Aviseringar för Resource Manager
I den här artikeln visas de säkerhetsaviseringar som du kan få för Resource Manager från Microsoft Defender för molnet och eventuella Microsoft Defender-planer som du har aktiverat. De aviseringar som visas i din miljö beror på de resurser och tjänster som du skyddar och din anpassade konfiguration.
Kommentar
Några av de nyligen tillagda aviseringarna som drivs av Microsoft Defender Hotinformation och Microsoft Defender för Endpoint kan vara odokumenterade.
Lär dig hur du svarar på dessa aviseringar.
Lär dig hur du exporterar aviseringar.
Kommentar
Aviseringar från olika källor kan ta olika tid att visas. Aviseringar som kräver analys av nätverkstrafik kan till exempel ta längre tid att visas än aviseringar relaterade till misstänkta processer som körs på virtuella datorer.
Resource Manager-aviseringar
Kommentar
Aviseringar med en delegerad åtkomstindikator utlöses på grund av aktivitet hos tredjepartstjänstleverantörer. läs mer om aktivitetsadikationer för tjänsteleverantörer.
Mer information och anteckningar
Azure Resource Manager-åtgärd från misstänkt IP-adress
(ARM_OperationFromSuspiciousIP)
Beskrivning: Microsoft Defender för Resource Manager har identifierat en åtgärd från en IP-adress som har markerats som misstänkt i hotinformationsflöden.
MITRE-taktik: Körning
Allvarlighetsgrad: Medel
Azure Resource Manager-åtgärd från misstänkt proxy-IP-adress
(ARM_OperationFromSuspiciousProxyIP)
Beskrivning: Microsoft Defender för Resource Manager identifierade en resurshanteringsåtgärd från en IP-adress som är associerad med proxytjänster, till exempel TOR. Även om det här beteendet kan vara legitimt, visas det ofta i skadliga aktiviteter, när hotaktörer försöker dölja sin käll-IP.
MITRE-taktik: Försvarsundandragande
Allvarlighetsgrad: Medel
Verktyg för MicroBurst-exploatering som används för att räkna upp resurser i dina prenumerationer
(ARM_MicroBurst.AzDomainInfo)
Beskrivning: Ett PowerShell-skript kördes i din prenumeration och utförde ett misstänkt mönster för att köra en informationsinsamling för att identifiera resurser, behörigheter och nätverksstrukturer. Hotaktörer använder automatiserade skript, till exempel MicroBurst, för att samla in information om skadliga aktiviteter. Detta upptäcktes genom att analysera Azure Resource Manager-åtgärder i din prenumeration. Den här åtgärden kan tyda på att en identitet i organisationen har brutits och att hotskådespelaren försöker kompromettera din miljö för skadliga avsikter.
MITRE-taktik: -
Allvarlighetsgrad: Låg
Verktyg för MicroBurst-exploatering som används för att räkna upp resurser i dina prenumerationer
(ARM_MicroBurst.AzureDomainInfo)
Beskrivning: Ett PowerShell-skript kördes i din prenumeration och utförde ett misstänkt mönster för att köra en informationsinsamling för att identifiera resurser, behörigheter och nätverksstrukturer. Hotaktörer använder automatiserade skript, till exempel MicroBurst, för att samla in information om skadliga aktiviteter. Detta upptäcktes genom att analysera Azure Resource Manager-åtgärder i din prenumeration. Den här åtgärden kan tyda på att en identitet i organisationen har brutits och att hotskådespelaren försöker kompromettera din miljö för skadliga avsikter.
MITRE-taktik: -
Allvarlighetsgrad: Låg
MicroBurst-exploateringsverktyg som används för att köra kod på den virtuella datorn
(ARM_MicroBurst.AzVMBulkCMD)
Beskrivning: Ett PowerShell-skript kördes i din prenumeration och utförde ett misstänkt mönster för att köra kod på en virtuell dator eller en lista över virtuella datorer. Hotaktörer använder automatiserade skript, till exempel MicroBurst, för att köra ett skript på en virtuell dator för skadliga aktiviteter. Detta upptäcktes genom att analysera Azure Resource Manager-åtgärder i din prenumeration. Den här åtgärden kan tyda på att en identitet i organisationen har brutits och att hotskådespelaren försöker kompromettera din miljö för skadliga avsikter.
MITRE-taktik: Körning
Allvarlighetsgrad: Hög
MicroBurst-exploateringsverktyg som används för att köra kod på den virtuella datorn
(RM_MicroBurst.AzureRmVMBulkCMD)
Beskrivning: MicroBursts verktyg för exploatering användes för att köra kod på dina virtuella datorer. Detta upptäcktes genom att analysera Azure Resource Manager-åtgärder i din prenumeration.
MITRE-taktik: -
Allvarlighetsgrad: Hög
Verktyg för microBurst-exploatering som används för att extrahera nycklar från dina Azure-nyckelvalv
(ARM_MicroBurst.AzKeyVaultKeysREST)
Beskrivning: Ett PowerShell-skript kördes i din prenumeration och utförde ett misstänkt mönster för att extrahera nycklar från ett Azure Key Vault(er). Hotaktörer använder automatiserade skript, till exempel MicroBurst, för att lista nycklar och använda dem för att komma åt känsliga data eller utföra lateral förflyttning. Detta upptäcktes genom att analysera Azure Resource Manager-åtgärder i din prenumeration. Den här åtgärden kan tyda på att en identitet i organisationen har brutits och att hotskådespelaren försöker kompromettera din miljö för skadliga avsikter.
MITRE-taktik: -
Allvarlighetsgrad: Hög
Verktyg för microBurst-exploatering som används för att extrahera nycklar till dina lagringskonton
(ARM_MicroBurst.AZStorageKeysREST)
Beskrivning: Ett PowerShell-skript kördes i din prenumeration och utförde ett misstänkt mönster för att extrahera nycklar till lagringskonton. Hotaktörer använder automatiserade skript, till exempel MicroBurst, för att lista nycklar och använda dem för att komma åt känsliga data i dina lagringskonton. Detta upptäcktes genom att analysera Azure Resource Manager-åtgärder i din prenumeration. Den här åtgärden kan tyda på att en identitet i organisationen har brutits och att hotskådespelaren försöker kompromettera din miljö för skadliga avsikter.
MITRE-taktik: Samling
Allvarlighetsgrad: Låg
Verktyg för microBurst-exploatering som används för att extrahera hemligheter från dina Azure-nyckelvalv
(ARM_MicroBurst.AzKeyVaultSecretsREST)
Beskrivning: Ett PowerShell-skript kördes i din prenumeration och utförde ett misstänkt mönster för att extrahera hemligheter från ett Azure Key Vault(er). Hotaktörer använder automatiserade skript, till exempel MicroBurst, för att lista hemligheter och använda dem för att komma åt känsliga data eller utföra laterala förflyttningar. Detta upptäcktes genom att analysera Azure Resource Manager-åtgärder i din prenumeration. Den här åtgärden kan tyda på att en identitet i organisationen har brutits och att hotskådespelaren försöker kompromettera din miljö för skadliga avsikter.
MITRE-taktik: -
Allvarlighetsgrad: Hög
Verktyg för PowerZure-exploatering som används för att höja åtkomsten från Azure AD till Azure
(ARM_PowerZure.AzureElevatedPrivileges)
Beskrivning: PowerZure-exploateringsverktyg användes för att höja åtkomsten från AzureAD till Azure. Detta identifierades genom att analysera Azure Resource Manager-åtgärder i din klientorganisation.
MITRE-taktik: -
Allvarlighetsgrad: Hög
PowerZure-exploateringsverktyg som används för att räkna upp resurser
(ARM_PowerZure.GetAzureTargets)
Beskrivning: PowerZure-exploateringsverktyg användes för att räkna upp resurser för ett legitimt användarkonto i din organisation. Detta upptäcktes genom att analysera Azure Resource Manager-åtgärder i din prenumeration.
MITRE-taktik: Samling
Allvarlighetsgrad: Hög
PowerZure-exploateringsverktyg som används för att räkna upp lagringscontainrar, resurser och tabeller
(ARM_PowerZure.ShowStorageContent)
Beskrivning: PowerZure-exploateringsverktyg användes för att räkna upp lagringsresurser, tabeller och containrar. Detta upptäcktes genom att analysera Azure Resource Manager-åtgärder i din prenumeration.
MITRE-taktik: -
Allvarlighetsgrad: Hög
PowerZure-exploateringsverktyg som används för att köra en Runbook i din prenumeration
(ARM_PowerZure.StartRunbook)
Beskrivning: PowerZure-exploateringsverktyg användes för att köra en Runbook. Detta upptäcktes genom att analysera Azure Resource Manager-åtgärder i din prenumeration.
MITRE-taktik: -
Allvarlighetsgrad: Hög
PowerZure-exploateringsverktyg som används för att extrahera Runbooks-innehåll
(ARM_PowerZure.AzureRunbookContent)
Beskrivning: PowerZure-exploateringsverktyg användes för att extrahera Runbook-innehåll. Detta upptäcktes genom att analysera Azure Resource Manager-åtgärder i din prenumeration.
MITRE-taktik: Samling
Allvarlighetsgrad: Hög
FÖRHANDSVERSION – Azurite toolkit-körning har identifierats
(ARM_Azurite)
Beskrivning: En känd rekognoseringsverktygskörning för molnmiljö har identifierats i din miljö. Verktyget Azurite kan användas av en angripare (eller intrångstestare) för att mappa prenumerationernas resurser och identifiera osäkra konfigurationer.
MITRE-taktik: Samling
Allvarlighetsgrad: Hög
FÖRHANDSVERSION – Misstänkt skapande av beräkningsresurser har identifierats
(ARM_SuspiciousComputeCreation)
Beskrivning: Microsoft Defender för Resource Manager har identifierat ett misstänkt skapande av beräkningsresurser i din prenumeration med virtuella datorer/Azure-skalningsuppsättningar. De identifierade åtgärderna är utformade för att administratörer effektivt ska kunna hantera sina miljöer genom att distribuera nya resurser vid behov. Även om den här aktiviteten kan vara legitim kan en hotskådespelare använda sådana åtgärder för att utföra kryptoutvinning. Aktiviteten anses misstänkt eftersom skalningen för beräkningsresurser är högre än vad som tidigare observerats i prenumerationen. Detta kan tyda på att huvudkontot har komprometterats och används med skadlig avsikt.
MITRE-taktik: Påverkan
Allvarlighetsgrad: Medel
FÖRHANDSVERSION – Misstänkt återställning av nyckelvalv har identifierats
(Arm_Suspicious_Vault_Recovering)
Beskrivning: Microsoft Defender för Resource Manager har identifierat en misstänkt återställningsåtgärd för en resurs med mjukt borttaget nyckelvalv. Användaren som återställer resursen skiljer sig från användaren som tog bort den. Detta är mycket misstänkt eftersom användaren sällan anropar en sådan åtgärd. Dessutom loggade användaren in utan multifaktorautentisering (MFA). Detta kan tyda på att användaren är komprometterad och försöker identifiera hemligheter och nycklar för att få åtkomst till känsliga resurser eller utföra laterala rörelser i nätverket.
MITRE-taktik: Lateral rörelse
Allvarlighetsgrad: Medel/hög
FÖRHANDSVERSION – Misstänkt hanteringssession med ett inaktivt konto har identifierats
(ARM_UnusedAccountPersistence)
Beskrivning: Analys av prenumerationsaktivitetsloggar har identifierat misstänkt beteende. Ett huvudnamn som inte används under en längre tid utför nu åtgärder som kan skydda beständighet för en angripare.
MITRE-taktik: Beständighet
Allvarlighetsgrad: Medel
FÖRHANDSVERSION – Misstänkt anrop av en högriskåtgärd för åtkomst till autentiseringsuppgifter av ett tjänstens huvudnamn har identifierats
(ARM_AnomalousServiceOperation.CredentialAccess)
Beskrivning: Microsoft Defender för Resource Manager identifierade ett misstänkt anrop av en högriskåtgärd i din prenumeration, vilket kan tyda på ett försök att komma åt autentiseringsuppgifter. De identifierade åtgärderna är utformade för att administratörer effektivt ska kunna hantera sina miljöer. Även om den här aktiviteten kan vara legitim kan en hotakterare använda sådana åtgärder för att få åtkomst till begränsade autentiseringsuppgifter och kompromettera resurser i din miljö. Detta kan tyda på att tjänstens huvudnamn är komprometterat och används med skadlig avsikt.
MITRE-taktik: Åtkomst till autentiseringsuppgifter
Allvarlighetsgrad: Medel
FÖRHANDSVERSION – Misstänkt anrop av en högriskåtgärd för datainsamling av ett tjänstens huvudnamn har identifierats
(ARM_AnomalousServiceOperation.Collection)
Beskrivning: Microsoft Defender för Resource Manager identifierade ett misstänkt anrop av en högriskåtgärd i din prenumeration, vilket kan tyda på ett försök att samla in data. De identifierade åtgärderna är utformade för att administratörer effektivt ska kunna hantera sina miljöer. Även om den här aktiviteten kan vara legitim kan en hotakterare använda sådana åtgärder för att samla in känsliga data om resurser i din miljö. Detta kan tyda på att tjänstens huvudnamn är komprometterat och används med skadlig avsikt.
MITRE-taktik: Samling
Allvarlighetsgrad: Medel
FÖRHANDSVERSION – Misstänkt anrop av en högriskåtgärd för "försvarsundandragande" av ett huvudnamn för tjänsten har identifierats
(ARM_AnomalousServiceOperation.DefenseEvasion)
Beskrivning: Microsoft Defender för Resource Manager identifierade ett misstänkt anrop av en högriskåtgärd i din prenumeration, vilket kan tyda på ett försök att undvika skydd. De identifierade åtgärderna är utformade för att administratörer effektivt ska kunna hantera säkerhetsstatusen i sina miljöer. Även om den här aktiviteten kan vara legitim kan en hotskådespelare använda sådana åtgärder för att undvika att identifieras samtidigt som resurser i din miljö komprometteras. Detta kan tyda på att tjänstens huvudnamn är komprometterat och används med skadlig avsikt.
MITRE-taktik: Försvarsundandragande
Allvarlighetsgrad: Medel
FÖRHANDSVERSION – Misstänkt anrop av en högriskåtgärd för körning av tjänstens huvudnamn har identifierats
(ARM_AnomalousServiceOperation.Execution)
Beskrivning: Microsoft Defender för Resource Manager identifierade ett misstänkt anrop av en högriskåtgärd på en dator i din prenumeration, vilket kan tyda på ett försök att köra kod. De identifierade åtgärderna är utformade för att administratörer effektivt ska kunna hantera sina miljöer. Även om den här aktiviteten kan vara legitim kan en hotakterare använda sådana åtgärder för att få åtkomst till begränsade autentiseringsuppgifter och kompromettera resurser i din miljö. Detta kan tyda på att tjänstens huvudnamn är komprometterat och används med skadlig avsikt.
MITRE-taktik: Försvarskörning
Allvarlighetsgrad: Medel
FÖRHANDSVERSION – Misstänkt anrop av en högriskåtgärd för "Påverkan" av ett tjänstens huvudnamn har identifierats
(ARM_AnomalousServiceOperation.Impact)
Beskrivning: Microsoft Defender för Resource Manager identifierade ett misstänkt anrop av en högriskåtgärd i din prenumeration, vilket kan tyda på ett försök till konfigurationsändring. De identifierade åtgärderna är utformade för att administratörer effektivt ska kunna hantera sina miljöer. Även om den här aktiviteten kan vara legitim kan en hotakterare använda sådana åtgärder för att få åtkomst till begränsade autentiseringsuppgifter och kompromettera resurser i din miljö. Detta kan tyda på att tjänstens huvudnamn är komprometterat och används med skadlig avsikt.
MITRE-taktik: Påverkan
Allvarlighetsgrad: Medel
FÖRHANDSVERSION – Misstänkt anrop av en högriskåtgärd för "initial åtkomst" av ett tjänstens huvudnamn har identifierats
(ARM_AnomalousServiceOperation.InitialAccess)
Beskrivning: Microsoft Defender för Resource Manager identifierade ett misstänkt anrop av en högriskåtgärd i din prenumeration, vilket kan tyda på ett försök att komma åt begränsade resurser. De identifierade åtgärderna är utformade för att administratörer effektivt ska kunna komma åt sina miljöer. Även om den här aktiviteten kan vara legitim kan en hotskådespelare använda sådana åtgärder för att få inledande åtkomst till begränsade resurser i din miljö. Detta kan tyda på att tjänstens huvudnamn är komprometterat och används med skadlig avsikt.
MITRE-taktik: Inledande åtkomst
Allvarlighetsgrad: Medel
FÖRHANDSVERSION – Misstänkt anrop av en högriskåtgärd för "lateral förflyttningsåtkomst" av ett huvudnamn för tjänsten har identifierats
(ARM_AnomalousServiceOperation.LateralMovement)
Beskrivning: Microsoft Defender för Resource Manager identifierade ett misstänkt anrop av en högriskåtgärd i din prenumeration, vilket kan tyda på ett försök att utföra lateral förflyttning. De identifierade åtgärderna är utformade för att administratörer effektivt ska kunna hantera sina miljöer. Även om den här aktiviteten kan vara legitim kan en hotakterare använda sådana åtgärder för att kompromettera fler resurser i din miljö. Detta kan tyda på att tjänstens huvudnamn är komprometterat och används med skadlig avsikt.
MITRE-taktik: Lateral rörelse
Allvarlighetsgrad: Medel
FÖRHANDSVERSION – Misstänkt anrop av en högriskåtgärd för "beständighet" av ett tjänstens huvudnamn har identifierats
(ARM_AnomalousServiceOperation.Persistence)
Beskrivning: Microsoft Defender för Resource Manager identifierade ett misstänkt anrop av en högriskåtgärd i din prenumeration, vilket kan tyda på ett försök att fastställa beständighet. De identifierade åtgärderna är utformade för att administratörer effektivt ska kunna hantera sina miljöer. Även om den här aktiviteten kan vara legitim kan en hotaktör använda sådana åtgärder för att etablera beständighet i din miljö. Detta kan tyda på att tjänstens huvudnamn är komprometterat och används med skadlig avsikt.
MITRE-taktik: Beständighet
Allvarlighetsgrad: Medel
FÖRHANDSVERSION – Misstänkt anrop av en högriskåtgärd för "Privilege Escalation" av ett tjänstens huvudnamn har identifierats
(ARM_AnomalousServiceOperation.PrivilegeEscalation)
Beskrivning: Microsoft Defender för Resource Manager identifierade ett misstänkt anrop av en högriskåtgärd i din prenumeration, vilket kan tyda på ett försök att eskalera privilegier. De identifierade åtgärderna är utformade för att administratörer effektivt ska kunna hantera sina miljöer. Även om den här aktiviteten kan vara legitim kan en hotskådespelare använda sådana åtgärder för att eskalera privilegier samtidigt som resurser i din miljö äventyras. Detta kan tyda på att tjänstens huvudnamn är komprometterat och används med skadlig avsikt.
MITRE-taktik: Privilegieeskalering
Allvarlighetsgrad: Medel
FÖRHANDSVERSION – Misstänkt hanteringssession med ett inaktivt konto har identifierats
(ARM_UnusedAccountPersistence)
Beskrivning: Analys av prenumerationsaktivitetsloggar har identifierat misstänkt beteende. Ett huvudnamn som inte används under en längre tid utför nu åtgärder som kan skydda beständighet för en angripare.
MITRE-taktik: Beständighet
Allvarlighetsgrad: Medel
FÖRHANDSVERSION – Misstänkt hanteringssession med PowerShell har identifierats
(ARM_UnusedAppPowershellPersistence)
Beskrivning: Analys av prenumerationsaktivitetsloggar har identifierat misstänkt beteende. Ett huvudnamn som inte regelbundet använder PowerShell för att hantera prenumerationsmiljön använder nu PowerShell och utför åtgärder som kan skydda beständighet för en angripare.
MITRE-taktik: Beständighet
Allvarlighetsgrad: Medel
FÖRHANDSVERSION â€" Misstänkt hanteringssession med Azure Portal har identifierats
(ARM_UnusedAppIbizaPersistence)
Beskrivning: Analys av dina prenumerationsaktivitetsloggar har identifierat ett misstänkt beteende. Ett huvudnamn som inte regelbundet använder Azure Portal (Ibiza) för att hantera prenumerationsmiljön (har inte använt Azure Portal för att hantera under de senaste 45 dagarna eller en prenumeration som den aktivt hanterar), använder nu Azure Portal och utför åtgärder som kan skydda beständighet för en angripare.
MITRE-taktik: Beständighet
Allvarlighetsgrad: Medel
Privilegierad anpassad roll som skapats för din prenumeration på ett misstänkt sätt (förhandsversion)
(ARM_PrivilegedRoleDefinitionCreation)
Beskrivning: Microsoft Defender för Resource Manager har identifierat en misstänkt skapande av privilegierad anpassad rolldefinition i din prenumeration. Den här åtgärden kan ha utförts av en legitim användare i din organisation. Alternativt kan det tyda på att ett konto i din organisation har brutits och att hotskådespelaren försöker skapa en privilegierad roll som ska användas i framtiden för att undvika identifiering.
MITRE-taktik: Privilege Escalation, Defense Evasion
Allvarlighetsgrad: Information
Misstänkt Azure-rolltilldelning har identifierats (förhandsversion)
(ARM_AnomalousRBACRoleAssignment)
Beskrivning: Microsoft Defender för Resource Manager identifierade en misstänkt Azure-rolltilldelning/utfördes med PIM (Privileged Identity Management) i din klientorganisation, vilket kan tyda på att ett konto i din organisation har komprometterats. De identifierade åtgärderna är utformade för att tillåta administratörer att bevilja huvudnamn åtkomst till Azure-resurser. Även om den här aktiviteten kan vara legitim kan en hotskådespelare använda rolltilldelning för att eskalera sina behörigheter så att de kan gå vidare med attacken.
MITRE-taktik: Lateral rörelse, försvarsundandragande
Allvarlighetsgrad: Låg (PIM) /Hög
Misstänkt anrop av en högriskåtgärd för åtkomst till autentiseringsuppgifter har identifierats (förhandsversion)
(ARM_AnomalousOperation.CredentialAccess)
Beskrivning: Microsoft Defender för Resource Manager identifierade ett misstänkt anrop av en högriskåtgärd i din prenumeration, vilket kan tyda på ett försök att komma åt autentiseringsuppgifter. De identifierade åtgärderna är utformade för att administratörer effektivt ska kunna komma åt sina miljöer. Även om den här aktiviteten kan vara legitim kan en hotakterare använda sådana åtgärder för att få åtkomst till begränsade autentiseringsuppgifter och kompromettera resurser i din miljö. Detta kan tyda på att kontot har komprometterats och används med skadlig avsikt.
MITRE-taktik: Åtkomst till autentiseringsuppgifter
Allvarlighetsgrad: Medel
Misstänkt anrop av en högriskåtgärd för datainsamling har identifierats (förhandsversion)
(ARM_AnomalousOperation.Collection)
Beskrivning: Microsoft Defender för Resource Manager identifierade ett misstänkt anrop av en högriskåtgärd i din prenumeration, vilket kan tyda på ett försök att samla in data. De identifierade åtgärderna är utformade för att administratörer effektivt ska kunna hantera sina miljöer. Även om den här aktiviteten kan vara legitim kan en hotakterare använda sådana åtgärder för att samla in känsliga data om resurser i din miljö. Detta kan tyda på att kontot har komprometterats och används med skadlig avsikt.
MITRE-taktik: Samling
Allvarlighetsgrad: Medel
Misstänkt anrop av en högriskåtgärd för "försvarsundandragande" har identifierats (förhandsversion)
(ARM_AnomalousOperation.DefenseEvasion)
Beskrivning: Microsoft Defender för Resource Manager identifierade ett misstänkt anrop av en högriskåtgärd i din prenumeration, vilket kan tyda på ett försök att undvika skydd. De identifierade åtgärderna är utformade för att administratörer effektivt ska kunna hantera säkerhetsstatusen i sina miljöer. Även om den här aktiviteten kan vara legitim kan en hotskådespelare använda sådana åtgärder för att undvika att identifieras samtidigt som resurser i din miljö komprometteras. Detta kan tyda på att kontot har komprometterats och används med skadlig avsikt.
MITRE-taktik: Försvarsundandragande
Allvarlighetsgrad: Medel
Misstänkt anrop av en högriskåtgärd för körning har identifierats (förhandsversion)
(ARM_AnomalousOperation.Execution)
Beskrivning: Microsoft Defender för Resource Manager identifierade ett misstänkt anrop av en högriskåtgärd på en dator i din prenumeration, vilket kan tyda på ett försök att köra kod. De identifierade åtgärderna är utformade för att administratörer effektivt ska kunna hantera sina miljöer. Även om den här aktiviteten kan vara legitim kan en hotakterare använda sådana åtgärder för att få åtkomst till begränsade autentiseringsuppgifter och kompromettera resurser i din miljö. Detta kan tyda på att kontot har komprometterats och används med skadlig avsikt.
MITRE-taktik: Körning
Allvarlighetsgrad: Medel
Misstänkt anrop av en högriskåtgärd för påverkan har identifierats (förhandsversion)
(ARM_AnomalousOperation.Impact)
Beskrivning: Microsoft Defender för Resource Manager identifierade ett misstänkt anrop av en högriskåtgärd i din prenumeration, vilket kan tyda på ett försök till konfigurationsändring. De identifierade åtgärderna är utformade för att administratörer effektivt ska kunna hantera sina miljöer. Även om den här aktiviteten kan vara legitim kan en hotakterare använda sådana åtgärder för att få åtkomst till begränsade autentiseringsuppgifter och kompromettera resurser i din miljö. Detta kan tyda på att kontot har komprometterats och används med skadlig avsikt.
MITRE-taktik: Påverkan
Allvarlighetsgrad: Medel
Misstänkt anrop av en högriskåtgärd för "initial åtkomst" har identifierats (förhandsversion)
(ARM_AnomalousOperation.InitialAccess)
Beskrivning: Microsoft Defender för Resource Manager identifierade ett misstänkt anrop av en högriskåtgärd i din prenumeration, vilket kan tyda på ett försök att komma åt begränsade resurser. De identifierade åtgärderna är utformade för att administratörer effektivt ska kunna komma åt sina miljöer. Även om den här aktiviteten kan vara legitim kan en hotskådespelare använda sådana åtgärder för att få inledande åtkomst till begränsade resurser i din miljö. Detta kan tyda på att kontot har komprometterats och används med skadlig avsikt.
MITRE-taktik: Inledande åtkomst
Allvarlighetsgrad: Medel
Misstänkt anrop av en högriskåtgärd för lateral förflyttning har identifierats (förhandsversion)
(ARM_AnomalousOperation.LateralMovement)
Beskrivning: Microsoft Defender för Resource Manager identifierade ett misstänkt anrop av en högriskåtgärd i din prenumeration, vilket kan tyda på ett försök att utföra lateral förflyttning. De identifierade åtgärderna är utformade för att administratörer effektivt ska kunna hantera sina miljöer. Även om den här aktiviteten kan vara legitim kan en hotakterare använda sådana åtgärder för att kompromettera fler resurser i din miljö. Detta kan tyda på att kontot har komprometterats och används med skadlig avsikt.
MITRE-taktik: Lateral rörelse
Allvarlighetsgrad: Medel
Misstänkt utökade åtkomståtgärder (förhandsversion)(ARM_AnomalousElevateAccess)
Beskrivning: Microsoft Defender för Resource Manager identifierade en misstänkt åtgärd för att höja åtkomsten. Aktiviteten anses misstänkt eftersom det här huvudkontot sällan anropar sådana åtgärder. Även om den här aktiviteten kan vara legitim kan en hotskådespelare använda en åtgärd för att öka åtkomsten för att utföra behörighetseskalering för en komprometterad användare.
MITRE-taktik: Privilegieeskalering
Allvarlighetsgrad: Medel
Misstänkt anrop av en högriskåtgärd för beständighet har identifierats (förhandsversion)
(ARM_AnomalousOperation.Persistence)
Beskrivning: Microsoft Defender för Resource Manager identifierade ett misstänkt anrop av en högriskåtgärd i din prenumeration, vilket kan tyda på ett försök att fastställa beständighet. De identifierade åtgärderna är utformade för att administratörer effektivt ska kunna hantera sina miljöer. Även om den här aktiviteten kan vara legitim kan en hotaktör använda sådana åtgärder för att etablera beständighet i din miljö. Detta kan tyda på att kontot har komprometterats och används med skadlig avsikt.
MITRE-taktik: Beständighet
Allvarlighetsgrad: Medel
Misstänkt anrop av en högriskåtgärd för "Privilege Escalation" har identifierats (förhandsversion)
(ARM_AnomalousOperation.PrivilegeEscalation)
Beskrivning: Microsoft Defender för Resource Manager identifierade ett misstänkt anrop av en högriskåtgärd i din prenumeration, vilket kan tyda på ett försök att eskalera privilegier. De identifierade åtgärderna är utformade för att administratörer effektivt ska kunna hantera sina miljöer. Även om den här aktiviteten kan vara legitim kan en hotskådespelare använda sådana åtgärder för att eskalera privilegier samtidigt som resurser i din miljö äventyras. Detta kan tyda på att kontot har komprometterats och används med skadlig avsikt.
MITRE-taktik: Privilegieeskalering
Allvarlighetsgrad: Medel
Användning av Verktyg för microBurst-exploatering för att köra en godtycklig kod eller exfiltera autentiseringsuppgifter för Azure Automation-kontot
(ARM_MicroBurst.RunCodeOnBehalf)
Beskrivning: Ett PowerShell-skript kördes i din prenumeration och utförde ett misstänkt mönster för att köra en godtycklig kod eller exfiltera autentiseringsuppgifter för Azure Automation-kontot. Hotaktörer använder automatiserade skript, till exempel MicroBurst, för att köra godtycklig kod för skadliga aktiviteter. Detta upptäcktes genom att analysera Azure Resource Manager-åtgärder i din prenumeration. Den här åtgärden kan tyda på att en identitet i organisationen har brutits och att hotskådespelaren försöker kompromettera din miljö för skadliga avsikter.
MITRE-taktik: Beständighet, åtkomst till autentiseringsuppgifter
Allvarlighetsgrad: Hög
Användning av NetSPI-tekniker för att upprätthålla beständighet i din Azure-miljö
(ARM_NetSPI.MaintainPersistence)
Beskrivning: Användning av NetSPI-beständighetsteknik för att skapa en webhook-bakdörr och upprätthålla beständighet i din Azure-miljö. Detta upptäcktes genom att analysera Azure Resource Manager-åtgärder i din prenumeration.
MITRE-taktik: -
Allvarlighetsgrad: Hög
Användning av PowerZure-verktyg för exploatering för att köra en godtycklig kod eller exfiltera autentiseringsuppgifter för Azure Automation-kontot
(ARM_PowerZure.RunCodeOnBehalf)
Beskrivning: PowerZure-exploateringsverktyg har identifierat försök att köra kod eller exfiltera autentiseringsuppgifter för Azure Automation-kontot. Detta upptäcktes genom att analysera Azure Resource Manager-åtgärder i din prenumeration.
MITRE-taktik: -
Allvarlighetsgrad: Hög
Användning av PowerZure-funktionen för att upprätthålla beständighet i din Azure-miljö
(ARM_PowerZure.MaintainPersistence)
Beskrivning: PowerZure-exploateringsverktyg har identifierat skapandet av en webhook-bakdörr för att upprätthålla beständighet i din Azure-miljö. Detta upptäcktes genom att analysera Azure Resource Manager-åtgärder i din prenumeration.
MITRE-taktik: -
Allvarlighetsgrad: Hög
Misstänkt klassisk rolltilldelning identifierad (förhandsversion)
(ARM_AnomalousClassicRoleAssignment)
Beskrivning: Microsoft Defender för Resource Manager identifierade en misstänkt klassisk rolltilldelning i klientorganisationen, vilket kan tyda på att ett konto i din organisation har komprometterats. De identifierade åtgärderna är utformade för att ge bakåtkompatibilitet med klassiska roller som inte längre används ofta. Även om den här aktiviteten kan vara legitim kan en hotskådespelare använda en sådan tilldelning för att bevilja behörigheter till ett annat användarkonto under deras kontroll.
MITRE-taktik: Lateral rörelse, försvarsundandragande
Allvarlighetsgrad: Hög
Kommentar
För aviseringar som är i förhandsversion: Tilläggsvillkoren för Azure Preview innehåller ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.