Resource Manager uyarıları
Bu makalede, resource manager için Bulut için Microsoft Defender ve etkinleştirdiğiniz tüm Microsoft Defender planlarından alabileceğiniz güvenlik uyarıları listelenir. Ortamınızda gösterilen uyarılar, koruduğunuz kaynaklara ve hizmetlere ve özelleştirilmiş yapılandırmanıza bağlıdır.
Not
Microsoft Defender Tehdit Analizi ve Uç Nokta için Microsoft Defender tarafından desteklenen son eklenen uyarılardan bazıları belgelenmemiş olabilir.
Bu uyarılara nasıl yanıt vereceğinizi öğrenin.
Uyarıları dışarı aktarmayı öğrenin.
Not
Farklı kaynaklardan gelen uyarıların görünmesi farklı zaman alabilir. Örneğin, ağ trafiğinin analizini gerektiren uyarıların görünmesi, sanal makinelerde çalışan şüpheli işlemlerle ilgili uyarılardan daha uzun sürebilir.
Resource Manager uyarıları
Not
Temsilci erişimi göstergesi olan uyarılar, üçüncü taraf hizmet sağlayıcılarının etkinliği nedeniyle tetiklenir. hizmet sağlayıcıları etkinlik göstergeleri hakkında daha fazla bilgi edinin.
Şüpheli IP adresinden Azure Resource Manager işlemi
(ARM_OperationFromSuspiciousIP)
Açıklama: Resource Manager için Microsoft Defender, tehdit bilgileri akışlarında şüpheli olarak işaretlenmiş bir IP adresinden bir işlem algılamıştır.
MITRE taktikleri: Yürütme
Önem Derecesi: Orta
Şüpheli proxy IP adresinden Azure Resource Manager işlemi
(ARM_OperationFromSuspiciousProxyIP)
Açıklama: Resource Manager için Microsoft Defender, TOR gibi ara sunucu hizmetleriyle ilişkili bir IP adresinden bir kaynak yönetimi işlemi algılamıştı. Bu davranış meşru olsa da, tehdit aktörleri kaynak IP'lerini gizlemeye çalıştığında genellikle kötü amaçlı etkinliklerde görülür.
MITRE taktikleri: Savunma Kaçamak
Önem Derecesi: Orta
Aboneliklerinizdeki kaynakları listelemek için kullanılan MicroBurst yararlanma araç seti
(ARM_MicroBurst.AzDomainInfo)
Açıklama: Aboneliğinizde bir PowerShell betiği çalıştırıldı ve kaynakları, izinleri ve ağ yapılarını bulmak için bilgi toplama işlemlerini yürütmek için şüpheli bir desen gerçekleştirdiniz. Tehdit aktörleri, kötü amaçlı etkinliklerle ilgili bilgi toplamak için MicroBurst gibi otomatik betikler kullanır. Bu, aboneliğinizdeki Azure Resource Manager işlemleri çözümlenerek algılandı. Bu işlem, kuruluşunuzdaki bir kimliğin ihlal edildiğine ve tehdit aktörünün kötü amaçlı amaçlar için ortamınızı tehlikeye atmaya çalıştığına işaret edebilir.
Önem Derecesi: Düşük
Aboneliklerinizdeki kaynakları listelemek için kullanılan MicroBurst yararlanma araç seti
(ARM_MicroBurst.AzureDomainInfo)
Açıklama: Aboneliğinizde bir PowerShell betiği çalıştırıldı ve kaynakları, izinleri ve ağ yapılarını bulmak için bilgi toplama işlemlerini yürütmek için şüpheli bir desen gerçekleştirdiniz. Tehdit aktörleri, kötü amaçlı etkinliklerle ilgili bilgi toplamak için MicroBurst gibi otomatik betikler kullanır. Bu, aboneliğinizdeki Azure Resource Manager işlemleri çözümlenerek algılandı. Bu işlem, kuruluşunuzdaki bir kimliğin ihlal edildiğine ve tehdit aktörünün kötü amaçlı amaçlar için ortamınızı tehlikeye atmaya çalıştığına işaret edebilir.
Önem Derecesi: Düşük
Sanal makinenizde kod yürütmek için kullanılan MicroBurst yararlanma araç seti
(ARM_MicroBurst.AzVMBulkCMD)
Açıklama: Aboneliğinizde bir PowerShell betiği çalıştırıldı ve sanal makinede veya VM listesinde kod yürütmeye yönelik şüpheli bir desen gerçekleştirildi. Tehdit aktörleri, kötü amaçlı etkinlikler için sanal makinede betik çalıştırmak için MicroBurst gibi otomatik betikler kullanır. Bu, aboneliğinizdeki Azure Resource Manager işlemleri çözümlenerek algılandı. Bu işlem, kuruluşunuzdaki bir kimliğin ihlal edildiğine ve tehdit aktörünün kötü amaçlı amaçlar için ortamınızı tehlikeye atmaya çalıştığına işaret edebilir.
MITRE taktikleri: Yürütme
Önem Derecesi: Yüksek
Sanal makinenizde kod yürütmek için kullanılan MicroBurst yararlanma araç seti
(RM_MicroBurst.AzureRmVMBulkCMD)
Açıklama: MicroBurst'un yararlanma araç seti sanal makinelerinizde kod yürütmek için kullanıldı. Bu, aboneliğinizdeki Azure Resource Manager işlemleri çözümlenerek algılandı.
Önem Derecesi: Yüksek
Azure anahtar kasalarınızdaki anahtarları ayıklamak için kullanılan MicroBurst açıklarından yararlanma araç seti
(ARM_MicroBurst.AzKeyVaultKeysREST)
Açıklama: Aboneliğinizde bir PowerShell betiği çalıştırıldı ve Azure Key Vault'lardan anahtar ayıklamaya yönelik şüpheli bir desen gerçekleştirildi. Tehdit aktörleri, anahtarları listelemek ve hassas verilere erişmek veya yanal hareket gerçekleştirmek için bunları kullanmak için MicroBurst gibi otomatik betikler kullanır. Bu, aboneliğinizdeki Azure Resource Manager işlemleri çözümlenerek algılandı. Bu işlem, kuruluşunuzdaki bir kimliğin ihlal edildiğine ve tehdit aktörünün kötü amaçlı amaçlar için ortamınızı tehlikeye atmaya çalıştığına işaret edebilir.
Önem Derecesi: Yüksek
Depolama hesaplarınıza anahtar ayıklamak için kullanılan MicroBurst açıklarından yararlanma araç seti
(ARM_MicroBurst.AZStorageKeysREST)
Açıklama: Aboneliğinizde bir PowerShell betiği çalıştırıldı ve Depolama Hesaplarına anahtar ayıklamak için şüpheli bir desen gerçekleştirildi. Tehdit aktörleri, anahtarları listelemek ve Depolama Hesaplarınızdaki hassas verilere erişmek için bunları kullanmak için MicroBurst gibi otomatik betikler kullanır. Bu, aboneliğinizdeki Azure Resource Manager işlemleri çözümlenerek algılandı. Bu işlem, kuruluşunuzdaki bir kimliğin ihlal edildiğine ve tehdit aktörünün kötü amaçlı amaçlar için ortamınızı tehlikeye atmaya çalıştığına işaret edebilir.
MITRE taktikleri: Koleksiyon
Önem Derecesi: Yüksek
Azure anahtar kasalarınızdan gizli dizileri ayıklamak için kullanılan MicroBurst açıklarından yararlanma araç seti
(ARM_MicroBurst.AzKeyVaultSecretsREST)
Açıklama: Aboneliğinizde bir PowerShell betiği çalıştırıldı ve Azure Key Vault'lardan gizli dizi ayıklamaya yönelik şüpheli bir desen gerçekleştirildi. Tehdit aktörleri gizli dizileri listelemek ve bunları hassas verilere erişmek veya yanal hareket gerçekleştirmek için MicroBurst gibi otomatik betikler kullanır. Bu, aboneliğinizdeki Azure Resource Manager işlemleri çözümlenerek algılandı. Bu işlem, kuruluşunuzdaki bir kimliğin ihlal edildiğine ve tehdit aktörünün kötü amaçlı amaçlar için ortamınızı tehlikeye atmaya çalıştığına işaret edebilir.
Önem Derecesi: Yüksek
Azure AD'den Azure'a erişimi yükseltmek için kullanılan PowerZure yararlanma araç seti
(ARM_PowerZure.AzureElevatedPrivileges)
Açıklama: AzureAD'den Azure'a erişimi yükseltmek için PowerZure yararlanma araç seti kullanıldı. Bu, kiracınızdaki Azure Resource Manager işlemleri çözümlenerek algılandı.
Önem Derecesi: Yüksek
Kaynakları listelemek için kullanılan PowerZure exploitation toolkit
(ARM_PowerZure.GetAzureTargets)
Açıklama: PowerZure exploitation toolkit, kuruluşunuzdaki meşru bir kullanıcı hesabı adına kaynakları listelemek için kullanıldı. Bu, aboneliğinizdeki Azure Resource Manager işlemleri çözümlenerek algılandı.
MITRE taktikleri: Koleksiyon
Önem Derecesi: Yüksek
Depolama kapsayıcılarını, paylaşımlarını ve tablolarını listelemek için kullanılan PowerZure yararlanma araç seti
(ARM_PowerZure.ShowStorageContent)
Açıklama: Depolama paylaşımlarını, tabloları ve kapsayıcıları listelemek için PowerZure yararlanma araç seti kullanıldı. Bu, aboneliğinizdeki Azure Resource Manager işlemleri çözümlenerek algılandı.
Önem Derecesi: Yüksek
Aboneliğinizde Runbook yürütmek için kullanılan PowerZure yararlanma araç seti
(ARM_PowerZure.StartRunbook)
Açıklama: Runbook'u yürütmek için PowerZure exploitation toolkit kullanıldı. Bu, aboneliğinizdeki Azure Resource Manager işlemleri çözümlenerek algılandı.
Önem Derecesi: Yüksek
Runbook'lar içeriğini ayıklamak için kullanılan PowerZure yararlanma araç seti
(ARM_PowerZure.AzureRunbookContent)
Açıklama: Runbook içeriğini ayıklamak için PowerZure yararlanma araç seti kullanıldı. Bu, aboneliğinizdeki Azure Resource Manager işlemleri çözümlenerek algılandı.
MITRE taktikleri: Koleksiyon
Önem Derecesi: Yüksek
ÖNİzLEME - Azurite araç seti çalıştırması algılandı
(ARM_Azurite)
Açıklama: Ortamınızda bilinen bir bulut ortamı keşif araç seti çalıştırması algılandı. Azurite aracı, bir saldırgan (veya sızma test aracı) tarafından aboneliklerinizin kaynaklarını eşlemek ve güvenli olmayan yapılandırmaları tanımlamak için kullanılabilir.
MITRE taktikleri: Koleksiyon
Önem Derecesi: Yüksek
ÖNİzLEME - İşlem kaynaklarının şüpheli oluşturulması algılandı
(ARM_SuspiciousComputeCreation)
Açıklama: Resource Manager için Microsoft Defender, Sanal Makineler/Azure Ölçek Kümesi kullanarak aboneliğinizde şüpheli bir işlem kaynağı oluşturma işlemi belirledi. Tanımlanan işlemler, yöneticilerin gerektiğinde yeni kaynaklar dağıtarak ortamlarını verimli bir şekilde yönetmesine olanak tanıyacak şekilde tasarlanmıştır. Bu etkinlik yasal olsa da, bir tehdit aktörü kripto madenciliği yapmak için bu tür işlemleri kullanabilir. İşlem kaynakları ölçeği abonelikte daha önce gözlemlenenden daha yüksek olduğundan etkinlik şüpheli kabul edilir. Bu, sorumlunun gizliliğinin ihlal edildiğini ve kötü amaçlı olarak kullanıldığını gösterebilir.
MITRE taktikleri: Etki
Önem Derecesi: Orta
ÖNİzLEME - Şüpheli anahtar kasası kurtarma algılandı
(Arm_Suspicious_Vault_Recovering)
Açıklama: Resource Manager için Microsoft Defender geçici olarak silinen anahtar kasası kaynağı için şüpheli bir kurtarma işlemi algılandı. Kaynağı kurtaran kullanıcı, kaynağı silmiş olan kullanıcıdan farklıdır. Kullanıcı böyle bir işlemi nadiren çağırdığı için bu son derece şüphelidir. Buna ek olarak, kullanıcı çok faktörlü kimlik doğrulaması (MFA) olmadan oturum açtı. Bu, kullanıcının gizliliğinin tehlikeye girdiğini ve hassas kaynaklara erişim elde etmek veya ağınız genelinde yanal hareket gerçekleştirmek için gizli dizileri ve anahtarları bulmaya çalıştığına işaret edebilir.
MITRE taktikleri: Yanal hareket
Önem Derecesi: Orta/yüksek
ÖNİzLEME - Algılanan etkin olmayan bir hesap kullanan şüpheli yönetim oturumu
(ARM_UnusedAccountPersistence)
Açıklama: Abonelik etkinlik günlükleri analizi şüpheli davranış algılandı. Uzun bir süre kullanılmayan bir sorumlu artık saldırgan için kalıcılığı güvenli hale getirebilecek eylemler gerçekleştiriyor.
MITRE taktikleri: Kalıcılık
Önem Derecesi: Orta
ÖNİzLEME - Algılanan bir hizmet sorumlusu tarafından yüksek riskli bir 'Kimlik Bilgisi Erişimi' işleminin şüpheli çağrılması
(ARM_AnomalousServiceOperation.CredentialAccess)
Açıklama: Resource Manager için Microsoft Defender, aboneliğinizde kimlik bilgilerine erişme girişimini gösterebilecek yüksek riskli bir işlemin şüpheli çağrısını belirledi. Tanımlanan işlemler, yöneticilerin ortamlarını verimli bir şekilde yönetmesine olanak tanıyacak şekilde tasarlanmıştır. Bu etkinlik yasal olsa da, bir tehdit aktörü ortamınızdaki kısıtlı kimlik bilgilerine erişmek ve kaynakları tehlikeye atmak için bu tür işlemleri kullanabilir. Bu, hizmet sorumlusunun gizliliğinin ihlal edildiğini ve kötü amaçlı olarak kullanıldığını gösterebilir.
MITRE taktikleri: Kimlik bilgisi erişimi
Önem Derecesi: Orta
ÖNİzLEME - Algılanan bir hizmet sorumlusu tarafından yüksek riskli bir 'Veri Toplama' işleminin şüpheli çağrılması
(ARM_AnomalousServiceOperation.Collection)
Açıklama: Resource Manager için Microsoft Defender, aboneliğinizde yüksek riskli bir işlemin şüpheli bir çağrı olduğunu belirledi ve bu durum veri toplama girişimine işaret edebilir. Tanımlanan işlemler, yöneticilerin ortamlarını verimli bir şekilde yönetmesine olanak tanıyacak şekilde tasarlanmıştır. Bu etkinlik yasal olsa da, bir tehdit aktörü ortamınızdaki kaynaklar üzerinde hassas veriler toplamak için bu tür işlemleri kullanabilir. Bu, hizmet sorumlusunun gizliliğinin ihlal edildiğini ve kötü amaçlı olarak kullanıldığını gösterebilir.
MITRE taktikleri: Koleksiyon
Önem Derecesi: Orta
ÖNİzLEME - Algılanan bir hizmet sorumlusu tarafından yüksek riskli bir 'Savunma Kaçışı' işleminin şüpheli çağrılması
(ARM_AnomalousServiceOperation.DefenseEvasion)
Açıklama: Resource Manager için Microsoft Defender, aboneliğinizde yüksek riskli bir işlemin şüpheli bir çağrı olduğunu belirledi ve bu durum savunmadan kaçınma girişimine işaret edebilir. Tanımlanan işlemler, yöneticilerin ortamlarının güvenlik duruşunu verimli bir şekilde yönetmesine olanak sağlamak için tasarlanmıştır. Bu etkinlik yasal olsa da, bir tehdit aktörü ortamınızdaki kaynakları tehlikeye atarak algılanmamak için bu tür işlemleri kullanabilir. Bu, hizmet sorumlusunun gizliliğinin ihlal edildiğini ve kötü amaçlı olarak kullanıldığını gösterebilir.
MITRE taktikleri: Savunma Kaçamak
Önem Derecesi: Orta
ÖNİzLEME - Algılanan bir hizmet sorumlusu tarafından yüksek riskli bir 'Yürütme' işleminin şüpheli çağrılması
(ARM_AnomalousServiceOperation.Execution)
Açıklama: Resource Manager için Microsoft Defender, aboneliğinizdeki bir makinede yüksek riskli bir işlemin şüpheli bir çağrı olduğunu belirledi ve bu durum kod yürütme girişimine işaret edebilir. Tanımlanan işlemler, yöneticilerin ortamlarını verimli bir şekilde yönetmesine olanak tanıyacak şekilde tasarlanmıştır. Bu etkinlik yasal olsa da, bir tehdit aktörü ortamınızdaki kısıtlı kimlik bilgilerine erişmek ve kaynakları tehlikeye atmak için bu tür işlemleri kullanabilir. Bu, hizmet sorumlusunun gizliliğinin ihlal edildiğini ve kötü amaçlı olarak kullanıldığını gösterebilir.
MITRE taktikleri: Savunma Yürütme
Önem Derecesi: Orta
ÖNİzLEME - Algılanan bir hizmet sorumlusu tarafından yüksek riskli bir 'Etki' işleminin şüpheli çağrılması
(ARM_AnomalousServiceOperation.Impact)
Açıklama: Resource Manager için Microsoft Defender, aboneliğinizde yüksek riskli bir işlemin şüpheli bir çağrı olduğunu belirledi ve bu durum yapılandırma değişikliği denendiğini gösteriyor olabilir. Tanımlanan işlemler, yöneticilerin ortamlarını verimli bir şekilde yönetmesine olanak tanıyacak şekilde tasarlanmıştır. Bu etkinlik yasal olsa da, bir tehdit aktörü ortamınızdaki kısıtlı kimlik bilgilerine erişmek ve kaynakları tehlikeye atmak için bu tür işlemleri kullanabilir. Bu, hizmet sorumlusunun gizliliğinin ihlal edildiğini ve kötü amaçlı olarak kullanıldığını gösterebilir.
MITRE taktikleri: Etki
Önem Derecesi: Orta
ÖNİzLEME - Algılanan bir hizmet sorumlusu tarafından yüksek riskli bir 'İlk Erişim' işleminin şüpheli çağrılması
(ARM_AnomalousServiceOperation.InitialAccess)
Açıklama: Resource Manager için Microsoft Defender, aboneliğinizde yüksek riskli bir işlemin şüpheli bir çağrı olduğunu belirledi ve bu da kısıtlı kaynaklara erişme girişimine işaret edebilir. Tanımlanan işlemler, yöneticilerin ortamlarına verimli bir şekilde erişmesine olanak sağlamak için tasarlanmıştır. Bu etkinlik yasal olsa da, bir tehdit aktörü ortamınızdaki kısıtlı kaynaklara ilk erişim elde etmek için bu tür işlemleri kullanabilir. Bu, hizmet sorumlusunun gizliliğinin ihlal edildiğini ve kötü amaçlı olarak kullanıldığını gösterebilir.
MITRE taktikleri: İlk erişim
Önem Derecesi: Orta
ÖNİzLEME - Algılanan bir hizmet sorumlusu tarafından yüksek riskli bir 'YanAl Hareket Erişimi' işleminin şüpheli çağrılması
(ARM_AnomalousServiceOperation.LateralMovement)
Açıklama: Resource Manager için Microsoft Defender, aboneliğinizde yüksek riskli bir işlemin şüpheli bir çağrı olduğunu belirledi ve bu durum yanal hareket gerçekleştirme girişimine işaret edebilir. Tanımlanan işlemler, yöneticilerin ortamlarını verimli bir şekilde yönetmesine olanak tanıyacak şekilde tasarlanmıştır. Bu etkinlik yasal olsa da, bir tehdit aktörü ortamınızdaki daha fazla kaynağı tehlikeye atmak için bu tür işlemleri kullanabilir. Bu, hizmet sorumlusunun gizliliğinin ihlal edildiğini ve kötü amaçlı olarak kullanıldığını gösterebilir.
MITRE taktikleri: Yanal hareket
Önem Derecesi: Orta
ÖNİzLEME - Algılanan bir hizmet sorumlusu tarafından yüksek riskli bir 'kalıcılık' işleminin şüpheli çağrılması
(ARM_AnomalousServiceOperation.Persistence)
Açıklama: Resource Manager için Microsoft Defender, aboneliğinizde yüksek riskli bir işlemin şüpheli bir çağrı olduğunu belirledi ve bu durum kalıcılık oluşturmaya yönelik bir girişim olduğunu gösteriyor olabilir. Tanımlanan işlemler, yöneticilerin ortamlarını verimli bir şekilde yönetmesine olanak tanıyacak şekilde tasarlanmıştır. Bu etkinlik yasal olsa da, bir tehdit aktörü ortamınızda kalıcılık sağlamak için bu tür işlemleri kullanabilir. Bu, hizmet sorumlusunun gizliliğinin ihlal edildiğini ve kötü amaçlı olarak kullanıldığını gösterebilir.
MITRE taktikleri: Kalıcılık
Önem Derecesi: Orta
ÖNİzLEME - Algılanan bir hizmet sorumlusu tarafından yüksek riskli bir 'Ayrıcalık Yükseltme' işleminin şüpheli çağrılması
(ARM_AnomalousServiceOperation.PrivilegeEscalation)
Açıklama: Resource Manager için Microsoft Defender, aboneliğinizde yüksek riskli bir işlemin şüpheli bir çağrı olduğunu belirledi ve bu da ayrıcalıkları yükseltme girişimini gösterebilir. Tanımlanan işlemler, yöneticilerin ortamlarını verimli bir şekilde yönetmesine olanak tanıyacak şekilde tasarlanmıştır. Bu etkinlik yasal olsa da, bir tehdit aktörü ortamınızdaki kaynakları tehlikeye atarak ayrıcalıkları yükseltme amacıyla bu tür işlemleri kullanabilir. Bu, hizmet sorumlusunun gizliliğinin ihlal edildiğini ve kötü amaçlı olarak kullanıldığını gösterebilir.
MITRE taktikleri: Ayrıcalık yükseltme
Önem Derecesi: Orta
ÖNİzLEME - Algılanan etkin olmayan bir hesap kullanan şüpheli yönetim oturumu
(ARM_UnusedAccountPersistence)
Açıklama: Abonelik etkinlik günlükleri analizi şüpheli davranış algılandı. Uzun bir süre kullanılmayan bir sorumlu artık saldırgan için kalıcılığı güvenli hale getirebilecek eylemler gerçekleştiriyor.
MITRE taktikleri: Kalıcılık
Önem Derecesi: Orta
ÖNİzLEME - PowerShell kullanan şüpheli yönetim oturumu algılandı
(ARM_UnusedAppPowershellPersistence)
Açıklama: Abonelik etkinlik günlükleri analizi şüpheli davranış algılandı. Abonelik ortamını yönetmek için PowerShell'i düzenli olarak kullanmayan bir sorumlu artık PowerShell kullanıyor ve saldırgan için kalıcılığı güvenli hale getirebilecek eylemler gerçekleştiriyor.
MITRE taktikleri: Kalıcılık
Önem Derecesi: Orta
ÖNİzLEME â€" Azure portalını kullanan şüpheli yönetim oturumu algılandı
(ARM_UnusedAppIbizaPersistence)
Açıklama: Abonelik etkinlik günlüklerinizin analizi şüpheli bir davranış algılandı. Azure portalını (Ibiza) abonelik ortamını yönetmek için düzenli olarak kullanmayan bir sorumlu (son 45 gündür yönetmek için Azure portalını kullanmamış veya etkin bir şekilde yönettiği bir abonelik), artık Azure portalını kullanıyor ve saldırgan için kalıcılığı güvenli hale getirebilecek eylemler gerçekleştiriyor.
MITRE taktikleri: Kalıcılık
Önem Derecesi: Orta
Aboneliğiniz için şüpheli bir şekilde oluşturulan ayrıcalıklı özel rol (Önizleme)
(ARM_PrivilegedRoleDefinitionCreation)
Açıklama: Resource Manager için Microsoft Defender, aboneliğinizde ayrıcalıklı özel rol tanımının şüpheli bir şekilde oluşturulduğu algılandı. Bu işlem kuruluşunuzdaki meşru bir kullanıcı tarafından gerçekleştirilmiş olabilir. Alternatif olarak, kuruluşunuzdaki bir hesabın ihlal edildiği ve tehdit aktörünün gelecekte algılamayı önlemek için kullanmak üzere ayrıcalıklı bir rol oluşturmaya çalıştığını gösterebilir.
MITRE taktikleri: Privilege Escalation, Defense Evasion
Önem Derecesi: Bilgilendiren
Şüpheli Azure rol ataması algılandı (Önizleme)
(ARM_AnomalousRBACRoleAssignment)
Açıklama: Resource Manager için Microsoft Defender, kiracınızda PIM (Privileged Identity Management) kullanılarak gerçekleştirilen şüpheli bir Azure rol ataması belirledi ve bu durum kuruluşunuzdaki bir hesabın gizliliğinin ihlal edildiğine işaret edebilir. Tanımlanan işlemler, yöneticilerin sorumlulara Azure kaynaklarına erişim izni vermesi için tasarlanmıştır. Bu etkinlik yasal olsa da, bir tehdit aktörü rol atamasını kullanarak izinlerini yükselterek saldırılarını ilerletebilir.
MITRE taktikleri: Yanal Hareket, Savunma Kaçamak
Önem Derecesi: Düşük (PIM) / Yüksek
Yüksek riskli bir 'Kimlik Bilgisi Erişimi' işleminin şüpheli çağrılması algılandı (Önizleme)
(ARM_AnomalousOperation.CredentialAccess)
Açıklama: Resource Manager için Microsoft Defender, aboneliğinizde kimlik bilgilerine erişme girişimini gösterebilecek yüksek riskli bir işlemin şüpheli çağrısını belirledi. Tanımlanan işlemler, yöneticilerin ortamlarına verimli bir şekilde erişmesine olanak sağlamak için tasarlanmıştır. Bu etkinlik yasal olsa da, bir tehdit aktörü ortamınızdaki kısıtlı kimlik bilgilerine erişmek ve kaynakları tehlikeye atmak için bu tür işlemleri kullanabilir. Bu, hesabın gizliliğinin ihlal edildiğini ve kötü amaçlı olarak kullanıldığını gösterebilir.
MITRE taktikleri: Kimlik Bilgisi Erişimi
Önem Derecesi: Orta
Yüksek riskli 'Veri Toplama' işleminin şüpheli çağrıları algılandı (Önizleme)
(ARM_AnomalousOperation.Collection)
Açıklama: Resource Manager için Microsoft Defender, aboneliğinizde yüksek riskli bir işlemin şüpheli bir çağrı olduğunu belirledi ve bu durum veri toplama girişimine işaret edebilir. Tanımlanan işlemler, yöneticilerin ortamlarını verimli bir şekilde yönetmesine olanak tanıyacak şekilde tasarlanmıştır. Bu etkinlik yasal olsa da, bir tehdit aktörü ortamınızdaki kaynaklar üzerinde hassas veriler toplamak için bu tür işlemleri kullanabilir. Bu, hesabın gizliliğinin ihlal edildiğini ve kötü amaçlı olarak kullanıldığını gösterebilir.
MITRE taktikleri: Koleksiyon
Önem Derecesi: Orta
Yüksek riskli bir 'Savunma Kaçaması' işleminin şüpheli çağrısı algılandı (Önizleme)
(ARM_AnomalousOperation.DefenseEvasion)
Açıklama: Resource Manager için Microsoft Defender, aboneliğinizde yüksek riskli bir işlemin şüpheli bir çağrı olduğunu belirledi ve bu durum savunmadan kaçınma girişimine işaret edebilir. Tanımlanan işlemler, yöneticilerin ortamlarının güvenlik duruşunu verimli bir şekilde yönetmesine olanak sağlamak için tasarlanmıştır. Bu etkinlik yasal olsa da, bir tehdit aktörü ortamınızdaki kaynakları tehlikeye atarak algılanmamak için bu tür işlemleri kullanabilir. Bu, hesabın gizliliğinin ihlal edildiğini ve kötü amaçlı olarak kullanıldığını gösterebilir.
MITRE taktikleri: Savunma Kaçamak
Önem Derecesi: Orta
Yüksek riskli 'Yürütme' işleminin şüpheli çağrıları algılandı (Önizleme)
(ARM_AnomalousOperation.Execution)
Açıklama: Resource Manager için Microsoft Defender, aboneliğinizdeki bir makinede yüksek riskli bir işlemin şüpheli bir çağrı olduğunu belirledi ve bu durum kod yürütme girişimine işaret edebilir. Tanımlanan işlemler, yöneticilerin ortamlarını verimli bir şekilde yönetmesine olanak tanıyacak şekilde tasarlanmıştır. Bu etkinlik yasal olsa da, bir tehdit aktörü ortamınızdaki kısıtlı kimlik bilgilerine erişmek ve kaynakları tehlikeye atmak için bu tür işlemleri kullanabilir. Bu, hesabın gizliliğinin ihlal edildiğini ve kötü amaçlı olarak kullanıldığını gösterebilir.
MITRE taktikleri: Yürütme
Önem Derecesi: Orta
Yüksek riskli bir 'Etki' işleminin şüpheli çağrıları algılandı (Önizleme)
(ARM_AnomalousOperation.Impact)
Açıklama: Resource Manager için Microsoft Defender, aboneliğinizde yüksek riskli bir işlemin şüpheli bir çağrı olduğunu belirledi ve bu durum yapılandırma değişikliği denendiğini gösteriyor olabilir. Tanımlanan işlemler, yöneticilerin ortamlarını verimli bir şekilde yönetmesine olanak tanıyacak şekilde tasarlanmıştır. Bu etkinlik yasal olsa da, bir tehdit aktörü ortamınızdaki kısıtlı kimlik bilgilerine erişmek ve kaynakları tehlikeye atmak için bu tür işlemleri kullanabilir. Bu, hesabın gizliliğinin ihlal edildiğini ve kötü amaçlı olarak kullanıldığını gösterebilir.
MITRE taktikleri: Etki
Önem Derecesi: Orta
Yüksek riskli bir 'İlk Erişim' işleminin şüpheli çağrılması algılandı (Önizleme)
(ARM_AnomalousOperation.InitialAccess)
Açıklama: Resource Manager için Microsoft Defender, aboneliğinizde yüksek riskli bir işlemin şüpheli bir çağrı olduğunu belirledi ve bu da kısıtlı kaynaklara erişme girişimine işaret edebilir. Tanımlanan işlemler, yöneticilerin ortamlarına verimli bir şekilde erişmesine olanak sağlamak için tasarlanmıştır. Bu etkinlik yasal olsa da, bir tehdit aktörü ortamınızdaki kısıtlı kaynaklara ilk erişim elde etmek için bu tür işlemleri kullanabilir. Bu, hesabın gizliliğinin ihlal edildiğini ve kötü amaçlı olarak kullanıldığını gösterebilir.
MITRE taktikleri: İlk Erişim
Önem Derecesi: Orta
Yüksek riskli 'YanAl Hareket' işleminin şüpheli çağrıları algılandı (Önizleme)
(ARM_AnomalousOperation.LateralMovement)
Açıklama: Resource Manager için Microsoft Defender, aboneliğinizde yüksek riskli bir işlemin şüpheli bir çağrı olduğunu belirledi ve bu durum yanal hareket gerçekleştirme girişimine işaret edebilir. Tanımlanan işlemler, yöneticilerin ortamlarını verimli bir şekilde yönetmesine olanak tanıyacak şekilde tasarlanmıştır. Bu etkinlik yasal olsa da, bir tehdit aktörü ortamınızdaki daha fazla kaynağı tehlikeye atmak için bu tür işlemleri kullanabilir. Bu, hesabın gizliliğinin ihlal edildiğini ve kötü amaçlı olarak kullanıldığını gösterebilir.
MITRE taktikleri: Yanal Hareket
Önem Derecesi: Orta
Şüpheli yükseltme erişimi işlemi (Önizleme)(ARM_AnomalousElevateAccess)
Açıklama: Resource Manager için Microsoft Defender şüpheli bir "Erişimi Yükselt" işlemi belirledi. Bu sorumlu nadiren bu tür işlemleri çağırandan etkinlik şüpheli kabul edilir. Bu etkinlik yasal olsa da, bir tehdit aktörü güvenliği aşılmış bir kullanıcı için ayrıcalık yükseltme gerçekleştirmek için "Erişimi Yükselt" işlemini kullanabilir.
MITRE taktikleri: Ayrıcalık Yükseltme
Önem Derecesi: Orta
Yüksek riskli 'Kalıcılık' işleminin şüpheli çağrıları algılandı (Önizleme)
(ARM_AnomalousOperation.Persistence)
Açıklama: Resource Manager için Microsoft Defender, aboneliğinizde yüksek riskli bir işlemin şüpheli bir çağrı olduğunu belirledi ve bu durum kalıcılık oluşturmaya yönelik bir girişim olduğunu gösteriyor olabilir. Tanımlanan işlemler, yöneticilerin ortamlarını verimli bir şekilde yönetmesine olanak tanıyacak şekilde tasarlanmıştır. Bu etkinlik yasal olsa da, bir tehdit aktörü ortamınızda kalıcılık sağlamak için bu tür işlemleri kullanabilir. Bu, hesabın gizliliğinin ihlal edildiğini ve kötü amaçlı olarak kullanıldığını gösterebilir.
MITRE taktikleri: Kalıcılık
Önem Derecesi: Orta
Yüksek riskli 'Ayrıcalık Yükseltme' işleminin şüpheli çağrıları algılandı (Önizleme)
(ARM_AnomalousOperation.PrivilegeEscalation)
Açıklama: Resource Manager için Microsoft Defender, aboneliğinizde yüksek riskli bir işlemin şüpheli bir çağrı olduğunu belirledi ve bu da ayrıcalıkları yükseltme girişimini gösterebilir. Tanımlanan işlemler, yöneticilerin ortamlarını verimli bir şekilde yönetmesine olanak tanıyacak şekilde tasarlanmıştır. Bu etkinlik yasal olsa da, bir tehdit aktörü ortamınızdaki kaynakları tehlikeye atarak ayrıcalıkları yükseltme amacıyla bu tür işlemleri kullanabilir. Bu, hesabın gizliliğinin ihlal edildiğini ve kötü amaçlı olarak kullanıldığını gösterebilir.
MITRE taktikleri: Ayrıcalık Yükseltme
Önem Derecesi: Orta
Rastgele bir kod çalıştırmak veya Azure Otomasyonu hesabı kimlik bilgilerini silmek için MicroBurst yararlanma araç setinin kullanımı
(ARM_MicroBurst.RunCodeOnBehalf)
Açıklama: Aboneliğinizde bir PowerShell betiği çalıştırıldı ve rastgele bir kod yürütmeye veya Azure Otomasyonu hesap kimlik bilgilerini dışarı aktarmaya yönelik şüpheli bir desen gerçekleştirildi. Tehdit aktörleri, kötü amaçlı etkinlikler için rastgele kod çalıştırmak için MicroBurst gibi otomatik betikler kullanır. Bu, aboneliğinizdeki Azure Resource Manager işlemleri çözümlenerek algılandı. Bu işlem, kuruluşunuzdaki bir kimliğin ihlal edildiğine ve tehdit aktörünün kötü amaçlı amaçlar için ortamınızı tehlikeye atmaya çalıştığına işaret edebilir.
MITRE taktikleri: Kalıcılık, Kimlik Bilgisi Erişimi
Önem Derecesi: Yüksek
Azure ortamınızda kalıcılığı korumak için NetSPI tekniklerinin kullanımı
(ARM_NetSPI.MaintainPersistence)
Açıklama: Web kancası arka kapı oluşturmak ve Azure ortamınızda kalıcılığı korumak için NetSPI kalıcılık tekniğinin kullanımı. Bu, aboneliğinizdeki Azure Resource Manager işlemleri çözümlenerek algılandı.
Önem Derecesi: Yüksek
Rastgele bir kod çalıştırmak veya Azure Otomasyonu hesabı kimlik bilgilerini silmek için PowerZure yararlanma araç setinin kullanımı
(ARM_PowerZure.RunCodeOnBehalf)
Açıklama: PowerZure exploitation toolkit, Azure Otomasyonu hesap kimlik bilgilerini çalıştırmaya veya dışarı aktarmaya çalışırken algılandı. Bu, aboneliğinizdeki Azure Resource Manager işlemleri çözümlenerek algılandı.
Önem Derecesi: Yüksek
Azure ortamınızda kalıcılığı korumak için PowerZure işlevinin kullanımı
(ARM_PowerZure.MaintainPersistence)
Açıklama: PowerZure exploitation toolkit, Azure ortamınızda kalıcılığı korumak için bir web kancası arka kapı oluştururken algılandı. Bu, aboneliğinizdeki Azure Resource Manager işlemleri çözümlenerek algılandı.
Önem Derecesi: Yüksek
Şüpheli klasik rol ataması algılandı (Önizleme)
(ARM_AnomalousClassicRoleAssignment)
Açıklama: Resource Manager için Microsoft Defender, kiracınızda şüpheli bir klasik rol ataması tanımladı ve bu, kuruluşunuzdaki bir hesabın gizliliğinin ihlal edildiğine işaret edebilir. Tanımlanan işlemler, artık yaygın olarak kullanılmayan klasik rollerle geriye dönük uyumluluk sağlamak için tasarlanmıştır. Bu etkinlik yasal olsa da, bir tehdit aktörü denetimi altındaki başka bir kullanıcı hesabına izin vermek için bu atamayı kullanabilir.
MITRE taktikleri: Yanal Hareket, Savunma Kaçamak
Önem Derecesi: Yüksek
Not
Önizleme aşamasındaki uyarılar için: Azure Önizleme Ek Koşulları beta, önizleme veya başka bir şekilde genel kullanıma sunulmamış Azure özellikleri için geçerli olan ek yasal koşulları içerir.