Säkerhetsaviseringar – en referensguide
I den här artikeln visas de säkerhetsaviseringar som du kan få från Microsoft Defender för molnet och alla Microsoft Defender-planer som du har aktiverat. De aviseringar som visas i din miljö beror på de resurser och tjänster som du skyddar och din anpassade konfiguration.
Längst ned på den här sidan finns en tabell som beskriver Microsoft Defender för molnet kill-kedjan i linje med version 9 av MITRE ATT&CK-matrisen.
Lär dig hur du svarar på dessa aviseringar.
Lär dig hur du exporterar aviseringar.
Kommentar
Aviseringar från olika källor kan ta olika tid att visas. Aviseringar som kräver analys av nätverkstrafik kan till exempel ta längre tid att visas än aviseringar relaterade till misstänkta processer som körs på virtuella datorer.
Aviseringar för Windows-datorer
Microsoft Defender för servrar plan 2 tillhandahåller unika identifieringar och aviseringar, utöver de som tillhandahålls av Microsoft Defender för Endpoint. Aviseringarna som tillhandahålls för Windows-datorer är:
Mer information och anteckningar
| Avisering (aviseringstyp) | beskrivning | MITRE-taktik (Läs mer) |
Allvarlighet |
|---|---|---|---|
| En inloggning från en skadlig IP-adress har identifierats. [sett flera gånger] | En lyckad fjärrautentisering för kontot [konto] och processen [process] inträffade, men inloggnings-IP-adressen (x.x.x.x) har tidigare rapporterats som skadlig eller mycket ovanlig. En lyckad attack har förmodligen inträffat. Filer med .scr-tilläggen är skärmsläckarfiler och finns normalt och körs från Windows-systemkatalogen. | - | Högst |
| Tillägg av gästkonto i gruppen Lokala administratörer | Analys av värddata har upptäckt att det inbyggda gästkontot har lagts till i gruppen Lokala administratörer på %{Komprometterad värd}, som är starkt associerat med attackerande aktivitet. | - | Medium |
| En händelselogg har rensats | Datorloggar anger en misstänkt händelseloggrensningsåtgärd av användaren: %{användarnamn} på datorn: %{CompromisedEntity}. Loggen %{log channel} har rensats. | - | Information |
| Åtgärden mot skadlig kod misslyckades | Microsoft Antimalware har påträffat ett fel när du vidtar en åtgärd mot skadlig kod eller annan potentiellt oönskad programvara. | - | Medium |
| Åtgärder mot skadlig kod har vidtagits | Microsoft Antimalware för Azure har vidtagit åtgärder för att skydda datorn mot skadlig kod eller annan potentiellt oönskad programvara. | - | Medium |
| Undantag för program mot skadlig kod på den virtuella datorn (VM_AmBroadFilesExclusion) |
Filundantag från program mot skadlig kod med bred exkluderingsregel identifierades på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Sådan exkludering inaktiverar praktiskt taget skyddet mot skadlig kod. Angripare kan exkludera filer från genomsökningen av program mot skadlig kod på den virtuella datorn för att förhindra identifiering när godtycklig kod körs eller infekterar datorn med skadlig kod. |
- | Medium |
| Program mot skadlig kod har inaktiverats och kodkörning på den virtuella datorn (VM_AmDisablementAndCodeExecution) |
Program mot skadlig kod inaktiveras samtidigt som kodkörningen på den virtuella datorn. Detta upptäcktes genom att analysera Azure Resource Manager-åtgärder i din prenumeration. Angripare inaktiverar skannrar mot skadlig kod för att förhindra identifiering när obehöriga verktyg körs eller infekterar datorn med skadlig kod. |
- | Högst |
| Program mot skadlig kod har inaktiverats på den virtuella datorn (VM_AmDisablement) |
Program mot skadlig kod har inaktiverats på den virtuella datorn. Detta upptäcktes genom att analysera Azure Resource Manager-åtgärder i din prenumeration. Angripare kan inaktivera program mot skadlig kod på den virtuella datorn för att förhindra identifiering. |
Försvarsundandragande | Medium |
| Filundantag mot skadlig kod och kodkörning på den virtuella datorn (VM_AmFileExclusionAndCodeExecution) |
Filen undantas från skannern för program mot skadlig kod samtidigt som koden kördes via ett anpassat skripttillägg på den virtuella datorn. Detta upptäcktes genom att analysera Azure Resource Manager-åtgärder i din prenumeration. Angripare kan exkludera filer från genomsökningen av program mot skadlig kod på den virtuella datorn för att förhindra identifiering när obehöriga verktyg körs eller infekterar datorn med skadlig kod. |
Försvarsundandragande, utförande | Högst |
| Filundantag mot skadlig kod och kodkörning på den virtuella datorn (VM_AmTempFileExclusionAndCodeExecution) |
Tillfälligt filundantag från program mot skadlig kod parallellt med körning av kod via anpassat skripttillägg upptäcktes i den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Angripare kan exkludera filer från genomsökningen av program mot skadlig kod på den virtuella datorn för att förhindra identifiering när godtycklig kod körs eller infekterar datorn med skadlig kod. |
Försvarsundandragande, utförande | Högst |
| Undantag för program mot skadlig kod på den virtuella datorn (VM_AmTempFileExclusion) |
Filen undantas från skannern för program mot skadlig kod på den virtuella datorn. Detta upptäcktes genom att analysera Azure Resource Manager-åtgärder i din prenumeration. Angripare kan exkludera filer från genomsökningen av program mot skadlig kod på den virtuella datorn för att förhindra identifiering när obehöriga verktyg körs eller infekterar datorn med skadlig kod. |
Försvarsundandragande | Medium |
| Skydd mot skadlig kod i realtid har inaktiverats på den virtuella datorn (VM_AmRealtimeProtectionDisabled) |
Inaktivering av realtidsskydd för tillägget mot skadlig kod upptäcktes på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Angripare kan inaktivera realtidsskydd från genomsökningen av program mot skadlig kod på den virtuella datorn för att undvika identifiering när godtycklig kod körs eller infekterar datorn med skadlig kod. |
Försvarsundandragande | Medium |
| Skydd mot skadlig kod i realtid inaktiverades tillfälligt på den virtuella datorn (VM_AmTempRealtimeProtectionDisablement) |
Tillfällig inaktivering av tillägget mot skadlig kod identifierades i realtidsskydd på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Angripare kan inaktivera realtidsskydd från genomsökningen av program mot skadlig kod på den virtuella datorn för att undvika identifiering när godtycklig kod körs eller infekterar datorn med skadlig kod. |
Försvarsundandragande | Medium |
| Skydd mot skadlig kod i realtid inaktiverades tillfälligt medan koden kördes på den virtuella datorn (VM_AmRealtimeProtectionDisablementAndCodeExec) |
Tillfällig inaktivering av tillägget för program mot skadlig kod i realtid parallellt med kodkörning via tillägget för anpassat skript upptäcktes på den virtuella datorn genom analys av Azure Resource Manager-åtgärderna i din prenumeration. Angripare kan inaktivera realtidsskydd från genomsökningen av program mot skadlig kod på den virtuella datorn för att undvika identifiering när godtycklig kod körs eller infekterar datorn med skadlig kod. |
- | Högst |
| Genomsökningar mot skadlig kod blockeras efter filer som kan vara relaterade till kampanjer mot skadlig kod på den virtuella datorn (förhandsversion) (VM_AmMalwareCampaignRelatedExclusion) |
En exkluderingsregel identifierades på den virtuella datorn för att förhindra att tillägget mot skadlig kod genomsöker vissa filer som misstänks vara relaterade till en kampanj för skadlig kod. Regeln identifierades genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Angripare kan exkludera filer från genomsökningar av program mot skadlig kod för att förhindra identifiering när godtycklig kod körs eller infekterar datorn med skadlig kod. | Försvarsundandragande | Medium |
| Program mot skadlig kod inaktiveras tillfälligt på den virtuella datorn (VM_AmTemporarilyDisablement) |
Program mot skadlig kod inaktiveras tillfälligt på den virtuella datorn. Detta upptäcktes genom att analysera Azure Resource Manager-åtgärder i din prenumeration. Angripare kan inaktivera program mot skadlig kod på den virtuella datorn för att förhindra identifiering. |
- | Medium |
| Ovanligt filundantag mot skadlig kod på den virtuella datorn (VM_UnusualAmFileExclusion) |
Ovanligt filundantag från tillägget mot skadlig kod upptäcktes på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Angripare kan exkludera filer från genomsökningen av program mot skadlig kod på den virtuella datorn för att förhindra identifiering när godtycklig kod körs eller infekterar datorn med skadlig kod. |
Försvarsundandragande | Medium |
| Kommunikation med misstänkt domän identifierad av hotinformation (AzureDNS_ThreatIntelSuspectDomain) |
Kommunikation med misstänkt domän upptäcktes genom att analysera DNS-transaktioner från din resurs och jämföra med kända skadliga domäner som identifierats av hotinformationsflöden. Kommunikation till skadliga domäner utförs ofta av angripare och kan innebära att din resurs komprometteras. | Initial åtkomst, beständighet, körning, kommando och kontroll, utnyttjande | Medium |
| Identifierade åtgärder som tyder på att inaktivera och ta bort IIS-loggfiler | Analys av värddata identifierade åtgärder som visar att IIS-loggfiler inaktiveras och/eller tas bort. | - | Medium |
| Identifierade avvikande blandning av versaler och gemener i kommandoraden | Analys av värddata på %{Komprometterad värd} identifierade en kommandorad med avvikande blandning av versaler och gemener. Den här typen av mönster, även om det är möjligt, är också typiskt för angripare som försöker dölja skiftlägeskänsliga eller hashbaserade regelmatchningar när de utför administrativa uppgifter på en komprometterad värd. | - | Medium |
| Identifierade ändringar i en registernyckel som kan missbrukas för att kringgå UAC | Analys av värddata på %{Komprometterad värd} har upptäckt att en registernyckel som kan missbrukas för att kringgå UAC (user account control) har ändrats. Den här typen av konfiguration, även om den är möjligen godartad, är också typisk för angriparens aktivitet när du försöker flytta från oprivilegierad (standardanvändare) till privilegierad (till exempel administratör) åtkomst på en komprometterad värd. | - | Medium |
| Identifierade avkodning av en körbar fil med hjälp av det inbyggda verktyget certutil.exe | Analys av värddata på %{Komprometterad värd} upptäckte att certutil.exe, ett inbyggt administratörsverktyg, användes för att avkoda en körbar fil i stället för dess mainstream-syfte som avser att manipulera certifikat och certifikatdata. Angripare är kända för att missbruka funktioner hos legitima administratörsverktyg för att utföra skadliga åtgärder, till exempel med ett verktyg som certutil.exe, för att avkoda en skadlig körbar fil som sedan ska köras. | - | Högst |
| Identifierade aktivering av registernyckeln WDigest UseLogonCredential | Analys av värddata identifierade en ändring i registernyckeln HKLM\SYSTEM\ CurrentControlSet\Control\SecurityProviders\WDigest\ "UseLogonCredential". Mer specifikt har den här nyckeln uppdaterats för att tillåta att inloggningsuppgifter lagras i klartext i LSA-minnet. När den är aktiverad kan en angripare dumpa lösenord för rensa text från LSA-minnet med verktyg för insamling av autentiseringsuppgifter, till exempel Mimikatz. | - | Medium |
| Identifierad kodad körbar fil i kommandoradsdata | Analys av värddata på %{Komprometterad värd} identifierade en base-64-kodad körbar fil. Detta har tidigare associerats med angripare som försöker konstruera körbara filer i farten genom en sekvens med kommandon och försöker undvika intrångsidentifieringssystem genom att säkerställa att inget enskilt kommando utlöser en avisering. Detta kan vara legitim aktivitet eller en indikation på en komprometterad värd. | - | Högst |
| Den dolda kommandoraden har identifierats | Angripare använder alltmer komplexa tekniker för att undvika identifieringar som körs mot underliggande data. Analys av värddata på %{Komprometterad värd} identifierade misstänkta indikatorer på fördunkling på kommandoraden. | - | Information |
| Identifierad möjlig körning av körbar keygen | Analys av värddata på %{Komprometterad värd} identifierade körning av en process vars namn är ett tecken på ett keygen-verktyg. sådana verktyg används vanligtvis för att besegra programvarulicensieringsmekanismer, men deras nedladdning paketeras ofta med annan skadlig programvara. Aktivitetsgruppen GOLD har varit känd för att använda sådana nyckelgener för att i hemlighet få åtkomst till värdar som de komprometterar. | - | Medium |
| Upptäckt möjlig körning av skadlig kod dropper | Analys av värddata på %{Komprometterad värd} identifierade ett filnamn som tidigare har associerats med någon av aktivitetsgruppen GOLD:s metoder för att installera skadlig kod på en offervärd. | - | Högst |
| Identifierad möjlig lokal rekognoseringsaktivitet | Analys av värddata på %{Komprometterad värd} identifierade en kombination av systeminfokommandon som tidigare har associerats med någon av aktivitetsgruppen GOLD:s metoder för att utföra rekognoseringsaktivitet. Även om "systeminfo.exe" är ett legitimt Windows-verktyg är det sällsynt att köra det två gånger i följd på det sätt som har inträffat här. | - | |
| Potentiellt misstänkt användning av Telegram-verktyget har identifierats | Analys av värddata visar installation av Telegram, en kostnadsfri molnbaserad snabbmeddelandetjänst som finns både för mobil- och skrivbordssystem. Angripare är kända för att missbruka den här tjänsten för att överföra skadliga binärfiler till andra datorer, telefoner eller surfplattor. | - | Medium |
| Upptäckt undertryckning av juridiska meddelanden som visas för användare vid inloggning | Analys av värddata på %{Komprometterad värd} identifierade ändringar i registernyckeln som styr om ett juridiskt meddelande visas för användare när de loggar in. Microsofts säkerhetsanalys har fastställt att detta är en vanlig aktivitet som utförs av angripare efter att ha komprometterat en värd. | - | Lägst |
| Misstänkt kombination av HTA och PowerShell har identifierats | mshta.exe (Microsoft HTML Application Host) som är en signerad Microsoft-binär fil används av angriparna för att starta skadliga PowerShell-kommandon. Angripare använder ofta en HTA-fil med infogad VBScript. När ett offer bläddrar till HTA-filen och väljer att köra den körs De PowerShell-kommandon och skript som den innehåller. Analys av värddata på %{Komprometterad värd} upptäckte att mshta.exe startade PowerShell-kommandon. | - | Medium |
| Misstänkta kommandoradsargument har identifierats | Analys av värddata på %{Komprometterad värd} identifierade misstänkta kommandoradsargument som har använts tillsammans med ett omvändt gränssnitt som används av aktivitetsgruppen HYDROGEN. | - | Högst |
| Misstänkt kommandorad har identifierats som används för att starta alla körbara filer i en katalog | Analys av värddata har identifierat en misstänkt process som körs på %{Komprometterad värd}. Kommandoraden anger ett försök att starta alla körbara filer (*.exe) som kan finnas i en katalog. Detta kan vara en indikation på en komprometterad värd. | - | Medium |
| Identifierade misstänkta autentiseringsuppgifter i kommandoraden | Analys av värddata på %{Komprometterad värd} identifierade ett misstänkt lösenord som används för att köra en fil av aktivitetsgruppen BORON. Den här aktivitetsgruppen har varit känd för att använda det här lösenordet för att köra skadlig Pirpi-kod på en offervärd. | - | Högst |
| Misstänkta dokumentautentiseringsuppgifter har identifierats | Analys av värddata på %{Komprometterad värd} identifierade en misstänkt, vanlig förberäknad lösenordshash som används av skadlig kod som används för att köra en fil. Aktivitetsgruppen HYDROGEN har varit känd för att använda det här lösenordet för att köra skadlig kod på en offervärd. | - | Högst |
| Misstänkt körning av kommandot VBScript.Encode har identifierats | Analys av värddata på %{Komprometterad värd} identifierade körningen av kommandot VBScript.Encode. Detta kodar skripten till oläslig text, vilket gör det svårare för användare att undersöka koden. Microsofts hotforskning visar att angripare ofta använder kodade VBscript-filer som en del av attacken för att undvika identifieringssystem. Detta kan vara legitim aktivitet eller en indikation på en komprometterad värd. | - | Medium |
| Misstänkt körning har identifierats via rundll32.exe | Analys av värddata på %{Komprometterad värd} identifierade att rundll32.exe användes för att köra en process med ett ovanligt namn, vilket överensstämmer med det processnamnschema som tidigare användes av aktivitetsgruppen GOLD när de installerade sitt första stegimplantat på en komprometterad värd. | - | Högst |
| Identifierade misstänkta filrensningskommandon | Analys av värddata på %{Komprometterad värd} identifierade en kombination av systeminfo-kommandon som tidigare har associerats med någon av aktivitetsgruppen GOLD:s metoder för att utföra självrensning efter kompromissen. Även om "systeminfo.exe" är ett legitimt Windows-verktyg, är det sällsynt att köra det två gånger i följd, följt av ett borttagningskommando på det sätt som har inträffat här. | - | Högst |
| Misstänkt filskapande har identifierats | Analys av värddata på %{Komprometterad värd} identifierade skapandet eller körningen av en process som tidigare har indikerat åtgärder efter kompromissen som vidtagits på en offervärd efter aktivitetsgruppen BARIUM. Den här aktivitetsgruppen har varit känd för att använda den här tekniken för att ladda ned mer skadlig kod till en komprometterad värd efter att en bifogad fil i ett nätfiskedokument har öppnats. | - | Högst |
| Misstänkt namngiven pipe-kommunikation har identifierats | Analys av värddata på %{Komprometterad värd} identifierade data som skrevs till ett lokalt namngivet pipe från ett Windows-konsolkommando. Namngivna rör är kända för att vara en kanal som används av angripare för att uppgift och kommunicera med ett skadligt implantat. Detta kan vara legitim aktivitet eller en indikation på en komprometterad värd. | - | Högst |
| Misstänkt nätverksaktivitet har identifierats | Analys av nätverkstrafik från %{Komprometterad värd} identifierade misstänkt nätverksaktivitet. Sådan trafik, även om den är möjligen godartad, används vanligtvis av en angripare för att kommunicera med skadliga servrar för nedladdning av verktyg, kommando och kontroll och exfiltrering av data. Typisk relaterad attackeringsaktivitet omfattar kopiering av fjärradministrationsverktyg till en komprometterad värd och exfiltrering av användardata från den. | - | Lägst |
| Misstänkt ny brandväggsregel har identifierats | Analys av värddata har upptäckt att en ny brandväggsregel har lagts till via netsh.exe för att tillåta trafik från en körbar fil på en misstänkt plats. | - | Medium |
| Misstänkt användning av Cacls har upptäckts för att sänka systemets säkerhetstillstånd | Angripare använder otaliga sätt som brute force, spear phishing osv. för att uppnå en första kompromiss och få fotfäste i nätverket. När den första kompromissen har uppnåtts vidtar de ofta åtgärder för att sänka säkerhetsinställningarna för ett system. Cacls – en förkortning för ändringsåtkomstkontrollistan är microsoft Windows interna kommandoradsverktyg som ofta används för att ändra säkerhetsbehörigheten för mappar och filer. Mycket tid som binärfilen används av angriparna för att sänka säkerhetsinställningarna för ett system. Detta görs genom att ge Alla fullständig åtkomst till några av system binärfilerna som ftp.exe, net.exe, wscript.exe osv. Analys av värddata på %{Komprometterad värd} identifierade misstänkt användning av Cacls för att sänka säkerheten för ett system. | - | Medium |
| Misstänkt användning av FTP-s-växel har identifierats | Analys av processgenereringsdata från %{Komprometterad värd} identifierade användningen av FTP-växeln "-s:filename". Den här växeln används för att ange en FTP-skriptfil som klienten ska köra. Skadlig kod eller skadliga processer är kända för att använda den här FTP-växeln (-s:filename) för att peka på en skriptfil, som är konfigurerad för att ansluta till en fjärr-FTP-server och ladda ned fler skadliga binärfiler. | - | Medium |
| Misstänkt användning av Pcalua.exe har upptäckts för att starta körbar kod | Analys av värddata på %{Komprometterad värd} identifierade användningen av pcalua.exe för att starta körbar kod. Pcalua.exe är en komponent i Microsoft Windows "ProgramKompatibilitetsassistenten", som identifierar kompatibilitetsproblem under installationen eller körningen av ett program. Angripare är kända för att missbruka funktioner i legitima Windows-systemverktyg för att utföra skadliga åtgärder, till exempel genom att använda pcalua.exe med växeln -a för att starta skadliga körbara filer antingen lokalt eller från fjärrresurser. | - | Medium |
| Identifierade inaktivering av kritiska tjänster | Analysen av värddata på %{Komprometterad värd} identifierade körningen av kommandot "net.exe stop" som används för att stoppa kritiska tjänster som SharedAccess eller Windows-säkerhet-appen. Att stoppa någon av dessa tjänster kan vara en indikation på ett skadligt beteende. | - | Medium |
| Digitalt valutautvinningsrelaterat beteende har identifierats | Analys av värddata på %{Komprometterad värd} identifierade körningen av en process eller ett kommando som normalt är associerat med utvinning av digital valuta. | - | Högst |
| Dynamisk PS-skriptkonstruktion | Analys av värddata på %{Komprometterad värd} identifierade ett PowerShell-skript som konstruerades dynamiskt. Angripare använder ibland den här metoden för att gradvis skapa ett skript för att undvika IDS-system. Det kan vara en legitim aktivitet eller en indikation på att en av dina datorer har komprometterats. | - | Medium |
| Körbar fil hittades när den kördes från en misstänkt plats | Analys av värddata identifierade en körbar fil på %{Komprometterad värd} som körs från en plats som är gemensam med kända misstänkta filer. Den här körbara filen kan antingen vara en legitim aktivitet eller en indikation på en komprometterad värd. | - | Högst |
| Fillöst attackbeteende har identifierats (VM_FilelessAttackBehavior.Windows) |
Minnet av den angivna processen innehåller beteenden som ofta används av fillösa attacker. Specifika beteenden är: 1) Shellcode, som är en liten kod som vanligtvis används som nyttolast vid utnyttjande av en sårbarhet i programvaran. 2) Aktiva nätverksanslutningar. Mer information finns i Nätverk Anslut ions nedan. 3) Funktionsanrop till säkerhetskänsliga operativsystemgränssnitt. Se Funktioner nedan för refererade OS-funktioner. 4) Innehåller en tråd som startades i ett dynamiskt allokerat kodsegment. Detta är ett vanligt mönster för processinmatningsattacker. |
Försvarsundandragande | Lägst |
| Fillös attackteknik har identifierats (VM_FilelessAttackTechnique.Windows) |
Minnet av processen som anges nedan innehåller bevis på en fillös attackteknik. Fillösa attacker används av angripare för att köra kod vid undvikande av identifiering av säkerhetsprogramvara. Specifika beteenden är: 1) Shellcode, som är en liten kod som vanligtvis används som nyttolast vid utnyttjande av en sårbarhet i programvaran. 2) Körbar bild som matas in i processen, till exempel i en kodinmatningsattack. 3) Aktiva nätverksanslutningar. Mer information finns i Nätverk Anslut ions nedan. 4) Funktionsanrop till säkerhetskänsliga operativsystemgränssnitt. Se Funktioner nedan för refererade OS-funktioner. 5) Processhålning, vilket är en teknik som används av skadlig kod där en legitim process läses in i systemet för att fungera som en container för fientlig kod. 6) Innehåller en tråd som startades i ett dynamiskt allokerat kodsegment. Detta är ett vanligt mönster för processinmatningsattacker. |
Försvarsundandragande, utförande | Högst |
| Fillös attackverktyg har identifierats (VM_FilelessAttackToolkit.Windows) |
Minnet av den angivna processen innehåller ett fillöst attackverktyg: [toolkit name]. Fillösa attackverktyg använder tekniker som minimerar eller eliminerar spår av skadlig kod på disken och minskar risken för identifiering av diskbaserade lösningar för genomsökning av skadlig kod. Specifika beteenden är: 1) Välkända verktyg och programvara för kryptoutvinning. 2) Shellcode, som är en liten kod som vanligtvis används som nyttolast vid utnyttjande av en sårbarhet i programvaran. 3) Inmatad skadlig körbar fil i processminnet. |
Försvarsundandragande, utförande | Medium |
| Programvara med hög risk har identifierats | Analys av värddata från %{Komprometterad värd} har identifierat användningen av programvara som tidigare har associerats med installationen av skadlig kod. En vanlig teknik som används i distributionen av skadlig programvara är att paketera den i annars godartade verktyg, till exempel den som visas i den här aviseringen. När du använder dessa verktyg kan skadlig kod installeras tyst i bakgrunden. | - | Medium |
| Gruppmedlemmar för lokala administratörer räknas upp | Datorloggar visar en lyckad uppräkning i gruppen %{Uppräknat gruppdomännamn}%{Uppräknat gruppnamn}. Mer specifikt har %{Räkna upp användarnamn}%{Räkna upp användarnamn} fjärranräknat medlemmarna i gruppen %{Uppräknat gruppdomännamn}%{Uppräknat gruppnamn}%{Uppräknat gruppnamn}. Den här aktiviteten kan antingen vara en legitim aktivitet eller en indikation på att en dator i organisationen har komprometterats och använts för rekognosering %{vmname}. | - | Information |
| Skadlig brandväggsregel som skapats av ZINK-serverimplantatet [visas flera gånger] | En brandväggsregel skapades med hjälp av tekniker som matchar en känd aktör, ZINK. Regeln användes möjligen för att öppna en port på %{Komprometterad värd} för att tillåta kommunikation med kommandokontrollen & . Det här beteendet sågs [x] gånger idag på följande datorer: [Datornamn] | - | Högst |
| Skadlig SQL-aktivitet | Datorloggar anger att %{processnamn} kördes av kontot: %{användarnamn}. Den här aktiviteten anses skadlig. | - | Högst |
| Frågor om flera domänkonton | Analys av värddata har fastställt att ett ovanligt antal distinkta domänkonton efterfrågas inom en kort tidsperiod från %{Komprometterad värd}. Den här typen av verksamhet kan vara legitim, men kan också vara ett tecken på kompromisser. | - | Medium |
| Möjlig dumpning av autentiseringsuppgifter har identifierats [sett flera gånger] | Analys av värddata har identifierat användningen av det interna Windows-verktyget (till exempel sqldumper.exe) som används på ett sätt som gör det möjligt att extrahera autentiseringsuppgifter från minnet. Angripare använder ofta dessa tekniker för att extrahera autentiseringsuppgifter som de sedan ytterligare använder för lateral förflyttning och eskalering av privilegier. Det här beteendet sågs [x] gånger idag på följande datorer: [Datornamn] | - | Medium |
| Potentiellt försök att kringgå AppLocker har identifierats | Analys av värddata på %{Komprometterad värd} identifierade ett potentiellt försök att kringgå AppLocker-begränsningar. AppLocker kan konfigureras för att implementera en princip som begränsar vilka körbara filer som tillåts köras i ett Windows-system. Kommandoradsmönstret som liknar det som identifierades i den här aviseringen har tidigare associerats med angripares försök att kringgå AppLocker-principen med hjälp av betrodda körbara filer (tillåtna av AppLocker-principen) för att köra kod som inte är betrodd. Detta kan vara legitim aktivitet eller en indikation på en komprometterad värd. | - | Högst |
| PsExec-körning har identifierats (VM_RunByPsExec) |
Analys av värddata anger att processen %{Processnamn} kördes av PsExec-verktyget. PsExec kan användas för fjärrkörning av processer. Den här tekniken kan användas i skadliga syften. | Lateral förflyttning, körning | Information |
| Sällsynt SVCHOST-tjänstgrupp som körs (VM_SvcHostRunInRareServiceGroup) |
Systemprocessen SVCHOST observerades köra en sällsynt tjänstgrupp. Skadlig kod använder ofta SVCHOST för att maskera dess skadliga aktivitet. | Försvarsundandragande, utförande | Information |
| Attack med klibbiga nycklar har identifierats | Analys av värddata indikerar att en angripare kan undergräva en binär tillgänglighet (till exempel kladdiga nycklar, skärmtangentbord, skärmläsare) för att ge serverdelsåtkomst till värden %{Komprometterad värd}. | - | Medium |
| Lyckad brute force-attack (VM_LoginBruteForceSuccess) |
Flera inloggningsförsök har identifierats från samma källa. Vissa har autentiserats till värden. Detta liknar en burst-attack, där en angripare utför flera autentiseringsförsök för att hitta giltiga kontoautentiseringsuppgifter. |
Utnyttjande | Medel/hög |
| Misstänkt integritetsnivå som tyder på RDP-kapning | Analys av värddata har identifierat tscon.exe som körs med SYSTEM-privilegier – detta kan vara ett tecken på att en angripare missbrukar den här binärfilen för att växla kontext till andra inloggade användare på den här värden. Det är en känd angripare teknik för att kompromettera fler användarkonton och flytta i sidled över ett nätverk. | - | Medium |
| Misstänkt tjänstinstallation | Analys av värddata har identifierat installationen av tscon.exe som en tjänst: den här binärfilen som startas som en tjänst kan göra det möjligt för en angripare att enkelt växla till andra inloggade användare på den här värden genom att kapa RDP-anslutningar. Det är en känd angripare teknik för att kompromettera fler användarkonton och flytta i sidled över ett nätverk. | - | Medium |
| Misstänkta Kerberos Golden Ticket-attackparametrar observerade | Analys av värddata identifierade kommandoradsparametrar som överensstämmer med en Kerberos Golden Ticket-attack. | - | Medium |
| Misstänkt kontoskapande har identifierats | Analys av värddata på %{Komprometterad värd} har upptäckt att ett lokalt konto %{Misstänkt kontonamn} har skapats eller använts: det här kontonamnet liknar ett Standard-Windows-konto eller gruppnamn %{Liknande kontonamn}. Detta är potentiellt ett oseriöst konto som skapats av en angripare, så namngivet för att undvika att bli uppmärksammad av en mänsklig administratör. | - | Medium |
| Misstänkt aktivitet har identifierats (VM_SuspiciousActivity) |
Analys av värddata har identifierat en sekvens med en eller flera processer som körs på %{datornamn} som historiskt har associerats med skadlig aktivitet. Medan individuella kommandon kan verka ofarliga beräknas varningen baserat på en sammanställning av dessa kommandon. Detta kan antingen vara legitim aktivitet eller en indikation på en komprometterad värd. | Körnings- | Medium |
| Misstänkt autentiseringsaktivitet (VM_LoginBruteForceValidUserFailed) |
Ingen av dem lyckades, men vissa av dem använde konton som identifierades av värden. Detta liknar en ordlisteattack, där en angripare utför många autentiseringsförsök med hjälp av en ordlista med fördefinierade kontonamn och lösenord för att hitta giltiga autentiseringsuppgifter för att få åtkomst till värden. Detta indikerar att vissa av dina värdkontonamn kan finnas i en välkänd kontonamnsordlista. | Sondera | Medium |
| Misstänkt kodsegment har identifierats | Anger att ett kodsegment har allokerats med hjälp av icke-standardmetoder, till exempel reflekterande inmatning och processhålning. Aviseringen ger fler egenskaper för kodsegmentet som har bearbetats för att ge kontext för funktionerna i det rapporterade kodsegmentet. | - | Medium |
| Misstänkt fil med dubbelt tillägg körs | Analys av värddata indikerar en körning av en process med ett misstänkt dubbelt tillägg. Det här tillägget kan lura användare att tro att filer är säkra att öppnas och kan tyda på förekomsten av skadlig kod i systemet. | - | Högst |
| Misstänkt nedladdning med certutil har identifierats [sett flera gånger] | Analys av värddata på %{Komprometterad värd} identifierade användningen av certutil.exe, ett inbyggt administratörsverktyg, för nedladdning av en binär fil i stället för dess mainstream-syfte som avser att manipulera certifikat och certifikatdata. Angripare är kända för att missbruka funktioner i legitima administratörsverktyg för att utföra skadliga åtgärder, till exempel genom att använda certutil.exe för att ladda ned och avkoda en skadlig körbar fil som sedan kommer att köras. Det här beteendet sågs [x] gånger idag på följande datorer: [Datornamn] | - | Medium |
| Misstänkt nedladdning med Certutil har identifierats | Analys av värddata på %{Komprometterad värd} identifierade användningen av certutil.exe, ett inbyggt administratörsverktyg, för nedladdning av en binär fil i stället för dess mainstream-syfte som avser att manipulera certifikat och certifikatdata. Angripare är kända för att missbruka funktioner i legitima administratörsverktyg för att utföra skadliga åtgärder, till exempel genom att använda certutil.exe för att ladda ned och avkoda en skadlig körbar fil som sedan kommer att köras. | - | Medium |
| Misstänkt PowerShell-aktivitet har identifierats | Analys av värddata identifierade ett PowerShell-skript som körs på %{Komprometterad värd} som har funktioner som är gemensamma med kända misstänkta skript. Det här skriptet kan antingen vara en legitim aktivitet eller en indikation på en komprometterad värd. | - | Högst |
| Misstänkta PowerShell-cmdletar körs | Analys av värddata indikerar körning av kända skadliga PowerShell PowerSploit-cmdletar. | - | Medium |
| Misstänkt process körs [visas flera gånger] | Datorloggar anger att den misstänkta processen: %{Misstänkt process} kördes på datorn, ofta associerad med attackerande försök att komma åt autentiseringsuppgifter. Det här beteendet sågs [x] gånger idag på följande datorer: [Datornamn] | - | Högst |
| Misstänkt process har körts | Datorloggar anger att den misstänkta processen: %{Misstänkt process} kördes på datorn, ofta associerad med attackerande försök att komma åt autentiseringsuppgifter. | - | Högst |
| Misstänkt processnamn har identifierats [sett flera gånger] | Analys av värddata på %{Komprometterad värd} identifierade en process vars namn är misstänkt, till exempel motsvarande ett känt verktyg för angripare eller namngivet på ett sätt som tyder på angripares verktyg som försöker dölja i klarsynthet. Den här processen kan vara en legitim aktivitet eller en indikation på att en av dina datorer har komprometterats. Det här beteendet sågs [x] gånger idag på följande datorer: [Datornamn] | - | Medium |
| Misstänkt processnamn har identifierats | Analys av värddata på %{Komprometterad värd} identifierade en process vars namn är misstänkt, till exempel motsvarande ett känt verktyg för angripare eller namngivet på ett sätt som tyder på angripares verktyg som försöker dölja i klarsynthet. Den här processen kan vara en legitim aktivitet eller en indikation på att en av dina datorer har komprometterats. | - | Medium |
| Misstänkt processavslutssprängning (VM_TaskkillBurst) |
Analys av värddata indikerar en misstänkt processavslutningssprängning i %{Datornamn}. Mer specifikt dödades %{NumberOfCommands}-processer mellan %{Begin} och %{Ending}. | Försvarsundandragande | Lägst |
| Misstänkt SQL-aktivitet | Datorloggar anger att %{processnamn} kördes av kontot: %{användarnamn}. Den här aktiviteten är ovanlig med det här kontot. | - | Medium |
| Misstänkt SVCHOST-process körs | SystemprocessenSVCHOST observerades köras i en onormal kontext. Skadlig kod använder ofta SVCHOST för att maskera dess skadliga aktivitet. | - | Högst |
| Misstänkt systemprocess körs (VM_SystemProcessInAbnormalContext) |
Systemprocessen %{processnamn} observerades köras i en onormal kontext. Skadlig kod använder ofta det här processnamnet för att maskera dess skadliga aktivitet. | Försvarsundandragande, utförande | Högst |
| Misstänkt volymskuggakopieringsaktivitet | Analys av värddata har identifierat en borttagningsaktivitet för en skuggkopia på resursen. Skuggkopia av volym (VSC) är en viktig artefakt som lagrar ögonblicksbilder av data. Viss skadlig kod och specifikt utpressningstrojaner riktar sig mot VSC för att sabotera säkerhetskopieringsstrategier. | - | Högst |
| Misstänkt WindowPosition-registervärde har identifierats | Analys av värddata på %{Komprometterad värd} identifierade ett försök till ändring av WindowsPosition-registerkonfigurationen som kan tyda på att dölja programfönster i icke-delbara delar av skrivbordet. Detta kan vara legitim aktivitet eller en indikation på en komprometterad dator: den här typen av aktivitet har tidigare associerats med kända adware (eller oönskad programvara) som Win32/OneSystemCare och Win32/SystemHealer och skadlig kod som Win32/Creprote. När värdet WindowPosition är inställt på 201329664 (Hex: 0x0c00 0c00, motsvarande X-axel=0c00 och Y-axeln=0c00) placerar detta konsolappens fönster i ett icke synligt avsnitt på användarens skärm i ett område som är dolt från vyn under den synliga startmenyn/aktivitetsfältet. Känt misstänkt Hex-värde inkluderar, men inte begränsat till c000c000 | - | Lägst |
| Misstänkt namngiven process har identifierats | Analys av värddata på %{Komprometterad värd} identifierade en process vars namn är mycket likt men som skiljer sig från en mycket vanlig körningsprocess (%{Liknar processnamn}). Även om den här processen kan vara godartad kan angripare ibland gömma sig i klarsynthet genom att namnge sina skadliga verktyg så att de liknar legitima processnamn. | - | Medium |
| Ovanlig konfigurationsåterställning på den virtuella datorn (VM_VMAccessUnusualConfigReset) |
En ovanlig konfigurationsåterställning upptäcktes på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Även om den här åtgärden kan vara legitim kan angripare försöka använda tillägget för vm-åtkomst för att återställa konfigurationen på den virtuella datorn och kompromettera den. |
Åtkomst till autentiseringsuppgifter | Medium |
| Ovanlig processkörning har identifierats | Analys av värddata på %{Komprometterad värd} identifierade körningen av en process av %{Användarnamn} som var ovanlig. Konton som %{Användarnamn} tenderar att utföra en begränsad uppsättning åtgärder, den här körningen bedömdes vara avvikande och kan vara misstänkt. | - | Högst |
| Ovanlig återställning av användarlösenord på den virtuella datorn (VM_VMAccessUnusualPasswordReset) |
En ovanlig återställning av användarlösenord upptäcktes på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Även om den här åtgärden kan vara legitim kan angripare försöka använda tillägget för vm-åtkomst för att återställa autentiseringsuppgifterna för en lokal användare på den virtuella datorn och kompromettera den. |
Åtkomst till autentiseringsuppgifter | Medium |
| Ovanlig SSH-nyckelåterställning för användare på den virtuella datorn (VM_VMAccessUnusualSSHReset) |
En ovanlig SSH-nyckelåterställning för användare upptäcktes på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Även om den här åtgärden kan vara legitim kan angripare försöka använda TILLÄGGET FÖR VM-åtkomst för att återställa SSH-nyckeln för ett användarkonto på den virtuella datorn och kompromettera den. |
Åtkomst till autentiseringsuppgifter | Medium |
| VBScript HTTP-objektallokering har identifierats | Det har identifierats att en VBScript-fil har skapats med kommandotolken. Följande skript innehåller HTTP-objektallokeringskommando. Den här åtgärden kan användas för att ladda ned skadliga filer. | ||
| Misstänkt installation av GPU-tillägget på den virtuella datorn (förhandsversion) (VM_GPUDriverExtensionUnusualExecution) |
Misstänkt installation av ett GPU-tillägg upptäcktes på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Angripare kan använda GPU-drivrutinstillägget för att installera GPU-drivrutiner på din virtuella dator via Azure Resource Manager för att utföra kryptokapning. | Påverkan | Lägst |
Aviseringar för Linux-datorer
Microsoft Defender för servrar plan 2 tillhandahåller unika identifieringar och aviseringar, utöver de som tillhandahålls av Microsoft Defender för Endpoint. Aviseringarna som tillhandahålls för Linux-datorer är:
Mer information och anteckningar
| Avisering (aviseringstyp) | beskrivning | MITRE-taktik (Läs mer) |
Allvarlighet |
|---|---|---|---|
| en historikfil har rensats | Analys av värddata anger att loggfilen för kommandohistorik har rensats. Angripare kan göra detta för att täcka sina spårningar. Åtgärden utfördes av användaren: %{användarnamn}. | - | Medium |
| Undantag för program mot skadlig kod på den virtuella datorn (VM_AmBroadFilesExclusion) |
Filundantag från program mot skadlig kod med bred exkluderingsregel identifierades på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Sådan exkludering inaktiverar praktiskt taget skyddet mot skadlig kod. Angripare kan exkludera filer från genomsökningen av program mot skadlig kod på den virtuella datorn för att förhindra identifiering när godtycklig kod körs eller infekterar datorn med skadlig kod. |
- | Medium |
| Program mot skadlig kod har inaktiverats och kodkörning på den virtuella datorn (VM_AmDisablementAndCodeExecution) |
Program mot skadlig kod inaktiveras samtidigt som kodkörningen på den virtuella datorn. Detta upptäcktes genom att analysera Azure Resource Manager-åtgärder i din prenumeration. Angripare inaktiverar skannrar mot skadlig kod för att förhindra identifiering när obehöriga verktyg körs eller infekterar datorn med skadlig kod. |
- | Högst |
| Program mot skadlig kod har inaktiverats på den virtuella datorn (VM_AmDisablement) |
Program mot skadlig kod har inaktiverats på den virtuella datorn. Detta upptäcktes genom att analysera Azure Resource Manager-åtgärder i din prenumeration. Angripare kan inaktivera program mot skadlig kod på den virtuella datorn för att förhindra identifiering. |
Försvarsundandragande | Medium |
| Filundantag mot skadlig kod och kodkörning på den virtuella datorn (VM_AmFileExclusionAndCodeExecution) |
Filen undantas från skannern för program mot skadlig kod samtidigt som koden kördes via ett anpassat skripttillägg på den virtuella datorn. Detta upptäcktes genom att analysera Azure Resource Manager-åtgärder i din prenumeration. Angripare kan exkludera filer från genomsökningen av program mot skadlig kod på den virtuella datorn för att förhindra identifiering när obehöriga verktyg körs eller infekterar datorn med skadlig kod. |
Försvarsundandragande, utförande | Högst |
| Filundantag mot skadlig kod och kodkörning på den virtuella datorn (VM_AmTempFileExclusionAndCodeExecution) |
Tillfälligt filundantag från program mot skadlig kod parallellt med körning av kod via anpassat skripttillägg upptäcktes i den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Angripare kan exkludera filer från genomsökningen av program mot skadlig kod på den virtuella datorn för att förhindra identifiering när godtycklig kod körs eller infekterar datorn med skadlig kod. |
Försvarsundandragande, utförande | Högst |
| Undantag för program mot skadlig kod på den virtuella datorn (VM_AmTempFileExclusion) |
Filen undantas från skannern för program mot skadlig kod på den virtuella datorn. Detta upptäcktes genom att analysera Azure Resource Manager-åtgärder i din prenumeration. Angripare kan exkludera filer från genomsökningen av program mot skadlig kod på den virtuella datorn för att förhindra identifiering när obehöriga verktyg körs eller infekterar datorn med skadlig kod. |
Försvarsundandragande | Medium |
| Skydd mot skadlig kod i realtid har inaktiverats på den virtuella datorn (VM_AmRealtimeProtectionDisabled) |
Inaktivering av realtidsskydd för tillägget mot skadlig kod upptäcktes på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Angripare kan inaktivera realtidsskydd från genomsökningen av program mot skadlig kod på den virtuella datorn för att undvika identifiering när godtycklig kod körs eller infekterar datorn med skadlig kod. |
Försvarsundandragande | Medium |
| Skydd mot skadlig kod i realtid inaktiverades tillfälligt på den virtuella datorn (VM_AmTempRealtimeProtectionDisablement) |
Tillfällig inaktivering av tillägget mot skadlig kod identifierades i realtidsskydd på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Angripare kan inaktivera realtidsskydd från genomsökningen av program mot skadlig kod på den virtuella datorn för att undvika identifiering när godtycklig kod körs eller infekterar datorn med skadlig kod. |
Försvarsundandragande | Medium |
| Skydd mot skadlig kod i realtid inaktiverades tillfälligt medan koden kördes på den virtuella datorn (VM_AmRealtimeProtectionDisablementAndCodeExec) |
Tillfällig inaktivering av tillägget för program mot skadlig kod i realtid parallellt med kodkörning via tillägget för anpassat skript upptäcktes på den virtuella datorn genom analys av Azure Resource Manager-åtgärderna i din prenumeration. Angripare kan inaktivera realtidsskydd från genomsökningen av program mot skadlig kod på den virtuella datorn för att undvika identifiering när godtycklig kod körs eller infekterar datorn med skadlig kod. |
- | Högst |
| Genomsökningar mot skadlig kod blockeras efter filer som kan vara relaterade till kampanjer mot skadlig kod på den virtuella datorn (förhandsversion) (VM_AmMalwareCampaignRelatedExclusion) |
En exkluderingsregel identifierades på den virtuella datorn för att förhindra att tillägget mot skadlig kod genomsöker vissa filer som misstänks vara relaterade till en kampanj för skadlig kod. Regeln identifierades genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Angripare kan exkludera filer från genomsökningar av program mot skadlig kod för att förhindra identifiering när godtycklig kod körs eller infekterar datorn med skadlig kod. | Försvarsundandragande | Medium |
| Program mot skadlig kod inaktiveras tillfälligt på den virtuella datorn (VM_AmTemporarilyDisablement) |
Program mot skadlig kod inaktiveras tillfälligt på den virtuella datorn. Detta upptäcktes genom att analysera Azure Resource Manager-åtgärder i din prenumeration. Angripare kan inaktivera program mot skadlig kod på den virtuella datorn för att förhindra identifiering. |
- | Medium |
| Ovanligt filundantag mot skadlig kod på den virtuella datorn (VM_UnusualAmFileExclusion) |
Ovanligt filundantag från tillägget mot skadlig kod upptäcktes på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Angripare kan exkludera filer från genomsökningen av program mot skadlig kod på den virtuella datorn för att förhindra identifiering när godtycklig kod körs eller infekterar datorn med skadlig kod. |
Försvarsundandragande | Medium |
| Beteende som liknar utpressningstrojan har identifierats [sett flera gånger] | Analys av värddata på %{Komprometterad värd} identifierade körningen av filer som liknar kända utpressningstrojaner som kan hindra användare från att komma åt sina system eller personliga filer och kräver lösenbetalning för att återfå åtkomsten. Det här beteendet sågs [x] gånger idag på följande datorer: [Datornamn] | - | Högst |
| Kommunikation med misstänkt domän identifierad av hotinformation (AzureDNS_ThreatIntelSuspectDomain) |
Kommunikation med misstänkt domän upptäcktes genom att analysera DNS-transaktioner från din resurs och jämföra med kända skadliga domäner som identifierats av hotinformationsflöden. Kommunikation till skadliga domäner utförs ofta av angripare och kan innebära att din resurs komprometteras. | Initial åtkomst, beständighet, körning, kommando och kontroll, utnyttjande | Medium |
| Container med en mineravbildning identifierad (VM_MinerInContainerImage) |
Datorloggar anger körning av en Docker-container som kör en avbildning som är associerad med en digital valutautvinning. | Körnings- | Högst |
| Identifierade avvikande blandning av versaler och gemener i kommandoraden | Analys av värddata på %{Komprometterad värd} identifierade en kommandorad med avvikande blandning av versaler och gemener. Den här typen av mönster, även om det är möjligt, är också typiskt för angripare som försöker dölja skiftlägeskänsliga eller hashbaserade regelmatchningar när de utför administrativa uppgifter på en komprometterad värd. | - | Medium |
| Filnedladdning från en känd skadlig källa har identifierats | Analys av värddata har upptäckt nedladdningen av en fil från en känd källa för skadlig kod på %{Komprometterad värd}. | - | Medium |
| Misstänkt nätverksaktivitet har identifierats | Analys av nätverkstrafik från %{Komprometterad värd} identifierade misstänkt nätverksaktivitet. Sådan trafik, även om den är möjligen godartad, används vanligtvis av en angripare för att kommunicera med skadliga servrar för nedladdning av verktyg, kommando och kontroll och exfiltrering av data. Typisk relaterad attackeringsaktivitet omfattar kopiering av fjärradministrationsverktyg till en komprometterad värd och exfiltrering av användardata från den. | - | Lägst |
| Digitalt valutautvinningsrelaterat beteende har identifierats | Analys av värddata på %{Komprometterad värd} identifierade körningen av en process eller ett kommando som normalt är associerat med utvinning av digital valuta. | - | Högst |
| Inaktivera granskningsloggning [visas flera gånger] | Linux-granskningssystemet är ett sätt att spåra säkerhetsrelevent information om systemet. Den innehåller så mycket information om de händelser som händer i systemet som möjligt. Att inaktivera granskad loggning kan hindra identifiering av överträdelser av säkerhetsprinciper som används i systemet. Det här beteendet sågs [x] gånger idag på följande datorer: [Datornamn] | - | Lägst |
| Utnyttjande av Xorg-sårbarhet [visas flera gånger] | Analys av värddata på %{Komprometterad värd} identifierade användaren av Xorg med misstänkta argument. Angripare kan använda den här tekniken vid eskaleringsförsök av privilegier. Det här beteendet sågs [x] gånger idag på följande datorer: [Datornamn] | - | Medium |
| Misslyckad SSH-råstyrkeattack (VM_SshBruteForceFailed) |
Misslyckade brute force-attacker identifierades från följande angripare: %{Angripare}. Angripare försökte komma åt värden med följande användarnamn: %{Konton som används vid misslyckad inloggning till värdförsök}. | Sondera | Medium |
| Fillöst attackbeteende har identifierats (VM_FilelessAttackBehavior.Linux) |
Minnet av processen som anges nedan innehåller beteenden som ofta används av fillösa attacker. Specifika beteenden är: {lista över observerade beteenden} |
Körnings- | Lägst |
| Fillös attackteknik har identifierats (VM_FilelessAttackTechnique.Linux) |
Minnet av processen som anges nedan innehåller bevis på en fillös attackteknik. Fillösa attacker används av angripare för att köra kod vid undvikande av identifiering av säkerhetsprogramvara. Specifika beteenden är: {lista över observerade beteenden} |
Körnings- | Högst |
| Fillös attackverktyg har identifierats (VM_FilelessAttackToolkit.Linux) |
Minnet av processen som anges nedan innehåller en fillös attackverktyg: {ToolKitName}. Fillösa attackverktyg har vanligtvis inte någon närvaro i filsystemet, vilket gör det svårt att identifiera traditionella antivirusprogram. Specifika beteenden är: {lista över observerade beteenden} |
Försvarsundandragande, utförande | Högst |
| Dold filkörning har identifierats | Analys av värddata anger att en dold fil kördes av %{användarnamn}. Den här aktiviteten kan antingen vara legitim aktivitet eller en indikation på en komprometterad värd. | - | Information |
| Ny SSH-nyckel har lagts till [visas flera gånger] (VM_SshKeyAddition) |
En ny SSH-nyckel har lagts till i filen med auktoriserade nycklar. Det här beteendet sågs [x] gånger idag på följande datorer: [Datornamn] | Bevarande | Lägst |
| Ny SSH-nyckel har lagts till | En ny SSH-nyckel har lagts till i filen med auktoriserade nycklar | - | Lägst |
| Möjlig bakdörr har identifierats [sett flera gånger] | Analys av värddata har upptäckt att en misstänkt fil laddas ned och sedan körs på %{Komprometterad värd} i din prenumeration. Den här aktiviteten har tidigare associerats med installation av en bakdörr. Det här beteendet sågs [x] gånger idag på följande datorer: [Datornamn] | - | Medium |
| Eventuellt utnyttjande av den identifierade e-postservern (VM_MailserverExploitation ) |
Analys av värddata på %{Komprometterad värd} identifierade en ovanlig körning under e-postserverkontot | Utnyttjande | Medium |
| Möjligt skadligt webbgränssnitt har identifierats | Analys av värddata på %{Komprometterad värd} identifierade ett möjligt webbgränssnitt. Angripare laddar ofta upp ett webbgränssnitt till en dator som de har komprometterat för att få beständighet eller för ytterligare utnyttjande. | - | Medium |
| Möjlig lösenordsändring med hjälp av crypt-method upptäckt [sett flera gånger] | Analys av värddata på %{Komprometterad värd} identifierade lösenordsändring med hjälp av kryptmetoden. Angripare kan göra den här ändringen för att fortsätta åtkomsten och få beständighet efter att ha komprometterats. Det här beteendet sågs [x] gånger idag på följande datorer: [Datornamn] | - | Medium |
| Process som är associerad med utvinning av digital valuta har identifierats [visas flera gånger] | Analys av värddata på %{Komprometterad värd} identifierade körningen av en process som normalt är associerad med utvinning av digital valuta. Det här beteendet sågs över 100 gånger idag på följande datorer: [Datornamn] | - | Medium |
| Process som är associerad med utvinning av digital valuta har identifierats | Värddataanalys identifierade körningen av en process som normalt är associerad med utvinning av digital valuta. | Utnyttjande, körning | Medium |
| Python-kodad nedladdare har identifierats [visas flera gånger] | Analys av värddata på %{Komprometterad värd} identifierade körningen av kodade Python som laddar ned och kör kod från en fjärrplats. Detta kan vara en indikation på skadlig aktivitet. Det här beteendet sågs [x] gånger idag på följande datorer: [Datornamn] | - | Lägst |
| Skärmbild som tagits på värden [visas flera gånger] | Analys av värddata på %{Komprometterad värd} identifierade användaren av ett skärmdumpsverktyg. Angripare kan använda dessa verktyg för att komma åt privata data. Det här beteendet sågs [x] gånger idag på följande datorer: [Datornamn] | - | Lägst |
| Shellcode har identifierats [har setts flera gånger] | Analys av värddata på %{Komprometterad värd} upptäckte att shellcode genererades från kommandoraden. Den här processen kan vara en legitim aktivitet eller en indikation på att en av dina datorer har komprometterats. Det här beteendet sågs [x] gånger idag på följande datorer: [Datornamn] | - | Medium |
| Lyckad SSH brute force-attack (VM_SshBruteForceSuccess) |
Analys av värddata har identifierat en lyckad råstyrkeattack. IP-adressen %{Angripares käll-IP} sågs göra flera inloggningsförsök. Lyckade inloggningar har gjorts från den IP-adressen med följande användare: %{Konton som används för att logga in på värd}. Det innebär att värden kan komprometteras och kontrolleras av en illvillig aktör. | Utnyttjande | Högst |
| Misstänkt kontoskapande har identifierats | Analys av värddata på %{Komprometterad värd} har upptäckt att ett lokalt konto %{Misstänkt kontonamn} har skapats eller använts: det här kontonamnet liknar ett Standard-Windows-konto eller gruppnamn %{Liknande kontonamn}. Detta är potentiellt ett oseriöst konto som skapats av en angripare, så namngivet för att undvika att bli uppmärksammad av en mänsklig administratör. | - | Medium |
| Misstänkt kernelmodul har identifierats [har setts flera gånger] | Analys av värddata på %{Komprometterad värd} identifierade en delad objektfil som lästes in som en kernelmodul. Det kan vara en legitim aktivitet eller en indikation på att en av dina datorer har komprometterats. Det här beteendet sågs [x] gånger idag på följande datorer: [Datornamn] | - | Medium |
| Misstänkt lösenordsåtkomst [visas flera gånger] | Analys av värddata har identifierat misstänkt åtkomst till krypterade användarlösenord på %{Komprometterad värd}. Det här beteendet sågs [x] gånger idag på följande datorer: [Datornamn] | - | Information |
| Misstänkt lösenordsåtkomst | Analys av värddata har identifierat misstänkt åtkomst till krypterade användarlösenord på %{Komprometterad värd}. | - | Information |
| Misstänkt begäran till Kubernetes-instrumentpanelen (VM_KubernetesDashboard) |
Datorloggar visar att en misstänkt begäran gjordes till Kubernetes-instrumentpanelen. Begäran skickades från en Kubernetes-nod, eventuellt från en av containrarna som körs i noden. Även om det här beteendet kan vara avsiktligt kan det tyda på att noden kör en komprometterad container. | LateralMovement | Medium |
| Ovanlig konfigurationsåterställning på den virtuella datorn (VM_VMAccessUnusualConfigReset) |
En ovanlig konfigurationsåterställning upptäcktes på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Även om den här åtgärden kan vara legitim kan angripare försöka använda tillägget för vm-åtkomst för att återställa konfigurationen på den virtuella datorn och kompromettera den. |
Åtkomst till autentiseringsuppgifter | Medium |
| Ovanlig återställning av användarlösenord på den virtuella datorn (VM_VMAccessUnusualPasswordReset) |
En ovanlig återställning av användarlösenord upptäcktes på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Även om den här åtgärden kan vara legitim kan angripare försöka använda tillägget för vm-åtkomst för att återställa autentiseringsuppgifterna för en lokal användare på den virtuella datorn och kompromettera den. |
Åtkomst till autentiseringsuppgifter | Medium |
| Ovanlig SSH-nyckelåterställning för användare på den virtuella datorn (VM_VMAccessUnusualSSHReset) |
En ovanlig SSH-nyckelåterställning för användare upptäcktes på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Även om den här åtgärden kan vara legitim kan angripare försöka använda TILLÄGGET FÖR VM-åtkomst för att återställa SSH-nyckeln för ett användarkonto på den virtuella datorn och kompromettera den. |
Åtkomst till autentiseringsuppgifter | Medium |
| Misstänkt installation av GPU-tillägget på den virtuella datorn (förhandsversion) (VM_GPUDriverExtensionUnusualExecution) |
Misstänkt installation av ett GPU-tillägg upptäcktes på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Angripare kan använda GPU-drivrutinstillägget för att installera GPU-drivrutiner på din virtuella dator via Azure Resource Manager för att utföra kryptokapning. | Påverkan | Lägst |
Aviseringar för DNS
Viktigt!
Från och med den 1 augusti kan kunder med en befintlig prenumeration på Defender för DNS fortsätta att använda tjänsten, men nya prenumeranter får aviseringar om misstänkt DNS-aktivitet som en del av Defender för servrar P2.
Mer information och anteckningar
| Avisering (aviseringstyp) | beskrivning | MITRE-taktik (Läs mer) |
Allvarlighet |
|---|---|---|---|
| Avvikande nätverksprotokollanvändning (AzureDNS_ProtocolAnomaly) |
Analys av DNS-transaktioner från %{CompromisedEntity} identifierade avvikande protokollanvändning. Sådan trafik, även om den är möjligen godartad, kan tyda på missbruk av det här gemensamma protokollet för att kringgå filtrering av nätverkstrafik. Typisk relaterad attackeringsaktivitet omfattar kopiering av fjärradministrationsverktyg till en komprometterad värd och exfiltrering av användardata från den. | Exfiltrering | - |
| Nätverksaktivitet för anonymitet (AzureDNS_DarkWeb) |
Analys av DNS-transaktioner från %{CompromisedEntity} identifierade nätverksaktivitet för anonymitet. Sådan aktivitet, även om det kan vara legitimt användarbeteende, används ofta av angripare för att undvika spårning och fingeravtryck av nätverkskommunikation. Typisk relaterad angripare aktivitet är sannolikt att inkludera nedladdning och körning av skadlig programvara eller fjärradministrationsverktyg. | Exfiltrering | Lägst |
| Anonymitetsnätverksaktivitet med hjälp av webbproxy (AzureDNS_DarkWebProxy) |
Analys av DNS-transaktioner från %{CompromisedEntity} identifierade nätverksaktivitet för anonymitet. Sådan aktivitet, även om det kan vara legitimt användarbeteende, används ofta av angripare för att undvika spårning och fingeravtryck av nätverkskommunikation. Typisk relaterad angripare aktivitet är sannolikt att inkludera nedladdning och körning av skadlig programvara eller fjärradministrationsverktyg. | Exfiltrering | Lägst |
| Försök till kommunikation med misstänkt sinkholed-domän (AzureDNS_SinkholedDomain) |
Analys av DNS-transaktioner från %{CompromisedEntity} identifierade begäran om sinkholed-domän. Sådan aktivitet, även om det kan vara ett legitimt användarbeteende, är ofta en indikation på nedladdning eller körning av skadlig programvara. Typisk relaterad angripare aktivitet är sannolikt att inkludera nedladdning och körning av ytterligare skadlig programvara eller fjärradministrationsverktyg. | Exfiltrering | Medium |
| Kommunikation med möjlig nätfiskedomän (AzureDNS_PhishingDomain) |
Analys av DNS-transaktioner från %{CompromisedEntity} identifierade en begäran om en möjlig nätfiskedomän. Sådan aktivitet, även om den är möjligen godartad, utförs ofta av angripare för att samla in autentiseringsuppgifter till fjärrtjänster. Typisk relaterad attackerande aktivitet kommer sannolikt att omfatta utnyttjande av eventuella autentiseringsuppgifter för den legitima tjänsten. | Exfiltrering | Lägst |
| Kommunikation med misstänkt algoritmgenererad domän (AzureDNS_DomainGenerationAlgorithm) |
Analys av DNS-transaktioner från %{CompromisedEntity} identifierade möjlig användning av en algoritm för domängenerering. Sådan aktivitet, även om den är möjligen godartad, utförs ofta av angripare för att undvika nätverksövervakning och filtrering. Typisk relaterad angripare aktivitet är sannolikt att inkludera nedladdning och körning av skadlig programvara eller fjärradministrationsverktyg. | Exfiltrering | Lägst |
| Kommunikation med misstänkt domän identifierad av hotinformation (AzureDNS_ThreatIntelSuspectDomain) |
Kommunikation med misstänkt domän upptäcktes genom att analysera DNS-transaktioner från din resurs och jämföra med kända skadliga domäner som identifierats av hotinformationsflöden. Kommunikation till skadliga domäner utförs ofta av angripare och kan innebära att din resurs komprometteras. | Inledande åtkomst | Medium |
| Kommunikation med misstänkt slumpmässigt domännamn (AzureDNS_RandomizedDomain) |
Analys av DNS-transaktioner från %{CompromisedEntity} identifierade användningen av ett misstänkt slumpmässigt genererat domännamn. Sådan aktivitet, även om den är möjligen godartad, utförs ofta av angripare för att undvika nätverksövervakning och filtrering. Typisk relaterad angripare aktivitet är sannolikt att inkludera nedladdning och körning av skadlig programvara eller fjärradministrationsverktyg. | Exfiltrering | Lägst |
| Gruvaktivitet för digital valuta (AzureDNS_CurrencyMining) |
Analys av DNS-transaktioner från %{CompromisedEntity} identifierade gruvaktivitet för digital valuta. Sådan aktivitet, även om det kan vara ett legitimt användarbeteende, utförs ofta av angripare efter att resurser har komprometterats. Typisk relaterad attackeringsaktivitet kommer sannolikt att omfatta nedladdning och körning av vanliga gruvverktyg. | Exfiltrering | Lägst |
| Aktivering av signatur för identifiering av nätverksintrång (AzureDNS_SuspiciousDomain) |
Analys av DNS-transaktioner från %{CompromisedEntity} identifierade en känd signatur för skadligt nätverk. Sådan aktivitet, även om det kan vara ett legitimt användarbeteende, är ofta en indikation på nedladdning eller körning av skadlig programvara. Typisk relaterad angripare aktivitet är sannolikt att inkludera nedladdning och körning av ytterligare skadlig programvara eller fjärradministrationsverktyg. | Exfiltrering | Medium |
| Möjlig datahämtning via DNS-tunnel (AzureDNS_DataInfiltration) |
Analysen av DNS-transaktioner från %{CompromisedEntity} identifierade en möjlig DNS-tunnel. Sådan aktivitet, även om det kan vara ett legitimt användarbeteende, utförs ofta av angripare för att undvika nätverksövervakning och filtrering. Typisk relaterad angripare aktivitet är sannolikt att inkludera nedladdning och körning av skadlig programvara eller fjärradministrationsverktyg. | Exfiltrering | Lägst |
| Möjlig dataexfiltrering via DNS-tunnel (AzureDNS_DataExfiltration) |
Analysen av DNS-transaktioner från %{CompromisedEntity} identifierade en möjlig DNS-tunnel. Sådan aktivitet, även om det kan vara ett legitimt användarbeteende, utförs ofta av angripare för att undvika nätverksövervakning och filtrering. Typisk relaterad angripare aktivitet är sannolikt att inkludera nedladdning och körning av skadlig programvara eller fjärradministrationsverktyg. | Exfiltrering | Lägst |
| Möjlig dataöverföring via DNS-tunnel (AzureDNS_DataObfuscation) |
Analysen av DNS-transaktioner från %{CompromisedEntity} identifierade en möjlig DNS-tunnel. Sådan aktivitet, även om det kan vara ett legitimt användarbeteende, utförs ofta av angripare för att undvika nätverksövervakning och filtrering. Typisk relaterad angripare aktivitet är sannolikt att inkludera nedladdning och körning av skadlig programvara eller fjärradministrationsverktyg. | Exfiltrering | Lägst |
Aviseringar för Azure VM-tillägg
| Avisering (aviseringstyp) | beskrivning | MITRE-taktik (Läs mer) |
Allvarlighet |
|---|---|---|---|
| Misstänkt fel vid installation av GPU-tillägget i din prenumeration (förhandsversion) (VM_GPUExtensionSuspiciousFailure) |
Misstänkt avsikt att installera ett GPU-tillägg på virtuella datorer som inte stöds. Det här tillägget bör installeras på virtuella datorer som är utrustade med en grafisk processor, och i det här fallet är de virtuella datorerna inte utrustade med sådana. Dessa fel kan ses när skadliga angripare kör flera installationer av ett sådant tillägg i kryptoutvinningssyfte. | Påverkan | Medium |
| Misstänkt installation av ett GPU-tillägg upptäcktes på den virtuella datorn (förhandsversion) (VM_GPUDriverExtensionUnusualExecution) |
Misstänkt installation av ett GPU-tillägg upptäcktes på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Angripare kan använda GPU-drivrutinstillägget för att installera GPU-drivrutiner på din virtuella dator via Azure Resource Manager för att utföra kryptokapning. Den här aktiviteten anses misstänkt eftersom huvudmannens beteende avviker från de vanliga mönstren. | Påverkan | Lägst |
| Kör kommandot med ett misstänkt skript upptäcktes på den virtuella datorn (förhandsversion) (VM_RunCommandSuspiciousScript) |
Ett Körningskommando med ett misstänkt skript upptäcktes på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Angripare kan använda Kör kommando för att köra skadlig kod med hög behörighet på den virtuella datorn via Azure Resource Manager. Skriptet anses misstänkt eftersom vissa delar identifierades som potentiellt skadliga. | Körnings- | Högst |
| Misstänkt obehörig körningskommandoanvändning upptäcktes på den virtuella datorn (förhandsversion) (VM_RunCommandSuspiciousFailure) |
Misstänkt obehörig användning av Körningskommandot misslyckades och upptäcktes på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Angripare kan försöka använda Kör kommando för att köra skadlig kod med hög behörighet på dina virtuella datorer via Azure Resource Manager. Den här aktiviteten anses misstänkt eftersom den inte har setts tidigare. | Körnings- | Medium |
| Misstänkt körningskommandoanvändning identifierades på den virtuella datorn (förhandsversion) (VM_RunCommandSuspiciousUsage) |
Misstänkt användning av Kör kommando upptäcktes på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Angripare kan använda Kör kommando för att köra skadlig kod med hög behörighet på dina virtuella datorer via Azure Resource Manager. Den här aktiviteten anses misstänkt eftersom den inte har setts tidigare. | Körnings- | Lägst |
| Misstänkt användning av flera övervaknings- eller datainsamlingstillägg upptäcktes på dina virtuella datorer (förhandsversion) (VM_SuspiciousMultiExtensionUsage) |
Misstänkt användning av flera övervaknings- eller datainsamlingstillägg upptäcktes på dina virtuella datorer genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Angripare kan missbruka sådana tillägg för datainsamling, övervakning av nätverkstrafik med mera i din prenumeration. Den här användningen anses misstänkt eftersom den inte har setts tidigare. | Rekognoscering | Medium |
| Misstänkt installation av diskkrypteringstillägg upptäcktes på dina virtuella datorer (förhandsversion) (VM_DiskEncryptionSuspiciousUsage) |
Misstänkt installation av diskkrypteringstillägg upptäcktes på dina virtuella datorer genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Angripare kan missbruka diskkrypteringstillägget för att distribuera fullständiga diskkrypteringar på dina virtuella datorer via Azure Resource Manager i ett försök att utföra utpressningstrojanaktivitet. Den här aktiviteten anses misstänkt eftersom den inte har setts tidigare och på grund av det stora antalet tilläggsinstallationer. | Påverkan | Medium |
| Misstänkt användning av VMAccess-tillägget upptäcktes på dina virtuella datorer (förhandsversion) (VM_VMAccessSuspiciousUsage) |
Misstänkt användning av VMAccess-tillägget upptäcktes på dina virtuella datorer. Angripare kan missbruka VMAccess-tillägget för att få åtkomst till och kompromettera dina virtuella datorer med hög behörighet genom att återställa åtkomsten eller hantera administrativa användare. Den här aktiviteten anses misstänkt eftersom huvudkontots beteende avviker från de vanliga mönstren och på grund av det stora antalet tilläggsinstallationer. | Bevarande | Medium |
| DSC-tillägget (Desired State Configuration) med ett misstänkt skript upptäcktes på den virtuella datorn (förhandsversion) (VM_DSCExtensionSuspiciousScript) |
DSC-tillägget (Desired State Configuration) med ett misstänkt skript upptäcktes på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Angripare kan använda DSC-tillägget (Desired State Configuration) för att distribuera skadliga konfigurationer, till exempel beständighetsmekanismer, skadliga skript med mera, med hög behörighet, på dina virtuella datorer. Skriptet anses misstänkt eftersom vissa delar identifierades som potentiellt skadliga. | Körnings- | Högst |
| Misstänkt användning av ett DSC-tillägg (Desired State Configuration) identifierades på dina virtuella datorer (förhandsversion) (VM_DSCExtensionSuspiciousUsage) |
Misstänkt användning av ett DSC-tillägg (Desired State Configuration) identifierades på dina virtuella datorer genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Angripare kan använda DSC-tillägget (Desired State Configuration) för att distribuera skadliga konfigurationer, till exempel beständighetsmekanismer, skadliga skript med mera, med hög behörighet, på dina virtuella datorer. Den här aktiviteten anses misstänkt eftersom huvudkontots beteende avviker från de vanliga mönstren och på grund av det stora antalet tilläggsinstallationer. | Körnings- | Lägst |
| Anpassat skripttillägg med ett misstänkt skript upptäcktes på den virtuella datorn (förhandsversion) (VM_CustomScriptExtensionSuspiciousCmd) |
Det anpassade skripttillägget med ett misstänkt skript upptäcktes på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Angripare kan använda tillägget Anpassat skript för att köra skadlig kod med hög behörighet på den virtuella datorn via Azure Resource Manager. Skriptet anses misstänkt eftersom vissa delar identifierades som potentiellt skadliga. | Körnings- | Högst |
| Misstänkt misslyckad körning av tillägget för anpassat skript på den virtuella datorn (VM_CustomScriptExtensionSuspiciousFailure) |
Misstänkt fel i ett anpassat skripttillägg upptäcktes på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Sådana fel kan associeras med skadliga skript som körs av det här tillägget. | Körnings- | Medium |
| Ovanlig borttagning av tillägg för anpassade skript på den virtuella datorn (VM_CustomScriptExtensionUnusualDeletion) |
Ovanlig borttagning av ett anpassat skripttillägg upptäcktes på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Angripare kan använda anpassade skripttillägg för att köra skadlig kod på dina virtuella datorer via Azure Resource Manager. | Körnings- | Medium |
| Ovanlig körning av tillägg för anpassade skript på den virtuella datorn (VM_CustomScriptExtensionUnusualExecution) |
Ovanlig körning av ett anpassat skripttillägg upptäcktes på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Angripare kan använda anpassade skripttillägg för att köra skadlig kod på dina virtuella datorer via Azure Resource Manager. | Körnings- | Medium |
| Tillägg för anpassat skript med misstänkt startpunkt på den virtuella datorn (VM_CustomScriptExtensionSuspiciousEntryPoint) |
Det anpassade skripttillägget med en misstänkt startpunkt upptäcktes på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Startpunkten refererar till en misstänkt GitHub-lagringsplats. Angripare kan använda anpassade skripttillägg för att köra skadlig kod på dina virtuella datorer via Azure Resource Manager. | Körnings- | Medium |
| Tillägg för anpassat skript med misstänkt nyttolast på den virtuella datorn (VM_CustomScriptExtensionSuspiciousPayload) |
Det anpassade skripttillägget med en nyttolast från en misstänkt GitHub-lagringsplats upptäcktes på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Angripare kan använda anpassade skripttillägg för att köra skadlig kod på dina virtuella datorer via Azure Resource Manager. | Körnings- | Medium |
Aviseringar för Azure App Service
Mer information och anteckningar
| Avisering (aviseringstyp) | beskrivning | MITRE-taktik (Läs mer) |
Allvarlighet |
|---|---|---|---|
| Ett försök att köra Linux-kommandon på en Windows App Service (AppServices_LinuxCommandOnWindows) |
Analys av App Service-processer upptäckte ett försök att köra ett Linux-kommando på en Windows App Service. Den här åtgärden kördes av webbprogrammet. Det här beteendet visas ofta under kampanjer som utnyttjar en säkerhetsrisk i ett gemensamt webbprogram. (Gäller för: App Service i Windows) |
- | Medium |
| En IP-adress som är ansluten till azure App Service FTP-gränssnittet hittades i Threat Intelligence (AppServices_IncomingTiClientIpFtp) |
Azure App Service FTP-loggen anger en anslutning från en källadress som hittades i hotinformationsflödet. Under den här anslutningen har en användare använt sidorna i listan. (Gäller för: App Service i Windows och App Service på Linux) |
Inledande åtkomst | Medium |
| Försök att köra högprivilegier har identifierats (AppServices_HighPrivilegeCommand) |
Analys av App Service-processer upptäckte ett försök att köra ett kommando som kräver hög behörighet. Kommandot kördes i webbprogramkontexten. Det här beteendet kan vara legitimt, men i webbprogram observeras även det här beteendet i skadliga aktiviteter. (Gäller för: App Service i Windows) |
- | Medium |
| Kommunikation med misstänkt domän identifierad av hotinformation (AzureDNS_ThreatIntelSuspectDomain) |
Kommunikation med misstänkt domän upptäcktes genom att analysera DNS-transaktioner från din resurs och jämföra med kända skadliga domäner som identifierats av hotinformationsflöden. Kommunikation till skadliga domäner utförs ofta av angripare och kan innebära att din resurs komprometteras. | Initial åtkomst, beständighet, körning, kommando och kontroll, utnyttjande | Medium |
| Anslut ion till webbsida från avvikande IP-adress har identifierats (AppServices_AnomalousPageAccess) |
Azure App Service-aktivitetsloggen anger en avvikande anslutning till en känslig webbsida från den angivna käll-IP-adressen. Detta kan tyda på att någon försöker utföra en råstyrkeattack på dina webbappsadministrationssidor. Det kan också bero på att en ny IP-adress används av en legitim användare. Om källans IP-adress är betrodd kan du på ett säkert sätt ignorera den här aviseringen för den här resursen. Information om hur du undertrycker säkerhetsaviseringar finns i Utelämna aviseringar från Microsoft Defender för molnet. (Gäller för: App Service i Windows och App Service på Linux) |
Inledande åtkomst | Lägst |
| Dangling DNS-post för en App Service-resurs identifierad (AppServices_DanglingDomain) |
En DNS-post som pekar på en nyligen borttagen App Service-resurs (även kallad "dangling DNS"-post) har identifierats. Detta gör dig mottaglig för ett underdomänövertagande. Underdomänövertaganden gör det möjligt för skadliga aktörer att omdirigera trafik som är avsedd för en organisations domän till en webbplats som utför skadlig aktivitet. (Gäller för: App Service i Windows och App Service på Linux) |
- | Högst |
| Identifierad kodad körbar fil i kommandoradsdata (AppServices_Base64EncodedExecutableInCommandLineParams) |
Analys av värddata på {Komprometterad värd} identifierade en base-64-kodad körbar fil. Detta har tidigare associerats med angripare som försöker konstruera körbara filer i farten genom en sekvens med kommandon och försöker undvika intrångsidentifieringssystem genom att säkerställa att inget enskilt kommando utlöser en avisering. Detta kan vara legitim aktivitet eller en indikation på en komprometterad värd. (Gäller för: App Service i Windows) |
Försvarsundandragande, utförande | Högst |
| Filnedladdning från en känd skadlig källa har identifierats (AppServices_SuspectDownload) |
Analys av värddata har upptäckt nedladdningen av en fil från en känd källa för skadlig kod på värden. (Gäller för: App Service på Linux) |
Privilege Escalation, Execution, Exfiltration, Command and Control | Medium |
| Misstänkt filnedladdning har identifierats (AppServices_SuspectDownloadArtifacts) |
Analys av värddata har upptäckt misstänkt nedladdning av fjärrfil. (Gäller för: App Service på Linux) |
Bevarande | Medium |
| Digitalt valutautvinningsrelaterat beteende har identifierats (AppServices_DigitalCurrencyMining) |
Analys av värddata på Inn-Flow-WebJobs identifierade körningen av en process eller ett kommando som normalt är associerat med utvinning av digital valuta. (Gäller för: App Service i Windows och App Service på Linux) |
Körnings- | Högst |
| Körbar avkodad med certutil (AppServices_ExecutableDecodedUsingCertutil) |
Analys av värddata på [komprometterad entitet] upptäckte att certutil.exe, ett inbyggt administratörsverktyg, användes för att avkoda en körbar fil i stället för dess mainstream-syfte som avser att manipulera certifikat och certifikatdata. Angripare är kända för att missbruka funktioner hos legitima administratörsverktyg för att utföra skadliga åtgärder, till exempel med ett verktyg som certutil.exe, för att avkoda en skadlig körbar fil som sedan ska köras. (Gäller för: App Service i Windows) |
Försvarsundandragande, utförande | Högst |
| Fillöst attackbeteende har identifierats (AppServices_FilelessAttackBehaviorDetection) |
Minnet av processen som anges nedan innehåller beteenden som ofta används av fillösa attacker. Specifika beteenden är: {lista över observerade beteenden} (Gäller för: App Service i Windows och App Service på Linux) |
Körnings- | Medium |
| Fillös attackteknik har identifierats (AppServices_FilelessAttackTechniqueDetection) |
Minnet av processen som anges nedan innehåller bevis på en fillös attackteknik. Fillösa attacker används av angripare för att köra kod vid undvikande av identifiering av säkerhetsprogramvara. Specifika beteenden är: {lista över observerade beteenden} (Gäller för: App Service i Windows och App Service på Linux) |
Körnings- | Högst |
| Fillös attackverktyg har identifierats (AppServices_FilelessAttackToolkitDetection) |
Minnet av processen som anges nedan innehåller en fillös attackverktyg: {ToolKitName}. Fillösa attackverktyg har vanligtvis inte någon närvaro i filsystemet, vilket gör det svårt att identifiera traditionella antivirusprogram. Specifika beteenden är: {lista över observerade beteenden} (Gäller för: App Service i Windows och App Service på Linux) |
Försvarsundandragande, utförande | Högst |
| Microsoft Defender för molnet testavisering för App Service (inte ett hot) (AppServices_EICAR) |
Det här är en testavisering som genereras av Microsoft Defender för molnet. Ingen ytterligare åtgärd krävs. (Gäller för: App Service i Windows och App Service på Linux) |
- | Högst |
| NMap-genomsökning har identifierats (AppServices_Nmap) |
Azure App Service-aktivitetsloggen anger en möjlig aktivitet för fingeravtryck på din App Service-resurs. Den misstänkta aktiviteten som identifieras är associerad med NMAP. Angripare använder ofta det här verktyget för att söka efter säkerhetsrisker i webbprogrammet. (Gäller för: App Service i Windows och App Service på Linux) |
PreAttack | Medium |
| Nätfiskeinnehåll som finns i Azure Webapps (AppServices_PhishingContent) |
URL som används för nätfiskeattacker som finns på Azure AppServices webbplats. Den här URL:en var en del av en nätfiskeattack som skickades till Microsoft 365-kunder. Innehållet lockar vanligtvis besökare att ange sina företagsautentiseringsuppgifter eller finansiell information på en legitim webbplats. (Gäller för: App Service i Windows och App Service på Linux) |
Samling | Högst |
| PHP-fil i uppladdningsmapp (AppServices_PhpInUploadFolder) |
Azure App Service-aktivitetsloggen anger en åtkomst till en misstänkt PHP-sida som finns i uppladdningsmappen. Den här typen av mapp innehåller vanligtvis inte PHP-filer. Förekomsten av den här typen av fil kan tyda på ett utnyttjande som utnyttjar sårbarheter för godtycklig filuppladdning. (Gäller för: App Service i Windows och App Service på Linux) |
Körnings- | Medium |
| Möjlig nedladdning av Cryptocoinminer har identifierats (AppServices_CryptoCoinMinerDownload) |
Analys av värddata har identifierat nedladdningen av en fil som normalt är associerad med utvinning av digital valuta. (Gäller för: App Service på Linux) |
Defense Evasion, Command and Control, Exploitation | Medium |
| Möjlig dataexfiltrering har identifierats (AppServices_DataEgressArtifacts) |
Analys av värd-/enhetsdata identifierade ett möjligt datautgående villkor. Angripare tar ofta ut data från datorer som de har komprometterat. (Gäller för: App Service på Linux) |
Samling, exfiltrering | Medium |
| Potentiell dangling DNS-post för en App Service-resurs har identifierats (AppServices_PotentialDanglingDomain) |
En DNS-post som pekar på en nyligen borttagen App Service-resurs (även kallad "dangling DNS"-post) har identifierats. Detta kan göra dig mottaglig för ett underdomänövertagande. Underdomänövertaganden gör det möjligt för skadliga aktörer att omdirigera trafik som är avsedd för en organisations domän till en webbplats som utför skadlig aktivitet. I det här fallet hittades en textpost med domänverifierings-ID:t. Sådana textposter förhindrar underdomänövertagande, men vi rekommenderar ändå att du tar bort dangling-domänen. Om du lämnar DNS-posten pekar på underdomänen är du i riskzonen om någon i din organisation tar bort TXT-filen eller posten i framtiden. (Gäller för: App Service i Windows och App Service på Linux) |
- | Lägst |
| Potentiellt omvändt gränssnitt har identifierats (AppServices_ReverseShell) |
Analys av värddata identifierade ett potentiellt omvänd gränssnitt. Dessa används för att få en komprometterad dator att anropa tillbaka till en dator som en angripare äger. (Gäller för: App Service på Linux) |
Exfiltrering, exploatering | Medium |
| Nedladdning av rådata har identifierats (AppServices_DownloadCodeFromWebsite) |
Analys av App Service-processer upptäckte ett försök att ladda ned kod från rådatawebbplatser som Pastebin. Den här åtgärden kördes av en PHP-process. Det här beteendet är kopplat till försök att ladda ned webbgränssnitt eller andra skadliga komponenter till App Service. (Gäller för: App Service i Windows) |
Körnings- | Medium |
| Spara curl-utdata till disk identifierad (AppServices_CurlToDisk) |
Analys av App Service-processer identifierade körningen av ett curl-kommando där utdata sparades på disken. Det här beteendet kan vara legitimt, men i webbprogram observeras även det här beteendet i skadliga aktiviteter, till exempel försök att infektera webbplatser med webbgränssnitt. (Gäller för: App Service i Windows) |
- | Lägst |
| Mappreferens för skräppost har identifierats (AppServices_SpamReferrer) |
Azure App Service-aktivitetsloggen anger webbaktivitet som har identifierats som från en webbplats som är associerad med skräppostaktivitet. Detta kan inträffa om din webbplats komprometteras och används för skräppostaktivitet. (Gäller för: App Service i Windows och App Service på Linux) |
- | Lägst |
| Misstänkt åtkomst till potentiellt sårbar webbsida har identifierats (AppServices_ScanSensitivePage) |
Azure App Service-aktivitetsloggen anger att en webbsida som verkar vara känslig har använts. Den här misstänkta aktiviteten kommer från en käll-IP-adress vars åtkomstmönster liknar en webbskanners. Den här aktiviteten är ofta associerad med ett försök av en angripare att genomsöka nätverket för att försöka få åtkomst till känsliga eller sårbara webbsidor. (Gäller för: App Service i Windows och App Service på Linux) |
- | Lägst |
| Referens för misstänkt domännamn (AppServices_CommandlineSuspectDomain) |
Analys av värddata identifierade referens till misstänkt domännamn. Sådan aktivitet, även om det kan vara ett legitimt användarbeteende, är ofta en indikation på nedladdning eller körning av skadlig programvara. Typisk relaterad angripare aktivitet är sannolikt att inkludera nedladdning och körning av ytterligare skadlig programvara eller fjärradministrationsverktyg. (Gäller för: App Service på Linux) |
Exfiltrering | Lägst |
| Misstänkt nedladdning med Certutil har identifierats (AppServices_DownloadUsingCertutil) |
Analys av värddata på {NAME} identifierade användningen av certutil.exe, ett inbyggt administratörsverktyg, för nedladdning av en binär fil i stället för dess mainstream-syfte som relaterar till att manipulera certifikat och certifikatdata. Angripare är kända för att missbruka funktioner i legitima administratörsverktyg för att utföra skadliga åtgärder, till exempel genom att använda certutil.exe för att ladda ned och avkoda en skadlig körbar fil som sedan kommer att köras. (Gäller för: App Service i Windows) |
Körnings- | Medium |
| Misstänkt PHP-körning har identifierats (AppServices_SuspectPhp) |
Datorloggar indikerar att en misstänkt PHP-process körs. Åtgärden inkluderade ett försök att köra operativsystemkommandon eller PHP-kod från kommandoraden med hjälp av PHP-processen. Även om det här beteendet kan vara legitimt kan det här beteendet i webbprogram tyda på skadliga aktiviteter, till exempel försök att infektera webbplatser med webbgränssnitt. (Gäller för: App Service i Windows och App Service på Linux) |
Körnings- | Medium |
| Misstänkta PowerShell-cmdletar körs (AppServices_PowerShellPowerSploitScriptExecution) |
Analys av värddata indikerar körning av kända skadliga PowerShell PowerSploit-cmdletar. (Gäller för: App Service i Windows) |
Körnings- | Medium |
| Misstänkt process har körts (AppServices_KnownCredential AccessTools) |
Datorloggar indikerar att den misstänkta processen: %{process path} kördes på datorn, ofta associerad med angripares försök att komma åt autentiseringsuppgifter. (Gäller för: App Service i Windows) |
Åtkomst till autentiseringsuppgifter | Högst |
| Misstänkt processnamn har identifierats (AppServices_ProcessWithKnownSuspiciousExtension) |
Analys av värddata på {NAME} identifierade en process vars namn är misstänkt, till exempel motsvarande ett känt verktyg för angripare eller namngivet på ett sätt som tyder på angripares verktyg som försöker dölja i klarsynthet. Den här processen kan vara en legitim aktivitet eller en indikation på att en av dina datorer har komprometterats. (Gäller för: App Service i Windows) |
Beständighet, försvarsundandragande | Medium |
| Misstänkt SVCHOST-process körs (AppServices_SVCHostFromInvalidPath) |
SystemprocessenSVCHOST observerades köras i en onormal kontext. Skadlig kod använder ofta SVCHOST för att maskera dess skadliga aktivitet. (Gäller för: App Service i Windows) |
Försvarsundandragande, utförande | Högst |
| Misstänkt användaragent har identifierats (AppServices_UserAgentInjection) |
Azure App Service-aktivitetsloggen anger begäranden med misstänkt användaragent. Det här beteendet kan tyda på försök att utnyttja en säkerhetsrisk i App Service-programmet. (Gäller för: App Service i Windows och App Service på Linux) |
Inledande åtkomst | Medium |
| Misstänkt WordPress-temaanrop har identifierats (AppServices_WpThemeInjection) |
Azure App Service-aktivitetsloggen anger en möjlig kodinmatningsaktivitet på din App Service-resurs. Den misstänkta aktiviteten som identifieras liknar en manipulering av WordPress-temat för att stödja körning av kod på serversidan, följt av en direkt webbbegäran om att anropa den manipulerade temafilen. Den här typen av aktivitet sågs tidigare som en del av en attackkampanj över WordPress. Om din App Service-resurs inte är värd för en WordPress-webbplats är den inte sårbar för den här specifika kodinmatningsexploateringen och du kan på ett säkert sätt undertrycka den här aviseringen för resursen. Information om hur du undertrycker säkerhetsaviseringar finns i Utelämna aviseringar från Microsoft Defender för molnet. (Gäller för: App Service i Windows och App Service på Linux) |
Körnings- | Högst |
| Sårbarhetsskanner identifierad (AppServices_DrupalScanner) |
Azure App Service-aktivitetsloggen anger att en möjlig sårbarhetsskanner användes på din App Service-resurs. Den misstänkta aktiviteten som identifieras liknar den för verktyg som riktar sig mot ett innehållshanteringssystem (CMS). Om din App Service-resurs inte är värd för en Drupal-webbplats är den inte sårbar för den här specifika kodinmatningsexploateringen och du kan på ett säkert sätt undertrycka den här aviseringen för resursen. Information om hur du undertrycker säkerhetsaviseringar finns i Utelämna aviseringar från Microsoft Defender för molnet. (Gäller för: App Service i Windows) |
PreAttack | Lägst |
| Sårbarhetsskanner identifierad (AppServices_JoomlaScanner) |
Azure App Service-aktivitetsloggen anger att en möjlig sårbarhetsskanner användes på din App Service-resurs. Den misstänkta aktiviteten som identifieras liknar den för verktyg som riktar sig till Joomla-program. Om din App Service-resurs inte är värd för en Joomla-webbplats är den inte sårbar för den här specifika kodinmatningsexploateringen och du kan på ett säkert sätt förhindra den här aviseringen för resursen. Information om hur du undertrycker säkerhetsaviseringar finns i Utelämna aviseringar från Microsoft Defender för molnet. (Gäller för: App Service i Windows och App Service på Linux) |
PreAttack | Lägst |
| Sårbarhetsskanner identifierad (AppServices_WpScanner) |
Azure App Service-aktivitetsloggen anger att en möjlig sårbarhetsskanner användes på din App Service-resurs. Den misstänkta aktiviteten som identifieras liknar den för verktyg som riktar sig till WordPress-program. Om din App Service-resurs inte är värd för en WordPress-webbplats är den inte sårbar för den här specifika kodinmatningsexploateringen och du kan på ett säkert sätt undertrycka den här aviseringen för resursen. Information om hur du undertrycker säkerhetsaviseringar finns i Utelämna aviseringar från Microsoft Defender för molnet. (Gäller för: App Service i Windows och App Service på Linux) |
PreAttack | Lägst |
| Webb fingeravtryck har identifierats (AppServices_WebFingerprinting) |
Azure App Service-aktivitetsloggen anger en möjlig aktivitet för fingeravtryck på din App Service-resurs. Den misstänkta aktiviteten som identifieras är associerad med ett verktyg som kallas Blind Elephant. Verktyget fingeravtryck webbservrar och försöker identifiera installerade program och version. Angripare använder ofta det här verktyget för att söka efter säkerhetsrisker i webbprogrammet. (Gäller för: App Service i Windows och App Service på Linux) |
PreAttack | Medium |
| Webbplatsen taggas som skadlig i hotinformationsflödet (AppServices_SmartScreen) |
Din webbplats enligt beskrivningen nedan är markerad som en skadlig webbplats av Windows SmartScreen. Om du tror att det här är en falsk positiv identifiering kontaktar du Windows SmartScreen via länken för rapportfeedback. (Gäller för: App Service i Windows och App Service på Linux) |
Samling | Medium |
Aviseringar för containrar – Kubernetes-kluster
Microsoft Defender för containrar tillhandahåller säkerhetsaviseringar på klusternivå och på de underliggande klusternoderna genom att övervaka både kontrollplanet (API-servern) och själva den containerbaserade arbetsbelastningen. Säkerhetsaviseringar för kontrollplan kan identifieras med ett prefix av aviseringstypen K8S_ . Säkerhetsaviseringar för körningsarbetsbelastning i klustren kan identifieras av prefixet K8S.NODE_ för aviseringstypen. Alla aviseringar stöds endast på Linux, om inget annat anges.
Mer information och anteckningar
| Avisering (aviseringstyp) | beskrivning | MITRE-taktik (Läs mer) |
Allvarlighet |
|---|---|---|---|
| Exponerad Postgres-tjänst med förtroendeautentiseringskonfiguration i Kubernetes identifierad (förhandsversion) (K8S_ExposedPostgresTrustAuth) |
Kubernetes-klusterkonfigurationsanalysen identifierade exponeringen av en Postgres-tjänst av en lastbalanserare. Tjänsten är konfigurerad med autentiseringsmetod för förtroende, vilket inte kräver autentiseringsuppgifter. | InitialAccess | Medium |
| Exponerad Postgres-tjänst med riskfylld konfiguration i Kubernetes identifierad (förhandsversion) (K8S_ExposedPostgresBroadIPRange) |
Kubernetes-klusterkonfigurationsanalysen identifierade exponeringen av en Postgres-tjänst av en lastbalanserare med en riskfylld konfiguration. Att exponera tjänsten för ett stort antal IP-adresser utgör en säkerhetsrisk. | InitialAccess | Medium |
| Försök att skapa ett nytt Linux-namnområde från en container som identifierats (K8S. NODE_NamespaceCreation) 1 |
Analys av processer som körs i en container i Kubernetes-klustret upptäckte ett försök att skapa ett nytt Linux-namnområde. Även om det här beteendet kan vara legitimt kan det tyda på att en angripare försöker fly från containern till noden. Vissa CVE-2022-0185-utnyttjanden använder den här tekniken. | PrivilegeEscalation | Medium |
| En historikfil har rensats (K8S. NODE_HistoryFileCleared) 1 |
Analys av processer som körs i en container eller direkt på en Kubernetes-nod har upptäckt att loggfilen för kommandohistorik har rensats. Angripare kan göra detta för att dölja sina spår. Åtgärden utfördes av det angivna användarkontot. | DefenseEvasion | Medium |
| Onormal aktivitet för hanterad identitet som är associerad med Kubernetes (förhandsversion) (K8S_AbnormalMiActivity) |
Analys av Azure Resource Manager-åtgärder identifierade ett onormalt beteende för en hanterad identitet som används av ett AKS-tillägg. Den identifierade aktiviteten överensstämmer inte med beteendet för det associerade tillägget. Även om den här aktiviteten kan vara legitim kan ett sådant beteende tyda på att identiteten har vunnits av en angripare, eventuellt från en komprometterad container i Kubernetes-klustret. | Sidorörelser | Medium |
| Onormal kubernetes-tjänstkontoåtgärd har identifierats (K8S_ServiceAccountRareOperation) |
Kubernetes granskningslogganalys identifierade onormalt beteende av ett tjänstkonto i kubernetes-klustret. Tjänstkontot användes för en åtgärd, vilket inte är vanligt för det här tjänstkontot. Även om den här aktiviteten kan vara legitim kan ett sådant beteende tyda på att tjänstkontot används i skadliga syften. | Lateral förflyttning, åtkomst till autentiseringsuppgifter | Medium |
| Ett ovanligt anslutningsförsök har identifierats (K8S. NODE_SuspectAnslut ion) 1 |
Analys av processer som körs i en container eller direkt på en Kubernetes-nod har upptäckt ett ovanligt anslutningsförsök med hjälp av ett socks-protokoll. Detta är mycket sällsynt i normala åtgärder, men en känd teknik för angripare som försöker kringgå identifieringar på nätverksnivå. | Körning, exfiltrering, utnyttjande | Medium |
| Avvikande podddistribution (förhandsversion) (K8S_AnomalousPodDeployment) 3 |
Kubernetes granskningslogganalys identifierade podddistribution som är avvikande baserat på tidigare podddistributionsaktivitet. Den här aktiviteten betraktas som en avvikelse när du tar hänsyn till hur de olika funktionerna som visas i distributionsåtgärden är i relationer till varandra. Bland de funktioner som övervakas finns det containeravbildningsregister som används, kontot som utför distributionen, veckodagen, hur ofta det här kontot utför podddistributioner, användaragenten som används i åtgärden, om det här är ett namnområde som podddistributioner ofta sker till och andra funktioner. De främsta bidragande orsakerna till att den här aviseringen aktiveras eftersom avvikande aktivitet beskrivs under aviseringens utökade egenskaper. | Körnings- | Medium |
| Avvikande hemlig åtkomst (förhandsversion) (K8S_AnomalousSecretAccess) 2 |
Kubernetes granskningslogganalys identifierade en hemlig åtkomstbegäran som är avvikande baserat på tidigare aktivitet för hemlig åtkomst. Den här aktiviteten anses vara en avvikelse när du tar hänsyn till hur de olika funktionerna som visas i den hemliga åtkomståtgärden är i relationer till varandra. De funktioner som övervakas av den här analysen inkluderar användarnamnet som används, namnet på hemligheten, namnet på namnområdet, användaragenten som används i åtgärden eller andra funktioner. De främsta bidragande orsakerna till att höja den här aviseringen eftersom avvikande aktivitet beskrivs under de utökade egenskaperna för aviseringen. | CredentialAccess | Medium |
| Försök att stoppa tjänsten apt-daily-upgrade.timer har identifierats (K8S. NODE_TimerServiceDisabled) 1 |
Analys av processer som körs i en container eller direkt på en Kubernetes-nod har identifierat ett försök att stoppa tjänsten apt-daily-upgrade.timer. Angripare har observerats stoppa den här tjänsten för att ladda ned skadliga filer och bevilja körningsprivilegier för sina attacker. Den här aktiviteten kan också inträffa om tjänsten uppdateras via normala administrativa åtgärder. | DefenseEvasion | Information |
| Beteende som liknar vanliga Linux-robotar som identifierats (förhandsversion) (K8S. NODE_CommonBot) |
Analys av processer som körs i en container eller direkt på en Kubernetes-nod har identifierat körningen av en process som normalt är associerad med vanliga Linux-botnät. | Körning, samling, kommando och kontroll | Medium |
| Kommando i en container som körs med hög behörighet (K8S. NODE_PrivilegedExecutionInContainer) 1 |
Datorloggar anger att ett privilegierat kommando kördes i en Docker-container. Ett privilegierat kommando har utökade privilegier på värddatorn. | PrivilegeEscalation | Lägst |
| Container som körs i privilegierat läge (K8S. NODE_PrivilegedContainerArtifacts) 1 |
Analys av processer som körs i en container eller direkt på en Kubernetes-nod har identifierat körningen av ett Docker-kommando som kör en privilegierad container. Den privilegierade containern har fullständig åtkomst till värdpodden eller värdresursen. Om det komprometteras kan en angripare använda den privilegierade containern för att få åtkomst till värdpodden eller värden. | PrivilegeEscalation, Execution | Lägst |
| Container med en känslig volymmontering identifierad (K8S_SensitiveMount) |
Kubernetes granskningslogganalys identifierade en ny container med en känslig volymmontering. Volymen som identifierades är en hostPath-typ som monterar en känslig fil eller mapp från noden till containern. Om containern komprometteras kan angriparen använda den här monteringen för att få åtkomst till noden. | Privilegieeskalering | Medium |
| CoreDNS-ändring i Kubernetes har identifierats (K8S_CoreDnsModification) 23 |
Kubernetes granskningslogganalys identifierade en ändring av CoreDNS-konfigurationen. Konfigurationen av CoreDNS kan ändras genom att åsidosätta dess konfigurationskarta. Den här aktiviteten kan vara legitim, men om angripare har behörighet att ändra konfigurationskartan kan de ändra beteendet för klustrets DNS-server och förgifta den. | Sidorörelser | Lägst |
| Skapande av webhookskonfiguration för antagning har identifierats (K8S_AdmissionController) 3 |
Kubernetes granskningslogganalys identifierade en ny webhook-konfiguration för antagning. Kubernetes har två inbyggda generiska antagningskontrollanter: MutatingAdmissionWebhook och ValidatingAdmissionWebhook. Beteendet för dessa antagningskontrollanter bestäms av en webhook för antagning som användaren distribuerar till klustret. Användningen av sådana antagningskontrollanter kan vara legitim, men angripare kan använda sådana webhooks för att ändra begäranden (i händelse av mutatingAdmissionWebhook) eller inspektera begäranden och få känslig information (i händelse av ValidatingAdmissionWebhook). | Åtkomst till autentiseringsuppgifter, beständighet | Lägst |
| Filnedladdning från en känd skadlig källa har identifierats (K8S. NODE_SuspectDownload) 1 |
Analys av processer som körs i en container eller direkt på en Kubernetes-nod har identifierat en nedladdning av en fil från en källa som ofta används för att distribuera skadlig kod. | PrivilegeEscalation, Execution, Exfiltration, Command And Control | Medium |
| Misstänkt filnedladdning har identifierats (K8S. NODE_SuspectDownloadArtifacts) 1 |
Analys av processer som körs i en container eller direkt på en Kubernetes-nod har upptäckt en misstänkt nedladdning av en fjärrfil. | Bevarande | Lägst |
| Misstänkt användning av nohup-kommandot har identifierats (K8S. NODE_SuspectNohup) 1 |
Analys av processer som körs i en container eller direkt på en Kubernetes-nod har identifierat en misstänkt användning av nohup-kommandot. Angripare har setts använda kommandot nohup för att köra dolda filer från en tillfällig katalog så att deras körbara filer kan köras i bakgrunden. Det är ovanligt att det här kommandot körs på dolda filer som finns i en tillfällig katalog. | Persistence, DefenseEvasion | Medium |
| Misstänkt användning av useradd-kommandot har identifierats (K8S. NODE_SuspectUserAddition) 1 |
Analys av processer som körs i en container eller direkt på en Kubernetes-nod har identifierat en misstänkt användning av useradd-kommandot. | Bevarande | Medium |
| Digital valutautvinningscontainer identifierad (K8S_MaliciousContainerImage) 3 |
Kubernetes granskningslogganalys identifierade en container som har en avbildning associerad med ett verktyg för utvinning av digital valuta. | Körnings- | Högst |
| Digitalt valutautvinningsrelaterat beteende har identifierats (K8S. NODE_DigitalCurrencyMining) 1 |
Analys av processer som körs i en container eller direkt på en Kubernetes-nod har identifierat en körning av en process eller ett kommando som normalt är associerat med utvinning av digital valuta. | Körnings- | Högst |
| Docker-byggåtgärd identifierad på en Kubernetes-nod (K8S. NODE_ImageBuildOnNode) 1 |
Analys av processer som körs i en container eller direkt på en Kubernetes-nod har identifierat en byggåtgärd av en containeravbildning på en Kubernetes-nod. Även om det här beteendet kan vara legitimt kan angripare skapa sina skadliga avbildningar lokalt för att undvika identifiering. | DefenseEvasion | Lägst |
| Överdrivna rollbehörigheter som tilldelats i Kubernetes-kluster (förhandsversion) (K8S_ServiceAcountPermissionAnomaly) 3 |
Analys av Kubernetes-granskningsloggarna identifierade en överdrivna behörighetsrolltilldelning till klustret. De angivna behörigheterna för de tilldelade rollerna är ovanliga för det specifika tjänstkontot. Den här identifieringen tar hänsyn till tidigare rolltilldelningar till samma tjänstkonto mellan kluster som övervakas av Azure, volym per behörighet och effekten av den specifika behörigheten. Avvikelseidentifieringsmodellen som används för den här aviseringen tar hänsyn till hur den här behörigheten används i alla kluster som övervakas av Microsoft Defender för molnet. | Privilegieeskalering | Lägst |
| Körbar fil hittades som körs från en misstänkt plats (förhandsversion) (K8S. NODE_SuspectExecutablePath) |
Analys av processer som körs i en container eller direkt på en Kubernetes-nod har identifierat en körbar fil som körs från en plats som är associerad med kända misstänkta filer. Den här körbara filen kan antingen vara en legitim aktivitet eller en indikation på ett komprometterat system. | Körnings- | Medium |
| Exponerad Kubeflow-instrumentpanel har identifierats (K8S_ExposedKubeflow) |
Kubernetes granskningslogganalys identifierade exponering av Istio-ingressen av en lastbalanserare i ett kluster som kör Kubeflow. Den här åtgärden kan exponera Kubeflow-instrumentpanelen för Internet. Om instrumentpanelen exponeras för Internet kan angripare komma åt den och köra skadliga containrar eller kod i klustret. Mer information finns i följande artikel: https://aka.ms/exposedkubeflow-blog | Inledande åtkomst | Medium |
| Exponerad Kubernetes-instrumentpanel har identifierats (K8S_ExposedDashboard) |
Kubernetes granskningslogganalys identifierade exponering av Kubernetes-instrumentpanelen av en LoadBalancer-tjänst. Den exponerade instrumentpanelen ger en oautentiserad åtkomst till klusterhanteringen och utgör ett säkerhetshot. | Inledande åtkomst | Högst |
| Exponerad Kubernetes-tjänst har identifierats (K8S_ExposedService) |
Kubernetes granskningslogganalys identifierade en tjänsts exponering av en lastbalanserare. Den här tjänsten är relaterad till ett känsligt program som tillåter åtgärder med hög påverkan i klustret, till exempel att köra processer på noden eller skapa nya containrar. I vissa fall kräver den här tjänsten inte autentisering. Om tjänsten inte kräver autentisering utgör det en säkerhetsrisk att exponera den för Internet. | Inledande åtkomst | Medium |
| Redis-tjänsten i AKS har identifierats (K8S_ExposedRedis) |
Kubernetes granskningslogganalys identifierade exponering av en Redis-tjänst av en lastbalanserare. Om tjänsten inte kräver autentisering utgör det en säkerhetsrisk att exponera den för Internet. | Inledande åtkomst | Lägst |
| Indikatorer som är associerade med DDOS-verktyg har identifierats (K8S. NODE_KnownLinuxDDoSToolkit) 1 |
Analys av processer som körs i en container eller direkt på en Kubernetes-nod, har identifierat filnamn som ingår i en verktygslåda som är associerad med skadlig kod som kan starta DDoS-attacker, öppna portar och tjänster och ta full kontroll över det infekterade systemet. Detta kan också vara legitim verksamhet. | Persistence, LateralMovement, Execution, Exploitation | Medium |
| K8S API-begäranden från proxy-IP-adress har identifierats (K8S_TI_Proxy) 3 |
Kubernetes granskningslogganalys identifierade API-begäranden till klustret från en IP-adress som är associerad med proxytjänster, till exempel TOR. Även om det här beteendet kan vara legitimt, visas det ofta i skadliga aktiviteter när angripare försöker dölja sin käll-IP. | Körnings- | Lägst |
| Kubernetes-händelser har tagits bort (K8S_DeleteEvents) 23 |
Defender för molnet upptäckt att vissa Kubernetes-händelser har tagits bort. Kubernetes-händelser är objekt i Kubernetes som innehåller information om ändringar i klustret. Angripare kan ta bort dessa händelser för att dölja sina åtgärder i klustret. | Försvarsundandragande | Lägst |
| Testverktyget för Kubernetes-intrång har identifierats (K8S_PenTestToolsKubeHunter) |
Kubernetes granskningslogganalys identifierade användningen av Kubernetes penetrationstestverktyg i AKS-klustret. Även om det här beteendet kan vara legitimt kan angripare använda sådana offentliga verktyg i skadliga syften. | Körnings- | Lägst |
| Manipulering av värdbrandväggen har identifierats (K8S. NODE_FirewallDisabled) 1 |
Analys av processer som körs i en container eller direkt på en Kubernetes-nod har identifierat en möjlig manipulering av brandväggen på värden. Angripare inaktiverar ofta detta för att exfiltera data. | DefenseEvasion, Exfiltrering | Medium |
| Microsoft Defender för molnet testavisering (inte ett hot). (K8S. NODE_EICAR) 1 |
Det här är en testavisering som genereras av Microsoft Defender för molnet. Ingen ytterligare åtgärd krävs. | Körnings- | Högst |
| Ny container i kube-system-namnområdet har identifierats (K8S_KubeSystemContainer) 3 |
Kubernetes granskningslogganalys identifierade en ny container i kube-system-namnområdet som inte finns bland de containrar som normalt körs i det här namnområdet. Kube-system-namnrymderna får inte innehålla användarresurser. Angripare kan använda det här namnområdet för att dölja skadliga komponenter. | Bevarande | Lägst |
| Ny roll med höga privilegier har identifierats (K8S_HighPrivilegesRole) 3 |
Kubernetes granskningslogganalys identifierade en ny roll med hög behörighet. En bindning till en roll med hög behörighet ger användaren/gruppen höga behörigheter i klustret. Onödiga privilegier kan orsaka behörighetseskalering i klustret. | Bevarande | Lägst |
| Möjligt attackverktyg har identifierats (K8S. NODE_KnownLinuxAttackTool) 1 |
Analys av processer som körs i en container eller direkt på en Kubernetes-nod har identifierat ett misstänkt verktygsanrop. Det här verktyget är ofta associerat med skadliga användare som attackerar andra. | Körning, samling, kommando och kontroll, avsökning | Medium |
| Möjlig bakdörr har identifierats (K8S. NODE_LinuxBackdoorArtifact) 1 |
Analys av processer som körs i en container eller direkt på en Kubernetes-nod har identifierat en misstänkt fil som laddas ned och körs. Den här aktiviteten har tidigare associerats med installation av en bakdörr. | Persistence, DefenseEvasion, Execution, Exploitation | Medium |
| Möjligt försök att utnyttja kommandoraden (K8S. NODE_ExploitAttempt) 1 |
Analys av processer som körs i en container eller direkt på en Kubernetes-nod har identifierat ett möjligt utnyttjandeförsök mot en känd säkerhetsrisk. | Utnyttjande | Medium |
| Möjligt åtkomstverktyg för autentiseringsuppgifter har identifierats (K8S. NODE_KnownLinuxCredentialAccessTool) 1 |
Analys av processer som körs i en container eller direkt på en Kubernetes-nod, har upptäckt att ett möjligt känt åtkomstverktyg för autentiseringsuppgifter kördes i containern, vilket identifieras av det angivna objektet för process- och kommandoradshistorik. Det här verktyget är ofta associerat med attackerare som försöker komma åt autentiseringsuppgifter. | CredentialAccess | Medium |
| Möjlig nedladdning av Cryptocoinminer har identifierats (K8S. NODE_CryptoCoinMinerDownload) 1 |
Analys av processer som körs i en container eller direkt på en Kubernetes-nod har identifierat nedladdning av en fil som normalt är associerad med utvinning av digital valuta. | DefenseEvasion, kommando och kontroll, exploatering | Medium |
| Möjlig dataexfiltrering har identifierats (K8S. NODE_DataEgressArtifacts) 1 |
Analys av processer som körs i en container eller direkt på en Kubernetes-nod har identifierat ett möjligt datautgående villkor. Angripare tar ofta ut data från datorer som de har komprometterat. | Samling, exfiltrering | Medium |
| Möjlig loggmanipuleringsaktivitet har identifierats (K8S. NODE_SystemLogRemoval) 1 |
Analys av processer som körs i en container eller direkt på en Kubernetes-nod har identifierat en möjlig borttagning av filer som spårar användarens aktivitet under driften. Angripare försöker ofta undvika identifiering och lämnar inga spår av skadliga aktiviteter genom att ta bort sådana loggfiler. | DefenseEvasion | Medium |
| Möjlig lösenordsändring med hjälp av crypt-method har identifierats (K8S. NODE_SuspectPasswordChange) 1 |
Analys av processer som körs i en container eller direkt på en Kubernetes-nod har identifierat en lösenordsändring med hjälp av kryptmetoden. Angripare kan göra den här ändringen för att fortsätta åtkomsten och få beständighet efter att ha komprometterats. | CredentialAccess | Medium |
| Potentiell portvidarebefordring till extern IP-adress (K8S. NODE_SuspectPortForwarding) 1 |
Analys av processer som körs i en container eller direkt på en Kubernetes-nod har identifierat en initiering av portvidarebefordring till en extern IP-adress. | Exfiltrering, kommando och kontroll | Medium |
| Potentiellt omvändt gränssnitt har identifierats (K8S. NODE_ReverseShell) 1 |
Analys av processer som körs i en container eller direkt på en Kubernetes-nod har identifierat ett potentiellt omvänd gränssnitt. Dessa används för att få en komprometterad dator att anropa tillbaka till en dator som en angripare äger. | Exfiltrering, exploatering | Medium |
| Privilegierad container har identifierats (K8S_PrivilegedContainer) |
Kubernetes granskningslogganalys identifierade en ny privilegierad container. En privilegierad container har åtkomst till nodens resurser och bryter isoleringen mellan containrar. Om den komprometteras kan en angripare använda den privilegierade containern för att få åtkomst till noden. | Privilegieeskalering | Lägst |
| Process som är associerad med utvinning av digital valuta har identifierats (K8S. NODE_CryptoCoinMinerArtifacts) 1 |
Analys av processer som körs i en container upptäckte körningen av en process som normalt är associerad med utvinning av digital valuta. | Utförande, utnyttjande | Medium |
| Processen har visats komma åt den SSH-auktoriserade nyckelfilen på ett ovanligt sätt (K8S. NODE_SshKeyAccess) 1 |
En SSH-authorized_keys-fil användes i en metod som liknar kända kampanjer för skadlig kod. Den här åtkomsten kan innebära att en aktör försöker få beständig åtkomst till en dator. | Okänt | Lägst |
| Rollbindning till klusteradministratörsrollen har identifierats (K8S_ClusterAdminBinding) |
Kubernetes granskningslogganalys identifierade en ny bindning till klusteradministratörsrollen som ger administratörsbehörighet. Onödiga administratörsbehörigheter kan orsaka behörighetseskalering i klustret. | Bevarande | Lägst |
| Säkerhetsrelaterad processavslut har identifierats (K8S. NODE_SuspectProcessTermination) 1 |
Analys av processer som körs i en container eller direkt på en Kubernetes-nod har identifierat ett försök att avsluta processer relaterade till säkerhetsövervakning på containern. Angripare försöker ofta avsluta sådana processer med fördefinierade skript efter kompromissen. | Bevarande | Lägst |
| SSH-servern körs i en container (K8S. NODE_ContainerSSH) 1 |
Analys av processer som körs i en container har identifierat en SSH-server som körs i containern. | Körnings- | Medium |
| Misstänkt filtidsstämpeländring (K8S. NODE_TimestampTampering) 1 |
Analys av processer som körs i en container eller direkt på en Kubernetes-nod har identifierat en misstänkt tidsstämpeländring. Angripare kopierar ofta tidsstämplar från befintliga legitima filer till nya verktyg för att undvika identifiering av de nyligen borttagna filerna. | Persistence, DefenseEvasion | Lägst |
| Misstänkt begäran till Kubernetes API (K8S. NODE_KubernetesAPI) 1 |
Analys av processer som körs i en container indikerar att en misstänkt begäran gjordes till Kubernetes-API:et. Begäran skickades från en container i klustret. Även om det här beteendet kan vara avsiktligt kan det tyda på att en komprometterad container körs i klustret. | LateralMovement | Medium |
| Misstänkt begäran till Kubernetes-instrumentpanelen (K8S. NODE_KubernetesDashboard) 1 |
Analys av processer som körs i en container indikerar att en misstänkt begäran gjordes till Kubernetes-instrumentpanelen. Begäran skickades från en container i klustret. Även om det här beteendet kan vara avsiktligt kan det tyda på att en komprometterad container körs i klustret. | LateralMovement | Medium |
| Potentiell kryptomyntgrävare startad (K8S. NODE_CryptoCoinMinerExecution) 1 |
Analys av processer som körs i en container eller direkt på en Kubernetes-nod har identifierat en process som startas på ett sätt som normalt är associerat med utvinning av digital valuta. | Körnings- | Medium |
| Misstänkt lösenordsåtkomst (K8S. NODE_SuspectPasswordFileAccess) 1 |
Analys av processer som körs i en container eller direkt på en Kubernetes-nod har identifierat misstänkta försök att komma åt krypterade användarlösenord. | Bevarande | Information |
| Misstänkt användning av DNS via HTTPS (K8S. NODE_SuspiciousDNSOverHttps) 1 |
Analys av processer som körs i en container eller direkt på en Kubernetes-nod har identifierat användningen av ett DNS-anrop via HTTPS på ett ovanligt sätt. Den här tekniken används av angripare för att dölja anrop till misstänkta eller skadliga webbplatser. | DefenseEvasion, Exfiltrering | Medium |
| En möjlig anslutning till skadlig plats har identifierats. (K8S. NODE_ThreatIntelCommandLineSuspectDomain) 1 |
Analys av processer som körs i en container eller direkt på en Kubernetes-nod har identifierat en anslutning till en plats som har rapporterats vara skadlig eller ovanlig. Det här är en indikator på att en kompromiss kan ha inträffat. | InitialAccess | Medium |
| Möjligt skadligt webbgränssnitt har identifierats. (K8S. NODE_Webshell) 1 |
Analys av processer som körs i en container har identifierat ett möjligt webbgränssnitt. Angripare laddar ofta upp ett webbgränssnitt till en beräkningsresurs som de har komprometterat för att få beständighet eller för ytterligare utnyttjande. | Beständighet, utnyttjande | Medium |
| Burst av flera rekognoseringskommandon kan indikera inledande aktivitet efter kompromiss (K8S. NODE_ReconnaissanceArtifactsBurst) 1 |
Analys av värd-/enhetsdata upptäckte körning av flera rekognoseringskommandon relaterade till insamling av system- eller värdinformation som utförts av angripare efter den första kompromissen. | Identifiering, samling | Lägst |
| Misstänkt nedladdning kör sedan aktivitet (K8S. NODE_DownloadAndRunCombo) 1 |
Analys av processer som körs i en container eller direkt på en Kubernetes-nod, har identifierat en fil som laddas ned och körs sedan i samma kommando. Även om detta inte alltid är skadligt är detta en mycket vanlig teknik som angripare använder för att få skadliga filer till offerdatorer. | Execution, CommandAndControl, Exploitation | Medium |
| Gruvaktivitet för digital valuta (K8S. NODE_CurrencyMining) 1 |
Analys av DNS-transaktioner identifierade gruvaktivitet för digital valuta. Sådan aktivitet, även om det kan vara ett legitimt användarbeteende, utförs ofta av angripare efter att resurser har komprometterats. Typisk relaterad attackeringsaktivitet kommer sannolikt att omfatta nedladdning och körning av vanliga gruvverktyg. | Exfiltrering | Lägst |
| Åtkomst till kubelet kubeconfig-fil har identifierats (K8S. NODE_KubeConfigAccess) 1 |
Analys av processer som körs på en Kubernetes-klusternod identifierade åtkomsten till kubeconfig-filen på värden. Kubeconfig-filen, som normalt används av Kubelet-processen, innehåller autentiseringsuppgifter för Kubernetes-klustrets API-server. Åtkomst till den här filen är ofta associerad med angripare som försöker komma åt dessa autentiseringsuppgifter eller med säkerhetsgenomsökningsverktyg som kontrollerar om filen är tillgänglig. | CredentialAccess | Medium |
| Åtkomst till molnmetadatatjänsten har identifierats (K8S. NODE_ImdsCall) 1 |
Analys av processer som körs i en container har identifierat åtkomst till molnmetadatatjänsten för att hämta identitetstoken. Containern utför normalt inte en sådan åtgärd. Även om det här beteendet kan vara legitimt kan angripare använda den här tekniken för att komma åt molnresurser när de har fått inledande åtkomst till en container som körs. | CredentialAccess | Medium |
| MITRE Caldera-agenten har identifierats (K8S. NODE_MitreCalderaTools) 1 |
Analys av processer som körs i en container eller direkt på en Kubernetes-nod har identifierat en misstänkt process. Detta är ofta associerat med MITRE 54ndc47-agenten som kan användas skadligt för att attackera andra datorer. | Persistence, PrivilegeEscalation, DefenseEvasion, CredentialAccess, Discovery, LateralMovement, Execution, Collection, Exfiltration, Command And Control, Probing, Exploitation | Medium |
1: Förhandsversion för icke-AKS-kluster: Den här aviseringen är allmänt tillgänglig för AKS-kluster, men den är i förhandsversion för andra miljöer, till exempel Azure Arc, EKS och GKE.
2: Begränsningar för GKE-kluster: GKE använder en Kubernetes-granskningsprincip som inte stöder alla aviseringstyper. Därför stöds inte den här säkerhetsaviseringen, som baseras på Kubernetes-granskningshändelser, för GKE-kluster.
3: Den här aviseringen stöds på Windows-noder/containrar.
Aviseringar för SQL Database och Azure Synapse Analytics
Mer information och anteckningar
| Varning | beskrivning | MITRE-taktik (Läs mer) |
Allvarlighet |
|---|---|---|---|
| En möjlig säkerhetsrisk för SQL-inmatning (SQL. DB_VulnerabilityToSqlInjection SQL. VM_VulnerabilityToSqlInjection SQL.MI_VulnerabilityToSqlInjection SQL. DW_VulnerabilityToSqlInjection Synapse.SQLPool_VulnerabilityToSqlInjection) |
Ett program har genererat en felaktig SQL-instruktion i databasen. Detta kan tyda på en möjlig säkerhetsrisk för SQL-inmatningsattacker. Det finns två möjliga orsaker till en felaktig instruktion. Ett fel i programkoden kan ha konstruerat den felaktiga SQL-instruktionen. Eller så sanerade inte programkod eller lagrade procedurer användarindata när den felaktiga SQL-instruktionen konstruerades, som kan utnyttjas för SQL-inmatning. | PreAttack | Medium |
| Försök att logga in av ett potentiellt skadligt program (SQL. DB_HarmfulApplication SQL. VM_HarmfulApplication SQL.MI_HarmfulApplication SQL. DW_HarmfulApplication Synapse.SQLPool_HarmfulApplication) |
Ett potentiellt skadligt program försökte komma åt resursen. | PreAttack | Högst |
| Logga in från ett ovanligt Azure Data Center (SQL. DB_DataCenterAnomaly SQL. VM_DataCenterAnomaly SQL. DW_DataCenterAnomaly SQL.MI_DataCenterAnomaly Synapse.SQLPool_DataCenterAnomaly) |
Det har skett en ändring i åtkomstmönstret till en SQL Server, där någon har loggat in på servern från ett ovanligt Azure Data Center. I vissa fall identifierar aviseringen en legitim åtgärd (ett nytt program eller en Azure-tjänst). I andra fall identifierar aviseringen en skadlig åtgärd (angripare som arbetar från en resurs som har brutits i Azure). | Sondera | Lägst |
| Logga in från en ovanlig plats (SQL. DB_GeoAnomaly SQL. VM_GeoAnomaly SQL. DW_GeoAnomaly SQL.MI_GeoAnomaly Synapse.SQLPool_GeoAnomaly) |
Det har skett en ändring i åtkomstmönstret till SQL Server, där någon har loggat in på servern från en ovanlig geografisk plats. I vissa fall identifierar aviseringen en giltig åtgärd (ett nytt program eller nytt underhåll av utvecklare). I andra fall identifierar aviseringen en skadlig åtgärd (en tidigare anställd eller extern angripare). | Utnyttjande | Medium |
| Logga in från en huvudanvändare som inte setts på 60 dagar (SQL. DB_PrincipalAnomaly SQL. VM_PrincipalAnomaly SQL. DW_PrincipalAnomaly SQL.MI_PrincipalAnomaly Synapse.SQLPool_PrincipalAnomaly) |
En huvudanvändare som inte har setts under de senaste 60 dagarna har loggat in på databasen. Om den här databasen är ny eller om det här är ett förväntat beteende som orsakas av de senaste ändringarna i de användare som kommer åt databasen kommer Defender för molnet att identifiera betydande ändringar i åtkomstmönstren och försöka förhindra framtida falska positiva identifieringar. | Utnyttjande | Medium |
| Logga in från en domän som inte visas på 60 dagar (SQL. DB_DomainAnomaly SQL. VM_DomainAnomaly SQL. DW_DomainAnomaly SQL.MI_DomainAnomaly Synapse.SQLPool_DomainAnomaly) |
En användare har loggat in på resursen från en domän som inga andra användare har anslutit från under de senaste 60 dagarna. Om den här resursen är ny eller om det här är ett förväntat beteende som orsakas av de senaste ändringarna i de användare som kommer åt resursen identifierar Defender för molnet betydande ändringar i åtkomstmönstren och försöker förhindra framtida falska positiva identifieringar. | Utnyttjande | Medium |
| Logga in från en misstänkt IP-adress (SQL. DB_SuspiciousIpAnomaly SQL. VM_SuspiciousIpAnomaly SQL. DW_SuspiciousIpAnomaly SQL.MI_SuspiciousIpAnomaly Synapse.SQLPool_SuspiciousIpAnomaly) |
Resursen har använts från en IP-adress som Microsoft Threat Intelligence har associerat med misstänkt aktivitet. | PreAttack | Medium |
| Potentiell SQL-inmatning (SQL. DB_PotentialSqlInjection SQL. VM_PotentialSqlInjection SQL.MI_PotentialSqlInjection SQL. DW_PotentialSqlInjection Synapse.SQLPool_PotentialSqlInjection) |
En aktiv exploatering har inträffat mot ett identifierat program som är sårbart för SQL-inmatning. Det innebär att en angripare försöker mata in skadliga SQL-instruktioner med hjälp av den sårbara programkoden eller lagrade procedurer. | PreAttack | Högst |
| Misstänkt råstyrkeattack med en giltig användare (SQL. DB_BruteForce SQL. VM_BruteForce SQL. DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce) |
En potentiell råstyrkeattack har identifierats på din resurs. Angriparen använder den giltiga användaren (användarnamnet), som har behörighet att logga in. | PreAttack | Högst |
| Misstänkt brute force-attack (SQL. DB_BruteForce SQL. VM_BruteForce SQL. DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce) |
En potentiell råstyrkeattack har identifierats på din resurs. | PreAttack | Högst |
| Misstänkt lyckad brute force-attack (SQL. DB_BruteForce SQL. VM_BruteForce SQL. DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce) |
En lyckad inloggning inträffade efter en uppenbar råstyrkeattack på resursen. | PreAttack | Högst |
| SQL Server skapade potentiellt ett Windows-kommandogränssnitt och fick åtkomst till en onormal extern källa (SQL. DB_ShellExternalSourceAnomaly SQL. VM_ShellExternalSourceAnomaly SQL. DW_ShellExternalSourceAnomaly SQL.MI_ShellExternalSourceAnomaly Synapse.SQLPool_ShellExternalSourceAnomaly) |
En misstänkt SQL-instruktion skapade potentiellt ett Windows-kommandogränssnitt med en extern källa som inte har setts tidigare. Att köra ett gränssnitt som har åtkomst till en extern källa är en metod som används av angripare för att ladda ned skadlig nyttolast och sedan köra den på datorn och kompromettera den. Detta gör det möjligt för en angripare att utföra skadliga uppgifter under fjärrriktning. Du kan också använda åtkomst till en extern källa för att exfiltera data till ett externt mål. | Körnings- | Högst |
| Ovanlig nyttolast med fördunklade delar har initierats av SQL Server (SQL. VM_PotentialSqlInjection) |
Någon har initierat en ny nyttolast med hjälp av lagret i SQL Server som kommunicerar med operativsystemet samtidigt som kommandot i SQL-frågan döljs. Angripare döljer ofta effektfulla kommandon som övervakas populärt som xp_cmdshell, sp_add_job och andra. Fördunklingstekniker missbrukar legitima kommandon som strängsammanfogning, gjutning, basbyte och andra för att undvika regexidentifiering och skada loggarnas läsbarhet. | Körnings- | Högst |
Aviseringar för relationsdatabaser med öppen källkod
Mer information och anteckningar
| Avisering (aviseringstyp) | beskrivning | MITRE-taktik (Läs mer) |
Allvarlighet |
|---|---|---|---|
| Misstänkt råstyrkeattack med en giltig användare (SQL. PostgreSQL_BruteForce SQL. MariaDB_BruteForce SQL. MySQL_BruteForce) |
En potentiell råstyrkeattack har identifierats på din resurs. Angriparen använder den giltiga användaren (användarnamnet), som har behörighet att logga in. | PreAttack | Högst |
| Misstänkt lyckad brute force-attack (SQL. PostgreSQL_BruteForce SQL. MySQL_BruteForce SQL. MariaDB_BruteForce) |
En lyckad inloggning inträffade efter en uppenbar råstyrkeattack på resursen. | PreAttack | Högst |
| Misstänkt brute force-attack (SQL. PostgreSQL_BruteForce SQL. MySQL_BruteForce SQL. MariaDB_BruteForce) |
En potentiell råstyrkeattack har identifierats på din resurs. | PreAttack | Högst |
| Försök att logga in av ett potentiellt skadligt program (SQL. PostgreSQL_HarmfulApplication SQL. MariaDB_HarmfulApplication SQL. MySQL_HarmfulApplication) |
Ett potentiellt skadligt program försökte komma åt resursen. | PreAttack | Högst |
| Logga in från en huvudanvändare som inte setts på 60 dagar (SQL. PostgreSQL_PrincipalAnomaly SQL. MariaDB_PrincipalAnomaly SQL. MySQL_PrincipalAnomaly) |
En huvudanvändare som inte har setts under de senaste 60 dagarna har loggat in på databasen. Om den här databasen är ny eller om det här är ett förväntat beteende som orsakas av de senaste ändringarna i de användare som kommer åt databasen kommer Defender för molnet att identifiera betydande ändringar i åtkomstmönstren och försöka förhindra framtida falska positiva identifieringar. | Utnyttjande | Medium |
| Logga in från en domän som inte visas på 60 dagar (SQL. MariaDB_DomainAnomaly SQL. PostgreSQL_DomainAnomaly SQL. MySQL_DomainAnomaly) |
En användare har loggat in på resursen från en domän som inga andra användare har anslutit från under de senaste 60 dagarna. Om den här resursen är ny eller om det här är ett förväntat beteende som orsakas av de senaste ändringarna i de användare som kommer åt resursen identifierar Defender för molnet betydande ändringar i åtkomstmönstren och försöker förhindra framtida falska positiva identifieringar. | Utnyttjande | Medium |
| Logga in från ett ovanligt Azure Data Center (SQL. PostgreSQL_DataCenterAnomaly SQL. MariaDB_DataCenterAnomaly SQL. MySQL_DataCenterAnomaly) |
Någon har loggat in på din resurs från ett ovanligt Azure Data Center. | Sondera | Lägst |
| Logga in från en ovanlig molnleverantör (SQL. PostgreSQL_CloudProviderAnomaly SQL. MariaDB_CloudProviderAnomaly SQL. MySQL_CloudProviderAnomaly) |
Någon har loggat in på din resurs från en molnleverantör som inte har setts under de senaste 60 dagarna. Det är snabbt och enkelt för hotaktörer att få disponibel beräkningskraft för användning i sina kampanjer. Om detta är förväntat beteende som orsakas av den senaste implementeringen av en ny molnleverantör lär Defender för molnet sig över tid och försöker förhindra framtida falska positiva identifieringar. | Utnyttjande | Medium |
| Logga in från en ovanlig plats (SQL. MariaDB_GeoAnomaly SQL. PostgreSQL_GeoAnomaly SQL. MySQL_GeoAnomaly) |
Någon har loggat in på din resurs från ett ovanligt Azure Data Center. | Utnyttjande | Medium |
| Logga in från en misstänkt IP-adress (SQL. PostgreSQL_SuspiciousIpAnomaly SQL. MariaDB_SuspiciousIpAnomaly SQL. MySQL_SuspiciousIpAnomaly) |
Resursen har använts från en IP-adress som Microsoft Threat Intelligence har associerat med misstänkt aktivitet. | PreAttack | Medium |
Aviseringar för Resource Manager
Kommentar
Aviseringar med en delegerad åtkomstindikator utlöses på grund av aktivitet hos tredjepartstjänstleverantörer. läs mer om aktivitetsadikationer för tjänsteleverantörer.
Mer information och anteckningar
| Avisering (aviseringstyp) | beskrivning | MITRE-taktik (Läs mer) |
Allvarlighet |
|---|---|---|---|
| Azure Resource Manager-åtgärd från misstänkt IP-adress (ARM_OperationFromSuspiciousIP) |
Microsoft Defender för Resource Manager har identifierat en åtgärd från en IP-adress som har markerats som misstänkt i hotinformationsflöden. | Körnings- | Medium |
| Azure Resource Manager-åtgärd från misstänkt proxy-IP-adress (ARM_OperationFromSuspiciousProxyIP) |
Microsoft Defender för Resource Manager identifierade en resurshanteringsåtgärd från en IP-adress som är associerad med proxytjänster, till exempel TOR. Även om det här beteendet kan vara legitimt, visas det ofta i skadliga aktiviteter, när hotaktörer försöker dölja sin käll-IP. | Försvarsundandragande | Medium |
| Verktyg för MicroBurst-exploatering som används för att räkna upp resurser i dina prenumerationer (ARM_MicroBurst.AzDomainInfo) |
Ett PowerShell-skript kördes i din prenumeration och utförde ett misstänkt mönster för att köra en informationsinsamling för att identifiera resurser, behörigheter och nätverksstrukturer. Hotaktörer använder automatiserade skript, till exempel MicroBurst, för att samla in information om skadliga aktiviteter. Detta upptäcktes genom att analysera Azure Resource Manager-åtgärder i din prenumeration. Den här åtgärden kan tyda på att en identitet i organisationen har brutits och att hotskådespelaren försöker kompromettera din miljö för skadliga avsikter. | - | Lägst |
| Verktyg för MicroBurst-exploatering som används för att räkna upp resurser i dina prenumerationer (ARM_MicroBurst.AzureDomainInfo) |
Ett PowerShell-skript kördes i din prenumeration och utförde ett misstänkt mönster för att köra en informationsinsamling för att identifiera resurser, behörigheter och nätverksstrukturer. Hotaktörer använder automatiserade skript, till exempel MicroBurst, för att samla in information om skadliga aktiviteter. Detta upptäcktes genom att analysera Azure Resource Manager-åtgärder i din prenumeration. Den här åtgärden kan tyda på att en identitet i organisationen har brutits och att hotskådespelaren försöker kompromettera din miljö för skadliga avsikter. | - | Lägst |
| MicroBurst-exploateringsverktyg som används för att köra kod på den virtuella datorn (ARM_MicroBurst.AzVMBulkCMD) |
Ett PowerShell-skript kördes i din prenumeration och utförde ett misstänkt mönster för att köra kod på en virtuell dator eller en lista över virtuella datorer. Hotaktörer använder automatiserade skript, till exempel MicroBurst, för att köra ett skript på en virtuell dator för skadliga aktiviteter. Detta upptäcktes genom att analysera Azure Resource Manager-åtgärder i din prenumeration. Den här åtgärden kan tyda på att en identitet i organisationen har brutits och att hotskådespelaren försöker kompromettera din miljö för skadliga avsikter. | Körnings- | Högst |
| MicroBurst-exploateringsverktyg som används för att köra kod på den virtuella datorn (RM_MicroBurst.AzureRmVMBulkCMD) |
MicroBursts verktyg för exploatering användes för att köra kod på dina virtuella datorer. Detta upptäcktes genom att analysera Azure Resource Manager-åtgärder i din prenumeration. | - | Högst |
| Verktyg för microBurst-exploatering som används för att extrahera nycklar från dina Azure-nyckelvalv (ARM_MicroBurst.AzKeyVaultKeysREST) |
Ett PowerShell-skript kördes i din prenumeration och utförde ett misstänkt mönster för att extrahera nycklar från ett Azure Key Vault(er). Hotaktörer använder automatiserade skript, till exempel MicroBurst, för att lista nycklar och använda dem för att komma åt känsliga data eller utföra lateral förflyttning. Detta upptäcktes genom att analysera Azure Resource Manager-åtgärder i din prenumeration. Den här åtgärden kan tyda på att en identitet i organisationen har brutits och att hotskådespelaren försöker kompromettera din miljö för skadliga avsikter. | - | Högst |
| Verktyg för microBurst-exploatering som används för att extrahera nycklar till dina lagringskonton (ARM_MicroBurst.AZStorageKeysREST) |
Ett PowerShell-skript kördes i din prenumeration och utförde ett misstänkt mönster för att extrahera nycklar till lagringskonton. Hotaktörer använder automatiserade skript, till exempel MicroBurst, för att lista nycklar och använda dem för att komma åt känsliga data i dina lagringskonton. Detta upptäcktes genom att analysera Azure Resource Manager-åtgärder i din prenumeration. Den här åtgärden kan tyda på att en identitet i organisationen har brutits och att hotskådespelaren försöker kompromettera din miljö för skadliga avsikter. | Samling | Högst |
| Verktyg för microBurst-exploatering som används för att extrahera hemligheter från dina Azure-nyckelvalv (ARM_MicroBurst.AzKeyVaultSecretsREST) |
Ett PowerShell-skript kördes i din prenumeration och utförde ett misstänkt mönster för att extrahera hemligheter från ett Azure Key Vault(er). Hotaktörer använder automatiserade skript, till exempel MicroBurst, för att lista hemligheter och använda dem för att komma åt känsliga data eller utföra laterala förflyttningar. Detta upptäcktes genom att analysera Azure Resource Manager-åtgärder i din prenumeration. Den här åtgärden kan tyda på att en identitet i organisationen har brutits och att hotskådespelaren försöker kompromettera din miljö för skadliga avsikter. | - | Högst |
| Verktyg för PowerZure-exploatering som används för att höja åtkomsten från Azure AD till Azure (ARM_PowerZure.AzureElevatedPrivileges) |
PowerZure-exploateringsverktyg användes för att höja åtkomsten från AzureAD till Azure. Detta identifierades genom att analysera Azure Resource Manager-åtgärder i din klientorganisation. | - | Högst |
| PowerZure-exploateringsverktyg som används för att räkna upp resurser (ARM_PowerZure.GetAzureTargets) |
PowerZure-exploateringsverktyg användes för att räkna upp resurser för ett legitimt användarkonto i din organisation. Detta upptäcktes genom att analysera Azure Resource Manager-åtgärder i din prenumeration. | Samling | Högst |
| PowerZure-exploateringsverktyg som används för att räkna upp lagringscontainrar, resurser och tabeller (ARM_PowerZure.ShowStorageContent) |
PowerZure-exploateringsverktyg användes för att räkna upp lagringsresurser, tabeller och containrar. Detta upptäcktes genom att analysera Azure Resource Manager-åtgärder i din prenumeration. | - | Högst |
| PowerZure-exploateringsverktyg som används för att köra en Runbook i din prenumeration (ARM_PowerZure.StartRunbook) |
PowerZure-exploateringsverktyg användes för att köra en Runbook. Detta upptäcktes genom att analysera Azure Resource Manager-åtgärder i din prenumeration. | - | Högst |
| PowerZure-exploateringsverktyg som används för att extrahera Runbooks-innehåll (ARM_PowerZure.AzureRunbookContent) |
PowerZure-exploateringsverktyg användes för att extrahera Runbook-innehåll. Detta upptäcktes genom att analysera Azure Resource Manager-åtgärder i din prenumeration. | Samling | Högst |
| FÖRHANDSVERSION – Azurite toolkit-körning har identifierats (ARM_Azurite) |
En känd rekognoseringsverktygskörning i molnmiljön har identifierats i din miljö. Verktyget Azurite kan användas av en angripare (eller intrångstestare) för att mappa prenumerationernas resurser och identifiera osäkra konfigurationer. | Samling | Högst |
| FÖRHANDSVERSION – Misstänkt skapande av beräkningsresurser har identifierats (ARM_SuspiciousComputeCreation) |
Microsoft Defender för Resource Manager identifierade ett misstänkt skapande av beräkningsresurser i din prenumeration med hjälp av Virtuella datorer/Azure Scale Set. De identifierade åtgärderna är utformade för att administratörer effektivt ska kunna hantera sina miljöer genom att distribuera nya resurser vid behov. Även om den här aktiviteten kan vara legitim kan en hotskådespelare använda sådana åtgärder för att utföra kryptoutvinning. Aktiviteten anses misstänkt eftersom skalningen för beräkningsresurser är högre än vad som tidigare observerats i prenumerationen. Detta kan tyda på att huvudkontot har komprometterats och används med skadlig avsikt. |
Påverkan | Medium |
| FÖRHANDSVERSION – Misstänkt återställning av nyckelvalv har identifierats (Arm_Suspicious_Vault_Recovering) |
Microsoft Defender för Resource Manager har identifierat en misstänkt återställningsåtgärd för en resurs för mjuk borttagning av nyckelvalv. Användaren som återställer resursen skiljer sig från användaren som tog bort den. Detta är mycket misstänkt eftersom användaren sällan anropar en sådan åtgärd. Dessutom loggade användaren in utan multifaktorautentisering (MFA). Detta kan tyda på att användaren är komprometterad och försöker identifiera hemligheter och nycklar för att få åtkomst till känsliga resurser eller utföra laterala rörelser i nätverket. |
Sidorörelse | Medel/hög |
| FÖRHANDSVERSION – Misstänkt hanteringssession med ett inaktivt konto har identifierats (ARM_UnusedAccountPersistence) |
Analys av prenumerationsaktivitetsloggar har identifierat misstänkt beteende. Ett huvudnamn som inte används under en längre tid utför nu åtgärder som kan skydda beständighet för en angripare. | Bevarande | Medium |
| FÖRHANDSVERSION – Misstänkt anrop av en högriskåtgärd för åtkomst till autentiseringsuppgifter av ett tjänstens huvudnamn har identifierats (ARM_AnomalousServiceOperation.CredentialAccess) |
Microsoft Defender för Resource Manager identifierade ett misstänkt anrop av en högriskåtgärd i din prenumeration som kan tyda på ett försök att komma åt autentiseringsuppgifter. De identifierade åtgärderna är utformade för att administratörer effektivt ska kunna hantera sina miljöer. Även om den här aktiviteten kan vara legitim kan en hotskådespelare använda sådana åtgärder för att få åtkomst till begränsade autentiseringsuppgifter och kompromettera resurser i din miljö. Detta kan tyda på att tjänstens huvudnamn är komprometterat och används med skadlig avsikt. | Åtkomst till autentiseringsuppgifter | Medium |
| FÖRHANDSVERSION – Misstänkt anrop av en högriskåtgärd för datainsamling av ett tjänstens huvudnamn har identifierats (ARM_AnomalousServiceOperation.Collection) |
Microsoft Defender för Resource Manager identifierade ett misstänkt anrop av en högriskåtgärd i din prenumeration som kan tyda på ett försök att samla in data. De identifierade åtgärderna är utformade för att administratörer effektivt ska kunna hantera sina miljöer. Även om den här aktiviteten kan vara legitim kan en hotakterare använda sådana åtgärder för att samla in känsliga data om resurser i din miljö. Detta kan tyda på att tjänstens huvudnamn är komprometterat och används med skadlig avsikt. | Samling | Medium |
| FÖRHANDSVERSION – Misstänkt anrop av en högriskåtgärd för "försvarsundandragande" av ett huvudnamn för tjänsten har identifierats (ARM_AnomalousServiceOperation.DefenseEvasion) |
Microsoft Defender för Resource Manager identifierade ett misstänkt anrop av en högriskåtgärd i din prenumeration som kan tyda på ett försök att undvika skydd. De identifierade åtgärderna är utformade för att administratörer effektivt ska kunna hantera säkerhetsstatusen i sina miljöer. Även om den här aktiviteten kan vara legitim kan en hotskådespelare använda sådana åtgärder för att undvika att identifieras samtidigt som resurser i din miljö komprometteras. Detta kan tyda på att tjänstens huvudnamn är komprometterat och används med skadlig avsikt. | Försvarsundandragande | Medium |
| FÖRHANDSVERSION – Misstänkt anrop av en högriskåtgärd för körning av tjänstens huvudnamn har identifierats (ARM_AnomalousServiceOperation.Execution) |
Microsoft Defender för Resource Manager identifierade ett misstänkt anrop av en högriskåtgärd på en dator i din prenumeration som kan tyda på ett försök att köra kod. De identifierade åtgärderna är utformade för att administratörer effektivt ska kunna hantera sina miljöer. Även om den här aktiviteten kan vara legitim kan en hotskådespelare använda sådana åtgärder för att få åtkomst till begränsade autentiseringsuppgifter och kompromettera resurser i din miljö. Detta kan tyda på att tjänstens huvudnamn är komprometterat och används med skadlig avsikt. | Försvarskörning | Medium |
| FÖRHANDSVERSION – Misstänkt anrop av en högriskåtgärd för "Påverkan" av ett tjänstens huvudnamn har identifierats (ARM_AnomalousServiceOperation.Impact) |
Microsoft Defender för Resource Manager identifierade ett misstänkt anrop av en högriskåtgärd i din prenumeration som kan tyda på ett försök till konfigurationsändring. De identifierade åtgärderna är utformade för att administratörer effektivt ska kunna hantera sina miljöer. Även om den här aktiviteten kan vara legitim kan en hotskådespelare använda sådana åtgärder för att få åtkomst till begränsade autentiseringsuppgifter och kompromettera resurser i din miljö. Detta kan tyda på att tjänstens huvudnamn är komprometterat och används med skadlig avsikt. | Påverkan | Medium |
| FÖRHANDSVERSION – Misstänkt anrop av en högriskåtgärd för "initial åtkomst" av ett tjänstens huvudnamn har identifierats (ARM_AnomalousServiceOperation.InitialAccess) |
Microsoft Defender för Resource Manager identifierade ett misstänkt anrop av en högriskåtgärd i din prenumeration som kan tyda på ett försök att komma åt begränsade resurser. De identifierade åtgärderna är utformade för att administratörer effektivt ska kunna komma åt sina miljöer. Även om den här aktiviteten kan vara legitim kan en hotakterare använda sådana åtgärder för att få inledande åtkomst till begränsade resurser i din miljö. Detta kan tyda på att tjänstens huvudnamn är komprometterat och används med skadlig avsikt. | Inledande åtkomst | Medium |
| FÖRHANDSVERSION – Misstänkt anrop av en högriskåtgärd för "lateral förflyttningsåtkomst" av ett huvudnamn för tjänsten har identifierats (ARM_AnomalousServiceOperation.LateralMovement) |
Microsoft Defender för Resource Manager identifierade ett misstänkt anrop av en högriskåtgärd i din prenumeration som kan tyda på ett försök att utföra lateral förflyttning. De identifierade åtgärderna är utformade för att administratörer effektivt ska kunna hantera sina miljöer. Även om den här aktiviteten kan vara legitim kan en hotskådespelare använda sådana åtgärder för att kompromettera fler resurser i din miljö. Detta kan tyda på att tjänstens huvudnamn är komprometterat och används med skadlig avsikt. | Sidorörelse | Medium |
| FÖRHANDSVERSION – Misstänkt anrop av en högriskåtgärd för "beständighet" av ett tjänstens huvudnamn har identifierats (ARM_AnomalousServiceOperation.Persistence) |
Microsoft Defender för Resource Manager identifierade ett misstänkt anrop av en högriskåtgärd i din prenumeration som kan tyda på ett försök att fastställa beständighet. De identifierade åtgärderna är utformade för att administratörer effektivt ska kunna hantera sina miljöer. Även om den här aktiviteten kan vara legitim kan en hotaktör använda sådana åtgärder för att etablera beständighet i din miljö. Detta kan tyda på att tjänstens huvudnamn är komprometterat och används med skadlig avsikt. | Bevarande | Medium |
| FÖRHANDSVERSION – Misstänkt anrop av en högriskåtgärd för "Privilege Escalation" av ett tjänstens huvudnamn har identifierats (ARM_AnomalousServiceOperation.PrivilegeEscalation) |
Microsoft Defender för Resource Manager identifierade ett misstänkt anrop av en högriskåtgärd i din prenumeration som kan tyda på ett försök att eskalera privilegier. De identifierade åtgärderna är utformade för att administratörer effektivt ska kunna hantera sina miljöer. Även om den här aktiviteten kan vara legitim kan en hotskådespelare använda sådana åtgärder för att eskalera privilegier samtidigt som resurserna i din miljö äventyras. Detta kan tyda på att tjänstens huvudnamn är komprometterat och används med skadlig avsikt. | Eskalering av privilegier | Medium |
| FÖRHANDSVERSION – Misstänkt hanteringssession med ett inaktivt konto har identifierats (ARM_UnusedAccountPersistence) |
Analys av prenumerationsaktivitetsloggar har identifierat misstänkt beteende. Ett huvudnamn som inte används under en längre tid utför nu åtgärder som kan skydda beständighet för en angripare. | Bevarande | Medium |
| FÖRHANDSVERSION – Misstänkt hanteringssession med PowerShell har identifierats (ARM_UnusedAppPowershellPersistence) |
Analys av prenumerationsaktivitetsloggar har identifierat misstänkt beteende. Ett huvudnamn som inte regelbundet använder PowerShell för att hantera prenumerationsmiljön använder nu PowerShell och utför åtgärder som kan skydda beständighet för en angripare. | Bevarande | Medium |
| FÖRHANDSVERSION – Misstänkt hanteringssession med Azure-portalen har identifierats (ARM_UnusedAppIbizaPersistence) |
Analys av dina prenumerationsaktivitetsloggar har identifierat ett misstänkt beteende. Ett huvudnamn som inte regelbundet använder Azure-portalen (Ibiza) för att hantera prenumerationsmiljön (har inte använt Azure-portalen för att hantera under de senaste 45 dagarna eller en prenumeration som den aktivt hanterar) använder nu Azure-portalen och utför åtgärder som kan skydda beständighet för en angripare. | Bevarande | Medium |
| Privilegierad anpassad roll som skapats för din prenumeration på ett misstänkt sätt (förhandsversion) (ARM_PrivilegedRoleDefinitionCreation) |
Microsoft Defender för Resource Manager har identifierat en misstänkt skapande av privilegierad anpassad rolldefinition i din prenumeration. Den här åtgärden kan ha utförts av en legitim användare i din organisation. Alternativt kan det tyda på att ett konto i din organisation har brutits och att hotskådespelaren försöker skapa en privilegierad roll som ska användas i framtiden för att undvika identifiering. | Privilege Escalation, Defense Evasion | Lägst |
| Misstänkt Azure-rolltilldelning har identifierats (förhandsversion) (ARM_AnomalousRBACRoleAssignment) |
Microsoft Defender för Resource Manager identifierade en misstänkt Azure-rolltilldelning/utfördes med PIM (Privileged Identity Management) i din klientorganisation, vilket kan tyda på att ett konto i din organisation har komprometterats. De identifierade åtgärderna är utformade för att tillåta administratörer att bevilja huvudnamn åtkomst till Azure-resurser. Även om den här aktiviteten kan vara legitim kan en hotskådespelare använda rolltilldelning för att eskalera sina behörigheter så att de kan gå vidare med sina attacker. | Lateral rörelse, försvarsundandragande | Låg (PIM)/Hög |
| Misstänkt anrop av en högriskåtgärd för åtkomst till autentiseringsuppgifter har identifierats (förhandsversion) (ARM_AnomalousOperation.CredentialAccess) |
Microsoft Defender för Resource Manager identifierade ett misstänkt anrop av en högriskåtgärd i din prenumeration som kan tyda på ett försök att komma åt autentiseringsuppgifter. De identifierade åtgärderna är utformade för att administratörer effektivt ska kunna komma åt sina miljöer. Även om den här aktiviteten kan vara legitim kan en hotskådespelare använda sådana åtgärder för att få åtkomst till begränsade autentiseringsuppgifter och kompromettera resurser i din miljö. Detta kan tyda på att kontot har komprometterats och används med skadlig avsikt. | Åtkomst till autentiseringsuppgifter | Medium |
| Misstänkt anrop av en högriskåtgärd för datainsamling har identifierats (förhandsversion) (ARM_AnomalousOperation.Collection) |
Microsoft Defender för Resource Manager identifierade ett misstänkt anrop av en högriskåtgärd i din prenumeration som kan tyda på ett försök att samla in data. De identifierade åtgärderna är utformade för att administratörer effektivt ska kunna hantera sina miljöer. Även om den här aktiviteten kan vara legitim kan en hotakterare använda sådana åtgärder för att samla in känsliga data om resurser i din miljö. Detta kan tyda på att kontot har komprometterats och används med skadlig avsikt. | Samling | Medium |
| Misstänkt anrop av en högriskåtgärd för "försvarsundandragande" har identifierats (förhandsversion) (ARM_AnomalousOperation.DefenseEvasion) |
Microsoft Defender för Resource Manager identifierade ett misstänkt anrop av en högriskåtgärd i din prenumeration som kan tyda på ett försök att undvika skydd. De identifierade åtgärderna är utformade för att administratörer effektivt ska kunna hantera säkerhetsstatusen i sina miljöer. Även om den här aktiviteten kan vara legitim kan en hotskådespelare använda sådana åtgärder för att undvika att identifieras samtidigt som resurser i din miljö komprometteras. Detta kan tyda på att kontot har komprometterats och används med skadlig avsikt. | Försvarsundandragande | Medium |
| Misstänkt anrop av en högriskåtgärd för körning har identifierats (förhandsversion) (ARM_AnomalousOperation.Execution) |
Microsoft Defender för Resource Manager identifierade ett misstänkt anrop av en högriskåtgärd på en dator i din prenumeration som kan tyda på ett försök att köra kod. De identifierade åtgärderna är utformade för att administratörer effektivt ska kunna hantera sina miljöer. Även om den här aktiviteten kan vara legitim kan en hotskådespelare använda sådana åtgärder för att få åtkomst till begränsade autentiseringsuppgifter och kompromettera resurser i din miljö. Detta kan tyda på att kontot har komprometterats och används med skadlig avsikt. | Körnings- | Medium |
| Misstänkt anrop av en högriskåtgärd för påverkan har identifierats (förhandsversion) (ARM_AnomalousOperation.Impact) |
Microsoft Defender för Resource Manager identifierade ett misstänkt anrop av en högriskåtgärd i din prenumeration som kan tyda på ett försök till konfigurationsändring. De identifierade åtgärderna är utformade för att administratörer effektivt ska kunna hantera sina miljöer. Även om den här aktiviteten kan vara legitim kan en hotskådespelare använda sådana åtgärder för att få åtkomst till begränsade autentiseringsuppgifter och kompromettera resurser i din miljö. Detta kan tyda på att kontot har komprometterats och används med skadlig avsikt. | Påverkan | Medium |
| Misstänkt anrop av en högriskåtgärd för "initial åtkomst" har identifierats (förhandsversion) (ARM_AnomalousOperation.InitialAccess) |
Microsoft Defender för Resource Manager identifierade ett misstänkt anrop av en högriskåtgärd i din prenumeration som kan tyda på ett försök att komma åt begränsade resurser. De identifierade åtgärderna är utformade för att administratörer effektivt ska kunna komma åt sina miljöer. Även om den här aktiviteten kan vara legitim kan en hotakterare använda sådana åtgärder för att få inledande åtkomst till begränsade resurser i din miljö. Detta kan tyda på att kontot har komprometterats och används med skadlig avsikt. | Inledande åtkomst | Medium |
| Misstänkt anrop av en högriskåtgärd för lateral förflyttning har identifierats (förhandsversion) (ARM_AnomalousOperation.LateralMovement) |
Microsoft Defender för Resource Manager identifierade ett misstänkt anrop av en högriskåtgärd i din prenumeration som kan tyda på ett försök att utföra lateral förflyttning. De identifierade åtgärderna är utformade för att administratörer effektivt ska kunna hantera sina miljöer. Även om den här aktiviteten kan vara legitim kan en hotskådespelare använda sådana åtgärder för att kompromettera fler resurser i din miljö. Detta kan tyda på att kontot har komprometterats och används med skadlig avsikt. | Sidorörelser | Medium |
| Misstänkt utökade åtkomståtgärder (förhandsversion)(ARM_AnomalousElevateAccess) | Microsoft Defender för Resource Manager identifierade en misstänkt åtgärd för att höja åtkomsten. Aktiviteten anses misstänkt eftersom det här huvudkontot sällan anropar sådana åtgärder. Även om den här aktiviteten kan vara legitim kan en hotskådespelare använda en åtgärd för att öka åtkomsten för att utföra behörighetseskalering för en komprometterad användare. | Privilegieeskalering | Medium |
| Misstänkt anrop av en högriskåtgärd för beständighet har identifierats (förhandsversion) (ARM_AnomalousOperation.Persistence) |
Microsoft Defender för Resource Manager identifierade ett misstänkt anrop av en högriskåtgärd i din prenumeration som kan tyda på ett försök att fastställa beständighet. De identifierade åtgärderna är utformade för att administratörer effektivt ska kunna hantera sina miljöer. Även om den här aktiviteten kan vara legitim kan en hotaktör använda sådana åtgärder för att etablera beständighet i din miljö. Detta kan tyda på att kontot har komprometterats och används med skadlig avsikt. | Bevarande | Medium |
| Misstänkt anrop av en högriskåtgärd för "Privilege Escalation" har identifierats (förhandsversion) (ARM_AnomalousOperation.PrivilegeEscalation) |
Microsoft Defender för Resource Manager identifierade ett misstänkt anrop av en högriskåtgärd i din prenumeration som kan tyda på ett försök att eskalera privilegier. De identifierade åtgärderna är utformade för att administratörer effektivt ska kunna hantera sina miljöer. Även om den här aktiviteten kan vara legitim kan en hotskådespelare använda sådana åtgärder för att eskalera privilegier samtidigt som resurserna i din miljö äventyras. Detta kan tyda på att kontot har komprometterats och används med skadlig avsikt. | Privilegieeskalering | Medium |
| Användning av Verktyg för microBurst-exploatering för att köra en godtycklig kod eller exfiltera autentiseringsuppgifter för Azure Automation-kontot (ARM_MicroBurst.RunCodeOnBehalf) |
Ett PowerShell-skript kördes i din prenumeration och utförde ett misstänkt mönster för att köra en godtycklig kod eller exfiltera autentiseringsuppgifter för Azure Automation-kontot. Hotaktörer använder automatiserade skript, till exempel MicroBurst, för att köra godtycklig kod för skadliga aktiviteter. Detta upptäcktes genom att analysera Azure Resource Manager-åtgärder i din prenumeration. Den här åtgärden kan tyda på att en identitet i organisationen har brutits och att hotskådespelaren försöker kompromettera din miljö för skadliga avsikter. | Beständighet, åtkomst till autentiseringsuppgifter | Högst |
| Användning av NetSPI-tekniker för att upprätthålla beständighet i din Azure-miljö (ARM_NetSPI.MaintainPersistence) |
Användning av NetSPI-beständighetsteknik för att skapa en webhook-bakdörr och upprätthålla beständighet i din Azure-miljö. Detta upptäcktes genom att analysera Azure Resource Manager-åtgärder i din prenumeration. | - | Högst |
| Användning av PowerZure-verktyg för exploatering för att köra en godtycklig kod eller exfiltera autentiseringsuppgifter för Azure Automation-kontot (ARM_PowerZure.RunCodeOnBehalf) |
PowerZure-exploateringsverktyg identifierade försök att köra kod eller exfiltra autentiseringsuppgifter för Azure Automation-kontot. Detta upptäcktes genom att analysera Azure Resource Manager-åtgärder i din prenumeration. | - | Högst |
| Användning av PowerZure-funktionen för att upprätthålla beständighet i din Azure-miljö (ARM_PowerZure.MaintainPersistence) |
PowerZure-exploateringsverktyg upptäckte att du skapade en webhook-bakdörr för att upprätthålla beständighet i din Azure-miljö. Detta upptäcktes genom att analysera Azure Resource Manager-åtgärder i din prenumeration. | - | Högst |
| Misstänkt klassisk rolltilldelning identifierad (förhandsversion) (ARM_AnomalousClassicRoleAssignment) |
Microsoft Defender för Resource Manager identifierade en misstänkt klassisk rolltilldelning i din klientorganisation som kan tyda på att ett konto i din organisation har komprometterats. De identifierade åtgärderna är utformade för att ge bakåtkompatibilitet med klassiska roller som inte längre används ofta. Även om den här aktiviteten kan vara legitim kan en hotskådespelare använda en sådan tilldelning för att bevilja behörigheter till ett annat användarkonto under deras kontroll. | Lateral rörelse, försvarsundandragande | Högst |
Aviseringar för Azure Storage
Mer information och anteckningar
| Avisering (aviseringstyp) | beskrivning | MITRE-taktik (Läs mer) |
Allvarlighet |
|---|---|---|---|
| Åtkomst från ett misstänkt program (Storage.Blob_SuspiciousApp) |
Anger att ett misstänkt program har åtkomst till en container för ett lagringskonto med autentisering. Detta kan tyda på att en angripare har fått de autentiseringsuppgifter som krävs för att komma åt kontot och utnyttjar det. Detta kan också vara en indikation på ett intrångstest som utförs i din organisation. Gäller för: Azure Blob Storage, Azure Data Lake Storage Gen2 |
Inledande åtkomst | Hög/medelhög |
| Åtkomst från en misstänkt IP-adress (Storage.Blob_SuspiciousIp Storage.Files_SuspiciousIp) |
Anger att det här lagringskontot har använts från en IP-adress som anses misstänkt. Den här aviseringen drivs av Microsoft Threat Intelligence. Läs mer om Microsofts funktioner för hotinformation. Gäller för: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2 |
Före attack | Hög/medel/låg |
| Nätfiskeinnehåll som finns på ett lagringskonto (Storage.Blob_PhishingContent Storage.Files_PhishingContent) |
En URL som används i en nätfiskeattack pekar på ditt Azure Storage-konto. Den här URL:en var en del av en nätfiskeattack som påverkade användare av Microsoft 365. Vanligtvis är innehåll som finns på sådana sidor utformat för att lura besökare att ange sina företagsautentiseringsuppgifter eller ekonomisk information i ett webbformulär som ser legitimt ut. Den här aviseringen drivs av Microsoft Threat Intelligence. Läs mer om Microsofts funktioner för hotinformation. Gäller för: Azure Blob Storage, Azure Files |
Samling | Högst |
| Lagringskonto identifieras som källa för distribution av skadlig kod (Storage.Files_WidespreadeAm) |
Aviseringar mot skadlig kod indikerar att en eller flera infekterade filer lagras i en Azure-filresurs som är monterad på flera virtuella datorer. Om angripare får åtkomst till en virtuell dator med en monterad Azure-filresurs kan de använda den för att sprida skadlig kod till andra virtuella datorer som monterar samma resurs. Gäller för: Azure Files |
Körnings- | Medium |
| Åtkomstnivån för en potentiellt känslig lagringsblobcontainer ändrades för att tillåta oautentiserad offentlig åtkomst (Storage.Blob_OpenACL) |
Aviseringen anger att någon har ändrat åtkomstnivån för en blobcontainer i lagringskontot, som kan innehålla känsliga data, till containernivån för att tillåta oautentiserad (anonym) offentlig åtkomst. Ändringen gjordes via Azure-portalen. Baserat på statistisk analys flaggas blobcontainern som möjligen innehåller känsliga data. Den här analysen tyder på att blobcontainrar eller lagringskonton med liknande namn vanligtvis inte exponeras för offentlig åtkomst. Gäller för: Azure Blob-lagringskonton (standard för generell användning v2, Azure Data Lake Storage Gen2 eller Premium Block Blobs). |
Samling | Medium |
| Autentiserad åtkomst från en tor-slutnod (Storage.Blob_TorAnomaly Storage.Files_TorAnomaly) |
En eller flera lagringscontainrar/filresurser i ditt lagringskonto har använts från en IP-adress som är känd för att vara en aktiv slutnod i Tor (en anonymiseringsproxy). Hotaktörer använder Tor för att göra det svårt att spåra aktiviteten tillbaka till dem. Autentiserad åtkomst från en tor-utgångsnod är en sannolik indikation på att en hotskådespelare försöker dölja sin identitet. Gäller för: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2 |
Inledande åtkomst/förattack | Hög/medelhög |
| Åtkomst från en ovanlig plats till ett lagringskonto (Storage.Blob_GeoAnomaly Storage.Files_GeoAnomaly) |
Anger att åtkomstmönstret har ändrats till ett Azure Storage-konto. Någon har använt det här kontot från en IP-adress som anses vara obekant jämfört med den senaste aktiviteten. Antingen har en angripare fått åtkomst till kontot eller så har en legitim användare anslutit från en ny eller ovanlig geografisk plats. Ett exempel på det senare är fjärrunderhåll från ett nytt program eller en ny utvecklare. Gäller för: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2 |
Inledande åtkomst | Hög/medel/låg |
| Ovanlig oautentiserad åtkomst till en lagringscontainer (Storage.Blob_AnonymousAccessAnomaly) |
Det här lagringskontot användes utan autentisering, vilket är en ändring i det gemensamma åtkomstmönstret. Läsbehörighet till den här containern autentiseras vanligtvis. Detta kan tyda på att en hotskådespelare kunde utnyttja offentlig läsåtkomst till lagringscontainrar i det här lagringskontot. Gäller för: Azure Blob Storage |
Inledande åtkomst | Hög/låg |
| Potentiell skadlig kod som laddats upp till ett lagringskonto (Storage.Blob_MalwareHashReputation Storage.Files_MalwareHashReputation) |
Anger att en blob som innehåller potentiell skadlig kod har laddats upp till en blobcontainer eller en filresurs i ett lagringskonto. Den här varningen baseras på hash-ryktesanalys som utnyttjar kraften i Microsofts hotinformation, som innehåller hashvärden för virus, trojaner, spionprogram och utpressningstrojaner. Potentiella orsaker kan vara en avsiktlig uppladdning av skadlig kod av en angripare eller en oavsiktlig uppladdning av en potentiellt skadlig blob av en legitim användare. Gäller för: Azure Blob Storage, Azure Files (endast för transaktioner via REST API) Läs mer om Microsofts funktioner för hotinformation. |
Sidorörelser | Högst |
| Offentligt tillgängliga lagringscontainrar har identifierats (Storage.Blob_OpenContainersScanning.SuccessfulDiscovery) |
En lyckad identifiering av offentligt öppna lagringscontainrar i ditt lagringskonto utfördes under den senaste timmen av ett genomsökningsskript eller verktyg. Detta indikerar vanligtvis en rekognoseringsattack, där hotskådespelaren försöker lista blobar genom att gissa containernamn, i hopp om att hitta felkonfigurerade öppna lagringscontainrar med känsliga data i dem. Hotskådespelaren kan använda sitt eget skript eller använda kända genomsökningsverktyg som Microburst för att söka efter offentligt öppna containrar. ✔ Azure Blob Storage ✖ Azure Files ✖ Azure Data Lake Storage Gen2 |
Samling | Hög/medelhög |
| Offentligt tillgängliga lagringscontainrar genomsöks utan framgång (Storage.Blob_OpenContainersScanning.FailedAttempt) |
En serie misslyckade försök att söka efter offentligt öppna lagringscontainrar utfördes under den senaste timmen. Detta indikerar vanligtvis en rekognoseringsattack, där hotskådespelaren försöker lista blobar genom att gissa containernamn, i hopp om att hitta felkonfigurerade öppna lagringscontainrar med känsliga data i dem. Hotskådespelaren kan använda sitt eget skript eller använda kända genomsökningsverktyg som Microburst för att söka efter offentligt öppna containrar. ✔ Azure Blob Storage ✖ Azure Files ✖ Azure Data Lake Storage Gen2 |
Samling | Hög/låg |
| Ovanlig åtkomstkontroll i ett lagringskonto (Storage.Blob_AccessInspectionAnomaly Storage.Files_AccessInspectionAnomaly) |
Anger att åtkomstbehörigheterna för ett lagringskonto har inspekterats på ett ovanligt sätt jämfört med den senaste aktiviteten för det här kontot. En möjlig orsak är att en angripare har utfört rekognosering för en framtida attack. Gäller för: Azure Blob Storage, Azure Files |
Identifiering | Hög/medelhög |
| Ovanlig mängd data som extraheras från ett lagringskonto (Storage.Blob_DataExfiltration.AmountOfDataAnomaly Storage.Blob_DataExfiltration.NumberOfBlobsAnomaly Storage.Files_DataExfiltration.AmountOfDataAnomaly Storage.Files_DataExfiltration.NumberOfFilesAnomaly) |
Anger att en ovanligt stor mängd data har extraherats jämfört med den senaste aktiviteten i den här lagringscontainern. En potentiell orsak är att en angripare har extraherat en stor mängd data från en container som innehåller bloblagring. Gäller för: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2 |
Exfiltrering | Hög/låg |
| Ovanligt program som används för ett lagringskonto (Storage.Blob_ApplicationAnomaly Storage.Files_ApplicationAnomaly) |
Anger att ett ovanligt program har använt det här lagringskontot. En möjlig orsak är att en angripare har åtkomst till ditt lagringskonto med hjälp av ett nytt program. Gäller för: Azure Blob Storage, Azure Files |
Körnings- | Hög/medelhög |
| Ovanlig datautforskning i ett lagringskonto (Storage.Blob_DataExplorationAnomaly Storage.Files_DataExplorationAnomaly) |
Anger att blobar eller containrar i ett lagringskonto har uppräknats på ett onormalt sätt jämfört med den senaste aktiviteten för det här kontot. En möjlig orsak är att en angripare har utfört rekognosering för en framtida attack. Gäller för: Azure Blob Storage, Azure Files |
Körnings- | Hög/medelhög |
| Ovanlig borttagning i ett lagringskonto (Storage.Blob_DeletionAnomaly Storage.Files_DeletionAnomaly) |
Anger att en eller flera oväntade borttagningsåtgärder har inträffat i ett lagringskonto jämfört med den senaste aktiviteten för det här kontot. En möjlig orsak är att en angripare har tagit bort data från ditt lagringskonto. Gäller för: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2 |
Exfiltrering | Hög/medelhög |
| Ovanlig oautentiserad offentlig åtkomst till en känslig blobcontainer (förhandsversion) Storage.Blob_AnonymousAccessAnomaly.Sensitive |
Aviseringen anger att någon har använt en blobcontainer med känsliga data i lagringskontot utan autentisering med hjälp av en extern (offentlig) IP-adress. Den här åtkomsten är misstänkt eftersom blobcontainern är öppen för offentlig åtkomst och vanligtvis endast används med autentisering från interna nätverk (privata IP-adresser). Den här åtkomsten kan tyda på att blobcontainerns åtkomstnivå är felkonfigurerad och att en illasinnad aktör kan ha utnyttjat den offentliga åtkomsten. Säkerhetsaviseringen innehåller den identifierade kontexten för känslig information (genomsökningstid, klassificeringsetikett, informationstyper och filtyper). Läs mer om identifiering av känsligt datahot. Gäller för: Lagringskonton för Azure Blob (Standard general-purpose v2, Azure Data Lake Storage Gen2 eller Premium Block Blobs) med den nya Defender for Storage-planen med funktionen för identifiering av hot mot datakänslighet aktiverad. |
Inledande åtkomst | Högst |
| Ovanlig mängd data som extraheras från en känslig blobcontainer (förhandsversion) Storage.Blob_DataExfiltration.AmountOfDataAnomaly.Sensitive |
Aviseringen anger att någon har extraherat ett ovanligt stort antal blobar från en blobcontainer med känsliga data i lagringskontot. Gäller för: Lagringskonton för Azure Blob (Standard general-purpose v2, Azure Data Lake Storage Gen2 eller Premium Block Blobs) med den nya Defender for Storage-planen med funktionen för identifiering av hot mot datakänslighet aktiverad. |
Exfiltrering | Medium |
| Ovanligt antal blobar som extraherats från en känslig blobcontainer (förhandsversion) Storage.Blob_DataExfiltration.NumberOfBlobsAnomaly.Sensitive |
Aviseringen anger att någon har extraherat en ovanligt stor mängd data från en blobcontainer med känsliga data i lagringskontot. Gäller för: Lagringskonton för Azure Blob (Standard general-purpose v2, Azure Data Lake Storage Gen2 eller Premium Block Blobs) med den nya Defender for Storage-planen med funktionen för identifiering av hot mot datakänslighet aktiverad. |
Exfiltrering | |
| Åtkomst från ett känt misstänkt program till en känslig blobcontainer (förhandsversion) Storage.Blob_SuspiciousApp.Sensitive |
Aviseringen anger att någon med ett känt misstänkt program har åtkomst till en blobcontainer med känsliga data i lagringskontot och utfört autentiserade åtgärder. Åtkomsten kan tyda på att en hotskådespelare har fått autentiseringsuppgifter för att komma åt lagringskontot med hjälp av ett känt misstänkt program. Åtkomsten kan dock också tyda på ett intrångstest som utförs i organisationen. Gäller för: Lagringskonton för Azure Blob (Standard general-purpose v2, Azure Data Lake Storage Gen2 eller Premium Block Blobs) med den nya Defender for Storage-planen med funktionen för identifiering av hot mot datakänslighet aktiverad. |
Inledande åtkomst | Högst |
| Åtkomst från en känd misstänkt IP-adress till en känslig blobcontainer (förhandsversion) Storage.Blob_SuspiciousIp.Sensitive |
Aviseringen anger att någon har använt en blobcontainer med känsliga data i lagringskontot från en känd misstänkt IP-adress som är associerad med hotinformation från Microsoft Threat Intelligence. Eftersom åtkomsten autentiserades är det möjligt att autentiseringsuppgifterna som tillåter åtkomst till det här lagringskontot komprometterades. Läs mer om Microsofts funktioner för hotinformation. Gäller för: Lagringskonton för Azure Blob (Standard general-purpose v2, Azure Data Lake Storage Gen2 eller Premium Block Blobs) med den nya Defender for Storage-planen med funktionen för identifiering av hot mot datakänslighet aktiverad. |
Före attack | Högst |
| Åtkomst från en tor-slutnod till en känslig blobcontainer (förhandsversion) Storage.Blob_TorAnomaly.Sensitive |
Aviseringen anger att någon med en IP-adress som är känd för att vara en Tor-slutnod har åtkomst till en blobcontainer med känsliga data i lagringskontot med autentiserad åtkomst. Autentiserad åtkomst från en Tor-avslutningsnod indikerar starkt att aktören försöker vara anonym för eventuell skadlig avsikt. Eftersom åtkomsten autentiserades är det möjligt att autentiseringsuppgifterna som tillåter åtkomst till det här lagringskontot komprometterades. Gäller för: Lagringskonton för Azure Blob (Standard general-purpose v2, Azure Data Lake Storage Gen2 eller Premium Block Blobs) med den nya Defender for Storage-planen med funktionen för identifiering av hot mot datakänslighet aktiverad. |
Före attack | Högst |
| Åtkomst från en ovanlig plats till en känslig blobcontainer (förhandsversion) Storage.Blob_GeoAnomaly.Sensitive |
Aviseringen anger att någon har använt blobcontainer med känsliga data i lagringskontot med autentisering från en ovanlig plats. Eftersom åtkomsten autentiserades är det möjligt att autentiseringsuppgifterna som tillåter åtkomst till det här lagringskontot komprometterades. Gäller för: Lagringskonton för Azure Blob (Standard general-purpose v2, Azure Data Lake Storage Gen2 eller Premium Block Blobs) med den nya Defender for Storage-planen med funktionen för identifiering av hot mot datakänslighet aktiverad. |
Inledande åtkomst | Medium |
| Åtkomstnivån för en känslig lagringsblobcontainer ändrades för att tillåta oautentiserad offentlig åtkomst (förhandsversion) Storage.Blob_OpenACL.Sensitive |
Aviseringen anger att någon har ändrat åtkomstnivån för en blobcontainer i lagringskontot, som innehåller känsliga data, till containernivån, vilket tillåter oautentiserad (anonym) offentlig åtkomst. Ändringen gjordes via Azure-portalen. Ändringen av åtkomstnivå kan äventyra säkerheten för data. Vi rekommenderar att du vidtar omedelbara åtgärder för att skydda data och förhindra obehörig åtkomst om aviseringen utlöses. Gäller för: Lagringskonton för Azure Blob (Standard general-purpose v2, Azure Data Lake Storage Gen2 eller Premium Block Blobs) med den nya Defender for Storage-planen med funktionen för identifiering av hot mot datakänslighet aktiverad. |
Samling | Högst |
| Misstänkt extern åtkomst till ett Azure Storage-konto med alltför tillåtande SAS-token (förhandsversion) Storage.Blob_AccountSas.InternalSasUsedExternally |
Aviseringen anger att någon med en extern (offentlig) IP-adress har åtkomst till lagringskontot med hjälp av en alltför tillåtande SAS-token med ett långt utgångsdatum. Den här typen av åtkomst anses misstänkt eftersom SAS-token vanligtvis endast används i interna nätverk (från privata IP-adresser). Aktiviteten kan tyda på att en SAS-token har läckts av en skadlig aktör eller läckt oavsiktligt från en legitim källa. Även om åtkomsten är legitim strider användningen av en SAS-token med hög behörighet med ett långt utgångsdatum mot bästa praxis för säkerhet och utgör en potentiell säkerhetsrisk. Gäller för: Azure Blob-lagringskonton (standard för generell användning v2, Azure Data Lake Storage Gen2 eller Premium Block Blobs) med den nya Defender for Storage-planen. |
Exfiltrering/resursutveckling/påverkan | Medium |
| Misstänkt extern åtgärd till ett Azure Storage-konto med alltför tillåtande SAS-token (förhandsversion) Storage.Blob_AccountSas.UnusualOperationFromExternalIp |
Aviseringen anger att någon med en extern (offentlig) IP-adress har åtkomst till lagringskontot med hjälp av en alltför tillåtande SAS-token med ett långt utgångsdatum. Åtkomsten anses misstänkt eftersom åtgärder som anropas utanför nätverket (inte från privata IP-adresser) med den här SAS-token vanligtvis används för en specifik uppsättning läs-/skriv-/borttagningsåtgärder, men andra åtgärder har inträffat, vilket gör den här åtkomsten misstänkt. Den här aktiviteten kan tyda på att en SAS-token har läckts av en skadlig aktör eller läckt oavsiktligt från en legitim källa. Även om åtkomsten är legitim strider användningen av en SAS-token med hög behörighet med ett långt utgångsdatum mot bästa praxis för säkerhet och utgör en potentiell säkerhetsrisk. Gäller för: Azure Blob-lagringskonton (standard för generell användning v2, Azure Data Lake Storage Gen2 eller Premium Block Blobs) med den nya Defender for Storage-planen. |
Exfiltrering/resursutveckling/påverkan | Medium |
| Ovanlig SAS-token användes för att komma åt ett Azure Storage-konto från en offentlig IP-adress (förhandsversion) Storage.Blob_AccountSas.UnusualExternalAccess |
Aviseringen anger att någon med en extern (offentlig) IP-adress har åtkomst till lagringskontot med hjälp av en SAS-kontotoken. Åtkomsten är mycket ovanlig och anses misstänkt, eftersom åtkomsten till lagringskontot med SAS-token vanligtvis endast kommer från interna (privata) IP-adresser. Det är möjligt att en SAS-token läckte ut eller genererades av en skadlig aktör antingen inifrån din organisation eller externt för att få åtkomst till det här lagringskontot. Gäller för: Azure Blob-lagringskonton (standard för generell användning v2, Azure Data Lake Storage Gen2 eller Premium Block Blobs) med den nya Defender for Storage-planen. |
Exfiltrering/resursutveckling/påverkan | Lägst |
| Skadlig fil som laddats upp till lagringskontot Storage.Blob_AM. MalwareFound |
Aviseringen anger att en skadlig blob överfördes till ett lagringskonto. Den här säkerhetsaviseringen genereras av funktionen Genomsökning av skadlig kod i Defender för lagring. Potentiella orsaker kan vara en avsiktlig uppladdning av skadlig kod av en hotskådespelare eller en oavsiktlig uppladdning av en skadlig fil av en legitim användare. Gäller för: Lagringskonton för Azure Blob (Standard general-purpose v2, Azure Data Lake Storage Gen2 eller Premium Block Blobs) med den nya Defender for Storage-planen med funktionen Genomsökning av skadlig kod aktiverad. |
LateralMovement | Högst |
Aviseringar för Azure Cosmos DB
Mer information och anteckningar
| Avisering (aviseringstyp) | beskrivning | MITRE-taktik (Läs mer) |
Allvarlighet |
|---|---|---|---|
| Åtkomst från en tor-slutnod (CosmosDB_TorAnomaly) |
Det här Azure Cosmos DB-kontot har använts från en IP-adress som är känd för att vara en aktiv slutnod för Tor, en anonymiseringsproxy. Autentiserad åtkomst från en tor-utgångsnod är en sannolik indikation på att en hotskådespelare försöker dölja sin identitet. | Inledande åtkomst | Hög/medelhög |
| Åtkomst från en misstänkt IP-adress (CosmosDB_SuspiciousIp) |
Det här Azure Cosmos DB-kontot har använts från en IP-adress som identifierades som ett hot av Microsoft Threat Intelligence. | Inledande åtkomst | Medium |
| Åtkomst från en ovanlig plats (CosmosDB_GeoAnomaly) |
Det här Azure Cosmos DB-kontot användes från en plats som anses vara obekant, baserat på det vanliga åtkomstmönstret. Antingen har en hotaktör fått åtkomst till kontot eller så har en legitim användare anslutit från en ny eller ovanlig geografisk plats |
Inledande åtkomst | Lägst |
| Ovanlig mängd data som extraherats (CosmosDB_DataExfiltrationAnomaly) |
En ovanligt stor mängd data har extraherats från det här Azure Cosmos DB-kontot. Detta kan tyda på att en hotskådespelare exfiltraterade data. | Exfiltrering | Medium |
| Extrahering av Azure Cosmos DB-kontonycklar via ett potentiellt skadligt skript (CosmosDB_SuspiciousListKeys.MaliciousScript) |
Ett PowerShell-skript kördes i din prenumeration och utförde ett misstänkt mönster med nyckellistningsåtgärder för att hämta nycklarna till Azure Cosmos DB-konton i din prenumeration. Hotaktörer använder automatiserade skript, till exempel Microburst, för att lista nycklar och hitta Azure Cosmos DB-konton som de kan komma åt. Den här åtgärden kan tyda på att en identitet i din organisation har brutits och att hotskådespelaren försöker kompromettera Azure Cosmos DB-konton i din miljö för skadliga avsikter. Alternativt kan en obehörig insider försöka komma åt känsliga data och utföra lateral förflyttning. |
Samling | Medium |
| Misstänkt extrahering av Azure Cosmos DB-kontonycklar (AzureCosmosDB_SuspiciousListKeys.SuspiciousPrincipal) | En misstänkt källa extraherade Åtkomstnycklar för Azure Cosmos DB-kontot från din prenumeration. Om den här källan inte är en legitim källa kan det vara ett problem med hög påverkan. Åtkomstnyckeln som extraherades ger fullständig kontroll över de associerade databaserna och de data som lagras i. Se information om varje specifik avisering för att förstå varför källan flaggades som misstänkt. | Åtkomst till autentiseringsuppgifter | Hög |
| SQL-inmatning: potentiell dataexfiltrering (CosmosDB_SqlInjection.DataExfiltration) |
En misstänkt SQL-instruktion användes för att fråga en container i det här Azure Cosmos DB-kontot. Den inmatade instruktionen kan ha lyckats exfiltratera data som hotskådespelaren inte har behörighet att komma åt. På grund av strukturen och funktionerna i Azure Cosmos DB-frågor kan många kända SQL-inmatningsattacker på Azure Cosmos DB-konton inte fungera. Den variant som används i den här attacken kan dock fungera och hotaktörer kan exfiltera data. |
Exfiltrering | Medium |
| SQL-inmatning: fuzzing-försök (CosmosDB_SqlInjection.FailedFuzzingAttempt) |
En misstänkt SQL-instruktion användes för att fråga en container i det här Azure Cosmos DB-kontot. Precis som andra välkända SQL-inmatningsattacker lyckas den här attacken inte äventyra Azure Cosmos DB-kontot. Det är dock en indikation på att en hotskådespelare försöker attackera resurserna i det här kontot och att ditt program kan komma att komprometteras. Vissa SQL-inmatningsattacker kan lyckas och användas för att exfiltera data. Det innebär att om angriparen fortsätter att utföra SQL-inmatningsförsök kan de kompromettera ditt Azure Cosmos DB-konto och exfiltera data. Du kan förhindra det här hotet med hjälp av parametriserade frågor. |
Före attack | Lägst |
Aviseringar för Azure-nätverkslager
Mer information och anteckningar
| Avisering (aviseringstyp) | beskrivning | MITRE-taktik (Läs mer) |
Allvarlighet |
|---|---|---|---|
| Nätverkskommunikation med en skadlig dator har identifierats (Network_CommunicationWithC2) |
Nätverkstrafikanalys anger att datorn (IP %{Victim IP}) har kommunicerat med vad som eventuellt är ett kommando- och kontrollcenter. När den komprometterade resursen är en lastbalanserare eller en programgateway kan den misstänkta aktiviteten indikera att en eller flera av resurserna i serverdelspoolen (av lastbalanseraren eller programgatewayen) har kommunicerat med vad som eventuellt är ett kommando- och kontrollcenter. | Kommando och kontroll | Medium |
| Möjlig komprometterad dator har identifierats (Network_ResourceIpIndicatedAsMalicious) |
Hotinformation indikerar att datorn (på IP %{Machine IP}) kan ha komprometterats av en skadlig kod av typen Conficker. Conficker var en datormask som riktar sig mot Microsoft Windows-operativsystemet och upptäcktes först i november 2008. Conficker smittade miljontals datorer inklusive myndigheter, företag och hemdatorer i över 200 länder/regioner, vilket gör det till den största kända datormaskinfektionen sedan Welchia-masken 2003. | Kommando och kontroll | Medium |
| Möjliga inkommande %{Service Name} brute force-försök har identifierats (Generic_Incoming_BF_OneToOne) |
Nätverkstrafikanalysen identifierade inkommande %{Tjänstnamn}-kommunikation till %{Offer IP}, associerad med resursen %{Komprometterad värd} från %{Angriparens IP}. När den komprometterade resursen är en lastbalanserare eller en programgateway har den misstänkta inkommande trafiken vidarebefordrats till en eller flera av resurserna i serverdelspoolen (av lastbalanseraren eller programgatewayen). Mer specifikt visar exempelnätverksdata misstänkt aktivitet mellan %{Starttid} och %{Sluttid} på port %{Offerport}. Den här aktiviteten är konsekvent med råstyrkeförsök mot %{Service Name}-servrar. | PreAttack | Medium |
| Möjliga inkommande SQL brute force-försök har identifierats (SQL_Incoming_BF_OneToOne) |
Nätverkstrafikanalysen identifierade inkommande SQL-kommunikation till %{Victim IP}, associerad med resursen %{Komprometterad värd}, från %{Angriparens IP}. När den komprometterade resursen är en lastbalanserare eller en programgateway har den misstänkta inkommande trafiken vidarebefordrats till en eller flera av resurserna i serverdelspoolen (av lastbalanseraren eller programgatewayen). Mer specifikt visar exempelnätverksdata misstänkt aktivitet mellan %{Starttid} och %{Sluttid} på port %{Portnummer} (%{SQL Service Type}). Den här aktiviteten är konsekvent med råstyrkeattacker mot SQL-servrar. | PreAttack | Medium |
| Möjliga utgående överbelastningsattacker har identifierats (DDOS) |
Nätverkstrafikanalysen identifierade avvikande utgående aktivitet från %{Komprometterad värd}, en resurs i distributionen. Den här aktiviteten kan tyda på att resursen har komprometterats och nu är inblandad i överbelastningsattacker mot externa slutpunkter. När den komprometterade resursen är en lastbalanserare eller en programgateway kan den misstänkta aktiviteten indikera att en eller flera av resurserna i serverdelspoolen (av lastbalanseraren eller programgatewayen) komprometterades. Baserat på mängden anslutningar tror vi att följande IP-adresser kan vara mål för DOS-attacken: %{Möjliga offer}. Observera att det är möjligt att kommunikationen till vissa av dessa IP-adresser är legitim. | Påverkan | Medium |
| Misstänkt inkommande RDP-nätverksaktivitet från flera källor (RDP_Incoming_BF_ManyToOne) |
Nätverkstrafikanalysen identifierade avvikande inkommande RDP-kommunikation (Remote Desktop Protocol) till %{Victim IP}, associerad med resursen %{Komprometterad värd}, från flera källor. När den komprometterade resursen är en lastbalanserare eller en programgateway har den misstänkta inkommande trafiken vidarebefordrats till en eller flera av resurserna i serverdelspoolen (av lastbalanseraren eller programgatewayen). Mer specifikt visar exempelnätverksdata %{Antal attackerande IP-adresser} unika IP-adresser som ansluter till resursen, vilket anses onormalt för den här miljön. Den här aktiviteten kan tyda på ett försök att råstyra RDP-slutpunkten från flera värdar (Botnet) | PreAttack | Medium |
| Misstänkt inkommande RDP-nätverksaktivitet (RDP_Incoming_BF_OneToOne) |
Nätverkstrafikanalysen identifierade avvikande inkommande RDP-kommunikation (Remote Desktop Protocol) till %{Victim IP}, associerad med resursen %{Komprometterad värd}, från %{Attacker IP}. När den komprometterade resursen är en lastbalanserare eller en programgateway har den misstänkta inkommande trafiken vidarebefordrats till en eller flera av resurserna i serverdelspoolen (av lastbalanseraren eller programgatewayen). Mer specifikt visar exempelnätverksdata %{Antal Anslut ions} inkommande anslutningar till resursen, vilket anses onormalt för den här miljön. Den här aktiviteten kan tyda på ett försök att råstyra RDP-slutpunkten | PreAttack | Medium |
| Misstänkt inkommande SSH-nätverksaktivitet från flera källor (SSH_Incoming_BF_ManyToOne) |
Nätverkstrafikanalysen identifierade avvikande inkommande SSH-kommunikation till %{Victim IP}, associerad med resursen %{Komprometterad värd}, från flera källor. När den komprometterade resursen är en lastbalanserare eller en programgateway har den misstänkta inkommande trafiken vidarebefordrats till en eller flera av resurserna i serverdelspoolen (av lastbalanseraren eller programgatewayen). Mer specifikt visar exempelnätverksdata %{Antal attackerande IP-adresser} unika IP-adresser som ansluter till resursen, vilket anses onormalt för den här miljön. Den här aktiviteten kan tyda på ett försök att råstyra SSH-slutpunkten från flera värdar (Botnet) | PreAttack | Medium |
| Misstänkt inkommande SSH-nätverksaktivitet (SSH_Incoming_BF_OneToOne) |
Nätverkstrafikanalysen identifierade avvikande inkommande SSH-kommunikation till %{Victim IP}, associerad med resursen %{Komprometterad värd}, från %{Attacker IP}. När den komprometterade resursen är en lastbalanserare eller en programgateway har den misstänkta inkommande trafiken vidarebefordrats till en eller flera av resurserna i serverdelspoolen (av lastbalanseraren eller programgatewayen). Mer specifikt visar exempelnätverksdata %{Antal Anslut ions} inkommande anslutningar till resursen, vilket anses onormalt för den här miljön. Den här aktiviteten kan tyda på ett försök att råstyra SSH-slutpunkten | PreAttack | Medium |
| Misstänkt utgående %{Attackerade protokoll} trafik har identifierats (PortScanning) |
Nätverkstrafikanalysen identifierade misstänkt utgående trafik från %{Komprometterad värd} till målporten %{Den vanligaste porten}. När den komprometterade resursen är en lastbalanserare eller en programgateway har den misstänkta utgående trafiken härstammar från till en eller flera av resurserna i serverdelspoolen (för lastbalanseraren eller programgatewayen). Det här beteendet kan tyda på att resursen deltar i %{Attacked Protocol} brute force-försök eller portgenomsökningsattacker. | Identifiering | Medium |
| Misstänkt utgående RDP-nätverksaktivitet till flera mål (RDP_Outgoing_BF_OneToMany) |
Nätverkstrafikanalys identifierade avvikande utgående RDP-kommunikation (Remote Desktop Protocol) till flera mål från %{Komprometterad värd} (%{Angripare IP}), en resurs i distributionen. När den komprometterade resursen är en lastbalanserare eller en programgateway har den misstänkta utgående trafiken härstammar från till en eller flera av resurserna i serverdelspoolen (för lastbalanseraren eller programgatewayen). Mer specifikt visar exempelnätverksdata att datorn ansluter till %{Antal angripna IP-adresser} unika IP-adresser, vilket anses vara onormalt för den här miljön. Den här aktiviteten kan tyda på att resursen har komprometterats och nu används för att råstyra externa RDP-slutpunkter. Observera att den här typen av aktivitet skulle kunna göra att din IP-adress flaggas som skadlig av externa enheter. | Identifiering | Högst |
| Misstänkt utgående RDP-nätverksaktivitet (RDP_Outgoing_BF_OneToOne) |
Nätverkstrafikanalysen identifierade avvikande utgående RDP-kommunikation (Remote Desktop Protocol) till %{Victim IP} från %{Compromised Host} (%{Attacker IP}), en resurs i distributionen. När den komprometterade resursen är en lastbalanserare eller en programgateway har den misstänkta utgående trafiken härstammar från till en eller flera av resurserna i serverdelspoolen (för lastbalanseraren eller programgatewayen). Mer specifikt visar exempelnätverksdata %{Antal Anslut ions} utgående anslutningar från resursen, vilket anses onormalt för den här miljön. Den här aktiviteten kan indikera att din dator har drabbats och nu används nu för råstyrkeattacker mot externa RDP-slutpunkter. Observera att den här typen av aktivitet skulle kunna göra att din IP-adress flaggas som skadlig av externa enheter. | Sidorörelser | Högst |
| Misstänkt utgående SSH-nätverksaktivitet till flera mål (SSH_Outgoing_BF_OneToMany) |
Nätverkstrafikanalysen identifierade avvikande utgående SSH-kommunikation till flera mål från %{Komprometterad värd} (%{Angripare IP}), en resurs i distributionen. När den komprometterade resursen är en lastbalanserare eller en programgateway har den misstänkta utgående trafiken härstammar från till en eller flera av resurserna i serverdelspoolen (för lastbalanseraren eller programgatewayen). Mer specifikt visar exempelnätverksdata att resursen ansluter till %{Antal angripna IP-adresser} unika IP-adresser, vilket anses vara onormalt för den här miljön. Den här aktiviteten kan tyda på att resursen har komprometterats och nu används för att råstyra externa SSH-slutpunkter. Observera att den här typen av aktivitet skulle kunna göra att din IP-adress flaggas som skadlig av externa enheter. | Identifiering | Medium |
| Misstänkt utgående SSH-nätverksaktivitet (SSH_Outgoing_BF_OneToOne) |
Nätverkstrafikanalysen identifierade avvikande utgående SSH-kommunikation till %{Victim IP} med ursprung från %{Komprometterad värd} (%{Angripare IP}), en resurs i distributionen. När den komprometterade resursen är en lastbalanserare eller en programgateway har den misstänkta utgående trafiken härstammar från till en eller flera av resurserna i serverdelspoolen (för lastbalanseraren eller programgatewayen). Mer specifikt visar exempelnätverksdata %{Antal Anslut ions} utgående anslutningar från resursen, vilket anses onormalt för den här miljön. Den här aktiviteten kan tyda på att resursen har komprometterats och nu används för att råstyra externa SSH-slutpunkter. Observera att den här typen av aktivitet skulle kunna göra att din IP-adress flaggas som skadlig av externa enheter. | Sidorörelser | Medium |
| Trafik identifierad från IP-adresser som rekommenderas för blockering | Microsoft Defender för molnet upptäckt inkommande trafik från IP-adresser som rekommenderas att blockeras. Detta inträffar vanligtvis när den här IP-adressen inte kommunicerar regelbundet med den här resursen. Alternativt har IP-adressen flaggats som skadlig av Defender för molnet hotinformationskällor. | Sondera | Lägst |
Aviseringar för Azure Key Vault
Mer information och anteckningar
| Avisering (aviseringstyp) | beskrivning | MITRE-taktik (Läs mer) |
Allvarlighet |
|---|---|---|---|
| Åtkomst från en misstänkt IP-adress till ett nyckelvalv (KV_SuspiciousIPAccess) |
Ett nyckelvalv har använts av en IP-adress som har identifierats av Microsoft Threat Intelligence som en misstänkt IP-adress. Detta kan tyda på att infrastrukturen har komprometterats. Vi rekommenderar ytterligare undersökning. Läs mer om Microsofts funktioner för hotinformation. | Åtkomst till autentiseringsuppgifter | Medium |
| Åtkomst från en TOR-slutnod till ett nyckelvalv (KV_TORAccess) |
Ett nyckelvalv har använts från en känd TOR-slutnod. Detta kan vara en indikation på att en hotskådespelare har åtkomst till nyckelvalvet och använder TOR-nätverket för att dölja sin källplats. Vi rekommenderar ytterligare undersökningar. | Åtkomst till autentiseringsuppgifter | Medium |
| Stora mängder åtgärder i ett nyckelvalv (KV_OperationVolumeAnomaly) |
Ett avvikande antal nyckelvalvsåtgärder utfördes av en användare, tjänstens huvudnamn och/eller ett specifikt nyckelvalv. Det här avvikande aktivitetsmönstret kan vara legitimt, men det kan vara en indikation på att en hotskådespelare har fått åtkomst till nyckelvalvet och hemligheterna i det. Vi rekommenderar ytterligare undersökningar. | Åtkomst till autentiseringsuppgifter | Medium |
| Misstänkt principändring och hemlig fråga i ett nyckelvalv (KV_PutGetAnomaly) |
En användare eller tjänstens huvudnamn har utfört en avvikande ändringsåtgärd för Valv put-princip följt av en eller flera secret get-åtgärder. Det här mönstret utförs normalt inte av den angivna användaren eller tjänstens huvudnamn. Det kan vara en legitim aktivitet, men det kan vara en indikation på att en hotskådespelare har uppdaterat nyckelvalvspolicyn för att få åtkomst till tidigare otillgängliga hemligheter. Vi rekommenderar ytterligare undersökningar. | Åtkomst till autentiseringsuppgifter | Medium |
| Misstänkt hemlig lista och fråga i ett nyckelvalv (KV_ListGetAnomaly) |
En användare eller tjänstens huvudnamn har utfört en avvikande hemlig lista-åtgärd följt av en eller flera Secret Get-åtgärder. Det här mönstret utförs normalt inte av den angivna användaren eller tjänstens huvudnamn och är vanligtvis associerat med hemlig dumpning. Detta kan vara en legitim aktivitet, men det kan vara en indikation på att en hotaktör har fått åtkomst till nyckelvalvet och försöker identifiera hemligheter som kan användas för att flytta i sidled genom nätverket och/eller få åtkomst till känsliga resurser. Vi rekommenderar ytterligare undersökningar. | Åtkomst till autentiseringsuppgifter | Medium |
| Ovanlig åtkomst nekad – Användare som har åtkomst till stora mängder nyckelvalv nekas (KV_AccountVolumeAccessDeniedAnomaly) |
En användare eller tjänstens huvudnamn har försökt komma åt avvikande stora mängder nyckelvalv under de senaste 24 timmarna. Det här avvikande åtkomstmönstret kan vara en legitim aktivitet. Även om det här försöket misslyckades kan det vara en indikation på ett möjligt försök att få åtkomst till nyckelvalvet och hemligheterna i det. Vi rekommenderar ytterligare undersökningar. | Identifiering | Lägst |
| Ovanlig åtkomst nekad – Ovanlig användare som har åtkomst till nyckelvalvet nekad (KV_UserAccessDeniedAnomaly) |
En nyckelvalvsåtkomst försöktes av en användare som normalt inte har åtkomst till den. Det här avvikande åtkomstmönstret kan vara en legitim aktivitet. Även om det här försöket misslyckades kan det vara en indikation på ett möjligt försök att få åtkomst till nyckelvalvet och hemligheterna i det. | Initial åtkomst, identifiering | Lägst |
| Ovanligt program som används i ett nyckelvalv (KV_AppAnomaly) |
Ett nyckelvalv har använts av ett huvudnamn för tjänsten som normalt inte har åtkomst till det. Det här avvikande åtkomstmönstret kan vara en legitim aktivitet, men det kan vara en indikation på att en hotskådespelare har fått åtkomst till nyckelvalvet i ett försök att komma åt hemligheterna i det. Vi rekommenderar ytterligare undersökningar. | Åtkomst till autentiseringsuppgifter | Medium |
| Ovanligt åtgärdsmönster i ett nyckelvalv (KV_OperationPatternAnomaly) |
Ett avvikande mönster för nyckelvalvsåtgärder utfördes av en användare, tjänstens huvudnamn och/eller ett specifikt nyckelvalv. Det här avvikande aktivitetsmönstret kan vara legitimt, men det kan vara en indikation på att en hotskådespelare har fått åtkomst till nyckelvalvet och hemligheterna i det. Vi rekommenderar ytterligare undersökningar. | Åtkomst till autentiseringsuppgifter | Medium |
| Ovanlig användare har använt ett nyckelvalv (KV_UserAnomaly) |
Ett nyckelvalv har använts av en användare som normalt inte har åtkomst till det. Det här avvikande åtkomstmönstret kan vara en legitim aktivitet, men det kan vara en indikation på att en hotskådespelare har fått åtkomst till nyckelvalvet i ett försök att komma åt hemligheterna i det. Vi rekommenderar ytterligare undersökningar. | Åtkomst till autentiseringsuppgifter | Medium |
| Ovanligt användarprogrampar har använt ett nyckelvalv (KV_UserAppAnomaly) |
Ett nyckelvalv har använts av ett huvudnamnpar för användartjänsten som normalt inte har åtkomst till det. Det här avvikande åtkomstmönstret kan vara en legitim aktivitet, men det kan vara en indikation på att en hotskådespelare har fått åtkomst till nyckelvalvet i ett försök att komma åt hemligheterna i det. Vi rekommenderar ytterligare undersökningar. | Åtkomst till autentiseringsuppgifter | Medium |
| Användaren har använt stora mängder nyckelvalv (KV_AccountVolumeAnomaly) |
En användare eller tjänstens huvudnamn har åtkomst till en avvikande stor mängd nyckelvalv. Det här avvikande åtkomstmönstret kan vara en legitim aktivitet, men det kan vara en indikation på att en hotskådespelare har fått åtkomst till flera nyckelvalv i ett försök att komma åt hemligheterna i dem. Vi rekommenderar ytterligare undersökningar. | Åtkomst till autentiseringsuppgifter | Medium |
| Nekad åtkomst från en misstänkt IP-adress till ett nyckelvalv (KV_SuspiciousIPAccessDenied) |
En misslyckad nyckelvalvsåtkomst har försökts av en IP-adress som har identifierats av Microsoft Threat Intelligence som en misstänkt IP-adress. Även om det här försöket misslyckades indikerar det att infrastrukturen kan ha komprometterats. Vi rekommenderar ytterligare undersökningar. | Åtkomst till autentiseringsuppgifter | Lägst |
| Ovanlig åtkomst till nyckelvalvet från en misstänkt IP-adress (icke-Microsoft eller extern) (KV_UnusualAccessSuspiciousIP) |
En användare eller tjänstens huvudnamn har försökt få avvikande åtkomst till nyckelvalv från en IP-adress som inte kommer från Microsoft under de senaste 24 timmarna. Det här avvikande åtkomstmönstret kan vara en legitim aktivitet. Det kan vara en indikation på ett möjligt försök att få åtkomst till nyckelvalvet och hemligheterna i det. Vi rekommenderar ytterligare undersökningar. | Åtkomst till autentiseringsuppgifter | Medium |
Aviseringar för Azure DDoS Protection
Mer information och anteckningar
| Varning | beskrivning | MITRE-taktik (Läs mer) |
Allvarlighet |
|---|---|---|---|
| DDoS-attack har identifierats för offentlig IP-adress (NETWORK_DDOS_DETECTED) |
DDoS-attack har identifierats för offentlig IP-adress (IP-adress) och har åtgärdats. | Sondera | Högst |
| DDoS-attack som har åtgärdats för offentlig IP-adress (NETWORK_DDOS_MITIGATED) |
DDoS-attack har åtgärdats för offentlig IP-adress (IP-adress). | Sondera | Lägst |
MITRE ATT&CK-taktik
Att förstå avsikten med en attack kan hjälpa dig att undersöka och rapportera händelsen enklare. För att hjälpa till med dessa ansträngningar inkluderar Microsoft Defender för molnet aviseringar MITRE-taktiken med många aviseringar.
Den serie steg som beskriver förloppet för en cyberattack från rekognosering till dataexfiltrering kallas ofta för en "kill chain".
Defender för molnet avsikter som stöds baseras på version 9 av MITRE ATT&CK-matrisen och beskrivs i tabellen nedan.
| Strategi | ATT&CK-version | beskrivning |
|---|---|---|
| PreAttack | PreAttack kan vara antingen ett försök att komma åt en viss resurs oavsett skadlig avsikt eller ett misslyckat försök att få åtkomst till ett målsystem för att samla in information före utnyttjandet. Det här steget identifieras vanligtvis som ett försök, som kommer från utanför nätverket, att genomsöka målsystemet och identifiera en startpunkt. | |
| Inledande åtkomst | V7, V9 | Inledande åtkomst är den fas där en angripare lyckas få fotfäste på den angripna resursen. Den här fasen är relevant för beräkningsvärdar och resurser som användarkonton, certifikat osv. Hotaktörer kommer ofta att kunna kontrollera resursen efter det här steget. |
| Uthållighet | V7, V9 | Beständighet är alla åtkomst-, åtgärds- eller konfigurationsändringar till ett system som ger en hotskådespelare en beständig närvaro i systemet. Hotaktörer behöver ofta upprätthålla åtkomsten till system genom avbrott, till exempel omstarter av systemet, förlust av autentiseringsuppgifter eller andra fel som skulle kräva att ett fjärråtkomstverktyg startar om eller tillhandahåller en alternativ bakdörr för att de ska kunna återfå åtkomsten. |
| Privilegieeskalering | V7, V9 | Behörighetseskalering är resultatet av åtgärder som gör det möjligt för en angripare att få en högre behörighetsnivå i ett system eller nätverk. Vissa verktyg eller åtgärder kräver en högre behörighetsnivå för att fungera och är sannolikt nödvändiga vid många tillfällen under en åtgärd. Användarkonton med behörighet att komma åt specifika system eller utföra specifika funktioner som krävs för att angripare ska uppnå sitt mål kan också betraktas som en eskalering av privilegier. |
| Försvarsundandragande | V7, V9 | Försvarsundandragande består av tekniker som en angripare kan använda för att undvika identifiering eller undvika andra skydd. Ibland är dessa åtgärder samma som (eller varianter av) tekniker i andra kategorier som har den extra fördelen att undergräva ett visst skydd eller en viss åtgärd. |
| Åtkomst till autentiseringsuppgifter | V7, V9 | Åtkomst till autentiseringsuppgifter representerar tekniker som resulterar i åtkomst till eller kontroll över system-, domän- eller tjänstautentiseringsuppgifter som används i en företagsmiljö. Angripare kommer sannolikt att försöka få legitima autentiseringsuppgifter från användare eller administratörskonton (lokal systemadministratör eller domänanvändare med administratörsåtkomst) som ska användas i nätverket. Med tillräcklig åtkomst i ett nätverk kan en angripare skapa konton för senare användning i miljön. |
| Upptäckten | V7, V9 | Identifieringen består av tekniker som gör det möjligt för motståndaren att få kunskap om systemet och det interna nätverket. När angripare får tillgång till ett nytt system måste de inrikta sig på vad de nu har kontroll över och vilka fördelar driften av systemet ger deras nuvarande mål eller övergripande mål under intrånget. Operativsystemet innehåller många inbyggda verktyg som underlättar den här informationsinsamlingsfasen efter kompromissen. |
| LateralMovement | V7, V9 | Lateral förflyttning består av tekniker som gör det möjligt för en angripare att komma åt och styra fjärrsystem i ett nätverk och kan, men inte nödvändigtvis, inkludera körning av verktyg på fjärrsystem. Tekniker för lateral förflyttning kan göra det möjligt för en angripare att samla in information från ett system utan att behöva fler verktyg, till exempel ett fjärråtkomstverktyg. En angripare kan använda lateral förflyttning i många syften, inklusive fjärrkörning av verktyg, pivotering till fler system, åtkomst till specifik information eller filer, åtkomst till fler autentiseringsuppgifter eller för att orsaka en effekt. |
| Utförande | V7, V9 | Körningstaktiken representerar tekniker som resulterar i att inkräktarkontrollerad kod körs på ett lokalt eller fjärrstyrt system. Den här taktiken används ofta tillsammans med lateral förflyttning för att utöka åtkomsten till fjärrsystem i ett nätverk. |
| Samling | V7, V9 | Samlingen består av tekniker som används för att identifiera och samla in information, till exempel känsliga filer, från ett målnätverk före exfiltrering. Den här kategorin omfattar även platser i ett system eller nätverk där motståndaren kan söka efter information för att exfiltratera. |
| Kommando och kontroll | V7, V9 | Kommando- och kontrolltaktiken representerar hur angripare kommunicerar med system under deras kontroll i ett målnätverk. |
| Exfiltrering | V7, V9 | Exfiltrering refererar till tekniker och attribut som leder till eller hjälper motståndaren att ta bort filer och information från ett målnätverk. Den här kategorin omfattar även platser i ett system eller nätverk där motståndaren kan söka efter information för att exfiltratera. |
| Påverkan | V7, V9 | Påverkanshändelser försöker främst direkt minska tillgängligheten eller integriteten för ett system, en tjänst eller ett nätverk. inklusive manipulering av data för att påverka en affärs- eller driftsprocess. Detta skulle ofta referera till tekniker som utpressningstrojaner, defacement, datamanipulering och andra. |
Kommentar
För aviseringar som är i förhandsversion: Tilläggsvillkoren för Azure Preview innehåller ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.
Inaktuella Defender for Servers-aviseringar
Följande tabeller innehåller säkerhetsaviseringar för Defender för servrar som har blivit inaktuella i april 2023 på grund av en förbättringsprocess.
Inaktuella Linux-aviseringar
| Aviseringstyp | Visningsnamn för avisering | Allvarlighetsgrad |
|---|---|---|
| VM_AbnormalDaemonTermination | Onormal avslutning | Lägst |
| VM_BinaryGeneratedFromCommandLine | Misstänkt binärfil har identifierats | Medium |
| VM_CommandlineSuspectDomain misstänkt | domännamnsreferens | Lägst |
| VM_CommonBot | Beteende som liknar vanliga Linux-robotar som identifierats | Medium |
| VM_CompCommonBots | Kommandon som liknar vanliga Linux-robotar har identifierats | Medium |
| VM_CompSuspiciousScript | Shell-skript har identifierats | Medium |
| VM_CompTestRule | Sammansatt analystestavisering | Lägst |
| VM_CronJobAccess | Manipulering av schemalagda uppgifter har identifierats | Information |
| VM_CryptoCoinMinerArtifacts | Process som är associerad med utvinning av digital valuta har identifierats | Medium |
| VM_CryptoCoinMinerDownload | Möjlig nedladdning av Cryptocoinminer har identifierats | Medium |
| VM_CryptoCoinMinerExecution | Potentiell kryptomyntgrävare startad | Medium |
| VM_DataEgressArtifacts | Möjlig dataexfiltrering har identifierats | Medium |
| VM_DigitalCurrencyMining | Digitalt valutautvinningsrelaterat beteende har identifierats | Högst |
| VM_DownloadAndRunCombo | Misstänkt nedladdning kör sedan aktivitet | Medium |
| VM_EICAR | Microsoft Defender för molnet testavisering (inte ett hot) | Högst |
| VM_ExecuteHiddenFile | Körning av dold fil | Information |
| VM_ExploitAttempt | Möjligt försök att utnyttja kommandoraden | Medium |
| VM_ExposedDocker | Exponerad Docker-daemon på TCP-socket | Medium |
| VM_FairwareMalware | Beteende som liknar Fairware Ransomware har identifierats | Medium |
| VM_FirewallDisabled | Manipulering av värdbrandväggen har identifierats | Medium |
| VM_HadoopYarnExploit | Möjligt utnyttjande av Hadoop Yarn | Medium |
| VM_HistoryFileCleared | En historikfil har rensats | Medium |
| VM_KnownLinuxAttackTool | Möjligt attackverktyg har identifierats | Medium |
| VM_KnownLinuxCredentialAccessTool | Möjligt åtkomstverktyg för autentiseringsuppgifter har identifierats | Medium |
| VM_KnownLinuxDDoSToolkit | Indikatorer som är associerade med DDOS-verktyg har identifierats | Medium |
| VM_KnownLinuxScreenshotTool | Skärmbild som tagits på värden | Lägst |
| VM_LinuxBackdoorArtifact | Möjlig bakdörr har identifierats | Medium |
| VM_LinuxReconnaissance | Lokal värdspaning har identifierats | Medium |
| VM_MismatchedScriptFeatures | Felmatchning av skripttillägg har identifierats | Medium |
| VM_MitreCalderaTools | MITRE Caldera-agenten har identifierats | Medium |
| VM_NewSingleUserModeStartupScript | Upptäckt beständighetsförsök | Medium |
| VM_NewSudoerAccount | Kontot har lagts till i sudo-gruppen | Lägst |
| VM_OverridingCommonFiles | Potentiellt åsidosättande av vanliga filer | Medium |
| VM_PrivilegedContainerArtifacts | Container som körs i privilegierat läge | Lägst |
| VM_PrivilegedExecutionInContainer | Kommando i en container som körs med hög behörighet | Lägst |
| VM_ReadingHistoryFile | Ovanlig åtkomst till bash-historikfil | Information |
| VM_ReverseShell | Potentiellt omvändt gränssnitt har identifierats | Medium |
| VM_SshKeyAccess | Processen har visats komma åt den SSH-auktoriserade nyckelfilen på ett ovanligt sätt | Lägst |
| VM_SshKeyAddition | Ny SSH-nyckel har lagts till | Lägst |
| VM_SuspectCompilation | Misstänkt kompilering har identifierats | Medium |
| VM_SuspectAnslut ion | Ett ovanligt anslutningsförsök har identifierats | Medium |
| VM_SuspectDownload | Filnedladdning från en känd skadlig källa har identifierats | Medium |
| VM_SuspectDownloadArtifacts | Misstänkt filnedladdning har identifierats | Lägst |
| VM_SuspectExecutablePath | Körbar fil hittades när den kördes från en misstänkt plats | Medium |
| VM_SuspectHtaccessFileAccess | Åtkomst till htaccess-fil har identifierats | Medium |
| VM_SuspectInitialShellCommand | Misstänkt första kommando i gränssnittet | Lägst |
| VM_SuspectMixedCaseText | Identifierade avvikande blandning av versaler och gemener i kommandoraden | Medium |
| VM_SuspectNetworkAnslut ion | Misstänkt nätverksanslutning | Information |
| VM_SuspectNohup | Misstänkt användning av nohup-kommandot har identifierats | Medium |
| VM_SuspectPasswordChange | Möjlig lösenordsändring med hjälp av crypt-method har identifierats | Medium |
| VM_SuspectPasswordFileAccess | Misstänkt lösenordsåtkomst | Information |
| VM_SuspectPhp | Misstänkt PHP-körning har identifierats | Medium |
| VM_SuspectPortForwarding | Potentiell portvidarebefordring till extern IP-adress | Medium |
| VM_SuspectProcessAccountPrivilegeCombo | Processen som körs på ett tjänstkonto blev oväntat rot | Medium |
| VM_SuspectProcessTermination | Säkerhetsrelaterad processavslut har identifierats | Lägst |
| VM_SuspectUserAddition | Misstänkt användning av useradd-kommandot har identifierats | Medium |
| VM_SuspiciousCommandLineExecution | Misstänkt kommandokörning | Högst |
| VM_SuspiciousDNSOverHttps | Misstänkt användning av DNS via HTTPS | Medium |
| VM_SystemLogRemoval | Möjlig loggmanipuleringsaktivitet har identifierats | Medium |
| VM_ThreatIntelCommandLineSuspectDomain | En möjlig anslutning till skadlig plats har identifierats | Medium |
| VM_ThreatIntelSuspectLogon | En inloggning från en skadlig IP-adress har identifierats | Högst |
| VM_TimerServiceDisabled | Försök att stoppa tjänsten apt-daily-upgrade.timer har identifierats | Information |
| VM_TimestampTampering | Misstänkt filtidsstämpeländring | Lägst |
| VM_Webshell | Möjligt skadligt webbgränssnitt har identifierats | Medium |
Inaktuella Windows-aviseringar
| Aviseringstyp | Visningsnamn för avisering | Allvarlighetsgrad |
|---|---|---|
| SCUBA_MULTIPLEACCOUNTCREATE | Misstänkt skapande av konton på flera värdar | Medium |
| SCUBA_PSINSIGHT_CONTEXT | Misstänkt användning av PowerShell har identifierats | Information |
| SCUBA_RULE_AddGuestToAdministrators | Tillägg av gästkonto i gruppen Lokala administratörer | Medium |
| SCUBA_RULE_Apache_Tomcat_executing_suspicious_commands | Apache_Tomcat_executing_suspicious_commands | Medium |
| SCUBA_RULE_KnownBruteForcingTools | Misstänkt process kördes | Högst |
| SCUBA_RULE_KnownCollectionTools | Misstänkt process kördes | Högst |
| SCUBA_RULE_KnownDefenseEvasionTools | Misstänkt process kördes | Högst |
| SCUBA_RULE_KnownExecutionTools | Misstänkt process kördes | Högst |
| SCUBA_RULE_KnownPassTheHashTools | Misstänkt process kördes | Högst |
| SCUBA_RULE_KnownSpammingTools | Misstänkt process kördes | Medium |
| SCUBA_RULE_Lowering_Security_Inställningar | Identifierade inaktivering av kritiska tjänster | Medium |
| SCUBA_RULE_OtherKnownHackerTools | Misstänkt process kördes | Högst |
| SCUBA_RULE_RDP_session_hijacking_via_tscon | Misstänkt integritetsnivå som tyder på RDP-kapning | Medium |
| SCUBA_RULE_RDP_session_hijacking_via_tscon_service | Misstänkt tjänstinstallation | Medium |
| SCUBA_RULE_Suppress_pesky_unauthorized_use_prohibited_notices | Upptäckt undertryckning av juridiska meddelanden som visas för användare vid inloggning | Lägst |
| SCUBA_RULE_WDigest_Enabling | Identifierade aktivering av registernyckeln WDigest UseLogonCredential | Medium |
| VM.Windows_ApplockerBypass | Potentiellt försök att kringgå AppLocker har identifierats | Högst |
| VM.Windows_BariumKnownSuspiciousProcessExecution | Misstänkt filskapande har identifierats | Högst |
| VM.Windows_Base64EncodedExecutableInCommandLineParams | Identifierad kodad körbar fil i kommandoradsdata | Högst |
| VM.Windows_CalcsCommandLineUse | Misstänkt användning av Cacls har upptäckts för att sänka systemets säkerhetstillstånd | Medium |
| VM.Windows_CommandLineStartingAllExe | Misstänkt kommandorad har identifierats som används för att starta alla körbara filer i en katalog | Medium |
| VM.Windows_DisablingAndDeletingIISLogFiles | Identifierade åtgärder som tyder på att inaktivera och ta bort IIS-loggfiler | Medium |
| VM.Windows_DownloadUsingCertutil | Misstänkt nedladdning med Certutil har identifierats | Medium |
| VM.Windows_EchoOverPipeOnLocalhost | Misstänkt namngiven pipe-kommunikation har identifierats | Högst |
| VM.Windows_EchoToConstructPowerShellScript | Dynamisk PowerShell-skriptkonstruktion | Medium |
| VM.Windows_ExecutableDecodedUsingCertutil | Identifierade avkodning av en körbar fil med hjälp av det inbyggda verktyget certutil.exe | Medium |
| VM.Windows_FileDeletionIsSospisiousLocation | Misstänkt filborttagning har identifierats | Medium |
| VM.Windows_KerberosGoldenTicketAttack | Misstänkta Kerberos Golden Ticket-attackparametrar observerade | Medium |
| VM.Windows_KeygenToolKnownProcessName | Identifierade möjlig körning av körbar keygen-misstänkt process som kördes | Medium |
| VM.Windows_KnownCredentialAccessTools | Misstänkt process kördes | Högst |
| VM.Windows_KnownSuspiciousPowerShellScript | Misstänkt användning av PowerShell har identifierats | Högst |
| VM.Windows_KnownSuspiciousSoftwareInstallation | Programvara med hög risk har identifierats | Medium |
| VM.Windows_MsHtaAndPowerShellCombination | Misstänkt kombination av HTA och PowerShell har identifierats | Medium |
| VM.Windows_MultipleAccountsQuery | Flera domänkonton efterfrågas | Medium |
| VM.Windows_NewAccountCreation | Kontoskapande har identifierats | Information |
| VM.Windows_ObfuscatedCommandLine | Den dolda kommandoraden har identifierats. | Högst |
| VM.Windows_PcaluaUseToLaunchExecutable | Misstänkt användning av Pcalua.exe har upptäckts för att starta körbar kod | Medium |
| VM.Windows_PetyaRansomware | Identifierade Indikatorer för Petya Ransomware | Högst |
| VM.Windows_PowerShellPowerSploitScriptExecution | Misstänkta PowerShell-cmdletar körs | Medium |
| VM.Windows_RansomwareIndication | Utpressningstrojanindikatorer har identifierats | Högst |
| VM.Windows_SqlDumperUsedSuspiciously | Möjlig dumpning av autentiseringsuppgifter har identifierats [sett flera gånger] | Medium |
| VM.Windows_StopCriticalServices | Identifierade inaktivering av kritiska tjänster | Medium |
| VM.Windows_SubvertingAccessibilityBinary | Attack med klibbiga nycklar har identifierats Misstänkt kontoskapande har identifierat Medium |
|
| VM.Windows_SuspiciousAccountCreation | Misstänkt kontoskapande har identifierats | Medium |
| VM.Windows_SuspiciousFirewallRuleAdded | Misstänkt ny brandväggsregel har identifierats | Medium |
| VM.Windows_SuspiciousFTPSSwitchUsage | Misstänkt användning av FTP-s-växel har identifierats | Medium |
| VM.Windows_SuspiciousSQLActivity | Misstänkt SQL-aktivitet | Medium |
| VM.Windows_SVCHostFromInvalidPath | Misstänkt process kördes | Högst |
| VM.Windows_SystemEventLogCleared | Loggen Windows-säkerhet rensades | Information |
| VM.Windows_TelegramInstallation | Potentiellt misstänkt användning av Telegram-verktyget har identifierats | Medium |
| VM.Windows_UndercoverProcess | Misstänkt namngiven process har identifierats | Högst |
| VM.Windows_UserAccountControlBypass | Identifierade ändringar i en registernyckel som kan missbrukas för att kringgå UAC | Medium |
| VM.Windows_VBScriptEncoding | Misstänkt körning av kommandot VBScript.Encode har identifierats | Medium |
| VM.Windows_WindowPositionRegisteryChange | Misstänkt WindowPosition-registervärde har identifierats | Lägst |
| VM.Windows_ZincPortOpenningUsingFirewallRule | Skadlig brandväggsregel som skapats av ZINK-serverimplantat | Högst |
| VM_DigitalCurrencyMining | Digitalt valutautvinningsrelaterat beteende har identifierats | Högst |
| VM_MaliciousSQLActivity | Skadlig SQL-aktivitet | Högst |
| VM_ProcessWithDoubleExtensionExecution | Misstänkt fil med dubbla tillägg kördes | Högst |
| VM_RegistryPersistencyKey | Windows-registrets beständighetsmetod har identifierats | Lägst |
| VM_ShadowCopyDeletion | Misstänkt volymskuggakopieringsaktivitet Körbar fil hittades när den kördes från en misstänkt plats |
Högst |
| VM_SuspectExecutablePath | Körbar fil hittades när den kördes från en misstänkt plats Identifierade avvikande blandning av versaler och gemener i kommandoraden |
Informativt Medium |
| VM_SuspectPhp | Misstänkt PHP-körning har identifierats | Medium |
| VM_SuspiciousCommandLineExecution | Misstänkt kommandokörning | Högst |
| VM_SuspiciousScreenSaverExecution | Misstänkt skärmsläckarprocess körs | Medium |
| VM_SvcHostRunInRareServiceGroup | Sällsynt SVCHOST-tjänstgrupp som körs | Information |
| VM_SystemProcessInAbnormalContext | Misstänkt systemprocess körs | Medium |
| VM_ThreatIntelCommandLineSuspectDomain | En möjlig anslutning till skadlig plats har identifierats | Medium |
| VM_ThreatIntelSuspectLogon | En inloggning från en skadlig IP-adress har identifierats | Högst |
| VM_VbScriptHttpObjectAllocation | VBScript HTTP-objektallokering har identifierats | Högst |
Aviseringar för Defender för API:er
| Avisering (aviseringstyp) | Beskrivning | MITRE-taktik | Allvarlighetsgrad |
|---|---|---|---|
| Misstänkt topp på befolkningsnivå i API-trafik till en API-slutpunkt (API_PopulationSpikeInAPITraffic) |
En misstänkt topp i API-trafik upptäcktes vid en av API-slutpunkterna. Identifieringssystemet använde historiska trafikmönster för att upprätta en baslinje för rutinmässig API-trafikvolym mellan alla IP-adresser och slutpunkten, där baslinjen är specifik för API-trafik för varje statuskod (till exempel 200 Lyckades). Identifieringssystemet flaggade en ovanlig avvikelse från den här baslinjen som ledde till identifiering av misstänkt aktivitet. | Påverkan | Medium |
| Misstänkt topp i API-trafik från en enskild IP-adress till en API-slutpunkt (API_SpikeInAPITraffic) |
En misstänkt ökning av API-trafik upptäcktes från en klient-IP till API-slutpunkten. Identifieringssystemet använde historiska trafikmönster för att upprätta en baslinje för rutinmässig API-trafikvolym till slutpunkten som kommer från en specifik IP-adress till slutpunkten. Identifieringssystemet flaggade en ovanlig avvikelse från den här baslinjen som ledde till identifiering av misstänkt aktivitet. | Påverkan | Medium |
| Ovanligt stor svarsnyttolast som överförs mellan en enda IP-adress och en API-slutpunkt (API_SpikeInPayload) |
En misstänkt topp i API-svarsnyttolastens storlek observerades för trafik mellan en enskild IP-adress och en av API-slutpunkterna. Baserat på historiska trafikmönster från de senaste 30 dagarna lär sig Defender för API:er en baslinje som representerar den typiska API-svarsnyttolaststorleken mellan en specifik IP- och API-slutpunkt. Den inlärda baslinjen är specifik för API-trafik för varje statuskod (t.ex. 200 Lyckades). Aviseringen utlöstes eftersom en API-svarsnyttolaststorlek avvek avsevärt från den historiska baslinjen. | Inledande åtkomst | Medium |
| Ovanligt stor begärandetext som överförs mellan en enda IP-adress och en API-slutpunkt (API_SpikeInPayload) |
En misstänkt topp i API-begärandetextens storlek observerades för trafik mellan en enskild IP-adress och en av API-slutpunkterna. Baserat på historiska trafikmönster från de senaste 30 dagarna lär sig Defender för API:er en baslinje som representerar den typiska API-begärandetextstorleken mellan en specifik IP- och API-slutpunkt. Den inlärda baslinjen är specifik för API-trafik för varje statuskod (t.ex. 200 Lyckades). Aviseringen utlöstes eftersom en API-begärandestorlek avvek avsevärt från den historiska baslinjen. | Inledande åtkomst | Medium |
| (Förhandsversion) Misstänkt ökning av svarstiden för trafik mellan en enskild IP-adress och en API-slutpunkt (API_SpikeInLatency) |
En misstänkt ökning av svarstiden observerades för trafik mellan en enskild IP-adress och en av API-slutpunkterna. Baserat på historiska trafikmönster från de senaste 30 dagarna lär sig Defender för API:er en baslinje som representerar den rutinmässiga API-trafikfördröjningen mellan en specifik IP- och API-slutpunkt. Den inlärda baslinjen är specifik för API-trafik för varje statuskod (t.ex. 200 Lyckades). Aviseringen utlöstes eftersom en API-anropssvarstid avvek avsevärt från den historiska baslinjen. | Inledande åtkomst | Medium |
| API-begäranden sprutar från en enda IP-adress till ett ovanligt stort antal distinkta API-slutpunkter (API_SprayInRequests) |
En enda IP-adress observerades när API-anrop gjordes till ett ovanligt stort antal distinkta slutpunkter. Baserat på historiska trafikmönster från de senaste 30 dagarna lär sig Defenders for API:er en baslinje som representerar det typiska antalet distinkta slutpunkter som anropas av en enda IP-adress i 20-minutersfönster. Aviseringen utlöstes eftersom en enskild IP-adress beteende avvek avsevärt från den historiska baslinjen. | Identifiering | Medium |
| Parameteruppräkning på en API-slutpunkt (API_ParameterEnumeration) |
En enda IP-adress observerades som uppräkningsparametrar vid åtkomst till en av API-slutpunkterna. Baserat på historiska trafikmönster från de senaste 30 dagarna lär sig Defender för API:er en baslinje som representerar det typiska antalet distinkta parametervärden som används av en enskild IP-adress vid åtkomst till den här slutpunkten i 20-minutersfönster. Aviseringen utlöstes eftersom en enskild klient-IP nyligen använde en slutpunkt med ett ovanligt stort antal distinkta parametervärden. | Inledande åtkomst | Medium |
| Uppräkning av distribuerade parametrar på en API-slutpunkt (API_DistributedParameterEnumeration) |
Den aggregerade användarpopulationen (alla IP-adresser) observerades räkna upp parametrar vid åtkomst till en av API-slutpunkterna. Baserat på historiska trafikmönster från de senaste 30 dagarna lär sig Defender för API:er en baslinje som representerar det typiska antalet distinkta parametervärden som används av användarpopulationen (alla IP-adresser) vid åtkomst till en slutpunkt i 20-minutersfönster. Aviseringen utlöstes eftersom användarpopulationen nyligen använde en slutpunkt med ett ovanligt stort antal distinkta parametervärden. | Inledande åtkomst | Medium |
| Parametervärden med avvikande datatyper i ett API-anrop (API_UnseenParamType) |
En enda IP-adress observerades vid åtkomst till en av dina API-slutpunkter och med hjälp av parametervärden av datatypen låg sannolikhet (t.ex. sträng, heltal osv.). Baserat på historiska trafikmönster från de senaste 30 dagarna lär sig Defender för API:er de förväntade datatyperna för varje API-parameter. Aviseringen utlöstes eftersom en IP-adress nyligen kom åt en slutpunkt med en datatyp med tidigare låg sannolikhet som parameterindata. | Påverkan | Medium |
| Tidigare osedda parameter som används i ett API-anrop (API_UnseenParam) |
En enskild IP-adress observerades vid åtkomst till en av API-slutpunkterna med hjälp av en tidigare osedda eller out-of-bounds-parameter i begäran. Baserat på historiska trafikmönster från de senaste 30 dagarna lär sig Defender för API:er en uppsättning förväntade parametrar som är associerade med anrop till en slutpunkt. Aviseringen utlöstes eftersom en IP-adress nyligen kom åt en slutpunkt med hjälp av en tidigare osynlig parameter. | Påverkan | Medium |
| Åtkomst från en tor-slutnod till en API-slutpunkt (API_AccessFromTorExitNode) |
En IP-adress från Tor-nätverket har åtkomst till en av dina API-slutpunkter. Tor är ett nätverk som gör det möjligt för människor att komma åt Internet samtidigt som deras verkliga IP-adress hålls dold. Även om det finns legitima användningsområden används det ofta av angripare för att dölja sin identitet när de riktar in sig på människors system online. | Före attack | Medium |
| API-slutpunktsåtkomst från misstänkt IP (API_AccessFromSuspiciousIP) |
En IP-adress som har åtkomst till en av dina API-slutpunkter identifierades av Microsoft Threat Intelligence med hög sannolikhet att vara ett hot. När du observerade skadlig Internettrafik kom denna IP-adress upp som involverad i att attackera andra onlinemål. | Före attack | Högst |
| Misstänkt användaragent har identifierats (API_AccessFromSuspiciousUserAgent) |
Användaragenten för en begäran som kommer åt en av dina API-slutpunkter innehöll avvikande värden som tyder på ett försök att köra fjärrkod. Detta innebär inte att någon av dina API-slutpunkter har brutits, men det tyder på att ett angreppsförsök pågår. | Körnings- | Medium |