MITRE-taktik: Identifiering
Allvarlighetsgrad: Låg
Ovanlig åtkomst nekad – Ovanlig användare som har åtkomst till nyckelvalvet nekad
(KV_UserAccessDeniedAnomaly)
Beskrivning: En nyckelvalvsåtkomst försöktes av en användare som normalt inte har åtkomst till den. Det här avvikande åtkomstmönstret kan vara en legitim aktivitet. Även om det här försöket misslyckades kan det vara en indikation på ett möjligt försök att få åtkomst till nyckelvalvet och hemligheterna i det.
MITRE-taktik: Initial åtkomst, identifiering
Allvarlighetsgrad: Låg
Ovanligt program som används i ett nyckelvalv
(KV_AppAnomaly)
Beskrivning: Ett nyckelvalv har använts av ett huvudnamn för tjänsten som normalt inte har åtkomst till det. Det här avvikande åtkomstmönstret kan vara en legitim aktivitet, men det kan vara en indikation på att en hotskådespelare har fått åtkomst till nyckelvalvet i ett försök att komma åt hemligheterna i det. Vi rekommenderar ytterligare undersökningar.
MITRE-taktik: Åtkomst till autentiseringsuppgifter
Allvarlighetsgrad: Medel
Ovanligt åtgärdsmönster i ett nyckelvalv
(KV_OperationPatternAnomaly)
Beskrivning: Ett avvikande mönster för nyckelvalvsåtgärder utfördes av en användare, tjänstens huvudnamn och/eller ett specifikt nyckelvalv. Det här avvikande aktivitetsmönstret kan vara legitimt, men det kan vara en indikation på att en hotskådespelare har fått åtkomst till nyckelvalvet och hemligheterna i det. Vi rekommenderar ytterligare undersökningar.
MITRE-taktik: Åtkomst till autentiseringsuppgifter
Allvarlighetsgrad: Medel
Ovanlig användare har använt ett nyckelvalv
(KV_UserAnomaly)
Beskrivning: Ett nyckelvalv har använts av en användare som normalt inte har åtkomst till det. Det här avvikande åtkomstmönstret kan vara en legitim aktivitet, men det kan vara en indikation på att en hotskådespelare har fått åtkomst till nyckelvalvet i ett försök att komma åt hemligheterna i det. Vi rekommenderar ytterligare undersökningar.
MITRE-taktik: Åtkomst till autentiseringsuppgifter
Allvarlighetsgrad: Medel
Ovanligt användarprogrampar har använt ett nyckelvalv
(KV_UserAppAnomaly)
Beskrivning: Ett nyckelvalv har använts av ett huvudnamnpar för användartjänsten som normalt inte har åtkomst till det. Det här avvikande åtkomstmönstret kan vara en legitim aktivitet, men det kan vara en indikation på att en hotskådespelare har fått åtkomst till nyckelvalvet i ett försök att komma åt hemligheterna i det. Vi rekommenderar ytterligare undersökningar.
MITRE-taktik: Åtkomst till autentiseringsuppgifter
Allvarlighetsgrad: Medel
Användaren har använt stora mängder nyckelvalv
(KV_AccountVolumeAnomaly)
Beskrivning: En användare eller tjänstens huvudnamn har använt en avvikande stor mängd nyckelvalv. Det här avvikande åtkomstmönstret kan vara en legitim aktivitet, men det kan vara en indikation på att en hotskådespelare har fått åtkomst till flera nyckelvalv i ett försök att komma åt hemligheterna i dem. Vi rekommenderar ytterligare undersökningar.
MITRE-taktik: Åtkomst till autentiseringsuppgifter
Allvarlighetsgrad: Medel
Nekad åtkomst från en misstänkt IP-adress till ett nyckelvalv
(KV_SuspiciousIPAccessDenied)
Beskrivning: En misslyckad åtkomst till nyckelvalvet har försökts av en IP-adress som har identifierats av Microsoft Threat Intelligence som en misstänkt IP-adress. Även om det här försöket misslyckades indikerar det att infrastrukturen kan ha komprometterats. Vi rekommenderar ytterligare undersökningar.
MITRE-taktik: Åtkomst till autentiseringsuppgifter
Allvarlighetsgrad: Låg
Ovanlig åtkomst till nyckelvalvet från en misstänkt IP-adress (icke-Microsoft eller extern)
(KV_UnusualAccessSuspiciousIP)
Beskrivning: En användare eller tjänstens huvudnamn har försökt få avvikande åtkomst till nyckelvalv från en IP-adress som inte kommer från Microsoft under de senaste 24 timmarna. Det här avvikande åtkomstmönstret kan vara en legitim aktivitet. Det kan vara en indikation på ett möjligt försök att få åtkomst till nyckelvalvet och hemligheterna i det. Vi rekommenderar ytterligare undersökningar.
MITRE-taktik: Åtkomst till autentiseringsuppgifter
Allvarlighetsgrad: Medel
Aviseringar för Azure DDoS Protection
Mer information och anteckningar
DDoS-attack har identifierats för offentlig IP-adress
(NETWORK_DDOS_DETECTED)
Beskrivning: DDoS-attack har identifierats för offentlig IP-adress (IP-adress) och har åtgärdats.
MITRE-taktik: Avsökning
Allvarlighetsgrad: Hög
DDoS-attack som har åtgärdats för offentlig IP-adress
(NETWORK_DDOS_MITIGATED)
Beskrivning: DDoS-attack som har åtgärdats för offentlig IP-adress (IP-adress).
MITRE-taktik: Avsökning
Allvarlighetsgrad: Låg
Aviseringar för Defender för API:er
Misstänkt topp på befolkningsnivå i API-trafik till en API-slutpunkt
(API_PopulationSpikeInAPITraffic)
Beskrivning: En misstänkt topp i API-trafik upptäcktes vid en av API-slutpunkterna. Identifieringssystemet använde historiska trafikmönster för att upprätta en baslinje för rutinmässig API-trafikvolym mellan alla IP-adresser och slutpunkten, där baslinjen är specifik för API-trafik för varje statuskod (till exempel 200 Lyckades). Identifieringssystemet flaggade en ovanlig avvikelse från den här baslinjen som ledde till identifiering av misstänkt aktivitet.
MITRE-taktik: Påverkan
Allvarlighetsgrad: Medel
Misstänkt topp i API-trafik från en enskild IP-adress till en API-slutpunkt
(API_SpikeInAPITraffic)
Beskrivning: En misstänkt topp i API-trafik upptäcktes från en klient-IP till API-slutpunkten. Identifieringssystemet använde historiska trafikmönster för att upprätta en baslinje för rutinmässig API-trafikvolym till slutpunkten som kommer från en specifik IP-adress till slutpunkten. Identifieringssystemet flaggade en ovanlig avvikelse från den här baslinjen som ledde till identifiering av misstänkt aktivitet.
MITRE-taktik: Påverkan
Allvarlighetsgrad: Medel
Ovanligt stor svarsnyttolast som överförs mellan en enda IP-adress och en API-slutpunkt
(API_SpikeInPayload)
Beskrivning: En misstänkt topp i API-svarsnyttolastens storlek observerades för trafik mellan en enskild IP-adress och en av API-slutpunkterna. Baserat på historiska trafikmönster från de senaste 30 dagarna lär sig Defender för API:er en baslinje som representerar den typiska API-svarsnyttolaststorleken mellan en specifik IP- och API-slutpunkt. Den inlärda baslinjen är specifik för API-trafik för varje statuskod (till exempel 200 Lyckades). Aviseringen utlöstes eftersom en API-svarsnyttolaststorlek avvek avsevärt från den historiska baslinjen.
MITRE-taktik: Inledande åtkomst
Allvarlighetsgrad: Medel
Ovanligt stor begärandetext som överförs mellan en enda IP-adress och en API-slutpunkt
(API_SpikeInPayload)
Beskrivning: En misstänkt topp i API-begärandetextens storlek observerades för trafik mellan en enskild IP-adress och en av API-slutpunkterna. Baserat på historiska trafikmönster från de senaste 30 dagarna lär sig Defender för API:er en baslinje som representerar den typiska API-begärandetextstorleken mellan en specifik IP- och API-slutpunkt. Den inlärda baslinjen är specifik för API-trafik för varje statuskod (till exempel 200 Lyckades). Aviseringen utlöstes eftersom en API-begärandestorlek avvek avsevärt från den historiska baslinjen.
MITRE-taktik: Inledande åtkomst
Allvarlighetsgrad: Medel
(Förhandsversion) Misstänkt ökning av svarstiden för trafik mellan en enskild IP-adress och en API-slutpunkt
(API_SpikeInLatency)
Beskrivning: En misstänkt ökning av svarstiden observerades för trafik mellan en enskild IP-adress och en av API-slutpunkterna. Baserat på historiska trafikmönster från de senaste 30 dagarna lär sig Defender för API:er en baslinje som representerar den rutinmässiga API-trafikfördröjningen mellan en specifik IP- och API-slutpunkt. Den inlärda baslinjen är specifik för API-trafik för varje statuskod (till exempel 200 Lyckades). Aviseringen utlöstes eftersom en API-anropssvarstid avvek avsevärt från den historiska baslinjen.
MITRE-taktik: Inledande åtkomst
Allvarlighetsgrad: Medel
API-begäranden sprutar från en enda IP-adress till ett ovanligt stort antal distinkta API-slutpunkter
(API_SprayInRequests)
Beskrivning: En enskild IP-adress observerades när API-anrop gjordes till ett ovanligt stort antal distinkta slutpunkter. Baserat på historiska trafikmönster från de senaste 30 dagarna lär sig Defenders for API:er en baslinje som representerar det typiska antalet distinkta slutpunkter som anropas av en enda IP-adress i 20-minutersfönster. Aviseringen utlöstes eftersom en enskild IP-adress beteende avvek avsevärt från den historiska baslinjen.
MITRE-taktik: Identifiering
Allvarlighetsgrad: Medel
Parameteruppräkning på en API-slutpunkt
(API_ParameterEnumeration)
Beskrivning: En enskild IP-adress observerades räkna upp parametrar vid åtkomst till en av API-slutpunkterna. Baserat på historiska trafikmönster från de senaste 30 dagarna lär sig Defender för API:er en baslinje som representerar det typiska antalet distinkta parametervärden som används av en enskild IP-adress vid åtkomst till den här slutpunkten i 20-minutersfönster. Aviseringen utlöstes eftersom en enskild klient-IP nyligen använde en slutpunkt med ett ovanligt stort antal distinkta parametervärden.
MITRE-taktik: Inledande åtkomst
Allvarlighetsgrad: Medel
Uppräkning av distribuerade parametrar på en API-slutpunkt
(API_DistributedParameterEnumeration)
Beskrivning: Den aggregerade användarpopulationen (alla IP-adresser) observerades räkna upp parametrar vid åtkomst till en av API-slutpunkterna. Baserat på historiska trafikmönster från de senaste 30 dagarna lär sig Defender för API:er en baslinje som representerar det typiska antalet distinkta parametervärden som används av användarpopulationen (alla IP-adresser) vid åtkomst till en slutpunkt i 20-minutersfönster. Aviseringen utlöstes eftersom användarpopulationen nyligen använde en slutpunkt med ett ovanligt stort antal distinkta parametervärden.
MITRE-taktik: Inledande åtkomst
Allvarlighetsgrad: Medel
Parametervärden med avvikande datatyper i ett API-anrop
(API_UnseenParamType)
Beskrivning: En enskild IP-adress observerades vid åtkomst till en av dina API-slutpunkter och med hjälp av parametervärden av datatypen låg sannolikhet (till exempel sträng, heltal osv.). Baserat på historiska trafikmönster från de senaste 30 dagarna lär sig Defender för API:er de förväntade datatyperna för varje API-parameter. Aviseringen utlöstes eftersom en IP-adress nyligen kom åt en slutpunkt med en datatyp med tidigare låg sannolikhet som parameterindata.
MITRE-taktik: Påverkan
Allvarlighetsgrad: Medel
Tidigare osedda parameter som används i ett API-anrop
(API_UnseenParam)
Beskrivning: En enskild IP-adress observerades vid åtkomst till en av API-slutpunkterna med hjälp av en tidigare osedda eller out-of-bounds-parameter i begäran. Baserat på historiska trafikmönster från de senaste 30 dagarna lär sig Defender för API:er en uppsättning förväntade parametrar som är associerade med anrop till en slutpunkt. Aviseringen utlöstes eftersom en IP-adress nyligen kom åt en slutpunkt med hjälp av en tidigare osynlig parameter.
MITRE-taktik: Påverkan
Allvarlighetsgrad: Medel
Åtkomst från en tor-slutnod till en API-slutpunkt
(API_AccessFromTorExitNode)
Beskrivning: En IP-adress från Tor-nätverket har åtkomst till en av dina API-slutpunkter. Tor är ett nätverk som gör det möjligt för människor att komma åt Internet samtidigt som deras verkliga IP-adress hålls dold. Även om det finns legitima användningsområden används det ofta av angripare för att dölja sin identitet när de riktar in sig på människors system online.
MITRE-taktik: Före attack
Allvarlighetsgrad: Medel
API-slutpunktsåtkomst från misstänkt IP
(API_AccessFromSuspiciousIP)
Beskrivning: En IP-adress som har åtkomst till en av dina API-slutpunkter identifierades av Microsoft Threat Intelligence med hög sannolikhet att vara ett hot. När du observerade skadlig Internettrafik kom denna IP-adress upp som involverad i att attackera andra onlinemål.
MITRE-taktik: Före attack
Allvarlighetsgrad: Hög
Misstänkt användaragent har identifierats
(API_AccessFromSuspiciousUserAgent)
Beskrivning: Användaragenten för en begäran som kommer åt en av dina API-slutpunkter innehöll avvikande värden som tyder på ett försök att köra fjärrkod. Detta innebär inte att någon av dina API-slutpunkter har brutits, men det tyder på att ett angreppsförsök pågår.
MITRE-taktik: Körning
Allvarlighetsgrad: Medel
Inaktuella Defender for Containers-aviseringar
Följande listor innehåller säkerhetsaviseringar för Defender för containrar som är inaktuella.
Manipulering av värdbrandväggen har identifierats
(K8S. NODE_FirewallDisabled)
Beskrivning: Analys av processer som körs i en container eller direkt på en Kubernetes-nod har identifierat en möjlig manipulering av brandväggen på värden. Angripare inaktiverar ofta detta för att exfiltera data.
MITRE-taktik: DefenseEvasion, Exfiltration
Allvarlighetsgrad: Medel
Misstänkt användning av DNS via HTTPS
(K8S. NODE_SuspiciousDNSOverHttps)
Beskrivning: Analys av processer som körs i en container eller direkt på en Kubernetes-nod har upptäckt användningen av ett DNS-anrop via HTTPS på ett ovanligt sätt. Den här tekniken används av angripare för att dölja anrop till misstänkta eller skadliga webbplatser.
MITRE-taktik: DefenseEvasion, Exfiltration
Allvarlighetsgrad: Medel
En möjlig anslutning till skadlig plats har identifierats.
(K8S. NODE_ThreatIntelCommandLineSuspectDomain)
Beskrivning: Analys av processer som körs i en container eller direkt på en Kubernetes-nod har identifierat en anslutning till en plats som har rapporterats vara skadlig eller ovanlig. Det här är en indikator på att en kompromiss kan ha inträffat.
MITRE-taktik: InitialAccess
Allvarlighetsgrad: Medel
Gruvaktivitet för digital valuta
(K8S. NODE_CurrencyMining)
Beskrivning: Analys av DNS-transaktioner har identifierat en aktivitet för utvinning av digital valuta. Sådan aktivitet, även om det kan vara ett legitimt användarbeteende, utförs ofta av angripare efter att resurser har komprometterats. Typisk relaterad attackeringsaktivitet kommer sannolikt att omfatta nedladdning och körning av vanliga gruvverktyg.
MITRE-taktik: Exfiltrering
Allvarlighetsgrad: Låg
Inaktuella Linux-aviseringar för Defender for Servers
VM_AbnormalDaemonTermination
Visningsnamn för avisering: Onormal avslutning
Allvarlighetsgrad: Låg
VM_BinaryGeneratedFromCommandLine
Visningsnamn för avisering: Misstänkt binärfil har identifierats
Allvarlighetsgrad: Medel
VM_CommandlineSuspectDomain misstänkt
Visningsnamn för avisering: domännamnsreferens
Allvarlighetsgrad: Låg
VM_CommonBot
Visningsnamn för avisering: Beteende som liknar vanliga Linux-robotar som identifierats
Allvarlighetsgrad: Medel
VM_CompCommonBots
Visningsnamn för avisering: Kommandon som liknar vanliga Linux-robotar har identifierats
Allvarlighetsgrad: Medel
VM_CompSuspiciousScript
Visningsnamn för avisering: Shell-skript har identifierats
Allvarlighetsgrad: Medel
VM_CompTestRule
Aviseringsvisningsnamn: Sammansatt analystestavisering
Allvarlighetsgrad: Låg
VM_CronJobAccess
Visningsnamn för avisering: Manipulering av schemalagda aktiviteter har identifierats
Allvarlighetsgrad: Information
VM_CryptoCoinMinerArtifacts
Visningsnamn för avisering: Process som är associerad med digital valutautvinning har identifierats
Allvarlighetsgrad: Medel
VM_CryptoCoinMinerDownload
Aviseringsvisningsnamn: Möjlig nedladdning av Cryptocoinminer har identifierats
Allvarlighetsgrad: Medel
VM_CryptoCoinMinerExecution
Aviseringsvisningsnamn: Potentiell kryptomyntgrävare har startats
Allvarlighetsgrad: Medel
VM_DataEgressArtifacts
Visningsnamn för avisering: Möjlig dataexfiltrering har identifierats
Allvarlighetsgrad: Medel
VM_DigitalCurrencyMining
Visningsnamn för avisering: Digitalt valutautvinningsrelaterat beteende har identifierats
Allvarlighetsgrad: Hög
VM_DownloadAndRunCombo
Visningsnamn för avisering: Misstänkt nedladdning och kör sedan aktivitet
Allvarlighetsgrad: Medel
VM_EICAR
Visningsnamn för avisering: Microsoft Defender för molnet testavisering (inte ett hot)
Allvarlighetsgrad: Hög
VM_ExecuteHiddenFile
Visningsnamn för avisering: Körning av dold fil
Allvarlighetsgrad: Information
VM_ExploitAttempt
Visningsnamn för avisering: Möjligt försök att utnyttja kommandoraden
Allvarlighetsgrad: Medel
VM_ExposedDocker
Visningsnamn för avisering: Exponerad Docker-daemon på TCP-socket
Allvarlighetsgrad: Medel
VM_FairwareMalware
Visningsnamn för avisering: Beteende som liknar Fairware Ransomware har identifierats
Allvarlighetsgrad: Medel
VM_FirewallDisabled
Visningsnamn för avisering: Manipulering av värdbrandväggen har identifierats
Allvarlighetsgrad: Medel
VM_HadoopYarnExploit
Visningsnamn för avisering: Möjligt utnyttjande av Hadoop Yarn
Allvarlighetsgrad: Medel
VM_HistoryFileCleared
Aviseringsvisningsnamn: En historikfil har rensats
Allvarlighetsgrad: Medel
VM_KnownLinuxAttackTool
Visningsnamn för avisering: Möjligt angreppsverktyg har identifierats
Allvarlighetsgrad: Medel
VM_KnownLinuxCredentialAccessTool
Visningsnamn för avisering: Möjligt åtkomstverktyg för autentiseringsuppgifter har identifierats
Allvarlighetsgrad: Medel
VM_KnownLinuxDDoSToolkit
Visningsnamn för avisering: Indikatorer som är associerade med DDOS-verktyg har identifierats
Allvarlighetsgrad: Medel
VM_KnownLinuxScreenshotTool
Visningsnamn för avisering: Skärmbild som tagits på värden
Allvarlighetsgrad: Låg
VM_LinuxBackdoorArtifact
Visningsnamn för avisering: Möjlig bakdörr har identifierats
Allvarlighetsgrad: Medel
VM_LinuxReconnaissance
Aviseringsvisningsnamn: Lokal värdspaning har identifierats
Allvarlighetsgrad: Medel
VM_MismatchedScriptFeatures
Visningsnamn för avisering: Felmatchning av skripttillägg har identifierats
Allvarlighetsgrad: Medel
VM_MitreCalderaTools
Visningsnamn för avisering: MITRE Caldera-agenten har identifierats
Allvarlighetsgrad: Medel
VM_NewSingleUserModeStartupScript
Visningsnamn för avisering: Identifierat beständighetsförsök
Allvarlighetsgrad: Medel
VM_NewSudoerAccount
Visningsnamn för avisering: Kontot har lagts till i sudo-gruppen
Allvarlighetsgrad: Låg
VM_OverridingCommonFiles
Visningsnamn för avisering: Potentiellt åsidosättande av vanliga filer
Allvarlighetsgrad: Medel
VM_PrivilegedContainerArtifacts
Visningsnamn för avisering: Containern körs i privilegierat läge
Allvarlighetsgrad: Låg
VM_PrivilegedExecutionInContainer
Visningsnamn för avisering: Kommando i en container som körs med hög behörighet
Allvarlighetsgrad: Låg
VM_ReadingHistoryFile
Visningsnamn för avisering: Ovanlig åtkomst till bash-historikfil
Allvarlighetsgrad: Information
VM_ReverseShell
Visningsnamn för avisering: Potentiellt omvändt gränssnitt har identifierats
Allvarlighetsgrad: Medel
VM_SshKeyAccess
Visningsnamn för avisering: Processen visas vid åtkomst till filen med SSH-auktoriserade nycklar på ett ovanligt sätt
Allvarlighetsgrad: Låg
VM_SshKeyAddition
Visningsnamn för avisering: Ny SSH-nyckel har lagts till
Allvarlighetsgrad: Låg
VM_SuspectCompilation
Visningsnamn för avisering: Misstänkt kompilering har identifierats
Allvarlighetsgrad: Medel
VM_Suspect Anslut ion
Aviseringsvisningsnamn: Ett ovanligt anslutningsförsök har identifierats
Allvarlighetsgrad: Medel
VM_SuspectDownload
Visningsnamn för avisering: Upptäckt filnedladdning från en känd skadlig källa
Allvarlighetsgrad: Medel
VM_SuspectDownloadArtifacts
Visningsnamn för avisering: Misstänkt filnedladdning har identifierats
Allvarlighetsgrad: Låg
VM_SuspectExecutablePath
Visningsnamn för avisering: Körbar fil hittades när den kördes från en misstänkt plats
Allvarlighetsgrad: Medel
VM_SuspectHtaccessFileAccess
Visningsnamn för avisering: Åtkomst till htaccess-fil har identifierats
Allvarlighetsgrad: Medel
VM_SuspectInitialShellCommand
Visningsnamn för avisering: Misstänkt första kommando i gränssnittet
Allvarlighetsgrad: Låg
VM_SuspectMixedCaseText
Visningsnamn för avisering: Identifierad avvikande blandning av versaler och gemener på kommandoraden
Allvarlighetsgrad: Medel
VM_SuspectNetwork Anslut ion
Visningsnamn för avisering: Misstänkt nätverksanslutning
Allvarlighetsgrad: Information
VM_SuspectNohup
Visningsnamn för avisering: Misstänkt användning av nohup-kommandot har identifierats
Allvarlighetsgrad: Medel
VM_SuspectPasswordChange
Visningsnamn för avisering: Möjlig lösenordsändring med hjälp av crypt-method har identifierats
Allvarlighetsgrad: Medel
VM_SuspectPasswordFileAccess
Visningsnamn för avisering: Misstänkt lösenordsåtkomst
Allvarlighetsgrad: Information
VM_SuspectPhp
Aviseringsvisningsnamn: Misstänkt PHP-körning har identifierats
Allvarlighetsgrad: Medel
VM_SuspectPortForwarding
Visningsnamn för avisering: Potentiell portvidarebefordring till extern IP-adress
Allvarlighetsgrad: Medel
VM_SuspectProcessAccountPrivilegeCombo
Visningsnamn för avisering: Processen som körs i ett tjänstkonto blev oväntat rot
Allvarlighetsgrad: Medel
VM_SuspectProcessTermination
Visningsnamn för avisering: Säkerhetsrelaterad processavslut har identifierats
Allvarlighetsgrad: Låg
VM_SuspectUserAddition
Visningsnamn för avisering: Misstänkt användning av useradd-kommandot har identifierats
Allvarlighetsgrad: Medel
VM_SuspiciousCommandLineExecution
Visningsnamn för avisering: Misstänkt kommandokörning
Allvarlighetsgrad: Hög
VM_SuspiciousDNSOverHttps
Visningsnamn för avisering: Misstänkt användning av DNS via HTTPS
Allvarlighetsgrad: Medel
VM_SystemLogRemoval
Aviseringsvisningsnamn: Möjlig loggmanipuleringsaktivitet har identifierats
Allvarlighetsgrad: Medel
VM_ThreatIntelCommandLineSuspectDomain
Visningsnamn för avisering: En möjlig anslutning till skadlig plats har identifierats
Allvarlighetsgrad: Medel
VM_ThreatIntelSuspectLogon
Visningsnamn för avisering: En inloggning från en skadlig IP-adress har identifierats
Allvarlighetsgrad: Hög
VM_TimerServiceDisabled
Visningsnamn för avisering: Försök att stoppa tjänsten apt-daily-upgrade.timer har identifierats
Allvarlighetsgrad: Information
VM_TimestampTampering
Aviseringsvisningsnamn: Misstänkt ändring av filtidsstämpel
Allvarlighetsgrad: Låg
VM_Webshell
Visningsnamn för avisering: Möjligt skadligt webbgränssnitt har identifierats
Allvarlighetsgrad: Medel
Inaktuella Windows-aviseringar för Defender för servrar
SCUBA_MULTIPLEACCOUNTCREATE
Visningsnamn för avisering: Misstänkt skapande av konton på flera värdar
Allvarlighetsgrad: Medel
SCUBA_PSINSIGHT_CONTEXT
Visningsnamn för avisering: Misstänkt användning av PowerShell har identifierats
Allvarlighetsgrad: Information
SCUBA_RULE_AddGuestToAdministrators
Visningsnamn för avisering: Tillägg av gästkonto i gruppen Lokala administratörer
Allvarlighetsgrad: Medel
SCUBA_RULE_Apache_Tomcat_executing_suspicious_commands
Visningsnamn för avisering: Apache_Tomcat_executing_suspicious_commands
Allvarlighetsgrad: Medel
SCUBA_RULE_KnownBruteForcingTools
Visningsnamn för avisering: Misstänkt process körs
Allvarlighetsgrad: Hög
SCUBA_RULE_KnownCollectionTools
Visningsnamn för avisering: Misstänkt process körs
Allvarlighetsgrad: Hög
SCUBA_RULE_KnownDefenseEvasionTools
Visningsnamn för avisering: Misstänkt process körs
Allvarlighetsgrad: Hög
SCUBA_RULE_KnownExecutionTools
Visningsnamn för avisering: Misstänkt process körs
Allvarlighetsgrad: Hög
SCUBA_RULE_KnownPassTheHashTools
Visningsnamn för avisering: Misstänkt process körs
Allvarlighetsgrad: Hög
SCUBA_RULE_KnownSpammingTools
Visningsnamn för avisering: Misstänkt process körs
Allvarlighetsgrad: Medel
SCUBA_RULE_Lowering_Security_Inställningar
Visningsnamn för avisering: Identifierade inaktivering av kritiska tjänster
Allvarlighetsgrad: Medel
SCUBA_RULE_OtherKnownHackerTools
Visningsnamn för avisering: Misstänkt process körs
Allvarlighetsgrad: Hög
SCUBA_RULE_RDP_session_hijacking_via_tscon
Visningsnamn för avisering: Misstänkt integritetsnivå som tyder på RDP-kapning
Allvarlighetsgrad: Medel
SCUBA_RULE_RDP_session_hijacking_via_tscon_service
Visningsnamn för avisering: Misstänkt tjänstinstallation
Allvarlighetsgrad: Medel
SCUBA_RULE_Suppress_pesky_unauthorized_use_prohibited_notices
Visningsnamn för avisering: Upptäckt undertryckning av juridiska meddelanden som visas för användare vid inloggning
Allvarlighetsgrad: Låg
SCUBA_RULE_WDigest_Enabling
Visningsnamn för avisering: Identifierade aktivering av registernyckeln WDigest UseLogonCredential
Allvarlighetsgrad: Medel
VM.Windows_ApplockerBypass
Aviseringsvisningsnamn: Potentiellt försök att kringgå AppLocker har identifierats
Allvarlighetsgrad: Hög
VM.Windows_BariumKnownSuspiciousProcessExecution
Visningsnamn för avisering: Misstänkt fil har identifierats
Allvarlighetsgrad: Hög
VM.Windows_Base64EncodedExecutableInCommandLineParams
Visningsnamn för avisering: Identifierad kodad körbar fil i kommandoradsdata
Allvarlighetsgrad: Hög
VM.Windows_CalcsCommandLineUse
Aviseringsvisningsnamn: Misstänkt användning av Cacls har identifierats för att sänka systemets säkerhetstillstånd
Allvarlighetsgrad: Medel
VM.Windows_CommandLineStartingAllExe
Visningsnamn för avisering: Identifierade misstänkt kommandorad som används för att starta alla körbara filer i en katalog
Allvarlighetsgrad: Medel
VM.Windows_DisablingAndDeletingIISLogFiles
Visningsnamn för avisering: Identifierade åtgärder som indikerar inaktivering och borttagning av IIS-loggfiler
Allvarlighetsgrad: Medel
VM.Windows_DownloadUsingCertutil
Visningsnamn för avisering: Misstänkt nedladdning med certutil identifierad
Allvarlighetsgrad: Medel
VM.Windows_EchoOverPipeOnLocalhost
Aviseringsvisningsnamn: Misstänkt namngiven pipe-kommunikation har identifierats
Allvarlighetsgrad: Hög
VM.Windows_EchoToConstructPowerShellScript
Visningsnamn för avisering: Dynamisk PowerShell-skriptkonstruktion
Allvarlighetsgrad: Medel
VM.Windows_ExecutableDecodedUsingCertutil
Visningsnamn för avisering: Identifierad avkodning av en körbar fil med hjälp av det inbyggda certutil.exe-verktyget
Allvarlighetsgrad: Medel
VM.Windows_FileDeletionIsSospisiousLocation
Aviseringsvisningsnamn: Misstänkt filborttagning har identifierats
Allvarlighetsgrad: Medel
VM.Windows_KerberosGoldenTicketAttack
Aviseringsvisningsnamn: Misstänkta Kerberos Golden Ticket-attackparametrar observerade
Allvarlighetsgrad: Medel
VM.Windows_KeygenToolKnownProcessName
Visningsnamn för avisering: Identifierad möjlig körning av körbar keygen-misstänkt process som körs
Allvarlighetsgrad: Medel
VM.Windows_KnownCredentialAccessTools
Visningsnamn för avisering: Misstänkt process körs
Allvarlighetsgrad: Hög
VM.Windows_KnownSuspiciousPowerShellScript
Visningsnamn för avisering: Misstänkt användning av PowerShell har identifierats
Allvarlighetsgrad: Hög
VM.Windows_KnownSuspiciousSoftwareInstallation
Aviseringsvisningsnamn: Programvara med hög risk har identifierats
Allvarlighetsgrad: Medel
VM.Windows_MsHtaAndPowerShellCombination
Visningsnamn för avisering: Identifierade misstänkt kombination av HTA och PowerShell
Allvarlighetsgrad: Medel
VM.Windows_MultipleAccountsQuery
Visningsnamn för avisering: Flera domänkonton efterfrågade
Allvarlighetsgrad: Medel
VM.Windows_NewAccountCreation
Visningsnamn för avisering: Kontoskapande har identifierats
Allvarlighetsgrad: Information
VM.Windows_ObfuscatedCommandLine
Visningsnamn för avisering: Det identifierade dolda kommandoraden.
Allvarlighetsgrad: Hög
VM.Windows_PcaluaUseToLaunchExecutable
Visningsnamn för avisering: Misstänkt användning av Pcalua.exe har identifierats för att starta körbar kod
Allvarlighetsgrad: Medel
VM.Windows_PetyaRansomware
Visningsnamn för avisering: Identifierade Indikatorer för Petya Ransomware
Allvarlighetsgrad: Hög
VM.Windows_PowerShellPowerSploitScriptExecution
Visningsnamn för avisering: Misstänkta PowerShell-cmdletar körs
Allvarlighetsgrad: Medel
VM.Windows_RansomwareIndication
Visningsnamn för avisering: Utpressningstrojanindikatorer har identifierats
Allvarlighetsgrad: Hög
VM.Windows_SqlDumperUsedSuspiciously
Visningsnamn för avisering: Möjlig dumpning av autentiseringsuppgifter har identifierats [visas flera gånger]
Allvarlighetsgrad: Medel
VM.Windows_StopCriticalServices
Visningsnamn för avisering: Identifierade inaktivering av kritiska tjänster
Allvarlighetsgrad: Medel
VM.Windows_SubvertingAccessibilityBinary
Aviseringsvisningsnamn: Sticky Keys-attack identifierade Misstänkt kontoskapande identifierade Medium
VM.Windows_SuspiciousAccountCreation
Visningsnamn för avisering: Misstänkt kontoskapande har identifierats
Allvarlighetsgrad: Medel
VM.Windows_SuspiciousFirewallRuleAdded
Visningsnamn för avisering: Misstänkt ny brandväggsregel har identifierats
Allvarlighetsgrad: Medel
VM.Windows_SuspiciousFTPSSwitchUsage
Visningsnamn för avisering: Misstänkt användning av FTP-s-växel har identifierats
Allvarlighetsgrad: Medel
VM.Windows_SuspiciousSQLActivity
Visningsnamn för avisering: Misstänkt SQL-aktivitet
Allvarlighetsgrad: Medel
VM.Windows_SVCHostFromInvalidPath
Visningsnamn för avisering: Misstänkt process körs
Allvarlighetsgrad: Hög
VM.Windows_SystemEventLogCleared
Visningsnamn för avisering: Windows-säkerhet loggen har rensats
Allvarlighetsgrad: Information
VM.Windows_TelegramInstallation
Visningsnamn för avisering: Identifierad potentiellt misstänkt användning av Telegram-verktyget
Allvarlighetsgrad: Medel
VM.Windows_UndercoverProcess
Visningsnamn för avisering: Misstänkt namngiven process har identifierats
Allvarlighetsgrad: Hög
VM.Windows_UserAccountControlBypass
Visningsnamn för avisering: Identifierade ändringar i en registernyckel som kan missbrukas för att kringgå UAC
Allvarlighetsgrad: Medel
VM.Windows_VBScriptEncoding
Visningsnamn för avisering: Misstänkt körning av kommandot VBScript.Encode har identifierats
Allvarlighetsgrad: Medel
VM.Windows_WindowPositionRegisteryChange
Visningsnamn för avisering: Misstänkt WindowPosition-registervärde har identifierats
Allvarlighetsgrad: Låg
VM.Windows_ZincPortOpenningUsingFirewallRule
Aviseringsvisningsnamn: Skadlig brandväggsregel som skapats av ZINK-serverimplantat
Allvarlighetsgrad: Hög
VM_DigitalCurrencyMining
Visningsnamn för avisering: Digitalt valutautvinningsrelaterat beteende har identifierats
Allvarlighetsgrad: Hög
VM_MaliciousSQLActivity
Visningsnamn för avisering: Skadlig SQL-aktivitet
Allvarlighetsgrad: Hög
VM_ProcessWithDoubleExtensionExecution
Visningsnamn för avisering: Misstänkt fil med dubbelt tillägg körs
Allvarlighetsgrad: Hög
VM_RegistryPersistencyKey
Visningsnamn för avisering: Windows-registrets beständighetsmetod har identifierats
Allvarlighetsgrad: Låg
VM_ShadowCopyDeletion
Visningsnamn för avisering: Misstänkt körbar volymskuggakopieringsaktivitet hittades på en misstänkt plats
Allvarlighetsgrad: Hög
VM_SuspectExecutablePath
Visningsnamn för avisering: Körbar fil hittades när den kördes från en misstänkt plats Identifierade avvikande blandning av versaler och gemener på kommandoraden
Allvarlighetsgrad: Information
Medium
VM_SuspectPhp
Aviseringsvisningsnamn: Misstänkt PHP-körning har identifierats
Allvarlighetsgrad: Medel
VM_SuspiciousCommandLineExecution
Visningsnamn för avisering: Misstänkt kommandokörning
Allvarlighetsgrad: Hög
VM_SuspiciousScreenSaverExecution
Visningsnamn för avisering: Misstänkt skärmsläckarprocess körs
Allvarlighetsgrad: Medel
VM_SvcHostRunInRareServiceGroup
Visningsnamn för avisering: Sällsynt SVCHOST-tjänstgrupp körs
Allvarlighetsgrad: Information
VM_SystemProcessInAbnormalContext
Visningsnamn för avisering: Misstänkt systemprocess körs
Allvarlighetsgrad: Medel
VM_ThreatIntelCommandLineSuspectDomain
Visningsnamn för avisering: En möjlig anslutning till skadlig plats har identifierats
Allvarlighetsgrad: Medel
VM_ThreatIntelSuspectLogon
Visningsnamn för avisering: En inloggning från en skadlig IP-adress har identifierats
Allvarlighetsgrad: Hög
VM_VbScriptHttpObjectAllocation
Aviseringsvisningsnamn: VBScript HTTP-objektallokering har identifierats
Allvarlighetsgrad: Hög
VM_TaskkillBurst
Visningsnamn för avisering: Misstänkt processavslutssprängning
Allvarlighetsgrad: Låg
VM_RunByPsExec
Visningsnamn för avisering: PsExec-körning har identifierats
Allvarlighetsgrad: Information
MITRE ATT&CK-taktik
Att förstå avsikten med en attack kan hjälpa dig att undersöka och rapportera händelsen enklare. För att hjälpa till med dessa ansträngningar inkluderar Microsoft Defender för molnet aviseringar MITRE-taktiken med många aviseringar.
Den serie steg som beskriver förloppet för en cyberattack från rekognosering till dataexfiltrering kallas ofta för en "kill chain".
Defender för molnet avsikter som stöds baseras på version 9 av MITRE ATT&CK-matrisen och beskrivs i tabellen nedan.
Strategi | ATT&CK-version | beskrivning |
---|---|---|
PreAttack | PreAttack kan vara antingen ett försök att komma åt en viss resurs oavsett skadlig avsikt eller ett misslyckat försök att få åtkomst till ett målsystem för att samla in information före utnyttjandet. Det här steget identifieras vanligtvis som ett försök, som kommer från utanför nätverket, att genomsöka målsystemet och identifiera en startpunkt. | |
Inledande åtkomst | V7, V9 | Inledande åtkomst är den fas där en angripare lyckas få fotfäste på den angripna resursen. Den här fasen är relevant för beräkningsvärdar och resurser som användarkonton, certifikat osv. Hotaktörer kommer ofta att kunna kontrollera resursen efter det här steget. |
Uthållighet | V7, V9 | Beständighet är alla åtkomst-, åtgärds- eller konfigurationsändringar till ett system som ger en hotskådespelare en beständig närvaro i systemet. Hotaktörer behöver ofta upprätthålla åtkomsten till system genom avbrott, till exempel omstarter av systemet, förlust av autentiseringsuppgifter eller andra fel som skulle kräva att ett fjärråtkomstverktyg startar om eller tillhandahåller en alternativ bakdörr för att de ska kunna återfå åtkomsten. |
Privilegieeskalering | V7, V9 | Behörighetseskalering är resultatet av åtgärder som gör det möjligt för en angripare att få en högre behörighetsnivå i ett system eller nätverk. Vissa verktyg eller åtgärder kräver en högre behörighetsnivå för att fungera och är sannolikt nödvändiga vid många tillfällen under en åtgärd. Användarkonton med behörighet att komma åt specifika system eller utföra specifika funktioner som krävs för att angripare ska uppnå sitt mål kan också betraktas som en eskalering av privilegier. |
Försvarsundandragande | V7, V9 | Försvarsundandragande består av tekniker som en angripare kan använda för att undvika identifiering eller undvika andra skydd. Ibland är dessa åtgärder samma som (eller varianter av) tekniker i andra kategorier som har den extra fördelen att undergräva ett visst skydd eller en viss åtgärd. |
Åtkomst till autentiseringsuppgifter | V7, V9 | Åtkomst till autentiseringsuppgifter representerar tekniker som resulterar i åtkomst till eller kontroll över system-, domän- eller tjänstautentiseringsuppgifter som används i en företagsmiljö. Angripare kommer sannolikt att försöka få legitima autentiseringsuppgifter från användare eller administratörskonton (lokal systemadministratör eller domänanvändare med administratörsåtkomst) som ska användas i nätverket. Med tillräcklig åtkomst i ett nätverk kan en angripare skapa konton för senare användning i miljön. |
Upptäckten | V7, V9 | Identifieringen består av tekniker som gör det möjligt för motståndaren att få kunskap om systemet och det interna nätverket. När angripare får tillgång till ett nytt system måste de inrikta sig på vad de nu har kontroll över och vilka fördelar driften av systemet ger deras nuvarande mål eller övergripande mål under intrånget. Operativsystemet innehåller många inbyggda verktyg som underlättar den här informationsinsamlingsfasen efter kompromissen. |
LateralMovement | V7, V9 | Lateral förflyttning består av tekniker som gör det möjligt för en angripare att komma åt och styra fjärrsystem i ett nätverk och kan, men inte nödvändigtvis, inkludera körning av verktyg på fjärrsystem. Tekniker för lateral förflyttning kan göra det möjligt för en angripare att samla in information från ett system utan att behöva fler verktyg, till exempel ett fjärråtkomstverktyg. En angripare kan använda lateral förflyttning i många syften, inklusive fjärrkörning av verktyg, pivotering till fler system, åtkomst till specifik information eller filer, åtkomst till fler autentiseringsuppgifter eller för att orsaka en effekt. |
Utförande | V7, V9 | Körningstaktiken representerar tekniker som resulterar i att inkräktarkontrollerad kod körs på ett lokalt eller fjärrstyrt system. Den här taktiken används ofta tillsammans med lateral förflyttning för att utöka åtkomsten till fjärrsystem i ett nätverk. |
Samling | V7, V9 | Samlingen består av tekniker som används för att identifiera och samla in information, till exempel känsliga filer, från ett målnätverk före exfiltrering. Den här kategorin omfattar även platser i ett system eller nätverk där motståndaren kan söka efter information för att exfiltratera. |
Kommando och kontroll | V7, V9 | Kommando- och kontrolltaktiken representerar hur angripare kommunicerar med system under deras kontroll i ett målnätverk. |
Exfiltrering | V7, V9 | Exfiltrering refererar till tekniker och attribut som leder till eller hjälper motståndaren att ta bort filer och information från ett målnätverk. Den här kategorin omfattar även platser i ett system eller nätverk där motståndaren kan söka efter information för att exfiltratera. |
Påverkan | V7, V9 | Påverkanshändelser försöker främst direkt minska tillgängligheten eller integriteten för ett system, en tjänst eller ett nätverk. inklusive manipulering av data för att påverka en affärs- eller driftsprocess. Detta skulle ofta referera till tekniker som utpressningstrojaner, defacement, datamanipulering och andra. |
Kommentar
För aviseringar som är i förhandsversion: Tilläggsvillkoren för Azure Preview innehåller ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.