你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

安全警报 - 参考指南

本文列出了可能从 Microsoft Defender for Cloud，以及从所启用的任何 Microsoft Defender 计划中获取的安全警报。 环境中显示的警报取决于要保护的资源和服务以及自定义的配置。

本页底部的表描述了与 MITRE ATT&CK 矩阵版本 9 一致的 Microsoft Defender for Cloud 终止链。

了解如何响应这些警报。

了解如何导出警报。

注意

来自不同源的警报可能在不同的时间后出现。 例如，需要分析网络流量的警报的出现时间，可能比虚拟机上运行的可疑进程的相关警报要晚一些。

Windows 计算机警报

除了 Microsoft Defender for Endpoint 提供的检测和警报之外，Microsoft Defender for Servers 计划 2 还提供独特的检测和警报。 为 Windows 计算机提供的警报有：

更多详细信息和说明

检测到来自恶意 IP 的登录。 [出现多次]

说明：帐户[帐户]和进程[进程]的成功远程身份验证发生，但登录 IP 地址（x.x.x.x）以前已报告为恶意或高度异常。 可能已受到攻击。 扩展名为 .scr 的文件是屏幕保护程序文件，通常位于 Windows 系统目录中并从该目录执行。

MITRE 策略： -

严重性：高

已审核自适应应用程序控制策略冲突

VM_AdaptiveApplicationControlWindowsViolationAudited

说明：以下用户在此计算机上运行了违反组织应用程序控制策略的应用程序。 它可能会使计算机面临恶意软件或应用程序漏洞的威胁。

MITRE 策略：执行

严重性：信息性

向本地管理员组添加来宾帐户

说明：主机数据分析检测到将内置来宾帐户添加到 %{Compromised Host} 上的本地管理员istrators 组，该组与攻击者活动密切相关。

MITRE 策略： -

严重性：中等

事件日志被清除

说明：计算机日志指示用户执行的可疑事件日志清除操作：“%{user name}”，计算机： '%{CompromisedEntity}'。 %{log channel} 日志被清除。

MITRE 策略： -

严重性：信息性

反恶意软件操作失败

说明：Microsoft 反恶意软件在对恶意软件或其他可能不需要的软件采取措施时遇到错误。

MITRE 策略： -

严重性：中等

已执行反恶意软件操作

说明：适用于 Azure 的 Microsoft 反恶意软件已采取措施保护此计算机免受恶意软件或其他可能不需要的软件的攻击。

MITRE 策略： -

严重性：中等

虚拟机中的反恶意软件广泛的文件排除

(VM_AmBroadFilesExclusion)

说明：通过分析订阅中的 Azure 资源管理器操作，检测到虚拟机中存在广泛排除规则的反恶意软件扩展中的文件排除。 此类排除实际上禁用了反恶意软件保护。 攻击者可能会在对虚拟机执行的反恶意软件扫描中排除文件，从而在运行任意代码或使用恶意软件感染计算机时防止检测。

MITRE 策略： -

严重性：中等

在虚拟机中禁用了反恶意软件并执行代码

(VM_AmDisablementAndCodeExecution)

说明：在虚拟机上执行代码的同时禁用反恶意软件。 通过分析订阅中的 Azure 资源管理器操作，检测到此情况。 攻击者禁用反恶意软件扫描程序，从而在运行未经授权的工具或使用恶意软件感染计算机时防止检测。

MITRE 策略： -

严重性：高

反恶意软件在虚拟机中已禁用

(VM_AmDisablement)

说明：在虚拟机中禁用反恶意软件。 通过分析订阅中的 Azure 资源管理器操作，检测到此情况。 攻击者可能会在你的虚拟机上禁用反恶意软件以防止检测。

MITRE 策略：防御逃避

严重性：中等

虚拟机中的反恶意软件文件排除和代码执行

(VM_AmFileExclusionAndCodeExecution)

说明：在虚拟机上通过自定义脚本扩展执行代码时，从反恶意软件扫描程序中排除的文件。 通过分析订阅中的 Azure 资源管理器操作，检测到此情况。 攻击者可能会在对虚拟机执行的反恶意软件扫描中排除文件，从而在运行未经授权的工具或使用恶意软件感染计算机时防止检测。

MITRE 策略：防御逃避、执行

严重性：高

虚拟机中的反恶意软件文件排除和代码执行

(VM_AmTempFileExclusionAndCodeExecution)

说明：通过分析订阅中的 Azure 资源管理器操作，在虚拟机中检测到通过自定义脚本扩展并行执行代码的临时文件排除。 攻击者可能会在对虚拟机执行的反恶意软件扫描中排除文件，从而在运行任意代码或使用恶意软件感染计算机时防止检测。

MITRE 策略：防御逃避、执行

严重性：高

虚拟机中的反恶意软件文件排除

(VM_AmTempFileExclusion)

说明：从虚拟机上的反恶意软件扫描程序中排除的文件。 通过分析订阅中的 Azure 资源管理器操作，检测到此情况。 攻击者可能会在对虚拟机执行的反恶意软件扫描中排除文件，从而在运行未经授权的工具或使用恶意软件感染计算机时防止检测。

MITRE 策略：防御逃避

严重性：中等

虚拟机中已禁用反恶意软件实时保护

(VM_AmRealtimeProtectionDisabled)

说明：通过分析订阅中的 Azure 资源管理器操作，在虚拟机中检测到反恶意软件扩展的实时保护禁用。 攻击者可能会在对虚拟机执行的反恶意软件扫描中禁用实时保护，从而在运行任意代码或使用恶意软件感染计算机时避免检测。

MITRE 策略：防御逃避

严重性：中等

虚拟机中暂时禁用了反恶意软件实时保护

(VM_AmTempRealtimeProtectionDisablement)

说明：通过分析订阅中的 Azure 资源管理器 操作，在虚拟机中检测到反恶意软件扩展的实时保护临时禁用。 攻击者可能会在对虚拟机执行的反恶意软件扫描中禁用实时保护，从而在运行任意代码或使用恶意软件感染计算机时避免检测。

MITRE 策略：防御逃避

严重性：中等

在虚拟机中执行代码时，暂时禁用了反恶意软件实时保护

(VM_AmRealtimeProtectionDisablementAndCodeExec)

说明：通过自定义脚本扩展并行对反恶意软件扩展进行实时保护临时禁用，通过分析订阅中的 Azure 资源管理器操作，在虚拟机中检测到代码执行。 攻击者可能会在对虚拟机执行的反恶意软件扫描中禁用实时保护，从而在运行任意代码或使用恶意软件感染计算机时避免检测。

MITRE 策略： -

严重性：高

反恶意软件扫描已被阻止，反恶意软件扫描可找出可能与虚拟机上的恶意软件活动相关的文件（预览）

(VM_AmMalwareCampaignRelatedExclusion)

说明：在虚拟机中检测到排除规则，以防止反恶意软件扩展扫描怀疑与恶意软件活动相关的某些文件。 通过分析订阅中的 Azure 资源管理器操作，检测到了此规则。 攻击者可能会从反恶意软件扫描中排除某些文件，从而在运行任意代码或使用恶意软件感染计算机时防止检测。

MITRE 策略：防御逃避

严重性：中等

反恶意软件在虚拟机中已暂时禁用

(VM_AmTemporarilyDisablement)

说明：在虚拟机中暂时禁用反恶意软件。 通过分析订阅中的 Azure 资源管理器操作，检测到此情况。 攻击者可能会在你的虚拟机上禁用反恶意软件以防止检测。

MITRE 策略： -

严重性：中等

虚拟机中的反恶意软件异常文件排除

(VM_UnusualAmFileExclusion)

说明：通过分析订阅中的 Azure 资源管理器操作，在虚拟机中检测到反恶意软件扩展的异常文件排除。 攻击者可能会在对虚拟机执行的反恶意软件扫描中排除文件，从而在运行任意代码或使用恶意软件感染计算机时防止检测。

MITRE 策略：防御逃避

严重性：中等

与威胁情报识别的可疑域通信

(AzureDNS_ThreatIntelSuspectDomain)

说明：通过分析来自资源的 DNS 事务并与威胁情报源标识的已知恶意域进行比较，检测到与可疑域的通信。 攻击者会频繁执行与恶意域的通信，这样的通信可能意味着你的资源已遭受入侵。

MITRE 策略：初始访问、持久性、执行、命令和控制、利用

严重性：中等

检测到指示禁用和删除 IIS 日志文件的操作

说明：分析主机数据检测到显示 IIS 日志文件被禁用和/或删除的操作。

MITRE 策略： -

严重性：中等

在命令行中检测到大小写字符的异常混用

说明：%{Compromised Host} 上的主机数据分析检测到命令行中大写字符和小写字符的异常混合。 虽然这种模式可能是良性的，但它也是典型的攻击活动，当攻击者在遭到入侵的主机上执行管理任务时，他们会试图借此避开区分大小写或基于哈希的规则匹配。

MITRE 策略： -

严重性：中等

检测到更改了可能被滥用于绕过 UAC 的注册表项

说明：%{Compromised Host} 上的主机数据分析检测到可以滥用以绕过 UAC（用户帐户控制）的注册表项已更改。 虽然这种配置可能是良性的，但它也是典型的攻击活动，在遭到入侵的主机上，攻击者试图借此从非特权（标准用户）访问迁移为特权（例如管理员）访问。

MITRE 策略： -

严重性：中等

检测到使用内置 certutil.exe 工具解码可执行文件

说明：%{Compromised Host} 上的主机数据分析检测到，certutil.exe（内置管理员实用工具）用于解码可执行文件，而不是与操作证书和证书数据相关的主流用途。 我们知道，攻击者可以滥用合法的管理员工具的功能来执行恶意操作，例如，使用 certutil.exe 之类的工具来解码恶意的可执行文件，随后执行该文件。

MITRE 策略： -

严重性：高

检测到启用 WDigest UseLogonCredential 注册表项

说明：分析主机数据检测到注册表项 HKLM\SYSTEM\ CurrentControlSet\Control\SecurityProviders\WDigest\ “UseLogonCredential” 中的更改。 具体而言，此注册表项已更新为允许采用明文形式在 LSA 内存中存储登录凭据。 启用后，攻击者可以使用 Mimikatz 等凭据捕获工具从 LSA 内存中转储明文密码。

MITRE 策略： -

严重性：中等

在命令行数据中检测到编码的可执行文件

说明：%{Compromised Host} 上的主机数据分析检测到 base-64 编码的可执行文件。 此警报之前与攻击者的以下行为相关：试图通过一系列命令动态构造可执行文件，以及试图通过确保任何单个命令都不会触发警报来避开入侵检测系统。 这可能是合法活动，也可能指示主机遭到入侵。

MITRE 策略： -

严重性：高

检测到混淆的命令行

说明：攻击者使用越来越复杂的模糊处理技术来逃避针对基础数据运行的检测。 %{Compromised Host} 上的主机数据分析检测到与命令行混淆有关的可疑指标。

MITRE 策略： -

严重性：信息性

检测到可能执行了 keygen 可执行文件

说明：%{Compromised Host} 上的主机数据分析检测到执行其名称指示 keygen 工具的进程;此类工具通常用于破坏软件许可机制，但其下载通常与其他恶意软件捆绑在一起。 我们知道，活动组 GOLD 会利用此类 keygen 偷偷获取对其入侵的主机的后门访问权限。

MITRE 策略： -

严重性：中等

检测到可能执行了植入程序这种恶意软件

说明：%{Compromised Host} 上的主机数据分析检测到以前与活动组 GOLD 在受害者主机上安装恶意软件的方法之一相关联的文件名。

MITRE 策略： -

严重性：高

检测到可能存在本地侦查活动

说明：%{Compromised Host} 上的主机数据分析检测到以前与执行侦察活动的活动组 GOLD 方法之一关联的 systeminfo 命令的组合。 虽然“systeminfo.exe”是合法的 Windows 工具，但此处这样的使用方式（即连续执行该工具两次）是很罕见的。

MITRE 策略： -

严重性：低

检测到可疑的 Telegram 工具使用方式

说明：主机数据分析显示安装 Telegram，这是一种适用于移动和桌面系统的免费基于云的即时消息服务。 我们知道，攻击者会滥用此服务将恶意二进制文件传输到任何其他计算机、手机或平板电脑。

MITRE 策略： -

严重性：中等

检测到禁止向登录用户显示法律声明

说明：%{Compromised Host} 上的主机数据分析检测到对注册表项的更改，用于控制用户登录时是否向用户显示法律通知。 Microsoft 安全分析已判定这是攻击者在入侵主机后进行的常见活动。

MITRE 策略： -

严重性：低

检测到 HTA 和 PowerShell 的可疑组合

说明：mshta.exe（Microsoft HTML 应用程序主机），攻击者正使用签名的 Microsoft 二进制文件来启动恶意 PowerShell 命令。 攻击者通常使用带有内联 VBScript 的 HTA 文件。 当受害者浏览到 HTA 文件并选择运行它时，将执行其中包含的 PowerShell 命令和脚本。 %{Compromised Host} 上的主机数据分析检测到 mshta.exe 正在启动 PowerShell 命令。

MITRE 策略： -

严重性：中等

检测到可疑的命令行参数

说明：%{Compromised Host} 上的主机数据分析检测到已与活动组 HYDROGEN 使用的反向 shell 一起使用的可疑命令行参数。

MITRE 策略： -

严重性：高

检测到用于启动目录中的所有可执行文件的可疑命令行

说明：主机数据分析检测到 %{Compromised Host} 上运行的可疑进程。 命令行指示尝试启动可能驻留在目录中的所有可执行文件（*.exe）。 这可能指示主机遭到入侵。

MITRE 策略： -

严重性：中等

在命令行中检测到可疑凭据

说明：%{Compromised Host} 上的主机数据分析检测到活动组 BORON 使用可疑密码执行文件。 我们知道，此活动组使用此密码在受害主机上执行 Pirpi 恶意软件。

MITRE 策略： -

严重性：高

检测到可疑文档凭据

说明：%{Compromised Host} 上的主机数据分析检测到恶意软件用于执行文件的可疑的常见预计算密码哈希。 我们知道，活动组 HYDROGEN 使用此密码在受害主机上执行恶意软件。

MITRE 策略： -

严重性：高

检测到执行 VBScript.Encode 命令的方式可疑

说明：%{Compromised Host} 上的主机数据分析检测到 VBScript.Encode 命令的执行。 这会将脚本编码为不可读文本，增加用户检查代码的难度。 Microsoft 威胁研究表明，攻击者通常会在攻击过程中使用编码的 VBscript 文件来避开检测系统。 这可能是合法活动，也可能指示主机遭到入侵。

MITRE 策略： -

严重性：中等

检测到通过 rundll32.exe 执行的可疑操作

说明：%{Compromised Host} 上的主机数据分析检测到rundll32.exe用于执行具有不常见名称的进程，这与活动组 GOLD 以前在受损主机上安装其第一阶段植入物时使用的进程命名方案一致。

MITRE 策略： -

严重性：高

检测到可疑的文件清除命令

说明：%{Compromised Host} 上的主机数据分析检测到以前与活动组 GOLD 执行入侵后自我清理活动的方法之一关联的 systeminfo 命令的组合。 虽然“systeminfo.exe”是合法的 Windows 工具，但此处这样的使用方式（即连续执行该工具两次，然后使用删除命令）是很罕见的。

MITRE 策略： -

严重性：高

检测到可疑的文件创建操作

说明：分析 %{Compromised Host} 上的主机数据检测到创建或执行之前指示活动组 BARIUM 对受害者主机采取的入侵后操作的进程。 我们知道，此活动组使用此方法在用户打开网络钓鱼文档中的某个附件后将其他恶意软件下载到遭到入侵的主机。

MITRE 策略： -

严重性：高

检测到可疑的命名管道通信

说明：分析 %{Compromised Host} 上的主机数据检测到从 Windows 控制台命令写入本地命名管道的数据。 我们知道，攻击者可以通过命名管道为恶意植入软件分配任务以及与恶意植入软件通信。 这可能是合法活动，也可能指示主机遭到入侵。

MITRE 策略： -

严重性：高

检测到可疑的网络活动

说明：分析来自 %{Compromised Host} 的网络流量检测到可疑网络活动。 虽然此类流量可能是良性的，但攻击者通常使用它与恶意服务器通信，以进行工具下载、命令和控制以及数据外泄。 典型的相关攻击者活动包括将远程管理工具复制到遭到入侵的主机，并从中外泄用户数据。

MITRE 策略： -

严重性：低

检测到可疑的新防火墙规则

说明：检测到新的防火墙规则的主机数据分析已通过netsh.exe添加，以允许来自可疑位置的可执行文件的流量。

MITRE 策略： -

严重性：中等

检测到使用 Cacls 来降低系统安全状态的可疑行为

说明：攻击者使用暴力破解、长矛网络钓鱼等无数方法实现初始入侵，并获取网络上的立足点。 一旦完成初始入侵，他们通常就会采取措施来降低系统的安全设置级别。 更改访问控制列表的缩写是 Microsoft Windows 本机命令行实用工具，通常用于修改文件夹和文件的安全权限。 攻击者很多时候会使用二进制文件来降低系统的安全设置级别。 他们通过授予所有人对部分系统二进制文件（例如 ftp.exe、net.exe、wscript.exe 等）的完全访问权限来实现此目的。%{Compromised Host} 上的主机数据分析检测到使用 Cacls 降低系统安全设置级别的可疑行为。

MITRE 策略： -

严重性：中等

检测到可疑的 FTP -s 开关使用方式

说明：分析来自 %{Compromised Host} 的进程创建数据检测到使用 FTP“-s：filename”开关。 此开关用于指定客户端要运行的 FTP 脚本文件。 我们知道，恶意软件或恶意进程会使用此 FTP 开关 (-s:filename) 指向配置为连接到远程 FTP 服务器并下载更多恶意二进制文件的脚本文件。

MITRE 策略： -

严重性：中等

检测到使用 Pcalua.exe 启动可执行代码的可疑行为

说明：%{Compromised Host} 上的主机数据分析检测到使用pcalua.exe启动可执行代码。 Pcalua.exe 是 Microsoft Windows“程序兼容性助手”的组件，可在程序安装或执行过程中检测兼容性问题。 我们知道，攻击者会滥用合法 Windows 系统工具的功能来执行恶意操作，例如，将 pcalua.exe 与 -a 开关配合使用，以在本地或从远程共享启动恶意可执行文件。

MITRE 策略： -

严重性：中等

检测到关键服务被禁用

说明：%{Compromised Host} 上的主机数据分析检测到执行“net.exe stop”命令，用于停止 SharedAccess 或 Windows 安全 应用等关键服务。 停止其中任何一项服务都可能指示存在恶意行为。

MITRE 策略： -

严重性：中等

检测到数字货币挖掘相关行为

说明：%{Compromised Host} 上的主机数据分析检测到执行通常与数字签名挖掘关联的进程或命令。

MITRE 策略： -

严重性：高

动态构造 PS 脚本

说明：%{Compromised Host} 上的主机数据分析检测到正在动态构造的 PowerShell 脚本。 攻击者有时会使用这种逐步生成脚本的方法来避开 IDS 系统。 这可能是合法活动，也可能指示某台计算机已遭到入侵。

MITRE 策略： -

严重性：中等

检测到可执行文件正在从可疑位置运行

说明：主机数据分析检测到 %{Compromised Host} 上的可执行文件，该文件是从已知可疑文件通用位置运行的。 此可执行文件可能是合法活动，也可能指示主机遭到入侵。

MITRE 策略： -

严重性：高

检测到无文件攻击行为

(VM_FilelessAttackBehavior.Windows)

说明：指定的进程的内存包含无文件攻击常用的行为。 具体行为包括：

1. Shellcode，这是一小段代码，通常用作利用软件漏洞时的有效负载。
2. 活动网络连接。 有关详细信息，请参阅下面的“网络连接”。
3. 对安全敏感操作系统接口的函数调用。 有关引用的 OS 功能，请参阅下面的“功能”。
4. 包含一个在动态分配的代码段中启动的线程。 这是进程注入攻击的常见模式。

MITRE 策略：防御逃避

严重性：低

检测到无文件攻击技术

(VM_FilelessAttackTechnique.Windows)

说明：下面指定的进程的内存包含无文件攻击技术的证据。 攻击者使用无文件攻击来执行代码，同时避开安全软件的检测。 具体行为包括：

1. Shellcode，这是一小段代码，通常用作利用软件漏洞时的有效负载。
2. 注入进程的可执行映像，例如在代码注入攻击中。
3. 活动网络连接。 有关详细信息，请参阅下面的“网络连接”。
4. 对安全敏感操作系统接口的函数调用。 有关引用的 OS 功能，请参阅下面的“功能”。
5. 进程空心，这是恶意软件使用的技术，在该技术中加载合法进程以充当恶意代码的容器。
6. 包含一个在动态分配的代码段中启动的线程。 这是进程注入攻击的常见模式。

MITRE 策略：防御逃避、执行

严重性：高

检测到无文件攻击工具包

(VM_FilelessAttackToolkit.Windows)

说明：指定的进程的内存包含无文件攻击工具包：[工具包名称]。 无文件攻击工具包使用的方法可最大程度减少或消除磁盘上恶意软件的痕迹，并大幅降低基于磁盘的恶意软件扫描解决方案检测到它们的几率。 具体行为包括：

1. 众所周知的工具包和加密挖掘软件。
2. Shellcode，这是一小段代码，通常用作利用软件漏洞时的有效负载。
3. 在进程内存中注入了恶意可执行文件。

MITRE 策略：防御逃避、执行

严重性：中等

检测到高风险软件

说明：分析来自 %{Compromised Host} 的主机数据检测到过去与安装恶意软件相关的软件的使用。 在恶意软件分发过程中，攻击者使用的一种常用方法是将其打包在其他良性工具中，如此警报中所示。 使用这些工具时，恶意软件可以在后台无提示安装。

MITRE 策略： -

严重性：中等

已枚举本地管理员组成员

说明：计算机日志指示组 %{Enumerated Group Domain Name}%{Enumerated Group Name} 上的成功枚举。 具体而言，%{Enumerating User Domain Name}%{Enumerating User Name} 远程枚举了 %{Enumerated Group Domain Name}%{Enumerated Group Name} 组的成员。 此活动可能是合法活动，也可能指示组织中的某台计算机已遭到入侵并被用于侦查 %{vmname}。

MITRE 策略： -

严重性：信息性

ZINC 服务器植入软件创建了恶意防火墙规则[出现多次]

说明：防火墙规则是使用与已知参与者锌匹配的技术创建的。 该规则可能已用于打开 %{Compromised Host} 上的端口，以允许进行命令和控制通信。 今天在下列计算机上出现了 [x] 次此行为：[Machine names]

MITRE 策略： -

严重性：高

恶意 SQL 活动

说明：计算机日志指示“%{进程名称}”是由帐户：%{用户名}执行的。 此活动被视为恶意活动。

MITRE 策略： -

严重性：高

查询了多个域帐户

说明：主机数据分析已确定在短时间内从 %{Compromised Host} 查询不同域帐户的异常数量。 这种活动可能是合法活动，但也可能指示系统已遭到入侵。

MITRE 策略： -

严重性：中等

检测到可能存在凭据转储活动[出现多次]

说明：主机数据分析检测到使用本机 Windows 工具（例如，sqldumper.exe）以允许从内存中提取凭据的方式使用。 攻击者通常会使用这些方法来提取凭据，这些凭据随后会进一步用于横向移动和特权提升。 今天在下列计算机上出现了 [x] 次此行为：[Machine names]

MITRE 策略： -

严重性：中等

检测到可能尝试绕过 AppLocker 的行为

说明：%{Compromised Host} 上的主机数据分析检测到可能尝试绕过 AppLocker 限制。 可以配置 AppLocker 以实现限制策略，对可在 Windows 系统上运行的可执行文件进行限制。 与此警报中确定的命令行模式类似的模式之前与攻击者的以下行为相关：通过使用受信任的可执行文件（AppLocker 策略允许）来执行不受信任的代码，从而尝试绕过 AppLocker 策略。 这可能是合法活动，也可能指示主机遭到入侵。

MITRE 策略： -

严重性：高

已执行罕见的 SVCHOST 服务组

(VM_SvcHostRunInRareServiceGroup)

说明：观察到系统进程 SVCHOST 正在运行罕见的服务组。 恶意软件通常使用 SVCHOST 来掩饰恶意活动。

MITRE 策略：防御逃避、执行

严重性：信息性

检测到粘滞键攻击

说明：主机数据分析表明攻击者可能会颠覆辅助功能二进制文件（例如粘滞键、屏幕键盘、讲述人），以便向主机 %{Compromised Host} 提供后门访问权限。

MITRE 策略： -

严重性：中等

成功的暴力攻击

(VM_LoginBruteForceSuccess)

说明：从同一源检测到多次登录尝试。 其中一些已成功通过主机身份验证。 这类似于突发攻击，攻击者会尝试多次进行身份验证以找到有效帐户凭据。

MITRE 策略：利用

严重性：中/高

指示 RDP 劫持的可疑完整性级别

说明：主机数据分析检测到使用 SYSTEM 特权运行的tscon.exe - 这可以表明攻击者滥用此二进制文件，以便将此主机上的任何其他登录用户切换上下文;这是一种已知的攻击者技术，可以入侵更多用户帐户，并横向跨网络移动。

MITRE 策略： -

严重性：中等

可疑的服务安装

说明：主机数据分析检测到安装tscon.exe即服务：此二进制文件作为服务启动可能会让攻击者通过劫持 RDP 连接轻松切换到此主机上的任何其他已登录用户;这是一种已知的攻击者技术，可以入侵更多用户帐户并横向跨网络移动。

MITRE 策略： -

严重性：中等

观察到可疑的 Kerberos 黄金票证攻击参数

说明：分析检测到的命令行参数与 Kerberos 黄金票证攻击一致。

MITRE 策略： -

严重性：中等

检测到可疑的帐户创建操作

说明：%{Compromised Host} 上的主机数据分析检测到创建或使用本地帐户 %{可疑帐户名} ：此帐户名称与标准 Windows 帐户或组名称“%{类似帐户名称}”非常相似。 这可能是攻击者创建的恶意帐户，使用此命名方式的目的在于不让人工管理员注意到。

MITRE 策略： -

严重性：中等

检测到可疑活动

(VM_SuspiciousActivity)

说明：主机数据分析检测到在 %{machine name} 上运行的一个或多个进程序列，这些进程以前与恶意活动相关联。 虽然单个命令可能看起来是良性的，但警报会根据这些命令的聚合进行评分。 这可能是合法活动，也可能指示主机遭到入侵。

MITRE 策略：执行

严重性：中等

可疑的身份验证活动

(VM_LoginBruteForceValidUserFailed)

说明：虽然其中没有成功，但其中一些已使用帐户被主机识别。 这类似于字典攻击，在这种攻击中，攻击者使用由预定义的帐户名和密码构成的字典执行大量身份验证尝试操作，以便找出有效凭据来访问主机。 这指示某些主机帐户名可能存在于某个流传甚广的帐户名字典中。

MITRE 策略：探测

严重性：中等

检测到可疑的代码段

说明：指示已使用非标准方法（如反射注入和进程空心）分配代码段。 警报提供该代码段的其他特征，这些特征已经过处理，可提供所报告代码段的功能和行为的上下文。

MITRE 策略： -

严重性：中等

执行了可疑的双扩展名文件

说明：主机数据分析表示执行具有可疑双重扩展的进程。 此扩展可能会诱使用户能够安全地打开文件，并可能指示系统上存在恶意软件。

MITRE 策略： -

严重性：高

检测到使用 Certutil 进行可疑下载[出现多次]

说明：%{Compromised Host} 上的主机数据分析检测到使用certutil.exe（内置管理员实用工具）下载二进制文件，而不是与操作证书和证书数据相关的主流用途。 我们知道，攻击者会滥用合法管理员工具的功能来执行恶意操作，例如，使用 certutil.exe 来下载和解码恶意的可执行文件，随后执行该文件。 今天在下列计算机上出现了 [x] 次此行为：[Machine names]

MITRE 策略： -

严重性：中等

检测到使用 Certutil 进行可疑下载

说明：%{Compromised Host} 上的主机数据分析检测到使用certutil.exe（内置管理员实用工具）下载二进制文件，而不是与操作证书和证书数据相关的主流用途。 我们知道，攻击者会滥用合法管理员工具的功能来执行恶意操作，例如，使用 certutil.exe 来下载和解码恶意的可执行文件，随后执行该文件。

MITRE 策略： -

严重性：中等

检测到可疑的 PowerShell 活动

说明：分析主机数据检测到在 %{Compromised Host} 上运行的 PowerShell 脚本，该脚本具有已知可疑脚本的常见功能。 此脚本可能是合法活动，也可能指示主机遭到入侵。

MITRE 策略： -

严重性：高

执行了可疑的 PowerShell cmdlet

说明：主机数据分析指示执行已知的恶意 PowerShell PowerSploit cmdlet。

MITRE 策略： -

严重性：中等

执行了可疑进程[出现多次]

说明：计算机日志指示可疑进程：“%{可疑进程}”正在计算机上运行，通常与攻击者尝试访问凭据相关联。 今天在下列计算机上出现了 [x] 次此行为：[Machine names]

MITRE 策略： -

严重性：高

执行了可疑进程

说明：计算机日志指示可疑进程：“%{可疑进程}”正在计算机上运行，通常与攻击者尝试访问凭据相关联。

MITRE 策略： -

严重性：高

检测到可疑的进程名称[出现多次]

说明：%{Compromised Host} 上的主机数据分析检测到一个名称可疑的进程，例如，与已知的攻击者工具相对应，或者以暗示攻击者工具（试图在明目中隐藏）的方式命名。 此进程可能是合法活动，也可能指示某台计算机已遭到入侵。 今天在下列计算机上出现了 [x] 次此行为：[Machine names]

MITRE 策略： -

严重性：中等

检测到可疑的进程名称

说明：%{Compromised Host} 上的主机数据分析检测到一个名称可疑的进程，例如，与已知的攻击者工具相对应，或者以暗示攻击者工具（试图在明目中隐藏）的方式命名。 此进程可能是合法活动，也可能指示某台计算机已遭到入侵。

MITRE 策略： -

严重性：中等

可疑的 SQL 活动

说明：计算机日志指示“%{进程名称}”是由帐户：%{用户名}执行的。 此活动在此帐户中不常见。

MITRE 策略： -

严重性：中等

执行了可疑的 SVCHOST 进程

说明：系统进程 SVCHOST 观察到在异常上下文中运行。 恶意软件通常使用 SVCHOST 来掩饰恶意活动。

MITRE 策略： -

严重性：高

执行了可疑的系统进程

(VM_SystemProcessInAbnormalContext)

说明：观察到系统进程 %{process name} 在异常上下文中运行。 恶意软件通常使用此进程名称来掩饰恶意活动。

MITRE 策略：防御逃避、执行

严重性：高

可疑的卷影复制活动

说明：主机数据分析检测到资源上的卷影复制删除活动。 卷影复制 (VSC) 是重要的项目，用于存储数据快照。 某些恶意软件，尤其是勒索软件，会针对 VSC 以破坏备份策略。

MITRE 策略： -

严重性：高

检测到可疑的 WindowPosition 注册表值

说明：%{Compromised Host} 上的主机数据分析检测到尝试的 WindowPosition 注册表配置更改，该更改可能指示在桌面的不可见部分中隐藏应用程序窗口。 这可能是合法活动，也可能指示计算机遭到入侵：此类活动与之前已知的广告软件或不需要的软件（例如 Win32/OneSystemCare 和 Win32/SystemHealer）以及恶意软件（例如 Win32/Creprote）相关。 当 WindowPosition 值设置为 201329664 时（十六进制值：0x0c00 0c00，即 X 轴 = 0c00，Y 轴 = 0c00），这会将控制台应用的窗口置于用户屏幕中的不可见的部分，该区域隐藏在可见的“开始”菜单/任务栏下。 已知可疑的 Hex 值包括但不限于 c000c000。

MITRE 策略： -

严重性：低

检测到名称可疑的进程

说明：%{Compromised Host} 上的主机数据分析检测到一个进程的名称与非常常见的运行进程（%{与进程名称相似）不同。 尽管此进程可能是良性的，但我们知道，攻击者有时会将恶意工具命名为与合法进程的名称相似，从而在众目睽睽之下隐藏。

MITRE 策略： -

严重性：中等

虚拟机中的异常配置重置

(VM_VMAccessUnusualConfigReset)

说明：通过分析订阅中的 Azure 资源管理器操作，在虚拟机中检测到异常的配置重置。 虽然此操作可能是合法的，但攻击者可以尝试利用 VM 访问扩展重置虚拟机中的配置并将其泄露。

MITRE 策略：凭据访问

严重性：中等

检测到异常的进程执行活动

说明：%{Compromised Host} 上的主机数据分析检测到 %{User Name} 执行异常的进程。 %{用户名} 等帐户往往执行有限的一组操作，此执行确定为字符不足，可能可疑。

MITRE 策略： -

严重性：高

虚拟机中的异常用户密码重置

(VM_VMAccessUnusualPasswordReset)

说明：通过分析订阅中的 Azure 资源管理器操作，在虚拟机中检测到异常的用户密码重置。 虽然此操作可能是合法的，但攻击者可以尝试利用 VM 访问扩展重置虚拟机中本地用户的凭据并遭到入侵。

MITRE 策略：凭据访问

严重性：中等

虚拟机中的异常用户 SSH 密钥重置

(VM_VMAccessUnusualSSHReset)

说明：通过分析订阅中的 Azure 资源管理器操作，在虚拟机中检测到异常的用户 SSH 密钥重置。 虽然此操作可能是合法的，但攻击者可以尝试利用 VM 访问扩展来重置虚拟机中用户帐户的 SSH 密钥并将其泄露。

MITRE 策略：凭据访问

严重性：中等

检测到 VBScript HTTP 对象分配活动

说明：检测到使用命令提示符创建 VBScript 文件。 以下脚本包含 HTTP 对象分配命令。 此操作可能被用于下载恶意文件。

虚拟机中 GPU 扩展的可疑安装（预览版）

(VM_GPUDriverExtensionUnusualExecution)

说明：通过分析订阅中的 Azure 资源管理器 操作，在虚拟机中检测到 GPU 扩展的可疑安装。 攻击者可能会使用 GPU 驱动程序扩展通过 Azure 资源管理器在虚拟机上安装 GPU 驱动程序，以执行加密劫持。

MITRE 策略：影响

严重性：低

Linux 计算机警报

除了 Microsoft Defender for Endpoint 提供的检测和警报之外，Microsoft Defender for Servers 计划 2 还提供独特的检测和警报。 为 Linux 计算机提供的警报有：

更多详细信息和说明

历史记录文件已被清除

说明：主机数据分析表明命令历史记录日志文件已被清除。 攻击者可能会执行此操作来掩盖其跟踪。 操作由用户“%{user name}”执行。

MITRE 策略： -

严重性：中等

已审核自适应应用程序控制策略冲突

（VM_AdaptiveApplicationControlLinuxViolationAudited）

说明：以下用户在此计算机上运行了违反组织应用程序控制策略的应用程序。 它可能会使计算机面临恶意软件或应用程序漏洞的威胁。

MITRE 策略：执行

严重性：信息性

虚拟机中的反恶意软件广泛的文件排除

(VM_AmBroadFilesExclusion)

说明：通过分析订阅中的 Azure 资源管理器操作，检测到虚拟机中存在广泛排除规则的反恶意软件扩展中的文件排除。 此类排除实际上禁用了反恶意软件保护。 攻击者可能会在对虚拟机执行的反恶意软件扫描中排除文件，从而在运行任意代码或使用恶意软件感染计算机时防止检测。

MITRE 策略： -

严重性：中等

在虚拟机中禁用了反恶意软件并执行代码

(VM_AmDisablementAndCodeExecution)

说明：在虚拟机上执行代码的同时禁用反恶意软件。 通过分析订阅中的 Azure 资源管理器操作，检测到此情况。 攻击者禁用反恶意软件扫描程序，从而在运行未经授权的工具或使用恶意软件感染计算机时防止检测。

MITRE 策略： -

严重性：高

反恶意软件在虚拟机中已禁用

(VM_AmDisablement)

说明：在虚拟机中禁用反恶意软件。 通过分析订阅中的 Azure 资源管理器操作，检测到此情况。 攻击者可能会在你的虚拟机上禁用反恶意软件以防止检测。

MITRE 策略：防御逃避

严重性：中等

虚拟机中的反恶意软件文件排除和代码执行

(VM_AmFileExclusionAndCodeExecution)

说明：在虚拟机上通过自定义脚本扩展执行代码时，从反恶意软件扫描程序中排除的文件。 通过分析订阅中的 Azure 资源管理器操作，检测到此情况。 攻击者可能会在对虚拟机执行的反恶意软件扫描中排除文件，从而在运行未经授权的工具或使用恶意软件感染计算机时防止检测。

MITRE 策略：防御逃避、执行

严重性：高

虚拟机中的反恶意软件文件排除和代码执行

(VM_AmTempFileExclusionAndCodeExecution)

说明：通过分析订阅中的 Azure 资源管理器操作，在虚拟机中检测到通过自定义脚本扩展并行执行代码的临时文件排除。 攻击者可能会在对虚拟机执行的反恶意软件扫描中排除文件，从而在运行任意代码或使用恶意软件感染计算机时防止检测。

MITRE 策略：防御逃避、执行

严重性：高

虚拟机中的反恶意软件文件排除

(VM_AmTempFileExclusion)

说明：从虚拟机上的反恶意软件扫描程序中排除的文件。 通过分析订阅中的 Azure 资源管理器操作，检测到此情况。 攻击者可能会在对虚拟机执行的反恶意软件扫描中排除文件，从而在运行未经授权的工具或使用恶意软件感染计算机时防止检测。

MITRE 策略：防御逃避

严重性：中等

虚拟机中已禁用反恶意软件实时保护

(VM_AmRealtimeProtectionDisabled)

说明：通过分析订阅中的 Azure 资源管理器操作，在虚拟机中检测到反恶意软件扩展的实时保护禁用。 攻击者可能会在对虚拟机执行的反恶意软件扫描中禁用实时保护，从而在运行任意代码或使用恶意软件感染计算机时避免检测。

MITRE 策略：防御逃避

严重性：中等

虚拟机中暂时禁用了反恶意软件实时保护

(VM_AmTempRealtimeProtectionDisablement)

说明：通过分析订阅中的 Azure 资源管理器 操作，在虚拟机中检测到反恶意软件扩展的实时保护临时禁用。 攻击者可能会在对虚拟机执行的反恶意软件扫描中禁用实时保护，从而在运行任意代码或使用恶意软件感染计算机时避免检测。

MITRE 策略：防御逃避

严重性：中等

在虚拟机中执行代码时，暂时禁用了反恶意软件实时保护

(VM_AmRealtimeProtectionDisablementAndCodeExec)

说明：通过自定义脚本扩展并行对反恶意软件扩展进行实时保护临时禁用，通过分析订阅中的 Azure 资源管理器操作，在虚拟机中检测到代码执行。 攻击者可能会在对虚拟机执行的反恶意软件扫描中禁用实时保护，从而在运行任意代码或使用恶意软件感染计算机时避免检测。

MITRE 策略： -

严重性：高

反恶意软件扫描已被阻止，反恶意软件扫描可找出可能与虚拟机上的恶意软件活动相关的文件（预览）

(VM_AmMalwareCampaignRelatedExclusion)

说明：在虚拟机中检测到排除规则，以防止反恶意软件扩展扫描怀疑与恶意软件活动相关的某些文件。 通过分析订阅中的 Azure 资源管理器操作，检测到了此规则。 攻击者可能会从反恶意软件扫描中排除某些文件，从而在运行任意代码或使用恶意软件感染计算机时防止检测。

MITRE 策略：防御逃避

严重性：中等

反恶意软件在虚拟机中已暂时禁用

(VM_AmTemporarilyDisablement)

说明：在虚拟机中暂时禁用反恶意软件。 通过分析订阅中的 Azure 资源管理器操作，检测到此情况。 攻击者可能会在你的虚拟机上禁用反恶意软件以防止检测。

MITRE 策略： -

严重性：中等

虚拟机中的反恶意软件异常文件排除

(VM_UnusualAmFileExclusion)

说明：通过分析订阅中的 Azure 资源管理器操作，在虚拟机中检测到反恶意软件扩展的异常文件排除。 攻击者可能会在对虚拟机执行的反恶意软件扫描中排除文件，从而在运行任意代码或使用恶意软件感染计算机时防止检测。

MITRE 策略：防御逃避

严重性：中等

检测到与勒索软件类似的行为[出现多次]

说明：%{Compromised Host} 上的主机数据分析检测到执行与已知勒索软件相似的文件，从而阻止用户访问其系统或个人文件，并要求赎金付款才能重新获得访问权限。 今天在下列计算机上出现了 [x] 次此行为：[Machine names]

MITRE 策略： -

严重性：高

与威胁情报识别的可疑域通信

(AzureDNS_ThreatIntelSuspectDomain)

说明：通过分析来自资源的 DNS 事务并与威胁情报源标识的已知恶意域进行比较，检测到与可疑域的通信。 攻击者会频繁执行与恶意域的通信，这样的通信可能意味着你的资源已遭受入侵。

MITRE 策略：初始访问、持久性、执行、命令和控制、利用

严重性：中等

检测到带有挖掘器映像的容器

(VM_MinerInContainerImage)

说明：计算机日志指示运行与数字签名挖掘关联的映像的 Docker 容器的执行。

MITRE 策略：执行

严重性：高

在命令行中检测到大小写字符的异常混用

说明：%{Compromised Host} 上的主机数据分析检测到命令行中大写字符和小写字符的异常混合。 虽然这种模式可能是良性的，但它也是典型的攻击活动，当攻击者在遭到入侵的主机上执行管理任务时，他们会试图借此避开区分大小写或基于哈希的规则匹配。

MITRE 策略： -

严重性：中等

检测到来自已知恶意来源的文件下载

说明：主机数据分析检测到从 %{Compromised Host} 上的已知恶意软件源下载文件。

MITRE 策略： -

严重性：中等

检测到可疑的网络活动

说明：分析来自 %{Compromised Host} 的网络流量检测到可疑网络活动。 虽然此类流量可能是良性的，但攻击者通常使用它与恶意服务器通信，以进行工具下载、命令和控制以及数据外泄。 典型的相关攻击者活动包括将远程管理工具复制到遭到入侵的主机，并从中外泄用户数据。

MITRE 策略： -

严重性：低

检测到数字货币挖掘相关行为

说明：%{Compromised Host} 上的主机数据分析检测到执行通常与数字签名挖掘关联的进程或命令。

MITRE 策略： -

严重性：高

审核日志记录被禁用[出现多次]

说明：Linux 审核系统提供了一种方法来跟踪系统上的安全相关信息。 它尽可能多地记录系统事件的相关信息。 禁用审核日志记录可能妨碍系统安全策略违反行为的发现。 今天在下列计算机上出现了 [x] 次此行为：[Machine names]

MITRE 策略： -

严重性：低

利用 Xorg 漏洞[出现多次]

说明：%{Compromised Host} 上的主机数据分析检测到 Xorg 的用户具有可疑参数。 攻击者可能会在特权升级尝试中使用此方法。 今天在下列计算机上出现了 [x] 次此行为：[Machine names]

MITRE 策略： -

严重性：中等

失败的 SSH 暴力攻击

(VM_SshBruteForceFailed)

说明：从以下攻击者检测到失败的暴力攻击： %{Attackers}。 攻击者尝试使用以下用户名访问主机：%{Accounts used on failed sign in to host attempts}。

MITRE 策略：探测

严重性：中等

检测到无文件攻击行为

(VM_FilelessAttackBehavior.Linux)

说明：下面指定的进程的内存包含无文件攻击常用的行为。 具体行为包括：{list of observed behaviors}

MITRE 策略：执行

严重性：低

检测到无文件攻击技术

(VM_FilelessAttackTechnique.Linux)

说明：下面指定的进程的内存包含无文件攻击技术的证据。 攻击者使用无文件攻击来执行代码，同时避开安全软件的检测。 具体行为包括：{list of observed behaviors}

MITRE 策略：执行

严重性：高

检测到无文件攻击工具包

(VM_FilelessAttackToolkit.Linux)

说明：下面指定的进程的内存包含无文件攻击工具包：{ToolKitName}。 无文件攻击工具包通常不存在于文件系统中，因此难以使用传统防病毒软件进行检测。 具体行为包括：{list of observed behaviors}

MITRE 策略：防御逃避、执行

严重性：高

检测到隐藏文件执行活动

说明：主机数据分析表明隐藏文件是由 %{user name} 执行的。 此活动可能是合法活动，也可能指示主机遭到入侵。

MITRE 策略： -

严重性：信息性

添加了新的 SSH 密钥[出现多次]

(VM_SshKeyAddition)

说明：已将新的 SSH 密钥添加到授权密钥文件中。 今天在下列计算机上出现了 [x] 次此行为：[Machine names]

MITRE 策略：持久性

严重性：低

添加了新的 SSH 密钥

说明：已将新的 SSH 密钥添加到授权密钥文件中。

MITRE 策略： -

严重性：低

检测到可能存在后门[出现多次]

说明：主机数据分析检测到正在下载的可疑文件，然后在订阅中的 %{Compromised Host} 上运行。 此活动之前与后门安装关联。 今天在下列计算机上出现了 [x] 次此行为：[Machine names]

MITRE 策略： -

严重性：中等

检测到邮件服务器可能被利用

(VM_MailserverExploitation)

说明：%{Compromised Host} 上的主机数据分析检测到邮件服务器帐户下异常执行

MITRE 策略：利用

严重性：中等

检测到可能存在恶意的 Web shell

说明：%{Compromised Host} 上的主机数据分析检测到可能的 Web shell。 攻击者通常会将 Web shell 上传到入侵的计算机以实现持久性，从而进一步加以利用。

MITRE 策略： -

严重性：中等

检测到可能有人使用 crypt 方法更改密码[出现多次]

说明：使用 crypt 方法分析 %{Compromised Host} 上的主机数据检测到密码更改。 攻击者可能会为了继续访问并在入侵后实现持久性而进行此更改。 今天在下列计算机上出现了 [x] 次此行为：[Machine names]

MITRE 策略： -

严重性：中等

检测到与数字货币挖掘关联的进程[出现多次]

说明：%{Compromised Host} 上的主机数据分析检测到执行通常与数字签名挖掘关联的进程。 今天在下列计算机上出现了超过 100 次此行为：[Machine name]

MITRE 策略： -

严重性：中等

检测到与数字货币挖掘关联的进程

说明：主机数据分析检测到执行通常与数字资产挖掘关联的进程。

MITRE 策略：利用、执行

严重性：中等

检测到 Python 编码下载器[出现多次]

说明：%{Compromised Host} 上的主机数据分析检测到执行从远程位置下载和运行代码的编码 Python。 这可能是恶意活动的指示。 今天在下列计算机上出现了 [x] 次此行为：[Machine names]

MITRE 策略： -

严重性：低

在主机上拍摄屏幕截图[出现多次]

说明：%{Compromised Host} 上的主机数据分析检测到屏幕捕获工具的用户。 攻击者可能使用这些工具访问专用数据。 今天在下列计算机上出现了 [x] 次此行为：[Machine names]

MITRE 策略： -

严重性：低

检测到 Shellcode [出现多次]

说明：分析 %{Compromised Host} 上的主机数据检测到从命令行生成 shellcode。 此进程可能是合法活动，也可能指示某台计算机已遭到入侵。 今天在下列计算机上出现了 [x] 次此行为：[Machine names]

MITRE 策略： -

严重性：中等

成功的 SSH 暴力攻击

(VM_SshBruteForceSuccess)

说明：主机数据分析检测到成功的暴力攻击。 发现 IP %{Attacker source IP} 进行了多次登录尝试。 来自该 IP 的成功登录使用以下用户身份完成：%{Accounts used to successfully sign in to host}。 这意味着主机可能被恶意参与者入侵和控制。

MITRE 策略：利用

严重性：高

检测到可疑的帐户创建操作

说明：%{Compromised Host} 上的主机数据分析检测到创建或使用本地帐户 %{可疑帐户名} ：此帐户名称与标准 Windows 帐户或组名称“%{类似帐户名称}”非常相似。 这可能是攻击者创建的恶意帐户，使用此命名方式的目的在于不让人工管理员注意到。

MITRE 策略： -

严重性：中等

检测到可疑的内核模块[出现多次]

说明：%{Compromised Host} 上的主机数据分析检测到正在加载为内核模块的共享对象文件。 这可能是合法活动，也可能指示某台计算机已遭到入侵。 今天在下列计算机上出现了 [x] 次此行为：[Machine names]

MITRE 策略： -

严重性：中等

可疑的密码访问[出现多次]

说明：主机数据分析检测到对 %{Compromised Host} 上加密用户密码的可疑访问。 今天在下列计算机上出现了 [x] 次此行为：[Machine names]

MITRE 策略： -

严重性：信息性

可疑的密码访问

说明：主机数据分析检测到对 %{Compromised Host} 上加密用户密码的可疑访问。

MITRE 策略： -

严重性：信息性

对 Kubernetes 仪表板的可疑请求

(VM_KubernetesDashboard)

说明：计算机日志指示对 Kubernetes 仪表板发出了可疑请求。 该请求发送自 Kubernetes 节点，可能来自节点中运行的某个容器。 尽管此行为可能是故意的，但它可能指示节点运行的某个容器遭到入侵。

MITRE 策略：横向移动

严重性：中等

虚拟机中的异常配置重置

(VM_VMAccessUnusualConfigReset)

说明：通过分析订阅中的 Azure 资源管理器操作，在虚拟机中检测到异常的配置重置。 虽然此操作可能是合法的，但攻击者可以尝试利用 VM 访问扩展重置虚拟机中的配置并将其泄露。

MITRE 策略：凭据访问

严重性：中等

虚拟机中的异常用户密码重置

(VM_VMAccessUnusualPasswordReset)

说明：通过分析订阅中的 Azure 资源管理器操作，在虚拟机中检测到异常的用户密码重置。 虽然此操作可能是合法的，但攻击者可以尝试利用 VM 访问扩展重置虚拟机中本地用户的凭据并遭到入侵。

MITRE 策略：凭据访问

严重性：中等

虚拟机中的异常用户 SSH 密钥重置

(VM_VMAccessUnusualSSHReset)

说明：通过分析订阅中的 Azure 资源管理器操作，在虚拟机中检测到异常的用户 SSH 密钥重置。 虽然此操作可能是合法的，但攻击者可以尝试利用 VM 访问扩展来重置虚拟机中用户帐户的 SSH 密钥并将其泄露。

MITRE 策略：凭据访问

严重性：中等

虚拟机中 GPU 扩展的可疑安装（预览版）

(VM_GPUDriverExtensionUnusualExecution)

说明：通过分析订阅中的 Azure 资源管理器 操作，在虚拟机中检测到 GPU 扩展的可疑安装。 攻击者可能会使用 GPU 驱动程序扩展通过 Azure 资源管理器在虚拟机上安装 GPU 驱动程序，以执行加密劫持。

MITRE 策略：影响

严重性：低

DNS 警报

重要

截至 2023 年 8 月 1 日，拥有 Defender for DNS 的现有订阅的客户可以继续使用该服务，但新订阅者将收到有关可疑 DNS 活动的警报，作为 Defender for Servers P2 的一部分。

更多详细信息和说明

异常的网络协议使用

(AzureDNS_ProtocolAnomaly)

说明：从 %{CompromisedEntity} 分析 DNS 事务检测到异常协议使用情况。 此类流量虽然可能是良性的，但可能表示滥用此常见协议来绕过网络流量筛选。 典型的相关攻击者活动包括将远程管理工具复制到遭到入侵的主机，并从中外泄用户数据。

MITRE 策略：外泄

严重性： -

匿名网络活动

(AzureDNS_DarkWeb)

说明：分析来自 %{CompromisedEntity} 的 DNS 事务检测到匿名网络活动。 此类活动虽然可能是合法的用户行为，但经常被攻击者利用以逃避网络通信的追踪和指纹识别。 典型的相关攻击者活动可能包括下载和执行恶意软件或远程管理工具。

MITRE 策略：外泄

严重性：低

使用 Web 代理的匿名网络活动

(AzureDNS_DarkWebProxy)

说明：分析来自 %{CompromisedEntity} 的 DNS 事务检测到匿名网络活动。 此类活动虽然可能是合法的用户行为，但经常被攻击者利用以逃避网络通信的追踪和指纹识别。 典型的相关攻击者活动可能包括下载和执行恶意软件或远程管理工具。

MITRE 策略：外泄

严重性：低

尝试与可疑的经 Sinkhole 处理的域通信

(AzureDNS_SinkholedDomain)

说明：分析来自 %{CompromisedEntity} 的 DNS 事务，检测到对接收器域的请求。 此类活动虽然可能是合法的用户行为，但它们往往指示下载或执行了恶意软件。 典型的相关攻击者活动可能包括下载和执行进一步的恶意软件或远程管理工具。

MITRE 策略：外泄

严重性：中等

与可能的网络钓鱼域通信

(AzureDNS_PhishingDomain)

说明：分析来自 %{CompromisedEntity} 的 DNS 事务检测到对可能的钓鱼域的请求。 此类活动虽然可能是良性的，但经常被攻击者执行以获取远程服务的凭据。 典型的相关攻击者活动可能包括对合法服务的任何凭据的利用。

MITRE 策略：外泄

严重性：信息性

与可疑的算法生成的域通信

(AzureDNS_DomainGenerationAlgorithm)

说明：从 %{CompromisedEntity} 分析 DNS 事务检测到域生成算法的可能用法。 此类活动虽然可能是良性的，但经常被攻击者执行以逃避网络监视和筛选。 典型的相关攻击者活动可能包括下载和执行恶意软件或远程管理工具。

MITRE 策略：外泄

严重性：信息性

与威胁情报识别的可疑域通信

(AzureDNS_ThreatIntelSuspectDomain)

说明：通过分析来自资源的 DNS 事务并与威胁情报源标识的已知恶意域进行比较，检测到与可疑域的通信。 攻击者会频繁执行与恶意域的通信，这样的通信可能意味着你的资源已遭受入侵。

MITRE 策略：初始访问

严重性：中等

与可疑的随机域名通信

(AzureDNS_RandomizedDomain)

说明：分析来自 %{CompromisedEntity} 的 DNS 事务检测到使用可疑的随机生成的域名。 此类活动虽然可能是良性的，但经常被攻击者执行以逃避网络监视和筛选。 典型的相关攻击者活动可能包括下载和执行恶意软件或远程管理工具。

MITRE 策略：外泄

严重性：信息性

数字货币挖掘活动

(AzureDNS_CurrencyMining)

说明：分析来自 %{CompromisedEntity} 的 DNS 事务检测到数字资产挖掘活动。 此类活动虽然可能是合法的用户行为，但经常在资源遭受入侵后被攻击者执行。 典型的相关攻击者活动可能包括下载和执行常见挖掘工具。

MITRE 策略：外泄

严重性：低

网络入侵检测签名激活

(AzureDNS_SuspiciousDomain)

说明：分析来自 %{CompromisedEntity} 的 DNS 事务检测到已知的恶意网络签名。 此类活动虽然可能是合法的用户行为，但它们往往指示下载或执行了恶意软件。 典型的相关攻击者活动可能包括下载和执行进一步的恶意软件或远程管理工具。

MITRE 策略：外泄

严重性：中等

可能的经由 DNS 隧道的数据下载

(AzureDNS_DataInfiltration)

说明：从 %{CompromisedEntity} 分析 DNS 事务检测到可能的 DNS 隧道。 此类活动虽然可能是合法的用户行为，但经常被攻击者执行以逃避网络监视和筛选。 典型的相关攻击者活动可能包括下载和执行恶意软件或远程管理工具。

MITRE 策略：外泄

严重性：低

可能的经由 DNS 隧道的数据外泄

(AzureDNS_DataExfiltration)

说明：从 %{CompromisedEntity} 分析 DNS 事务检测到可能的 DNS 隧道。 此类活动虽然可能是合法的用户行为，但经常被攻击者执行以逃避网络监视和筛选。 典型的相关攻击者活动可能包括下载和执行恶意软件或远程管理工具。

MITRE 策略：外泄

严重性：低

可能的经由 DNS 隧道的数据传输

(AzureDNS_DataObfuscation)

说明：从 %{CompromisedEntity} 分析 DNS 事务检测到可能的 DNS 隧道。 此类活动虽然可能是合法的用户行为，但经常被攻击者执行以逃避网络监视和筛选。 典型的相关攻击者活动可能包括下载和执行恶意软件或远程管理工具。

MITRE 策略：外泄

严重性：低

针对 Azure VM 扩展的警报

这些警报侧重于检测 Azure 虚拟机扩展的可疑活动，并深入了解攻击者尝试入侵虚拟机并在虚拟机上执行恶意活动。

Azure 虚拟机扩展是在虚拟机上部署后运行的小型应用程序，提供配置、自动化、监视、安全性等功能。 虽然扩展是一种功能强大的工具，但威胁参与者可以使用它们来实现各种恶意意图，例如：

• 数据收集和监视

• 高特权下的代码执行和配置部署

• 重置凭据并创建管理用户

• 加密磁盘

详细了解 Defender for Cloud 的最新保护，防止滥用 Azure VM 扩展。

在订阅中安装 GPU 扩展时出现可疑故障（预览）

(VM_GPUExtensionSuspiciousFailure)

说明：在不支持的 VM 上安装 GPU 扩展的可疑意图。 此扩展应安装在配备了图形处理器的虚拟机上，而在此例中，虚拟机没有配备图形处理器。 当恶意攻击者出于加密挖矿目的多次安装此类扩展时，可以看到这些故障。

MITRE 策略：影响

严重性：中等

在虚拟机上检测到可疑的 GPU 扩展安装活动（预览）

(VM_GPUDriverExtensionUnusualExecution)

说明：通过分析订阅中的 Azure 资源管理器操作，在虚拟机上检测到 GPU 扩展的可疑安装。 攻击者可能会使用 GPU 驱动程序扩展通过 Azure 资源管理器在虚拟机上安装 GPU 驱动程序，以执行加密劫持。 此活动被视为可疑，因为主体的行为偏离了其通常模式。

MITRE 策略：影响

严重性：低

在虚拟机上检测到具有可疑脚本的运行命令（预览）

(VM_RunCommandSuspiciousScript)

说明：通过分析订阅中的 Azure 资源管理器操作，在虚拟机上检测到具有可疑脚本的运行命令。 攻击者可能会使用运行命令，通过 Azure 资源管理器在虚拟机上执行具有高权限的恶意代码。 该脚本被视为可疑，因为其中某些部分被标识为潜在的恶意内容。

MITRE 策略：执行

严重性：高

在虚拟机上检测到未经授权使用运行命令的可疑行为（预览）

(VM_RunCommandSuspiciousFailure)

说明：运行命令的可疑未经授权的使用失败，并通过分析订阅中的 Azure 资源管理器操作在虚拟机上检测到。 攻击者可能会尝试使用运行命令，通过 Azure 资源管理器在虚拟机上执行具有高权限的恶意代码。 此活动被视为可疑活动，因为以前并不常见。

MITRE 策略：执行

严重性：中等

在虚拟机上检测到使用运行命令的可疑行为（预览）

(VM_RunCommandSuspiciousUsage)

说明：通过分析订阅中的 Azure 资源管理器 操作，在虚拟机上检测到运行命令的可疑使用情况。 攻击者可能会使用运行命令，通过 Azure 资源管理器在虚拟机上执行具有高权限的恶意代码。 此活动被视为可疑活动，因为以前并不常见。

MITRE 策略：执行

严重性：低

在虚拟机上检测到使用多个监视或数据收集扩展的可疑行为（预览）

(VM_SuspiciousMultiExtensionUsage)

说明：通过分析订阅中的 Azure 资源管理器操作，在虚拟机上检测到多个监视或数据收集扩展插件的可疑使用情况。 攻击者可能会在订阅中滥用此类扩展来进行数据收集和网络流量监视等。 此使用行为被视为可疑行为，因为以前并不常见。

MITRE 战术：侦察

严重性：中等

在虚拟机上检测到可疑的磁盘加密扩展安装活动（预览）

(VM_DiskEncryptionSuspiciousUsage)

说明：通过分析订阅中的 Azure 资源管理器 操作，在虚拟机上检测到了磁盘加密扩展的可疑安装。 攻击者可能会滥用磁盘加密扩展，通过 Azure 资源管理器在虚拟机上部署完整磁盘加密，以尝试执行勒索软件活动。 此活动被视为可疑活动，因为它以前并不常见，并且扩展安装次数较多。

MITRE 策略：影响

严重性：中等

在虚拟机上检测到使用 VMAccess 扩展的可疑行为（预览）

(VM_VMAccessSuspiciousUsage)

说明：在虚拟机上检测到 VMAccess 扩展的可疑使用情况。 攻击者可能会滥用 VMAccess 扩展，通过重置访问权限或管理管理用户来获取具有高特权的访问和入侵虚拟机。 此活动被视为可疑活动，因为主体的行为偏离了其通常的模式，并且扩展安装次数较多。

MITRE 策略：持久性

严重性：中等

在虚拟机上检测到具有可疑脚本的 Desired State Configuration (DSC) 扩展（预览）

(VM_DSCExtensionSuspiciousScript)

说明：通过分析订阅中的 Azure 资源管理器操作，检测到虚拟机上具有可疑脚本的所需状态配置 （DSC） 扩展。 攻击者可能会使用 Desired State Configuration (DSC) 扩展在虚拟机上部署具有高权限的恶意配置，例如持久性机制、恶意脚本等。 该脚本被视为可疑，因为其中某些部分被标识为潜在的恶意内容。

MITRE 策略：执行

严重性：高

在虚拟机上检测到使用 Desired State Configuration (DSC) 扩展的可疑行为（预览）

(VM_DSCExtensionSuspiciousUsage)

说明：通过分析订阅中的 Azure 资源管理器操作，在虚拟机上检测到了 Desired State Configuration（DSC）扩展的可疑使用情况。 攻击者可能会使用 Desired State Configuration (DSC) 扩展在虚拟机上部署具有高权限的恶意配置，例如持久性机制、恶意脚本等。 此活动被视为可疑活动，因为主体的行为偏离了其通常的模式，并且扩展安装次数较多。

MITRE 策略：执行

严重性：低

在虚拟机上检测到具有可疑脚本的自定义脚本扩展（预览）

(VM_CustomScriptExtensionSuspiciousCmd)

说明：通过分析订阅中的 Azure 资源管理器 操作，在虚拟机上检测到具有可疑脚本的自定义脚本扩展。 攻击者可能会使用自定义脚本扩展，通过 Azure 资源管理器在虚拟机上执行具有高权限的恶意代码。 该脚本被视为可疑，因为其中某些部分被标识为潜在的恶意内容。

MITRE 策略：执行

严重性：高

虚拟机中可疑的自定义脚本扩展执行故障

(VM_CustomScriptExtensionSuspiciousFailure)

说明：通过分析订阅中的 Azure 资源管理器 操作，在虚拟机中检测到自定义脚本扩展的可疑故障。 此类失败可能与此扩展运行的恶意脚本相关联。

MITRE 策略：执行

严重性：中等

虚拟机中自定义脚本扩展的异常删除

(VM_CustomScriptExtensionUnusualDeletion)

说明：通过分析订阅中的 Azure 资源管理器操作，在虚拟机中检测到了自定义脚本扩展的异常删除。 攻击者可能会使用自定义脚本扩展通过 Azure 资源管理器 在虚拟机上执行恶意代码。

MITRE 策略：执行

严重性：中等

虚拟机中自定义脚本扩展的异常执行

(VM_CustomScriptExtensionUnusualExecution)

说明：通过分析订阅中的 Azure 资源管理器操作，在虚拟机中检测到自定义脚本扩展的异常执行。 攻击者可能会使用自定义脚本扩展通过 Azure 资源管理器 在虚拟机上执行恶意代码。

MITRE 策略：执行

严重性：中等

虚拟机中具有可疑入口点的自定义脚本扩展

(VM_CustomScriptExtensionSuspiciousEntryPoint)

说明：通过分析订阅中的 Azure 资源管理器 操作，检测到虚拟机中具有可疑入口点的自定义脚本扩展。 入口点指可疑的 GitHub 存储库。 攻击者可能会使用自定义脚本扩展通过 Azure 资源管理器 在虚拟机上执行恶意代码。

MITRE 策略：执行

严重性：中等

虚拟机中具有可疑有效负载的自定义脚本扩展

(VM_CustomScriptExtensionSuspiciousPayload)

说明：通过分析订阅中的 Azure 资源管理器操作，检测到虚拟机中具有可疑 GitHub 存储库有效负载的自定义脚本扩展。 攻击者可能会使用自定义脚本扩展通过 Azure 资源管理器 在虚拟机上执行恶意代码。

MITRE 策略：执行

严重性：中等

Azure 应用服务警报

更多详细信息和说明

有人尝试在 Windows 应用服务上运行 Linux 命令

(AppServices_LinuxCommandOnWindows)

说明：分析App 服务进程检测到尝试在 Windows App 服务上运行 Linux 命令。 此操作由 Web 应用运行。 此行为在恶意软件活动中经常出现，旨在利用常见 Web 应用中的漏洞。 （适用于：Windows 上的应用服务）

MITRE 策略： -

严重性：中等

在威胁情报中发现连接到 Azure 应用服务 FTP 接口的 IP

(AppServices_IncomingTiClientIpFtp)

说明：Azure App 服务 FTP 日志指示来自威胁情报源中找到的源地址的连接。 在此连接期间，用户访问了列出的页面。 （适用于：Windows 上的应用服务和 Linux 上的应用服务）

MITRE 策略：初始访问

严重性：中等

检测到有人尝试运行高特权命令

(AppServices_HighPrivilegeCommand)

说明：分析App 服务进程检测到尝试运行需要高特权的命令。 命令在 Web 应用上下文中运行。 虽然此行为可能合法，但在 Web 应用程序中，此行为也会在恶意活动中观察到。 （适用于：Windows 上的应用服务）

MITRE 策略： -

严重性：中等

与威胁情报识别的可疑域通信

(AzureDNS_ThreatIntelSuspectDomain)

说明：通过分析来自资源的 DNS 事务并与威胁情报源标识的已知恶意域进行比较，检测到与可疑域的通信。 攻击者会频繁执行与恶意域的通信，这样的通信可能意味着你的资源已遭受入侵。

MITRE 策略：初始访问、持久性、执行、命令和控制、利用

严重性：中等

检测到有人从异常 IP 地址连接到网页

(AppServices_AnomalousPageAccess)

说明：Azure App 服务活动日志指示从列出的源 IP 地址到敏感网页的异常连接。 这可能指示有人正在尝试对 Web 应用管理页面发起暴力攻击。 但也可能是因为某位合法用户使用了新的 IP 地址。 如果源 IP 地址受信任，则可以安全地对此资源禁止显示此警报。 若要了解如何抑制安全警报，请参阅抑制 Microsoft Defender For Cloud 发出的警报。 （适用于：Windows 上的应用服务和 Linux 上的应用服务）

MITRE 策略：初始访问

严重性：低

检测到应用服务资源存在无关联的 DNS 记录

(AppServices_DanglingDomain)

说明：检测到指向最近删除的App 服务资源（也称为“悬空 DNS”条目）的 DNS 记录。 这使你容易遭到子域接管。 子域接管使恶意操作者能够将专用于某组织的域的流量重定向到一个执行恶意活动的站点。 （适用于：Windows 上的应用服务和 Linux 上的应用服务）

MITRE 策略： -

严重性：高

在命令行数据中检测到编码的可执行文件

(AppServices_Base64EncodedExecutableInCommandLineParams)

说明：{Compromised host} 上的主机数据分析检测到 base-64 编码的可执行文件。 此警报之前与攻击者的以下行为相关：试图通过一系列命令动态构造可执行文件，以及试图通过确保任何单个命令都不会触发警报来避开入侵检测系统。 这可能是合法活动，也可能指示主机遭到入侵。 （适用于：Windows 上的应用服务）

MITRE 策略：防御逃避、执行

严重性：高

检测到来自已知恶意来源的文件下载

(AppServices_SuspectDownload)

说明：主机数据分析检测到从主机上的已知恶意软件源下载文件。 （适用于：Linux 上的应用服务）

MITRE 策略：特权提升、执行、外泄、命令和控制

严重性：中等

检测到可疑的文件下载

(AppServices_SuspectDownloadArtifacts)

说明：主机数据分析检测到远程文件的可疑下载。 （适用于：Linux 上的应用服务）

MITRE 策略：持久性

严重性：中等

检测到数字货币挖掘相关行为

(AppServices_DigitalCurrencyMining)

说明：Inn-Flow-WebJobs 上的主机数据分析检测到执行通常与数字资产挖掘关联的进程或命令。 （适用于：Windows 上的应用服务和 Linux 上的应用服务）

MITRE 策略：执行

严重性：高

使用 certutil 解码的可执行文件

(AppServices_ExecutableDecodedUsingCertutil)

说明：[已泄露实体]上的主机数据分析检测到，certutil.exe（一个内置管理员实用工具）用于解码可执行文件，而不是与操作证书和证书数据相关的主流用途。 我们知道，攻击者可以滥用合法的管理员工具的功能来执行恶意操作，例如，使用 certutil.exe 之类的工具来解码恶意的可执行文件，随后执行该文件。 （适用于：Windows 上的应用服务）

MITRE 策略：防御逃避、执行

严重性：高

检测到无文件攻击行为

(AppServices_FilelessAttackBehaviorDetection)

说明：下面指定的进程的内存包含无文件攻击常用的行为。 特定行为包括：{观察行为列表}（适用于：Windows 上的App 服务和 Linux 上的App 服务）

MITRE 策略：执行

严重性：中等

检测到无文件攻击技术

(AppServices_FilelessAttackTechniqueDetection)

说明：下面指定的进程的内存包含无文件攻击技术的证据。 攻击者使用无文件攻击来执行代码，同时避开安全软件的检测。 特定行为包括：{观察行为列表}（适用于：Windows 上的App 服务和 Linux 上的App 服务）

MITRE 策略：执行

严重性：高

检测到无文件攻击工具包

(AppServices_FilelessAttackToolkitDetection)

说明：下面指定的进程的内存包含无文件攻击工具包：{ToolKitName}。 无文件攻击工具包通常不存在于文件系统中，因此难以使用传统防病毒软件进行检测。 特定行为包括：{观察行为列表}（适用于：Windows 上的App 服务和 Linux 上的App 服务）

MITRE 策略：防御逃避、执行

严重性：高

适用于应用服务的 Microsoft Defender for Cloud 测试警报（非威胁）

(AppServices_EICAR)

说明：这是 Microsoft Defender for Cloud 生成的测试警报。 无需执行其他操作。 （适用于：Windows 上的应用服务和 Linux 上的应用服务）

MITRE 策略： -

严重性：高

检测到 NMap 扫描

(AppServices_Nmap)

说明：Azure App 服务活动日志指示App 服务资源上可能存在的 Web 指纹活动。 检测到的可疑活动与 NMAP 关联。 攻击者通常使用此工具来探测 Web 应用程序，从而查找漏洞。 （适用于：Windows 上的应用服务和 Linux 上的应用服务）

MITRE 策略：PreAttack

严重性：信息性

Azure Web 应用上托管了网络钓鱼内容

(AppServices_PhishingContent)

说明：用于在 Azure 应用Services 网站上发现的网络钓鱼攻击的 URL。 此 URL 是发送给 Microsoft 365 客户的网络钓鱼攻击的一部分。 相关内容通常引诱访问者在看似合法的网站中输入其企业凭据或财务信息。 （适用于：Windows 上的应用服务和 Linux 上的应用服务）

MITRE 策略：集合

严重性：高

上传文件夹中的 PHP 文件

(AppServices_PhpInUploadFolder)

说明：Azure App 服务活动日志指示访问位于上传文件夹中的可疑 PHP 页面。 此类型的文件夹通常不包含 PHP 文件。 存在这种类型的文件可能指示有人利用了任意文件上传漏洞。 （适用于：Windows 上的应用服务和 Linux 上的应用服务）

MITRE 策略：执行

严重性：中等

检测到潜在 Cryptocoinminer 下载

(AppServices_CryptoCoinMinerDownload)

说明：主机数据分析检测到通常与数字签名挖掘关联的文件下载。 （适用于：Linux 上的应用服务）

MITRE 策略：防御逃避、指挥和控制、剥削

严重性：中等

检测到可能存在数据外泄

(AppServices_DataEgressArtifacts)

说明：主机/设备数据分析检测到可能的数据出口条件。 攻击者通常会从入侵的计算机中流出数据。 （适用于：Linux 上的应用服务）

MITRE 策略：收集、外泄

严重性：中等

检测到应用服务资源可能存在无关联的 DNS 记录

(AppServices_PotentialDanglingDomain)

说明：检测到指向最近删除的App 服务资源（也称为“悬空 DNS”条目）的 DNS 记录。 这可能会导致你遭到子域接管。 子域接管使恶意操作者能够将专用于某组织的域的流量重定向到一个执行恶意活动的站点。 在这种情况下，找到的是具有域验证 ID 的文本记录。 此类文本记录会防止子域接管，但仍请删除无关联的域。 如果保留指向子域的 DNS 记录，那么当今后你组织中的任何人删除 TXT 文件或记录时，你会有风险。 （适用于：Windows 上的应用服务和 Linux 上的应用服务）

MITRE 策略： -

严重性：低

检测到潜在的反向 shell

(AppServices_ReverseShell)

说明：分析主机数据检测到潜在的反向 shell。 它们用于让遭到入侵的计算机回调到攻击者拥有的计算机中。 （适用于：Linux 上的应用服务）

MITRE 策略：外泄、剥削

严重性：中等

检测到原始数据下载

(AppServices_DownloadCodeFromWebsite)

说明：分析App 服务进程检测到尝试从原始数据网站（如 Pastebin）下载代码。 此操作由 PHP 进程运行。 此行为与尝试将 Web shell 或其他恶意组件下载到应用服务关联。 （适用于：Windows 上的应用服务）

MITRE 策略：执行

严重性：中等

检测到有人将 cURL 输出保存到磁盘

(AppServices_CurlToDisk)

说明：分析App 服务进程检测到运行 curl 命令，其中输出保存到磁盘。 虽然这种行为可能合法，但在 Web 应用中，这种行为也会出现在恶意活动中，例如试图利用 Web shell 感染网站。 （适用于：Windows 上的应用服务）

MITRE 策略： -

严重性：低

检测到垃圾邮件文件夹引荐来源

(AppServices_SpamReferrer)

说明：Azure App 服务活动日志指示标识为源自与垃圾邮件活动关联的网站的 Web 活动。 如果你的网站遭到入侵并被用于垃圾邮件活动，就会发生这种情况。 （适用于：Windows 上的应用服务和 Linux 上的应用服务）

MITRE 策略： -

严重性：低

检测到有人可疑地访问可能易受攻击的网页

(AppServices_ScanSensitivePage)

说明：Azure App 服务活动日志指示访问了看似敏感的网页。 此可疑活动源自访问模式与 Web 扫描程序类似的源 IP 地址。 此活动通常与攻击者试图扫描你的网络以尝试获取敏感或易受攻击网页的访问权限相关联。 （适用于：Windows 上的应用服务和 Linux 上的应用服务）

MITRE 策略： -

严重性：低

可疑域名引用

(AppServices_CommandlineSuspectDomain)

说明：分析检测到对可疑域名的引用的主机数据。 此类活动虽然可能是合法的用户行为，但它们往往指示下载或执行了恶意软件。 典型的相关攻击者活动可能包括下载和执行进一步的恶意软件或远程管理工具。 （适用于：Linux 上的应用服务）

MITRE 策略：外泄

严重性：低

检测到使用 Certutil 进行可疑下载

(AppServices_DownloadUsingCertutil)

说明：{NAME} 上的主机数据分析检测到使用certutil.exe（内置管理员实用工具）下载二进制文件，而不是与操作证书和证书数据相关的主流用途。 我们知道，攻击者会滥用合法管理员工具的功能来执行恶意操作，例如，使用 certutil.exe 来下载和解码恶意的可执行文件，随后执行该文件。 （适用于：Windows 上的应用服务）

MITRE 策略：执行

严重性：中等

检测到可疑 PHP 执行活动

(AppServices_SuspectPhp)

说明：计算机日志指示正在运行可疑的 PHP 进程。 该操作包含尝试使用 PHP 进程从命令行运行操作系统命令或 PHP 代码。 虽然这种行为可能合法，但在 Web 应用中，它也可能指示恶意活动，例如试图利用 Web shell 感染网站。 （适用于：Windows 上的应用服务和 Linux 上的应用服务）

MITRE 策略：执行

严重性：中等

执行了可疑的 PowerShell cmdlet

(AppServices_PowerShellPowerSploitScriptExecution)

说明：主机数据分析指示执行已知的恶意 PowerShell PowerSploit cmdlet。 （适用于：Windows 上的应用服务）

MITRE 策略：执行

严重性：中等

执行了可疑进程

(AppServices_KnownCredential AccessTools)

说明：计算机日志指示可疑进程：“%{process path}”正在计算机上运行，通常与攻击者尝试访问凭据相关联。 （适用于：Windows 上的应用服务）

MITRE 策略：凭据访问

严重性：高

检测到可疑的进程名称

(AppServices_ProcessWithKnownSuspiciousExtension)

说明：分析 {NAME} 上的主机数据检测到一个名称可疑的进程，例如，与已知的攻击者工具相对应，或者以暗示攻击者工具（试图在明目中隐藏）的方式命名。 此进程可能是合法活动，也可能指示某台计算机已遭到入侵。 （适用于：Windows 上的应用服务）

MITRE 策略：持久性、防御逃避

严重性：中等

执行了可疑的 SVCHOST 进程

(AppServices_SVCHostFromInvalidPath)

说明：系统进程 SVCHOST 观察到在异常上下文中运行。 恶意软件通常使用 SVCHOST 来掩盖其恶意活动。 （适用于：Windows 上的应用服务）

MITRE 策略：防御逃避、执行

严重性：高

检测到可疑的用户代理

(AppServices_UserAgentInjection)

说明：Azure App 服务活动日志指示具有可疑用户代理的请求。 此行为可能指示有人试图利用应用服务应用程序中的漏洞。 （适用于：Windows 上的应用服务和 Linux 上的应用服务）

MITRE 策略：初始访问

严重性：信息性

检测到可疑的 WordPress 主题调用

(AppServices_WpThemeInjection)

说明：Azure App 服务活动日志指示App 服务资源上可能存在的代码注入活动。 检测到的可疑活动类似于操作 WordPress 主题以支持服务器端代码执行，然后发出直接 Web 请求以调用被操作的主题文件。 这种活动在过去被视为针对 WordPress 的攻击活动的一部分。 如果应用服务资源不承载 WordPress 站点，则它不容易受到此特定代码注入漏洞的攻击，你可以安全地对该资源禁止显示此警报。 若要了解如何抑制安全警报，请参阅抑制 Microsoft Defender For Cloud 发出的警报。 （适用于：Windows 上的应用服务和 Linux 上的应用服务）

MITRE 策略：执行

严重性：高

检测到漏洞扫描程序

(AppServices_DrupalScanner)

说明：Azure App 服务活动日志指示在App 服务资源上使用可能的漏洞扫描程序。 检测到的可疑活动类似于针对内容管理系统 (CMS) 的工具的活动。 如果应用服务资源不承载 Drupal 站点，则它不容易受到此特定代码注入漏洞的攻击，你可以安全地对该资源禁止显示此警报。 若要了解如何抑制安全警报，请参阅抑制 Microsoft Defender For Cloud 发出的警报。 （适用于：Windows 上的应用服务）

MITRE 策略：PreAttack

严重性：低

检测到漏洞扫描程序

(AppServices_JoomlaScanner)

说明：Azure App 服务活动日志指示在App 服务资源上使用可能的漏洞扫描程序。 检测到的可疑活动类似于针对 Joomla 应用程序的工具的活动。 如果应用服务资源不承载 Joomla 站点，则它不容易受到此特定代码注入漏洞的攻击，你可以安全地对该资源禁止显示此警报。 若要了解如何抑制安全警报，请参阅抑制 Microsoft Defender For Cloud 发出的警报。 （适用于：Windows 上的应用服务和 Linux 上的应用服务）

MITRE 策略：PreAttack

严重性：低

检测到漏洞扫描程序

(AppServices_WpScanner)

说明：Azure App 服务活动日志指示在App 服务资源上使用可能的漏洞扫描程序。 检测到的可疑活动类似于针对 WordPress 应用程序的工具的活动。 如果应用服务资源不承载 WordPress 站点，则它不容易受到此特定代码注入漏洞的攻击，你可以安全地对该资源禁止显示此警报。 若要了解如何抑制安全警报，请参阅抑制 Microsoft Defender For Cloud 发出的警报。 （适用于：Windows 上的应用服务和 Linux 上的应用服务）

MITRE 策略：PreAttack

严重性：低

检测到 Web 指纹识别活动

(AppServices_WebFingerprinting)

说明：Azure App 服务活动日志指示App 服务资源上可能存在的 Web 指纹活动。 该检测到的可疑活动与名为 Blind Elephant 的工具关联。 该工具采集 Web 服务器的指纹，并尝试检测已安装的应用程序及其版本。 攻击者通常使用此工具来探测 Web 应用程序，从而查找漏洞。 （适用于：Windows 上的应用服务和 Linux 上的应用服务）

MITRE 策略：PreAttack

严重性：中等

网站在威胁情报源中被标记为恶意

(AppServices_SmartScreen)

说明：如下所述，您的网站被 Windows SmartScreen 标记为恶意网站。 如果你认为这是误报，请通过提供的报表反馈链接联系 Windows SmartScreen。 （适用于：Windows 上的应用服务和 Linux 上的应用服务）

MITRE 策略：集合

严重性：中等

容器警报 - Kubernetes 群集

Microsoft Defender for Containers 通过监视控制平面（API 服务器）和容器化工作负载本身，在群集级别和基础群集节点上提供安全警报。 可以通过警报类型的 K8S_ 前缀识别控制平面安全警报。 可以通过警报类型的 K8S.NODE_ 前缀识别群集中运行时工作负载的安全警报。 除非另有说明，否则所有警报仅在 Linux 上受支持。

更多详细信息和说明

在 Kubernetes 中检测到公开了具有信任身份验证配置的 Postgres 服务（预览版）

(K8S_ExposedPostgresTrustAuth)

说明：Kubernetes 群集配置分析检测到负载均衡器公开 Postgres 服务。 该服务配置了不需要凭据的信任身份验证方法。

MITRE 策略：InitialAccess

严重性：中等

在 Kubernetes 中检测到公开了具有风险配置的 Postgres 服务（预览版）

(K8S_ExposedPostgresBroadIPRange)

说明：Kubernetes 群集配置分析检测到负载均衡器暴露有风险配置的 Postgres 服务。 向多种 IP 地址公开服务会带来安全风险。

MITRE 策略：InitialAccess

严重性：中等

检测到有人尝试从容器创建新的 Linux 命名空间

(K8S.NODE_NamespaceCreation) ¹

说明：分析 Kubernetes 群集中容器中运行的进程检测到尝试创建新的 Linux 命名空间。 虽然此行为可能是合法的，但它可能表明攻击者尝试从容器转义到节点。 某些 CVE-2022-0185 漏洞会利用此方法。

MITRE 策略：PrivilegeEscalation

严重性：信息性

历史记录文件已被清除

(K8S.NODE_HistoryFileCleared) ¹

说明：分析容器中或直接在 Kubernetes 节点上运行的进程，检测到命令历史记录日志文件已被清除。 攻击者可能会执行此操作来覆盖其轨迹。 该操作已由指定用户帐户执行。

MITRE 策略：DefenseEvasion

严重性：中等

与 Kubernetes 关联的托管标识的异常活动（预览版）

(K8S_AbnormalMiActivity)

说明：Azure 资源管理器操作的分析检测到 AKS 加载项使用的托管标识异常行为。 检测到的活动与相关插件的行为不一致。 尽管此活动可能是合法的，但此类行为可能表明该标识是由攻击者授予的，且可能源自 Kubernetes 群集中某个遭到入侵的容器。

MITRE 策略：横向移动

严重性：中等

检测到异常的 Kubernetes 服务帐户操作

(K8S_ServiceAccountRareOperation)

说明：Kubernetes 审核日志分析检测到 Kubernetes 群集中的服务帐户异常行为。 服务帐户用于执行了对此服务帐户不常见的操作。 尽管此活动可能是合法的，但此类行为可能表明该服务帐户正用于恶意用途。

MITRE 策略：横向移动、凭据访问

严重性：中等

检测到异常连接尝试

(K8S.NODE_SuspectConnection) ¹

说明：分析容器中或直接在 Kubernetes 节点上运行的进程，检测到使用 socks 协议的不常见连接尝试。 这在正常操作中非常罕见，但对于尝试绕过网络层检测的攻击者而言，这是一种已知方法。

MITRE 策略：执行、外泄、利用

严重性：中等

检测到试图停止 apt-daily-upgrade.timer 服务

(K8S.NODE_TimerServiceDisabled) ¹

说明：分析容器中或直接在 Kubernetes 节点上运行的进程，检测到尝试停止 apt-daily-upgrade.timer 服务。 我们观察到攻击者会停止此服务，以下载恶意文件并授予执行特权以达到其攻击目的。 如果通过正常的管理操作更新该服务，也会出现此活动。

MITRE 策略：DefenseEvasion

严重性：信息性

检测到与常见的 Linux 机器人类似的行为(预览)

(K8S.NODE_CommonBot)

说明：分析容器中或直接在 Kubernetes 节点上运行的进程，检测到通常与常见 Linux 僵尸网络关联的进程执行。

MITRE 策略：执行、收集、命令和控制

严重性：中等

使用高特权在容器中运行的命令

(K8S.NODE_PrivilegedExecutionInContainer) ¹

说明：计算机日志指示特权命令在 Docker 容器中运行。 特权命令在主机上具有扩展特权。

MITRE 策略：PrivilegeEscalation

严重性：信息性

在特权模式下运行的容器

(K8S.NODE_PrivilegedContainerArtifacts) ¹

说明：分析在容器中或直接在 Kubernetes 节点上运行的进程，检测到运行特权容器的 Docker 命令的执行。 特权容器对托管 Pod 或主机资源具有完全访问权限。 如果遭到入侵，攻击者可能会使用特权容器来访问托管 Pod 或主机。

MITRE 策略：PrivilegeEscalation、Execution

严重性：信息性

检测到存在敏感卷装载活动的容器

(K8S_SensitiveMount)

说明：Kubernetes 审核日志分析检测到具有敏感卷装载的新容器。 检测到的卷属于 hostPath 类型，其会将敏感文件或者文件夹从节点装载到容器。 如果容器已遭入侵，则攻击者可以通过此装载活动获取对节点的访问权限。

MITRE 策略：特权升级

严重性：信息性

检测到 Kubernetes 中发生 CoreDNS 修改

(K8S_CoreDnsModification) ²³

说明：Kubernetes 审核日志分析检测到对 CoreDNS 配置的修改。 可以通过重写 CoreDNS 的 configmap 来修改其配置。 此活动可能是合法的，不过，如果攻击者有权修改 configmap，则他们可以更改群集 DNS 服务器的行为，并使其感染病毒。

MITRE 策略：横向移动

严重性：低

检测到创建了许可 webhook 配置

(K8S_AdmissionController) ³

说明：Kubernetes 审核日志分析检测到新的允许 Webhook 配置。 Kubernetes 有两个内置的通用许可控制器：MutatingAdmissionWebhook 和 ValidatingAdmissionWebhook。 这些许可控制器的行为由用户部署到群集的许可 webhook 确定。 此类许可控制器的使用可能是合法的，但攻击者可以使用此类 webhook 来修改请求（使用 MutatingAdmissionWebhook 时）或检查请求并获取敏感信息（使用 ValidatingAdmissionWebhook 时）。

MITRE 策略：凭据访问、持久性

严重性：信息性

检测到来自已知恶意来源的文件下载

(K8S.NODE_SuspectDownload) ¹

说明：分析容器中或直接在 Kubernetes 节点上运行的进程，检测到从经常用于分发恶意软件的源下载文件。

MITRE 策略：PrivilegeEscalation、Execution、Exfiltration、Command and Control

严重性：中等

检测到可疑的文件下载

(K8S.NODE_SuspectDownloadArtifacts) ¹

说明：分析容器中或直接在 Kubernetes 节点上运行的进程，检测到远程文件的可疑下载。

MITRE 策略：持久性

严重性：信息性

检测到对 nohup 命令的可疑使用

(K8S.NODE_SuspectNohup) ¹

说明：分析容器中或直接在 Kubernetes 节点上运行的进程，检测到对 nohup 命令的可疑使用。 攻击者被发现使用 nohup 命令从临时目录运行隐藏文件，以允许其可执行文件在后台运行。 对临时目录中的隐藏文件运行此命令较为罕见。

MITRE 策略：持久性、防御评估

严重性：中等

检测到对 useradd 命令的可疑使用

(K8S.NODE_SuspectUserAddition) ¹

说明：分析容器中或直接在 Kubernetes 节点上运行的进程，检测到对 useradd 命令的可疑使用。

MITRE 策略：持久性

严重性：中等

检测到数字货币挖掘容器

(K8S_MaliciousContainerImage) ³

说明：Kubernetes 审核日志分析检测到具有与数字资产挖掘工具关联的映像的容器。

MITRE 策略：执行

严重性：高

检测到数字货币挖掘相关行为

(K8S.NODE_DigitalCurrencyMining) ¹

说明：分析容器中或直接在 Kubernetes 节点上运行的进程，检测到执行通常与数字资产挖掘关联的进程或命令。

MITRE 策略：执行

严重性：高

在 Kubernetes 节点上检测到 Docker 生成操作

(K8S.NODE_ImageBuildOnNode) ¹

说明：分析容器中或直接在 Kubernetes 节点上运行的进程，检测到 Kubernetes 节点上容器映像的生成操作。 此行为可能是合法的，不过，攻击者可能会在本地生成恶意映像以避开检测。

MITRE 策略：DefenseEvasion

严重性：信息性

检测到公开的 Kubeflow 仪表板

(K8S_ExposedKubeflow)

说明：Kubernetes 审核日志分析检测到运行 Kubeflow 的群集中的负载均衡器暴露了 Istio 入口。 此操作可能会向 Internet 公开 Kubeflow 仪表板。 如果向 Internet 公开了该仪表板，则攻击者可以访问该仪表板，并在群集上运行恶意容器或代码。 可在以下文章中找到更多详细信息： https://aka.ms/exposedkubeflow-blog

MITRE 策略：初始访问

严重性：中等

检测到公开的 Kubernetes 仪表板

(K8S_ExposedDashboard)

说明：Kubernetes 审核日志分析检测到 LoadBalancer 服务暴露了 Kubernetes 仪表板。 公开的仪表板允许对群集管理进行未经身份验证的访问，这会带来安全威胁。

MITRE 策略：初始访问

严重性：高

检测到公开的 Kubernetes 服务

(K8S_ExposedService)

说明：Kubernetes 审核日志分析检测到负载均衡器暴露服务。 此服务与一个敏感应用程序相关，该应用程序允许在群集中执行影响较大的操作，如在节点上运行进程或创建新的容器。 在某些情况下，此服务不需要身份验证。 如果该服务不需要身份验证，则向 Internet 公开该服务会带来安全风险。

MITRE 策略：初始访问

严重性：中等

检测到 AKS 中存在公开的 Redis 服务

(K8S_ExposedRedis)

说明：Kubernetes 审核日志分析检测到负载均衡器暴露了 Redis 服务。 如果该服务不需要身份验证，则向 Internet 公开该服务会带来安全风险。

MITRE 策略：初始访问

严重性：低

检测到与 DDOS 工具包关联的指标

(K8S.NODE_KnownLinuxDDoSToolkit) ¹

说明：分析在容器中或直接在 Kubernetes 节点上运行的进程，检测到与能够启动 DDoS 攻击、打开端口和服务以及完全控制受感染系统的恶意软件关联的工具包的文件名。 这也可能是合法活动。

MITRE 策略：持久性、横向移动、执行、利用

严重性：中等

检测到来自代理 IP 地址的 K8S API 请求

(K8S_TI_Proxy) ³

说明：Kubernetes 审核日志分析检测到从与代理服务（如 TOR）关联的 IP 地址向群集发出的 API 请求。 虽然这种行为可能是合法的，但经常出现在恶意活动中，不过攻击者会试图隐藏其源 IP。

MITRE 策略：执行

严重性：低

删除了 Kubernetes 事件

(K8S_DeleteEvents) ²³

说明：Defender for Cloud 检测到某些 Kubernetes 事件已删除。 Kubernetes 事件是 Kubernetes 中的对象，其中包含有关群集中发生的更改的信息。 攻击者可能会删除这些事件，以隐藏他们在群集中执行的操作。

MITRE 策略：防御逃避

严重性：低

检测到 Kubernetes 渗透测试工具

(K8S_PenTestToolsKubeHunter)

说明：Kubernetes 审核日志分析检测到 AKS 群集中 Kubernetes 渗透测试工具的使用情况。 此行为可能是合法的，不过，攻击者可能会出于恶意使用此类公用工具。

MITRE 策略：执行

严重性：低

Microsoft Defender for Cloud 测试警报（非威胁）。

(K8S.NODE_EICAR) ¹

说明：这是 Microsoft Defender for Cloud 生成的测试警报。 无需执行其他操作。

MITRE 策略：执行

严重性：高

在 kube-system 命名空间中检测到新容器

(K8S_KubeSystemContainer) ³

说明：Kubernetes 审核日志分析检测到 kube-system 命名空间中的新容器，该容器不在通常在此命名空间中运行的容器中。 Kube-system 命名空间不应包含用户资源。 攻击者可以使用此命名空间来隐藏恶意组件。

MITRE 策略：持久性

严重性：信息性

检测到新的高特权角色

(K8S_HighPrivilegesRole) ³

说明：Kubernetes 审核日志分析检测到具有高特权的新角色。 绑定到高特权角色将为群集中的用户/组授予较高的特权。 不必要的特权可能导致群集中出现特权提升。

MITRE 策略：持久性

严重性：信息性

检测到可能存在攻击工具

(K8S.NODE_KnownLinuxAttackTool) ¹

说明：分析容器中或直接在 Kubernetes 节点上运行的进程，检测到可疑的工具调用。 此工具通常与恶意用户攻击其他计算机的行为关联。

MITRE 策略：执行、收集、命令和控制、探测

严重性：中等

检测到可能存在后门程序

(K8S.NODE_LinuxBackdoorArtifact) ¹

说明：分析容器中或直接在 Kubernetes 节点上运行的进程，检测到正在下载并运行可疑文件。 此活动之前与后门安装关联。

MITRE 策略：持久性、防御评估、执行、利用

严重性：中等

可能有人试图利用命令行

(K8S.NODE_ExploitAttempt) ¹

说明：分析容器中或直接在 Kubernetes 节点上运行的进程，检测到可能针对已知漏洞的利用尝试。

MITRE 策略：利用

严重性：中等

检测到可能存在凭据访问工具

(K8S.NODE_KnownLinuxCredentialAccessTool) ¹

说明：分析在容器中或直接在 Kubernetes 节点上运行的进程，检测到容器上运行了一个可能的已知凭据访问工具，由指定的进程和命令行历史记录项标识。 此工具通常与尝试访问凭据的攻击者关联。

MITRE 策略：CredentialAccess

严重性：中等

检测到潜在 Cryptocoinminer 下载

(K8S.NODE_CryptoCoinMinerDownload) ¹

说明：分析容器中或直接在 Kubernetes 节点上运行的进程，检测到下载通常与数字签名挖掘关联的文件。

MITRE 策略：DefenseEvasion、Command And Control、Exploitation

严重性：中等

检测到可能的日志篡改活动

(K8S.NODE_SystemLogRemoval) ¹

说明：分析容器中或直接在 Kubernetes 节点上运行的进程，检测到在操作过程中跟踪用户活动的文件可能删除。 攻击者通常会通过删除此类日志文件来避开检测以及清除恶意活动的痕迹。

MITRE 策略：DefenseEvasion

严重性：中等

检测到可能有人使用 crypt 方法更改密码

(K8S.NODE_SuspectPasswordChange) ¹

说明：分析容器中或直接在 Kubernetes 节点上运行的进程，已使用 crypt 方法检测到密码更改。 攻击者可能会为了继续访问并在入侵后实现持久性而进行此更改。

MITRE 策略：CredentialAccess

严重性：中等

对外部 IP 地址的潜在端口转发活动

(K8S.NODE_SuspectPortForwarding) ¹

说明：分析容器中或直接在 Kubernetes 节点上运行的进程，检测到端口转发到外部 IP 地址的启动。

MITRE 策略：外泄、命令和控制

严重性：中等

检测到潜在的反向 shell

(K8S.NODE_ReverseShell) ¹

说明：分析容器中或直接在 Kubernetes 节点上运行的进程，检测到潜在的反向 shell。 它们用于让遭到入侵的计算机回调到攻击者拥有的计算机中。

MITRE 策略：外泄、剥削

严重性：中等

检测到特权容器

(K8S_PrivilegedContainer)

说明：Kubernetes 审核日志分析检测到新的特权容器。 特权容器可以访问节点的资源，并打破容器之间的隔离。 如果遭到入侵，攻击者可以使用特权容器获取对节点的访问权限。

MITRE 策略：特权升级

严重性：信息性

检测到与数字货币挖掘关联的进程

(K8S.NODE_CryptoCoinMinerArtifacts) ¹

说明：分析容器中运行的进程检测到执行通常与数字签名挖掘关联的进程。

MITRE 策略：执行、利用

严重性：中等

检测到进程以异常方式访问 SSH 授权密钥文件

(K8S.NODE_SshKeyAccess) ¹

说明：在类似于已知恶意软件活动的方法中访问了 SSH authorized_keys 文件。 此访问可能指示行动者正在尝试获取对计算机的持久访问权限。

MITRE 策略：未知

严重性：信息性

检测到对群集管理员角色的角色绑定

(K8S_ClusterAdminBinding)

说明：Kubernetes 审核日志分析检测到对群集管理员角色的新绑定，该角色提供管理员权限。 不必要的管理员特权可能导致群集中出现特权提升。

MITRE 策略：持久性

严重性：信息性

检测到与安全性相关的进程终止

(K8S.NODE_SuspectProcessTermination) ¹

说明：分析容器中或直接在 Kubernetes 节点上运行的进程，检测到尝试终止与容器上的安全监视相关的进程。 攻击者通常会在入侵后尝试使用预定义的脚本来终止此类进程。

MITRE 策略：持久性

严重性：低

SSH 服务器在容器中运行

(K8S.NODE_ContainerSSH) ¹

说明：分析容器中运行的进程检测到容器中运行的 SSH 服务器。

MITRE 策略：执行

严重性：信息性

可疑的文件时间戳修改操作

(K8S.NODE_TimestampTampering) ¹

说明：分析容器中或直接在 Kubernetes 节点上运行的进程，检测到可疑的时间戳修改。 攻击者通常将时间戳从现有的合法文件复制到新工具，以绕开对这些新放置的文件的检测。

MITRE 策略：持久性、防御评估

严重性：低

对 Kubernetes API 的可疑请求

(K8S.NODE_KubernetesAPI) ¹

说明：分析容器中运行的进程表示对 Kubernetes API 发出了可疑请求。 请求从群集中的容器发送。 虽然此行为可能是故意的，但它可能指示群集中运行的某个容器遭到入侵。

MITRE 策略：横向移动

严重性：中等

对 Kubernetes 仪表板的可疑请求

(K8S.NODE_KubernetesDashboard) ¹

说明：分析容器中运行的进程表示对 Kubernetes 仪表板发出了可疑请求。 请求从群集中的容器发送。 虽然此行为可能是故意的，但它可能指示群集中运行的某个容器遭到入侵。

MITRE 策略：横向移动

严重性：中等

可能启动了加密硬币挖矿机

(K8S.NODE_CryptoCoinMinerExecution) ¹

说明：分析容器中或直接在 Kubernetes 节点上运行的进程，检测到以通常与数字资产挖掘关联的方式启动进程。

MITRE 策略：执行

严重性：中等

可疑的密码访问

(K8S.NODE_SuspectPasswordFileAccess) ¹

说明：分析容器中或直接在 Kubernetes 节点上运行的进程，检测到可疑尝试访问加密的用户密码。

MITRE 策略：持久性

严重性：信息性

检测到可能存在恶意的 Web shell。

(K8S.NODE_Webshell) ¹

说明：分析容器中运行的进程检测到可能的 Web shell。 攻击者通常会将 Web shell 上传到他们已入侵的计算资源以实现持久性，或进一步加以利用。

MITRE 策略：持久性、开发

严重性：中等

突发的多个侦查命令可能指示入侵后的初始活动

(K8S.NODE_ReconnaissanceArtifactsBurst) ¹

说明：分析主机/设备数据，检测到执行与收集系统或攻击者在初始入侵后执行的主机/设备详细信息相关的多个侦察命令。

MITRE 策略：发现、集合

严重性：低

可疑的下载，然后是“运行”活动

(K8S.NODE_DownloadAndRunCombo) ¹

说明：分析容器中或直接在 Kubernetes 节点上运行的进程，检测到正在下载的文件，然后在同一命令中运行。 虽然这并不总是恶意的，但这是攻击者用来将恶意文件获取到受害者计算机上的一种非常常见的技术。

MITRE 策略：执行、CommandAndControl、攻击

严重性：中等

检测到对 kubelet kubeconfig 文件的访问

(K8S.NODE_KubeConfigAccess) ¹

说明：分析 Kubernetes 群集节点上运行的进程检测到对主机上 kubeconfig 文件的访问权限。 kubeconfig 文件（通常由 Kubelet 进程使用）包含 Kubernetes 群集 API 服务器的凭据。 对此文件的访问通常与攻击者尝试访问这些凭据相关联，或者与安全扫描工具相关联，这些工具会检查该文件是否可访问。

MITRE 策略：CredentialAccess

严重性：中等

检测到对云元数据服务的访问

(K8S.NODE_ImdsCall) ¹

说明：分析容器中运行的进程，检测到访问云元数据服务以获取标识令牌。 容器通常不执行此类操作。 虽然此行为可能是合法的，但攻击者可能会在获得对正在运行的容器的初始访问权限后使用此方法访问云资源。

MITRE 策略：CredentialAccess

严重性：中等

检测到 MITRE Caldera 代理

(K8S.NODE_MitreCalderaTools) ¹

说明：分析容器中或直接在 Kubernetes 节点上运行的进程，检测到可疑进程。 这通常与 MITRE 54ndc47 代理相关联，该代理可用于恶意攻击其他计算机。

MITRE 策略：持久性、PrivilegeEscalation、DefenseEvasion、CredentialAccess、Discovery、LateralMovement、Execution、Collection、Exfiltration、Command And Control、Probing、Exploitation

严重性：中等

¹：非 AKS 群集预览：此警报已正式提供给 AKS 群集，但对于其他环境（如 Azure Arc、EKS 和 GKE）为预览版。

²：GKE 群集的限制：GKE 使用了并非支持所有警报类型的 Kuberenetes 审核策略。 因此，GKE 群集不支持基于 Kubernetes 审核事件的此安全警报。

³：Windows 节点/容器支持此警报。

针对 SQL 数据库和 Azure Synapse Analytics 的警报

更多详细信息和说明

可能存在易受 SQL 注入攻击的漏洞

（SQL.DB_VulnerabilityToSqlInjection SQL。VM_VulnerabilityToSqlInjection SQL.MI_VulnerabilityToSqlInjection SQL。DW_VulnerabilityToSqlInjection Synapse.SQLPool_VulnerabilityToSqlInjection）

说明：应用程序在数据库中生成了错误的 SQL 语句。 此警报指示可能存在易受 SQL 注入攻击的漏洞。 生成错误语句的可能原因有两个。 应用程序代码中的缺陷可能会导致构造出错误的 SQL 语句。 或者，应用程序代码或存储过程在构造错误的 SQL 语句时未清理用户输入，使该语句被 SQL 注入攻击利用。

MITRE 策略：PreAttack

严重性：中等

来自可能有害的应用程序的登录尝试

（SQL.DB_HarmfulApplication SQL。VM_HarmfulApplication SQL.MI_HarmfulApplication SQL。DW_HarmfulApplication Synapse.SQLPool_HarmfulApplication）

说明：尝试访问资源的潜在有害应用程序。

MITRE 策略：PreAttack

严重性：高

来自异常 Azure 数据中心的登录

（SQL.DB_DataCenterAnomaly SQL。VM_DataCenterAnomaly SQL。DW_DataCenterAnomaly SQL.MI_DataCenterAnomaly Synapse.SQLPool_DataCenterAnomaly）

说明：SQL Server 的访问模式发生了更改，有人从异常的 Azure 数据中心登录到服务器。 在某些情况下，警报会检测到合法操作（新应用程序或 Azure 服务）。 在其他情况下，警报会检测到恶意操作（攻击者从 Azure 中遭到入侵的资源进行操作）。

MITRE 策略：探测

严重性：低

来自异常位置的登录

（SQL.DB_GeoAnomaly SQL。VM_GeoAnomaly SQL。DW_GeoAnomaly SQL.MI_GeoAnomaly Synapse.SQLPool_GeoAnomaly）

说明：SQL Server 的访问模式发生了变化，有人从异常地理位置登录到服务器。 在某些情况下，警报会检测合法操作（发布新应用程序或开发人员维护）。 在其他情况下，警报会检测到恶意操作（前员工或外部攻击者）。

MITRE 策略：利用

严重性：中等

来自 60 天内未见过的主体用户的登录

（SQL.DB_PrincipalAnomaly SQL。VM_PrincipalAnomaly SQL。DW_PrincipalAnomaly SQL.MI_PrincipalAnomaly Synapse.SQLPool_PrincipalAnomaly）

说明：过去 60 天内未看到的主要用户已登录到数据库。 如果此数据库是新数据库，或者这是由访问数据库的用户最近更改引起的预期行为，则 Defender for Cloud 将识别对访问模式的重大更改，并尝试防止将来出现误报。

MITRE 策略：利用

严重性：中等

从 60 天内未遇到过的域中登录

（SQL.DB_DomainAnomaly SQL。VM_DomainAnomaly SQL。DW_DomainAnomaly SQL.MI_DomainAnomaly Synapse.SQLPool_DomainAnomaly）

说明：用户已从域登录到资源，在过去 60 天内没有其他用户进行连接。 如果此资源是新数据库，或者这是由访问资源的用户最近更改引起的预期行为，则 Defender for Cloud 将识别对访问模式的重大更改，并尝试防止将来出现误报。

MITRE 策略：利用

严重性：中等

从可疑 IP 登录

（SQL.DB_SuspiciousIpAnomaly SQL。VM_SuspiciousIpAnomaly SQL。DW_SuspiciousIpAnomaly SQL.MI_SuspiciousIpAnomaly Synapse.SQLPool_SuspiciousIpAnomaly）

说明：你的资源已成功从 Microsoft 威胁情报与可疑活动关联的 IP 地址访问。

MITRE 策略：PreAttack

严重性：中等

潜在 SQL 注入

（SQL.DB_PotentialSqlInjection SQL。VM_PotentialSqlInjection SQL.MI_PotentialSqlInjection SQL。DW_PotentialSqlInjection Synapse.SQLPool_PotentialSqlInjection）

说明：已针对易受 SQL 注入的已识别应用程序发生活动攻击。 这意味着，攻击者正在尝试使用有漏洞的应用程序代码或存储过程注入恶意 SQL 语句。

MITRE 策略：PreAttack

严重性：高

采用有效用户身份的可疑暴力攻击

（SQL.DB_BruteForce SQL。VM_BruteForce SQL。DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce）

说明：在资源上检测到潜在的暴力攻击。 攻击者采用的身份是具有登录权限的有效用户（用户名）。

MITRE 策略：PreAttack

严重性：高

可疑的暴力攻击

（SQL.DB_BruteForce SQL。VM_BruteForce SQL。DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce）

说明：在资源上检测到潜在的暴力攻击。

MITRE 策略：PreAttack

严重性：高

疑似成功的暴力攻击

（SQL.DB_BruteForce SQL。VM_BruteForce SQL。DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce）

说明：在对资源进行明显的暴力攻击后，登录成功。

MITRE 策略：PreAttack

严重性：高

SQL Server 可能生成 Windows 命令 shell 并访问异常的外部源

（SQL.DB_ShellExternalSourceAnomaly SQL。VM_ShellExternalSourceAnomaly SQL。DW_ShellExternalSourceAnomaly SQL.MI_ShellExternalSourceAnomaly Synapse.SQLPool_ShellExternalSourceAnomaly）

说明：可疑的 SQL 语句可能会生成 Windows 命令行界面，其中包含以前未看到的外部源。 执行访问外部源的 shell 是攻击者用来下载恶意有效负载，然后在计算机上执行并破坏它的一种方法。 这使攻击者能够在远程指导下执行恶意任务。 或者，访问外部源可用于将数据外泄到外部目标。

MITRE 策略：执行

严重性：高

SQL Server 已启动具有混淆部分的异常负载

(SQL.VM_PotentialSqlInjection)

说明：有人利用 SQL Server 中的层启动新的有效负载，该层与操作系统通信，同时在 SQL 查询中隐藏命令。 攻击者通常会隐藏经常受到监视的有效命令，如 xp_cmdshell、sp_add_job 等。 混淆技术会滥用如字符串串联、转换、基更改等合法命令，以避免正则表达式检测并损害日志的可读性。

MITRE 策略：执行

严重性：高

开源关系数据库的警报

更多详细信息和说明

采用有效用户身份的可疑暴力攻击

（SQL.PostgreSQL_BruteForce SQL。MariaDB_BruteForce SQL。MySQL_BruteForce）

说明：在资源上检测到潜在的暴力攻击。 攻击者采用的身份是具有登录权限的有效用户（用户名）。

MITRE 策略：PreAttack

严重性：高

疑似成功的暴力攻击

（SQL.PostgreSQL_BruteForce SQL。MySQL_BruteForce SQL。MariaDB_BruteForce）

说明：在对资源进行明显的暴力攻击后，登录成功。

MITRE 策略：PreAttack

严重性：高

可疑的暴力攻击

（SQL.PostgreSQL_BruteForce SQL。MySQL_BruteForce SQL。MariaDB_BruteForce）

说明：在资源上检测到潜在的暴力攻击。

MITRE 策略：PreAttack

严重性：高

来自可能有害的应用程序的登录尝试

（SQL.PostgreSQL_HarmfulApplication SQL。MariaDB_HarmfulApplication SQL。MySQL_HarmfulApplication）

说明：尝试访问资源的潜在有害应用程序。

MITRE 策略：PreAttack

严重性：高

来自 60 天内未见过的主体用户的登录

（SQL.PostgreSQL_PrincipalAnomaly SQL。MariaDB_PrincipalAnomaly SQL。MySQL_PrincipalAnomaly）

说明：过去 60 天内未看到的主要用户已登录到数据库。 如果此数据库是新数据库，或者这是由访问数据库的用户最近更改引起的预期行为，则 Defender for Cloud 将识别对访问模式的重大更改，并尝试防止将来出现误报。

MITRE 策略：利用

严重性：中等

从 60 天内未遇到过的域中登录

（SQL.MariaDB_DomainAnomaly SQL。PostgreSQL_DomainAnomaly SQL。MySQL_DomainAnomaly）

说明：用户已从域登录到资源，在过去 60 天内没有其他用户进行连接。 如果此资源是新数据库，或者这是由访问资源的用户最近更改引起的预期行为，则 Defender for Cloud 将识别对访问模式的重大更改，并尝试防止将来出现误报。

MITRE 策略：利用

严重性：中等

来自异常 Azure 数据中心的登录

（SQL.PostgreSQL_DataCenterAnomaly SQL。MariaDB_DataCenterAnomaly SQL。MySQL_DataCenterAnomaly）

说明：有人从异常的 Azure 数据中心登录到资源。

MITRE 策略：探测

严重性：低

从异常的云提供商登录

（SQL.PostgreSQL_CloudProviderAnomaly SQL。MariaDB_CloudProviderAnomaly SQL。MySQL_CloudProviderAnomaly）

说明：过去 60 天内未看到有人从云提供商登录到你的资源。 威胁参与者可以快速轻松地获取可自由处置的计算能力，以用于其自身的活动。 如果这是最近采用新云提供商造成的预期行为，Defender for Cloud 会逐渐学习这些行为，并尝试防止将来出现误报。

MITRE 策略：利用

严重性：中等

来自异常位置的登录

（SQL.MariaDB_GeoAnomaly SQL。PostgreSQL_GeoAnomaly SQL。MySQL_GeoAnomaly）

说明：有人从异常的 Azure 数据中心登录到资源。

MITRE 策略：利用

严重性：中等

从可疑 IP 登录

（SQL.PostgreSQL_SuspiciousIpAnomaly SQL。MariaDB_SuspiciousIpAnomaly SQL。MySQL_SuspiciousIpAnomaly）

说明：你的资源已成功从 Microsoft 威胁情报与可疑活动关联的 IP 地址访问。

MITRE 策略：PreAttack

严重性：中等

资源管理器警报

注意

第三方服务提供商的活动触发了具有“委派访问”指示的警报。 详细了解服务提供商活动指示。

更多详细信息和说明

来自可疑 IP 地址的 Azure 资源管理器操作

(ARM_OperationFromSuspiciousIP)

说明：Microsoft Defender for 资源管理器检测到 IP 地址中的操作，该 IP 地址在威胁情报源中标记为可疑。

MITRE 策略：执行

严重性：中等

来自可疑代理 IP 地址的 Azure 资源管理器操作

(ARM_OperationFromSuspiciousProxyIP)

说明：Microsoft Defender for 资源管理器检测到与代理服务（如 TOR）关联的 IP 地址的资源管理操作。 虽然这种行为可能是合法的，但经常出现在恶意活动中，在这些恶意活动中，攻击者会试图隐藏其源 IP。

MITRE 策略：防御逃避

严重性：中等

使用了 MicroBurst 漏洞利用工具包来枚举订阅中的资源

(ARM_MicroBurst.AzDomainInfo)

说明：PowerShell 脚本在订阅中运行，并执行了执行信息收集操作以发现资源、权限和网络结构的可疑模式。 威胁行动者使用自动化脚本（如 MicroBurst）来收集恶意活动的相关信息。 通过分析订阅中的 Azure 资源管理器操作，检测到此情况。 此操作可能表明你组织中的某个身份遭到入侵，并且威胁行动者正在尝试破坏环境，以实现恶意目的。

MITRE 策略： -

严重性：低

使用了 MicroBurst 漏洞利用工具包来枚举订阅中的资源

(ARM_MicroBurst.AzureDomainInfo)

说明：PowerShell 脚本在订阅中运行，并执行了执行信息收集操作以发现资源、权限和网络结构的可疑模式。 威胁行动者使用自动化脚本（如 MicroBurst）来收集恶意活动的相关信息。 通过分析订阅中的 Azure 资源管理器操作，检测到此情况。 此操作可能表明你组织中的某个身份遭到入侵，并且威胁行动者正在尝试破坏环境，以实现恶意目的。

MITRE 策略： -

严重性：低

使用了 MicroBurst 漏洞利用工具包在虚拟机上执行代码

(ARM_MicroBurst.AzVMBulkCMD)

说明：PowerShell 脚本在订阅中运行，并执行了在 VM 或 VM 列表上执行代码的可疑模式。 威胁行动者使用自动化脚本（如 MicroBurst）在 VM 上为恶意活动运行脚本。 通过分析订阅中的 Azure 资源管理器操作，检测到此情况。 此操作可能表明你组织中的某个身份遭到入侵，并且威胁行动者正在尝试破坏环境，以实现恶意目的。

MITRE 策略：执行

严重性：高

使用了 MicroBurst 漏洞利用工具包在虚拟机上执行代码

(RM_MicroBurst.AzureRmVMBulkCMD)

说明：MicroBurst 的利用工具包用于在虚拟机上执行代码。 通过分析订阅中的 Azure 资源管理器操作，检测到此情况。

MITRE 策略： -

严重性：高

使用了 MicroBurst 漏洞利用工具包从 Azure 密钥保管库提取密钥

(ARM_MicroBurst.AzKeyVaultKeysREST)

说明：PowerShell 脚本在订阅中运行，并执行了从 Azure 密钥库（s） 提取密钥的可疑模式。 威胁行动者使用自动化脚本（如 MicroBurst）列出密钥，并使用它们来访问敏感数据或执行横向移动。 通过分析订阅中的 Azure 资源管理器操作，检测到此情况。 此操作可能表明你组织中的某个身份遭到入侵，并且威胁行动者正在尝试破坏环境，以实现恶意目的。

MITRE 策略： -

严重性：高

使用了 MicroBurst 漏洞利用工具包提取存储帐户的密钥

(ARM_MicroBurst.AZStorageKeysREST)

说明：PowerShell 脚本在订阅中运行，并执行了将密钥提取到 存储 帐户的可疑模式。 威胁行动者使用自动化脚本（如 MicroBurst）列出密钥，并使用它们来访问存储帐户中的敏感数据。 通过分析订阅中的 Azure 资源管理器操作，检测到此情况。 此操作可能表明你组织中的某个身份遭到入侵，并且威胁行动者正在尝试破坏环境，以实现恶意目的。

MITRE 策略：集合

严重性：高

使用了 MicroBurst 漏洞利用工具包从 Azure 密钥保管库提取机密

(ARM_MicroBurst.AzKeyVaultSecretsREST)

说明：PowerShell 脚本在订阅中运行，并执行了从 Azure 密钥库（s） 提取机密的可疑模式。 威胁行动者使用自动化脚本（如 MicroBurst）列出机密，并使用它们来访问敏感数据或执行横向移动。 通过分析订阅中的 Azure 资源管理器操作，检测到此情况。 此操作可能表明你组织中的某个身份遭到入侵，并且威胁行动者正在尝试破坏环境，以实现恶意目的。

MITRE 策略： -

严重性：高

使用了 PowerZure 漏洞利用工具包来提升从 Azure AD 到 Azure 的访问权限

(ARM_PowerZure.AzureElevatedPrivileges)

说明：PowerZure 漏洞利用工具包用于将访问权限从 AzureAD 提升到 Azure。 通过分析租户中的 Azure 资源管理器操作，检测到此情况。

MITRE 策略： -

严重性：高

使用了 PowerZure 漏洞利用工具包来枚举资源

(ARM_PowerZure.GetAzureTargets)

说明：PowerZure 漏洞利用工具包用于代表组织中的合法用户帐户枚举资源。 通过分析订阅中的 Azure 资源管理器操作，检测到此情况。

MITRE 策略：集合

严重性：高

使用了 PowerZure 漏洞利用工具包来枚举存储容器、共享和表

(ARM_PowerZure.ShowStorageContent)

说明：PowerZure 开发工具包用于枚举存储共享、表和容器。 通过分析订阅中的 Azure 资源管理器操作，检测到此情况。

MITRE 策略： -

严重性：高

使用了 PowerZure 漏洞利用工具包在订阅中执行 Runbook

(ARM_PowerZure.StartRunbook)

说明：PowerZure 漏洞利用工具包用于执行 Runbook。 通过分析订阅中的 Azure 资源管理器操作，检测到此情况。

MITRE 策略： -

严重性：高

使用了 PowerZure 漏洞利用工具包来提取 Runbook 内容

(ARM_PowerZure.AzureRunbookContent)

说明：PowerZure 开发工具包用于提取 Runbook 内容。 通过分析订阅中的 Azure 资源管理器操作，检测到此情况。

MITRE 策略：集合

严重性：高

预览版 - 检测到 Azurite 工具包运行

(ARM_Azurite)

说明：环境中检测到已知的云环境侦查工具包运行。 攻击者（或渗透测试人员）可以使用 Azurite 工具来映射订阅的资源并标识不安全的配置。

MITRE 策略：集合

严重性：高

预览 - 检测到可疑的计算资源创建

(ARM_SuspiciousComputeCreation)

说明：Microsoft Defender for 资源管理器 识别了使用 虚拟机/Azure 规模集在订阅中创建计算资源的可疑情况。 所识别的操作旨在允许管理员在需要时可通过部署新资源来有效管理其环境。 虽然此活动可能是合法的，但威胁行动者可能会利用此类操作进行加密挖掘。 活动被视为可疑，因为计算资源规模高于之前在订阅中观察到的规模。 这可能指示主体被盗用并且正在被恶意使用。

MITRE 策略：影响

严重性：中等

预览版 - 检测到可疑的密钥保管库恢复

(Arm_Suspicious_Vault_Recovering)

说明：Microsoft Defender for 资源管理器检测到软删除的密钥保管库资源的可疑恢复操作。 恢复资源的用户与删除该资源的用户不同。 此操作高度可疑，因为用户很少调用此类操作。 此外，用户在没有多重身份验证（MFA）的情况下登录。 这可能表示用户遭到入侵，并正在尝试发现机密和密钥来获取敏感资源的访问权限，或跨网络执行横向移动。

MITRE 策略：横向移动

严重性：中/高

预览版 - 检测到使用非活动帐户的可疑管理会话

(ARM_UnusedAccountPersistence)

说明：订阅活动日志分析检测到可疑行为。 很长时间没有使用的某个主体现在正在执行可保护攻击者持久性的操作。

MITRE 策略：持久性

严重性：中等

预览版 - 检测到服务主体对高风险“凭据访问”操作的可疑调用

(ARM_AnomalousServiceOperation.CredentialAccess)

说明：Microsoft Defender for 资源管理器识别了对订阅中高风险操作的可疑调用，这可能表示尝试访问凭据。 所发现操作的设计意图是为了让管理员能够有效地管理其环境。 虽然此活动可能是合法的，但威胁参与者可能会利用此类操作来访问受限凭据并破坏环境中的资源。 这可能表示该服务主体已泄露并且正在被恶意使用。

MITRE 策略：凭据访问

严重性：中等

预览版 - 检测到服务主体对高风险“数据收集”操作的可疑调用

(ARM_AnomalousServiceOperation.Collection)

说明：Microsoft Defender for 资源管理器识别了对订阅中高风险操作的可疑调用，这可能表示尝试收集数据。 所发现操作的设计意图是为了让管理员能够有效地管理其环境。 虽然此活动可能是合法的，但威胁参与者可能会利用此类操作收集有关环境中资源的敏感数据。 这可能表示该服务主体已泄露并且正在被恶意使用。

MITRE 策略：集合

严重性：中等

预览版 - 检测到服务主体对高风险“防御规避”操作的可疑调用

(ARM_AnomalousServiceOperation.DefenseEvasion)

说明：Microsoft Defender for 资源管理器 在订阅中发现了对高风险操作的可疑调用，这可能表示试图逃避防御。 所发现操作的设计意图是为了让管理员能够有效地管理其环境的安全状况。 虽然此活动可能是合法的，但威胁参与者可能会利用此类操作来避免在破坏环境中的资源时被检测到。 这可能表示该服务主体已泄露并且正在被恶意使用。

MITRE 策略：防御逃避

严重性：中等

预览 - 检测到服务主体对高风险“执行”操作的可疑调用

(ARM_AnomalousServiceOperation.Execution)

说明：Microsoft Defender for 资源管理器 在订阅中的计算机上发现了对高风险操作的可疑调用，这可能表示尝试执行代码。 所发现操作的设计意图是为了让管理员能够有效地管理其环境。 虽然此活动可能是合法的，但威胁参与者可能会利用此类操作来访问受限凭据并破坏环境中的资源。 这可能表示该服务主体已泄露并且正在被恶意使用。

MITRE 策略：防御执行

严重性：中等

预览版 - 检测到服务主体对高风险“影响”操作的可疑调用

(ARM_AnomalousServiceOperation.Impact)

说明：Microsoft Defender for 资源管理器 识别了对订阅中高风险操作的可疑调用，这可能表示尝试的配置更改。 所发现操作的设计意图是为了让管理员能够有效地管理其环境。 虽然此活动可能是合法的，但威胁参与者可能会利用此类操作来访问受限凭据并破坏环境中的资源。 这可能表示该服务主体已泄露并且正在被恶意使用。

MITRE 策略：影响

严重性：中等

预览版 - 检测到服务主体对高风险“初始访问”操作的可疑调用

(ARM_AnomalousServiceOperation.InitialAccess)

说明：Microsoft Defender for 资源管理器识别了对订阅中高风险操作的可疑调用，这可能表示尝试访问受限资源。 所发现操作的设计意图是为了让管理员能够有效地访问其环境。 虽然此活动可能是合法的，但威胁参与者可能会利用此类操作来获得对环境中受限资源的初始访问权限。 这可能表示该服务主体已泄露并且正在被恶意使用。

MITRE 策略：初始访问

严重性：中等

预览版 - 检测到服务主体对高风险“横向移动访问”操作的可疑调用

(ARM_AnomalousServiceOperation.LateralMovement)

说明：Microsoft Defender for 资源管理器识别了对订阅中高风险操作的可疑调用，这可能表示尝试执行横向移动。 所发现操作的设计意图是为了让管理员能够有效地管理其环境。 虽然此活动可能是合法的，但威胁参与者可能会利用此类操作来破坏环境中的更多资源。 这可能表示该服务主体已泄露并且正在被恶意使用。

MITRE 策略：横向移动

严重性：中等

预览版 - 检测到服务主体对高风险“持久化”操作的可疑调用

(ARM_AnomalousServiceOperation.Persistence)

说明：Microsoft Defender for 资源管理器在订阅中发现了对高风险操作的可疑调用，这可能表示尝试建立持久性。 所发现操作的设计意图是为了让管理员能够有效地管理其环境。 虽然此活动可能是合法的，但威胁参与者可能会利用此类操作在环境中建立持久性。 这可能表示该服务主体已泄露并且正在被恶意使用。

MITRE 策略：持久性

严重性：中等

预览版 - 检测到服务主体对高风险“特权提升”操作的可疑调用

(ARM_AnomalousServiceOperation.PrivilegeEscalation)

说明：Microsoft Defender for 资源管理器在订阅中发现了对高风险操作的可疑调用，这可能表示尝试升级特权。 所发现操作的设计意图是为了让管理员能够有效地管理其环境。 虽然此活动可能是合法的，但威胁参与者可能会利用此类操作提升特权，同时损害环境中的资源。 这可能表示该服务主体已泄露并且正在被恶意使用。

MITRE 策略：特权升级

严重性：中等

预览版 - 检测到使用非活动帐户的可疑管理会话

(ARM_UnusedAccountPersistence)

说明：订阅活动日志分析检测到可疑行为。 很长时间没有使用的某个主体现在正在执行可保护攻击者持久性的操作。

MITRE 策略：持久性

严重性：中等

预览版 - 检测到使用 PowerShell 的可疑管理会话

(ARM_UnusedAppPowershellPersistence)

说明：订阅活动日志分析检测到可疑行为。 一个不经常使用 PowerShell 来管理订阅环境的主体现在正在使用 PowerShell 执行可保护攻击者持久性的操作。

MITRE 策略：持久性

严重性：中等

预览版 -“检测到Azure 门户可疑管理会话

(ARM_UnusedAppIbizaPersistence)

说明：对订阅活动日志的分析检测到可疑行为。 不经常使用 Azure 门户 (Ibiza) 管理订阅环境的主体（最近 45 天都没有使用 Azure 门户进行管理，也没有会主动管理的订阅）现在正在使用 Azure 门户执行可保护攻击者持久性的操作。

MITRE 策略：持久性

严重性：中等

以可疑方式为订阅创建的特权自定义角色（预览）

(ARM_PrivilegedRoleDefinitionCreation)

说明：Microsoft Defender for 资源管理器 检测到订阅中可疑地创建特权自定义角色定义。 此操作可能是由你的组织中的合法用户执行的。 或者，这可能表明你的组织中的帐户被入侵，并且威胁方正在尝试创建特权角色，以在将来用于规避检测。

MITRE 策略：特权升级、防御逃避

严重性：信息性

检测到可疑的 Azure 角色分配（预览版）

(ARM_AnomalousRBACRoleAssignment)

说明：Microsoft Defender for 资源管理器在租户中发现了一个可疑的 Azure 角色分配/使用 PIM（Privileged Identity Management）执行，这可能表示组织中的帐户遭到入侵。 标识的操作旨在让管理员能够向主体授予对 Azure 资源的访问权限。 虽然此活动可能是合法的，但威胁参与者可能会利用角色分配来升级其权限，以便他们推进攻击。

MITRE 战术：横向运动、防御逃避

严重性：低（PIM）/高

检测到对高风险“凭据访问”操作的可疑调用（预览版）

(ARM_AnomalousOperation.CredentialAccess)

说明：Microsoft Defender for 资源管理器识别了对订阅中高风险操作的可疑调用，这可能表示尝试访问凭据。 所发现操作的设计意图是为了让管理员能够有效地访问其环境。 虽然此活动可能是合法的，但威胁参与者可能会利用此类操作来访问受限凭据并破坏环境中的资源。 这可能表示该帐户已泄露并且正在被恶意使用。

MITRE 策略：凭据访问

严重性：中等

检测到对高风险“数据收集”操作的可疑调用（预览版）

(ARM_AnomalousOperation.Collection)

说明：Microsoft Defender for 资源管理器识别了对订阅中高风险操作的可疑调用，这可能表示尝试收集数据。 所发现操作的设计意图是为了让管理员能够有效地管理其环境。 虽然此活动可能是合法的，但威胁参与者可能会利用此类操作收集有关环境中资源的敏感数据。 这可能表示该帐户已泄露并且正在被恶意使用。

MITRE 策略：集合

严重性：中等

检测到对高风险“防御规避”操作的可疑调用（预览版）

(ARM_AnomalousOperation.DefenseEvasion)

说明：Microsoft Defender for 资源管理器 在订阅中发现了对高风险操作的可疑调用，这可能表示试图逃避防御。 所发现操作的设计意图是为了让管理员能够有效地管理其环境的安全状况。 虽然此活动可能是合法的，但威胁参与者可能会利用此类操作来避免在破坏环境中的资源时被检测到。 这可能表示该帐户已泄露并且正在被恶意使用。

MITRE 策略：防御逃避

严重性：中等

检测到对高风险“执行”操作的可疑调用（预览版）

(ARM_AnomalousOperation.Execution)

说明：Microsoft Defender for 资源管理器 在订阅中的计算机上发现了对高风险操作的可疑调用，这可能表示尝试执行代码。 所发现操作的设计意图是为了让管理员能够有效地管理其环境。 虽然此活动可能是合法的，但威胁参与者可能会利用此类操作来访问受限凭据并破坏环境中的资源。 这可能表示该帐户已泄露并且正在被恶意使用。

MITRE 策略：执行

严重性：中等

检测到对高风险“造成影响”操作的可疑调用（预览版）

(ARM_AnomalousOperation.Impact)

说明：Microsoft Defender for 资源管理器 识别了对订阅中高风险操作的可疑调用，这可能表示尝试的配置更改。 所发现操作的设计意图是为了让管理员能够有效地管理其环境。 虽然此活动可能是合法的，但威胁参与者可能会利用此类操作来访问受限凭据并破坏环境中的资源。 这可能表示该帐户已泄露并且正在被恶意使用。

MITRE 策略：影响

严重性：中等

检测到对高风险“初始访问”操作的可疑调用（预览版）

(ARM_AnomalousOperation.InitialAccess)

说明：Microsoft Defender for 资源管理器识别了对订阅中高风险操作的可疑调用，这可能表示尝试访问受限资源。 所发现操作的设计意图是为了让管理员能够有效地访问其环境。 虽然此活动可能是合法的，但威胁参与者可能会利用此类操作来获得对环境中受限资源的初始访问权限。 这可能表示该帐户已泄露并且正在被恶意使用。

MITRE 策略：初始访问

严重性：中等

检测到对高风险“横向移动”操作的可疑调用（预览版）

(ARM_AnomalousOperation.LateralMovement)

说明：Microsoft Defender for 资源管理器识别了对订阅中高风险操作的可疑调用，这可能表示尝试执行横向移动。 所发现操作的设计意图是为了让管理员能够有效地管理其环境。 虽然此活动可能是合法的，但威胁参与者可能会利用此类操作来破坏环境中的更多资源。 这可能表示该帐户已泄露并且正在被恶意使用。

MITRE 策略：横向移动

严重性：中等

可疑提升访问权限操作（预览版）(ARM_AnomalousElevateAccess)

说明：Microsoft Defender for 资源管理器 发现了可疑的“提升访问”操作。 该活动被视为可疑活动，因为此主体很少调用此类操作。 虽然此活动可能是合法的，但威胁参与者可能会利用“提升访问”操作为被入侵的用户执行特权提升。

MITRE 策略：特权升级

严重性：中等

检测到对高风险“持久保留”操作的可疑调用（预览版）

(ARM_AnomalousOperation.Persistence)

说明：Microsoft Defender for 资源管理器在订阅中发现了对高风险操作的可疑调用，这可能表示尝试建立持久性。 所发现操作的设计意图是为了让管理员能够有效地管理其环境。 虽然此活动可能是合法的，但威胁参与者可能会利用此类操作在环境中建立持久性。 这可能表示该帐户已泄露并且正在被恶意使用。

MITRE 策略：持久性

严重性：中等

检测到对高风险“特权提升”操作的可疑调用（预览版）

(ARM_AnomalousOperation.PrivilegeEscalation)

说明：Microsoft Defender for 资源管理器在订阅中发现了对高风险操作的可疑调用，这可能表示尝试升级特权。 所发现操作的设计意图是为了让管理员能够有效地管理其环境。 虽然此活动可能是合法的，但威胁参与者可能会利用此类操作提升特权，同时损害环境中的资源。 这可能表示该帐户已泄露并且正在被恶意使用。

MITRE 策略：特权升级

严重性：中等

使用 MicroBurst 漏洞利用工具包运行任意代码或盗取 Azure 自动化帐户凭据

(ARM_MicroBurst.RunCodeOnBehalf)

说明：PowerShell 脚本在订阅中运行，并执行了执行任意代码或外泄Azure 自动化帐户凭据的可疑模式。 威胁行动者使用自动化脚本（如 MicroBurst）在 VM 上为恶意活动运行任意代码。 通过分析订阅中的 Azure 资源管理器操作，检测到此情况。 此操作可能表明你组织中的某个身份遭到入侵，并且威胁行动者正在尝试破坏环境，以实现恶意目的。

MITRE 策略：持久性、凭据访问

严重性：高

使用 NetSPI 技术在 Azure 环境中保持持久性

(ARM_NetSPI.MaintainPersistence)

说明：使用 NetSPI 持久性技术在 Azure 环境中创建 Webhook 后门并维护持久性。 通过分析订阅中的 Azure 资源管理器操作，检测到此情况。

MITRE 策略： -

严重性：高

使用 PowerZure 漏洞利用工具包运行任意代码或盗取 Azure 自动化帐户凭据

(ARM_PowerZure.RunCodeOnBehalf)

说明：检测到 PowerZure 漏洞利用工具包尝试运行代码或Azure 自动化帐户凭据外泄。 通过分析订阅中的 Azure 资源管理器操作，检测到此情况。

MITRE 策略： -

严重性：高

使用 PowerZure 函数在 Azure 环境中保持持久性

(ARM_PowerZure.MaintainPersistence)

说明：检测到 PowerZure 利用工具包创建了 Webhook 后门，以在 Azure 环境中保持持久性。 通过分析订阅中的 Azure 资源管理器操作，检测到此情况。

MITRE 策略： -

严重性：高

检测到可疑的经典角色分配（预览版）

(ARM_AnomalousClassicRoleAssignment)

说明：Microsoft Defender for 资源管理器在租户中标识了可疑的经典角色分配，这可能表明组织中的帐户遭到入侵。 标识的操作旨在提供与不再常用的经典角色的后向兼容性。 虽然此活动可能是合法的，但威胁参与者可能会利用此类分配向其控制下的另一个用户帐户授予权限。

MITRE 战术：横向运动、防御逃避

严重性：高

Azure 存储警报

更多详细信息和说明

来自可疑应用程序的访问

(Storage.Blob_SuspiciousApp)

说明：指示可疑应用程序已成功访问具有身份验证的存储帐户的容器。 这可能表示攻击者获取了访问该帐户所必要的凭据，并在利用该帐户。 这也可能是在你的组织中进行渗透测试的一个迹象。 适用于：Azure Blob 存储、Azure Data Lake Storage Gen2

MITRE 策略：初始访问

严重性：高/中

来自可疑 IP 地址的访问

（存储.Blob_SuspiciousIp 存储。Files_SuspiciousIp）

说明：指示已成功从被视为可疑的 IP 地址访问此存储帐户。 此警报由 Microsoft 威胁智能提供支持。 详细了解 Microsoft 威胁智能功能。 适用于：Azure Blob 存储、Azure 文件存储、Azure Data Lake Storage Gen2

MITRE 策略：进攻前

严重性：高/中/低

存储帐户上托管的欺诈内容

（存储.Blob_PhishingContent 存储。Files_PhishingContent）

说明：网络钓鱼攻击中使用的 URL 指向Azure 存储帐户。 此 URL 是影响 Microsoft 365 用户的网络钓鱼攻击的一部分。 通常，在此类页面上承载的内容旨在诱使访问者将其企业凭据或财务信息输入到看似合法的 Web 窗体中。 此警报由 Microsoft 威胁智能提供支持。 详细了解 Microsoft 威胁智能功能。 适用于：Azure Blob 存储、Azure 文件存储

MITRE 策略：集合

严重性：高

标识为分发恶意软件的源的存储帐户

(Storage.Files_WidespreadeAm)

说明：反恶意软件警报指示已感染的文件存储在装载到多个 VM 的 Azure 文件共享中。 如果攻击者获得了某一 VM 的访问权限，而该 VM 装载了 Azure 文件共享，他们可能会利用该权限将恶意软件传播到装载了同一共享的其他 VM。 适用于：Azure 文件存储

MITRE 策略：执行

严重性：中等

已更改潜在敏感存储 Blob 容器的访问级别，以允许未经身份验证的公共访问

(Storage.Blob_OpenACL)

说明：警报指示有人已将存储帐户中 Blob 容器的访问级别（可能包含敏感数据）更改为“容器”级别，以允许未经身份验证（匿名）公共访问。 更改是通过Azure 门户进行的。 根据统计分析，Blob 容器被标记为可能包含敏感数据。 此分析表明，通常不会公开具有类似名称的 Blob 容器或存储帐户进行公共访问。 适用于：Azure Blob（标准常规用途 v2、Azure Data Lake Storage Gen2 或高级块 blob）存储帐户。

MITRE 策略：集合

严重性：中等

来自 Tor 退出节点的经过身份验证的访问

（存储.Blob_TorAnomaly 存储。Files_TorAnomaly）

说明：从已知为 Tor 的活动退出节点（匿名代理）的 IP 地址成功访问存储帐户中的一个或多个存储容器（s） /文件共享。 威胁参与者使用 Tor 来使用户难以追踪到他们的活动。 来自 Tor 退出节点的经过身份验证的访问可能表明威胁参与者正试图隐藏他们的身份。 适用于：Azure Blob 存储、Azure 文件存储、Azure Data Lake Storage Gen2

MITRE 策略：初始访问/攻击前

严重性：高/中

有人从异常位置访问存储帐户

（存储.Blob_GeoAnomaly 存储。Files_GeoAnomaly）

说明：指示对Azure 存储帐户的访问模式发生了更改。 与最近的活动相比，有人从较为陌生的 IP 地址访问了此帐户。 可能是攻击者已获取帐户访问权限，也可能是合法用户从新的或异常的地理位置进行连接。 后者的示例包括来自新应用程序或开发人员的远程维护操作。 适用于：Azure Blob 存储、Azure 文件存储、Azure Data Lake Storage Gen2

MITRE 策略：初始访问

严重性：高/中/低

对存储容器的未经身份验证的异常访问

(Storage.Blob_AnonymousAccessAnomaly)

说明：此存储帐户未经身份验证访问，这是常见访问模式的更改。 对此容器的读取访问通常是经过身份验证的。 这可能表明威胁参与者能够利用对此存储帐户中存储容器的公共读取访问。 适用于：Azure Blob 存储

MITRE 策略：初始访问

严重性：高/低

可能的恶意软件已上传到存储帐户

（存储.Blob_MalwareHashReputation 存储。Files_MalwareHashReputation）

说明：指示包含潜在恶意软件的 Blob 已上传到存储帐户中的 Blob 容器或文件共享。 此警报基于哈希信誉分析，利用了 Microsoft 威胁智能（包括病毒、特洛伊木马、间谍软件和勒索软件的哈希）的强大功能。 潜在原因可能包括攻击者有意上传恶意软件，或者合法用户无意上传潜在的恶意 Blob。 适用于：Azure Blob 存储、Azure 文件存储（仅适用于 REST API 上的事务），详细了解 Microsoft 的威胁情报功能。

MITRE 策略：横向移动

严重性：高

成功发现可公开访问的存储容器

(Storage.Blob_OpenContainersScanning.SuccessfulDiscovery)

说明：扫描脚本或工具在过去一小时内成功发现存储帐户中公开打开的存储容器。

这通常表示存在侦查攻击，其中威胁参与者尝试通过猜测容器名称来列出 blob，以便找到其中包含敏感数据的配置错误的已打开存储容器。

威胁参与者可能使用自己的脚本或使用 Microburst 等已知扫描工具扫描公开打开的容器。

✔ Azure Blob 存储 ✖ Azure 文件存储 ✖ Azure Data Lake Storage Gen2

MITRE 策略：集合

严重性：高/中

未成功扫描可公开访问的存储容器

(Storage.Blob_OpenContainersScanning.FailedAttempt)

说明：在过去一小时内执行了一系列扫描公开打开的存储容器失败尝试。

这通常表示存在侦查攻击，其中威胁参与者尝试通过猜测容器名称来列出 blob，以便找到其中包含敏感数据的配置错误的已打开存储容器。

威胁参与者可能使用自己的脚本或使用 Microburst 等已知扫描工具扫描公开打开的容器。

✔ Azure Blob 存储 ✖ Azure 文件存储 ✖ Azure Data Lake Storage Gen2

MITRE 策略：集合

严重性：高/低

存储帐户中的异常访问检查

（存储.Blob_AccessInspectionAnomaly 存储。Files_AccessInspectionAnomaly）

说明：与此帐户上最近的活动相比，以异常方式检查了存储帐户的访问权限。 可能的原因是攻击者在为以后的攻击执行侦查。 适用于：Azure Blob 存储、Azure 文件存储

MITRE 策略：发现

严重性：高/中

从存储帐户提取的数据量异常

（存储.Blob_DataExfiltration.AmountOfDataAnomaly 存储。Blob_DataExfiltration.NumberOfBlobsAnomaly 存储。Files_DataExfiltration.AmountOfDataAnomaly 存储。Files_DataExfiltration.NumberOfFilesAnomaly）

说明：指示与此存储容器上的最近活动相比，提取了异常大量的数据。 可能的原因是攻击者从保存 blob 存储的容器中提取了大量数据。 适用于：Azure Blob 存储、Azure 文件存储、Azure Data Lake Storage Gen2

MITRE 策略：外泄

严重性：高/低

异常应用程序访问了存储帐户

（存储.Blob_ApplicationAnomaly 存储。Files_ApplicationAnomaly）

说明：指示异常应用程序已访问此存储帐户。 可能的原因是攻击者通过使用新应用程序访问了存储帐户。 适用于：Azure Blob 存储、Azure 文件存储

MITRE 策略：执行

严重性：高/中

存储帐户中的异常数据浏览活动

（存储.Blob_DataExplorationAnomaly 存储。Files_DataExplorationAnomaly）

说明：与此帐户上的最近活动相比，指示存储帐户中的 blob 或容器已以异常方式枚举。 可能的原因是攻击者在为以后的攻击执行侦查。 适用于：Azure Blob 存储、Azure 文件存储

MITRE 策略：执行

严重性：高/中

存储帐户中的异常删除活动

（存储.Blob_DeletionAnomaly 存储。Files_DeletionAnomaly）

说明：指示存储帐户中发生了一个或多个意外的删除操作，这与此帐户上的最近活动相比。 可能的原因是攻击者从存储帐户中删除了数据。 适用于：Azure Blob 存储、Azure 文件存储、Azure Data Lake Storage Gen2

MITRE 策略：外泄

严重性：高/中

对敏感 blob 容器的异常未经身份验证公共访问（预览版）

Storage.Blob_AnonymousAccessAnomaly.Sensitive

说明：警报指示有人使用外部（公共）IP 地址访问存储帐户中具有敏感数据的 Blob 容器，而无需进行身份验证。 此访问很可疑，因为 blob 容器对公共访问开放，并且通常只能通过从内部网络（专用 IP 地址）在经过身份验证的情况下进行访问。 此访问可能指示 Blob 容器的访问级别配置不当，恶意参与者可能利用了公共访问。 安全警报包括发现的敏感信息上下文（扫描时间、分类标签、信息类型和文件类型）。 详细了解敏感数据威胁检测。 适用于：Azure Blob（标准常规用途 v2、Azure Data Lake 存储 Gen2 或高级块 blob）存储帐户，以及启用了数据敏感度威胁检测功能的新 Defender for 存储 计划。

MITRE 策略：初始访问

严重性：高

从敏感 blob 容器提取的数据量异常（预览版）

Storage.Blob_DataExfiltration.AmountOfDataAnomaly.Sensitive

说明：警报指示有人从存储帐户中具有敏感数据的 Blob 容器中提取了异常大量数据。 适用于：Azure Blob（标准常规用途 v2、Azure Data Lake 存储 Gen2 或高级块 blob）存储帐户，以及启用了数据敏感度威胁检测功能的新 Defender for 存储 计划。

MITRE 策略：外泄

严重性：中等

从敏感 blob 容器提取的 blob 数量异常（预览版）

Storage.Blob_DataExfiltration.NumberOfBlobsAnomaly.Sensitive

说明：警报指示有人从存储帐户中具有敏感数据的 Blob 容器中提取了异常大量的 Blob。 适用于：具有新的 Defender for Storage 计划并且启用了数据敏感度威胁检测功能的 Azure Blob（标准常规用途 v2、Azure Data Lake Storage Gen2 或高级块 blob）存储帐户。

MITRE 策略：外泄

从已知可疑应用程序访问敏感 blob 容器（预览版）

Storage.Blob_SuspiciousApp.Sensitive

说明：警报指示具有已知可疑应用程序的某人访问了存储帐户中具有敏感数据的 Blob 容器，并执行了经过身份验证的操作。
访问可能表明威胁参与者已获取凭据，以使用已知的可疑应用程序访问存储帐户。 但是，访问也可能指示在组织中进行了渗透测试。 适用于：具有新的 Defender for Storage 计划并且启用了数据敏感度威胁检测功能的 Azure Blob（标准常规用途 v2、Azure Data Lake Storage Gen2 或高级块 blob）存储帐户。

MITRE 策略：初始访问

严重性：高

从已知可疑 IP 地址访问敏感 blob 容器（预览版）

Storage.Blob_SuspiciousIp.Sensitive

说明：警报指示有人从 Microsoft 威胁情报与威胁 Intel 关联的已知可疑 IP 地址访问存储帐户中具有敏感数据的 Blob 容器。 由于访问经过身份验证，因此允许访问此存储帐户的凭据可能被泄露。 详细了解 Microsoft 威胁智能功能。 适用于：Azure Blob（标准常规用途 v2、Azure Data Lake 存储 Gen2 或高级块 blob）存储帐户，以及启用了数据敏感度威胁检测功能的新 Defender for 存储 计划。

MITRE 策略：攻击前

严重性：高

从 Tor 出口节点访问敏感 blob 容器（预览版）

Storage.Blob_TorAnomaly.Sensitive

说明：警报指示已知为 Tor 退出节点的某人访问了存储帐户中具有敏感数据且具有经过身份验证访问权限的 Blob 容器。 来自 Tor 出口节点的经过身份验证的访问强烈表明参与者试图保持匿名，以达到可能的恶意意图。 由于访问经过身份验证，因此允许访问此存储帐户的凭据可能被泄露。 适用于：Azure Blob（标准常规用途 v2、Azure Data Lake 存储 Gen2 或高级块 blob）存储帐户，以及启用了数据敏感度威胁检测功能的新 Defender for 存储 计划。

MITRE 策略：攻击前

严重性：高

从异常位置访问敏感 blob 容器（预览版）

Storage.Blob_GeoAnomaly.Sensitive

说明：警报指示有人从异常位置使用存储帐户中的敏感数据访问了 Blob 容器， 由于访问经过身份验证，因此允许访问此存储帐户的凭据可能被泄露。 适用于：Azure Blob（标准常规用途 v2、Azure Data Lake 存储 Gen2 或高级块 blob）存储帐户，以及启用了数据敏感度威胁检测功能的新 Defender for 存储 计划。

MITRE 策略：初始访问

严重性：中等

更改了敏感存储 Blob 容器的访问级别，以允许未经身份验证的公共访问（预览版）

Storage.Blob_OpenACL.Sensitive

说明：警报指示有人已将存储帐户中 Blob 容器的访问级别（其中包含敏感数据）更改为“容器”级别，该级别允许未经身份验证（匿名）公共访问。 更改是通过Azure 门户进行的。 访问级别更改可能会损害数据的安全性。 建议立即采取措施来保护数据，并在触发此警报时防止未经授权的访问。 适用于：Azure Blob（标准常规用途 v2、Azure Data Lake 存储 Gen2 或高级块 blob）存储帐户，以及启用了数据敏感度威胁检测功能的新 Defender for 存储 计划。

MITRE 策略：集合

严重性：高

使用过度许可的 SAS 令牌对 Azure 存储帐户进行可疑的外部访问（预览版）

Storage.Blob_AccountSas.InternalSasUsedExternally

说明：警报指示具有外部（公共）IP 地址的人员使用过期日期过长的过度宽松 SAS 令牌访问存储帐户。 这种类型的访问被视为可疑，因为 SAS 令牌通常仅在内部网络中使用（从专用 IP 地址）。 活动可能表明 SAS 令牌已由恶意参与者泄露，或者无意中从合法来源泄露。 即使访问是合法的，使用过期日期较长、权限较高的 SAS 令牌也会违反安全最佳做法，并带来潜在的安全风险。 适用于：Azure Blob（标准常规用途 v2、Azure Data Lake 存储 Gen2 或高级块 blob）存储帐户，以及新的 Defender for 存储 计划。

MITRE 策略：外泄/资源开发/影响

严重性：中等

使用过度许可的 SAS 令牌对 Azure 存储帐户进行可疑的外部操作（预览版）

Storage.Blob_AccountSas.UnusualOperationFromExternalIp

说明：警报指示具有外部（公共）IP 地址的人员使用过期日期过长的过度宽松 SAS 令牌访问存储帐户。 该访问被视为可疑，因为使用此 SAS 令牌在网络外部调用的操作（而不是从专用 IP 地址）通常用于一组特定的读/写/删除操作，但发生了其他操作，这使此访问变得可疑。 此活动可能表示恶意参与者已泄露 SAS 令牌，或者无意中从合法来源泄露。 即使访问是合法的，使用过期日期较长、权限较高的 SAS 令牌也会违反安全最佳做法，并带来潜在的安全风险。 适用于：Azure Blob（标准常规用途 v2、Azure Data Lake 存储 Gen2 或高级块 blob）存储帐户，以及新的 Defender for 存储 计划。

MITRE 策略：外泄/资源开发/影响

严重性：中等

异常 SAS 令牌用于从公共 IP 地址访问 Azure 存储帐户（预览版）

Storage.Blob_AccountSas.UnusualExternalAccess

说明：警报指示具有外部（公共）IP 地址的人员已使用帐户 SAS 令牌访问存储帐户。 访问非常异常，被认为是可疑的，因为使用 SAS 令牌访问存储帐户通常只来自内部（专用）IP 地址。 SAS 令牌可能是恶意参与者从你的组织内部或外部泄露或生成的，以获取对此存储帐户的访问权限。 适用于：Azure Blob（标准常规用途 v2、Azure Data Lake 存储 Gen2 或高级块 blob）存储帐户，以及新的 Defender for 存储 计划。

MITRE 策略：外泄/资源开发/影响

严重性：低

上传到存储帐户的恶意文件

Storage.Blob_AM.MalwareFound

说明：警报指示恶意 Blob 已上传到存储帐户。 此安全警报是由 Defender for Storage 中的恶意软件扫描功能生成的。 潜在原因可能包括威胁参与者有意上传恶意软件，或者合法用户无意上传恶意文件。 适用于：Azure Blob（标准常规用途 v2、Azure Data Lake 存储 Gen2 或高级块 blob）存储帐户，以及启用了恶意软件扫描功能的新 Defender for 存储 计划。

MITRE 策略：横向移动

严重性：高

从存储帐户下载了恶意 blob（预览版）

Storage.Blob_MalwareDownload

说明：警报指示已从存储帐户下载恶意 Blob。 潜在原因可能包括上传到存储帐户但未删除或隔离的恶意软件，从而使威胁参与者能够下载它，或者合法用户或应用程序无意下载恶意软件。 适用于：具有新的 Defender for Storage 计划并且启用了恶意软件扫描功能的 Azure Blob（标准常规用途 v2、Azure Data Lake Storage Gen2 或高级块 blob）存储帐户。

MITRE 策略：横向移动

严重性：高，如果 Eicar - 低

针对 Azure Cosmos DB 的警报

更多详细信息和说明

来自 Tor 退出节点的访问

(CosmosDB_TorAnomaly)

说明：此 Azure Cosmos DB 帐户已成功从已知为 Tor 的活动退出节点（匿名代理）的 IP 地址进行访问。 来自 Tor 退出节点的经过身份验证的访问可能表明威胁参与者正试图隐藏他们的身份。

MITRE 策略：初始访问

严重性：高/中

来自可疑 IP 的访问

(CosmosDB_SuspiciousIp)

说明：此 Azure Cosmos DB 帐户已成功从 Microsoft 威胁情报标识为威胁的 IP 地址进行访问。

MITRE 策略：初始访问

严重性：中等

来自异常位置的访问

(CosmosDB_GeoAnomaly)

说明：根据通常的访问模式，此 Azure Cosmos DB 帐户是从被视为不熟悉的位置访问的。

可能是威胁参与者已获取帐户访问权限，也可能是合法用户从新的或异常的地理位置进行连接

MITRE 策略：初始访问

严重性：低

数据提取量异常

(CosmosDB_DataExfiltrationAnomaly)

说明：从此 Azure Cosmos DB 帐户中提取了异常大量数据。 这可能表示威胁参与者已外泄数据。

MITRE 策略：外泄

严重性：中等

通过潜在恶意脚本提取 Azure Cosmos DB 帐户密钥

(CosmosDB_SuspiciousListKeys.MaliciousScript)

说明：PowerShell 脚本在订阅中运行，并执行了可疑的密钥列表操作模式，以获取订阅中的 Azure Cosmos DB 帐户的密钥。 威胁参与者使用自动脚本（如 Microburst）列出密钥并找到他们可以访问的 Azure Cosmos DB 帐户。

此操作可能表明你组织中的某个身份遭到入侵，并且威胁参与者正在尝试破坏环境中的 Azure Cosmos DB 帐户，以实现恶意目的。

或者，图谋不轨的内部人员可能会尝试访问敏感数据并执行横向移动。

MITRE 策略：集合

严重性：中等

可疑提取 Azure Cosmos DB 帐户密钥 (AzureCosmosDB_SuspiciousListKeys.SuspiciousPrincipal)

说明：从订阅中提取可疑源的 Azure Cosmos DB 帐户访问密钥。 如果此源不是合法的源，这可能是一个影响很大的问题。 提取的访问密钥提供对关联数据库和存储在其中的数据的完全控制权限。 查看每个特定警报的详细信息，了解源被标记为可疑的原因。

MITRE 策略：凭据访问

严重性：高

SQL 注入：潜在数据外泄

(CosmosDB_SqlInjection.DataExfiltration)

说明：一个可疑的 SQL 语句用于查询此 Azure Cosmos DB 帐户中的容器。

注入的语句可能已成功外泄威胁参与者无权访问的数据。

由于 Azure Cosmos DB 查询的结构和功能，许多针对 Azure Cosmos DB 帐户的已知 SQL 注入攻击无法奏效。 但是，此攻击中使用的变体可能起作用，威胁参与者可能会泄露数据。

MITRE 策略：外泄

严重性：中等

SQL 注入：模糊尝试

(CosmosDB_SqlInjection.FailedFuzzingAttempt)

说明：一个可疑的 SQL 语句用于查询此 Azure Cosmos DB 帐户中的容器。

与其他常见的 SQL 注入攻击一样，此攻击不会成功入侵 Azure Cosmos DB 帐户。

不过，这表明威胁参与者正在尝试攻击此帐户中的资源，并且应用程序可能遭到入侵。

某些 SQL 注入攻击可能会成功，其目的是外泄数据。 这意味着，如果攻击者继续执行 SQL 注入尝试，他们可能无法入侵 Azure Cosmos DB 帐户并泄露数据。

可以使用参数化查询来防止此威胁。

MITRE 策略：攻击前

严重性：低

Azure 网络层警报

更多详细信息和说明

检测到与恶意计算机进行网络通信

(Network_CommunicationWithC2)

说明：网络流量分析指示计算机（IP %{受害者 IP}）已与命令和控制中心通信。 如果遭到入侵的资源是负载均衡器或应用程序网关，则这项可疑活动可能指示（负载均衡器或应用程序网关）后端池中的一个或多个资源已与可能是命令和控制中心的位置进行通信。

MITRE 策略：命令和控制

严重性：中等

检测到计算机可能遭到入侵

(Network_ResourceIpIndicatedAsMalicious)

说明：威胁情报表明计算机（IP %{Machine IP}）可能已受到 Conficker 类型的恶意软件的攻击。 Conficker 是一种以 Microsoft Windows 操作系统为目标的计算机蠕虫病毒，并于 2008 年 11 月首次被检测到。 Conficker 感染了 200 多个国家/地区的数百万台计算机，包括政府、企业和家庭计算机，是自 2003 年 Welchia 蠕虫病毒爆发以来最广为人知的计算机蠕虫病毒感染。

MITRE 策略：命令和控制

严重性：中等

检测到可能的传入 %{Service Name} 暴力攻击尝试

(Generic_Incoming_BF_OneToOne)

说明：网络流量分析检测到来自 %{Attacker IP} 的资源 %{Compromised Host} 与 %{Victim IP} 的传入 %{服务名称} 通信。 如果遭到入侵的资源是负载均衡器或应用程序网关，则表示可疑的传入流量已被转发到（负载均衡器或应用程序网关）后端池中的一个或多个资源。 具体而言，采样的网络数据展示的是端口 %{Victim Port} 在 %{Start Time} 到 %{End Time} 之间的可疑活动。 此活动与针对 %{Service Name} 服务器进行的暴力攻击尝试的特征相符。

MITRE 策略：PreAttack

严重性：信息性

检测到可能的传入 SQL 暴力攻击尝试

(SQL_Incoming_BF_OneToOne)

说明：网络流量分析检测到来自 %{Attacker IP} 的资源 %{Compromised Host}与资源 %{Compromised Host}关联的传入 SQL 通信。 如果遭到入侵的资源是负载均衡器或应用程序网关，则表示可疑的传入流量已被转发到（负载均衡器或应用程序网关）后端池中的一个或多个资源。 具体而言，采样的网络数据展示的是端口 %{Port Number} 在 %{Start Time} 到 %{End Time} 之间的可疑活动 (%{SQL Service Type})。 此活动与针对 SQL Server 进行的暴力破解尝试的特征相符。

MITRE 策略：PreAttack

严重性：中等

检测到可能的传出拒绝服务攻击

(DDOS)

说明：网络流量分析检测到源自部署中的资源 %{Compromised Host}的异常传出活动。 此活动可能表明资源已泄露，并且现在正在针对外部终结点执行拒绝服务攻击。 如果遭到入侵的资源是负载均衡器或应用程序网关，则这项可疑活动可能指示（负载均衡器或应用程序网关）后端池中的一个或多个资源遭到入侵。 根据连接量，我们认为以下 IP 可能会成为 DOS 攻击的目标：%{Possible Victims}。 请注意，与其中一些 IP 进行的通信可能合法。

MITRE 策略：影响

严重性：中等

来自多个源的可疑传入 RDP 网络活动

(RDP_Incoming_BF_ManyToOne)

说明：网络流量分析检测到来自多个源的资源 %{Compromised Host}与 %{Victim IP} 的异常传入远程桌面协议 （RDP） 通信。 如果遭到入侵的资源是负载均衡器或应用程序网关，则表示可疑的传入流量已被转发到（负载均衡器或应用程序网关）后端池中的一个或多个资源。 具体而言，采样的网络数据展示有 %{Number of Attacking IPs} 个唯一的 IP 连接到你的资源，可以认为这种情况对于此环境来说是异常的。 此活动可能表示尝试从多个主机（Botnet）强制 RDP 终结点。

MITRE 策略：PreAttack

严重性：中等

可疑的传入 RDP 网络活动

(RDP_Incoming_BF_OneToOne)

说明：网络流量分析检测到来自 %{攻击者 IP} 的资源 %{Compromised Host}与 %{Victim IP} 的异常传入远程桌面协议 （RDP） 通信。 如果遭到入侵的资源是负载均衡器或应用程序网关，则表示可疑的传入流量已被转发到（负载均衡器或应用程序网关）后端池中的一个或多个资源。 具体而言，采样的网络数据展示有 %{Number of Connections} 个指向你的资源的传入连接，可以认为这种情况对于此环境来说是异常的。 此活动可能表示尝试暴力破解 RDP 终结点

MITRE 策略：PreAttack

严重性：中等

来自多个源的可疑传入 SSH 网络活动

(SSH_Incoming_BF_ManyToOne)

说明：网络流量分析检测到来自多个源的资源 %{Compromised Host} 与 %{Victim IP} 关联的异常传入 SSH 通信。 如果遭到入侵的资源是负载均衡器或应用程序网关，则表示可疑的传入流量已被转发到（负载均衡器或应用程序网关）后端池中的一个或多个资源。 具体而言，采样的网络数据展示有 %{Number of Attacking IPs} 个唯一的 IP 连接到你的资源，可以认为这种情况对于此环境来说是异常的。 此活动可能表示尝试从多个主机（僵尸网络）强制 SSH 终结点

MITRE 策略：PreAttack

严重性：中等

可疑的传入 SSH 网络活动

(SSH_Incoming_BF_OneToOne)

说明：网络流量分析检测到来自 %{Attacker IP} 的资源 %{Compromised Host}与资源 %{Compromised Host}关联的异常传入 SSH 通信。 如果遭到入侵的资源是负载均衡器或应用程序网关，则表示可疑的传入流量已被转发到（负载均衡器或应用程序网关）后端池中的一个或多个资源。 具体而言，采样的网络数据展示有 %{Number of Connections} 个指向你的资源的传入连接，可以认为这种情况对于此环境来说是异常的。 此活动可能指示尝试暴力破解 SSH 终结点

MITRE 策略：PreAttack

严重性：中等

检测到可疑的传出 %{Attacked Protocol} 流量

(PortScanning)

说明：网络流量分析检测到从 %{Compromised Host} 到目标端口 %{Common Port} 的可疑传出流量。 如果遭到入侵的资源是负载均衡器或应用程序网关，则表示可疑的传出流量源自（负载均衡器或应用程序网关）后端池中的一个或多个资源。 此行为可能表明你的资源正在参与 %{Attacked Protocol} 暴力尝试或端口扫描攻击。

MITRE 策略：发现

严重性：中等

到多个目标的可疑传出 RDP 网络活动

(RDP_Outgoing_BF_OneToMany)

说明：网络流量分析检测到与来自 %{Compromised Host} （%{攻击者 IP}）的多个目标的异常传出远程桌面协议（RDP）通信，这是部署中的资源。 如果遭到入侵的资源是负载均衡器或应用程序网关，则表示可疑的传出流量源自（负载均衡器或应用程序网关）后端池中的一个或多个资源。 具体而言，采样的网络数据展示你的计算机连接到 %{Number of Attacked IPs} 个唯一的 IP，可以认为这种情况对于此环境来说是异常的。 此活动可能表明资源已泄露，现在用于暴力攻击外部 RDP 终结点。 请注意，此类活动可能导致你的 IP 被外部实体标记为恶意 IP。

MITRE 策略：发现

严重性：高

可疑的传出 RDP 网络活动

(RDP_Outgoing_BF_OneToOne)

说明：网络流量分析检测到与 %{Victim IP} 的异常传出远程桌面协议 （RDP） 通信，该通信源自部署中的资源 %{Compromised Host} （%{攻击者 IP}）。 如果遭到入侵的资源是负载均衡器或应用程序网关，则表示可疑的传出流量源自（负载均衡器或应用程序网关）后端池中的一个或多个资源。 具体而言，采样的网络数据展示有 %{Number of Connections} 个源自你的资源的传出连接，可以认为这种情况对于此环境来说是异常的。 此活动可能表明计算机遭到入侵，现在用于暴力攻击外部 RDP 终结点。 请注意，此类活动可能导致你的 IP 被外部实体标记为恶意 IP。

MITRE 策略：横向移动

严重性：高

到多个目标的可疑传出 SSH 网络活动

(SSH_Outgoing_BF_OneToMany)

说明：网络流量分析检测到与来自 %{Compromised Host} （%{攻击者 IP}）的多个目标的异常传出 SSH 通信，这些目标来自部署中的资源。 如果遭到入侵的资源是负载均衡器或应用程序网关，则表示可疑的传出流量源自（负载均衡器或应用程序网关）后端池中的一个或多个资源。 具体而言，采样的网络数据展示你的资源连接到 %{Number of Attacked IPs} 个唯一的 IP，可以认为这种情况对于此环境来说是异常的。 此活动可能表示资源已泄露，现在用于暴力攻击外部 SSH 终结点。 请注意，此类活动可能导致你的 IP 被外部实体标记为恶意 IP。

MITRE 策略：发现

严重性：中等

可疑的传出 SSH 网络活动

(SSH_Outgoing_BF_OneToOne)

说明：网络流量分析检测到来自 %{Compromised Host} （%{攻击者 IP}）的 %{Victim IP} 的异常传出 SSH 通信，这是部署中的资源。 如果遭到入侵的资源是负载均衡器或应用程序网关，则表示可疑的传出流量源自（负载均衡器或应用程序网关）后端池中的一个或多个资源。 具体而言，采样的网络数据展示有 %{Number of Connections} 个源自你的资源的传出连接，可以认为这种情况对于此环境来说是异常的。 此活动可能表示资源已泄露，现在用于暴力攻击外部 SSH 终结点。 请注意，此类活动可能导致你的 IP 被外部实体标记为恶意 IP。

MITRE 策略：横向移动

严重性：中等

检测到来自建议阻止的 IP 地址的流量

（Network_TrafficFromUnrecommendedIP）

说明：Microsoft Defender for Cloud 检测到来自建议阻止的 IP 地址的入站流量。 这通常在此 IP 地址不会定期与此资源通信的情况下发生。 或者，该 IP 地址已被 Defender for Cloud 的威胁情报源标记为恶意 IP。

MITRE 策略：探测

严重性：信息性

Azure 密钥保管库警报

更多详细信息和说明

从可疑 IP 地址访问密钥保管库

(KV_SuspiciousIPAccess)

说明：Microsoft 威胁情报识别为可疑 IP 地址的 IP 已成功访问密钥保管库。 这可能表示基础结构已遭入侵。 建议进一步调查。 详细了解 Microsoft 威胁智能功能。

MITRE 策略：凭据访问

严重性：中等

从 TOR 退出节点访问密钥保管库

(KV_TORAccess)

说明：已从已知的 TOR 退出节点访问密钥保管库。 这可能表示有威胁参与者访问了密钥保管库且正在使用 TOR 网络隐藏其源位置。 建议进一步调查。

MITRE 策略：凭据访问

严重性：中等

密钥保管库中存在大量操作

(KV_OperationVolumeAnomaly)

说明：用户、服务主体和/或特定密钥保管库执行了异常数量的密钥保管库操作。 这种异常活动模式可能是合法的，但可能是表明威胁参与者已获取对密钥保管库及其中包含的机密的访问权限。 建议进一步调查。

MITRE 策略：凭据访问

严重性：中等

密钥保管库中存在可疑的策略更改和机密查询

(KV_PutGetAnomaly)

说明：用户或服务主体已执行异常保管库放置策略更改操作，后跟一个或多个机密获取操作。 此模式通常不是指定用户或服务主体执行的。 这可能是合法的活动，但可能表明威胁参与者已更新密钥保管库策略以访问以前无法访问的机密。 建议进一步调查。

MITRE 策略：凭据访问

严重性：中等

密钥保管库中存在可疑的机密列出和查询活动

(KV_ListGetAnomaly)

说明：用户或服务主体已执行异常的机密列表操作，后跟一个或多个机密获取操作。 此模式通常不是指定用户或服务主体执行的，而且通常与机密转储相关。 这可能是合法的活动，但它可能是表明威胁参与者已获得对密钥保管库的访问权限，并尝试发现可用于横向移动的机密，并/或获取对敏感资源的访问权限。 建议进一步调查。

MITRE 策略：凭据访问

严重性：中等

异常访问被拒绝 - 对大量密钥保管库的用户访问被拒绝

(KV_AccountVolumeAccessDeniedAnomaly)

说明：用户或服务主体在过去 24 小时内尝试访问异常大量的密钥保管库。 此异常访问模式可能是合法的活动。 尽管此尝试失败，但它可能表明：用户或主体可能在尝试访问密钥保管库及其中包含的机密。 建议进一步调查。

MITRE 策略：发现

严重性：低

异常访问被拒绝 - 对密钥保管库的异常用户访问被拒绝

(KV_UserAccessDeniedAnomaly)

说明：密钥保管库访问是由通常不访问密钥保管库的用户尝试的，这种异常访问模式可能是合法的活动。 尽管此尝试失败，但它可能表明：用户或主体可能在尝试访问密钥保管库及其中包含的机密。

MITRE 策略：初始访问、发现

严重性：低

异常应用程序访问了密钥保管库

(KV_AppAnomaly)

说明：密钥保管库已被通常不访问它的服务主体访问。 这种异常访问模式可能是合法的活动，但可能是表明威胁参与者在尝试访问密钥保管库中包含的机密时已获得对密钥保管库的访问权限。 建议进一步调查。

MITRE 策略：凭据访问

严重性：中等

密钥保管库中存在异常操作模式

(KV_OperationPatternAnomaly)

说明：密钥保管库操作的异常模式是由用户、服务主体和/或特定密钥保管库执行的。 这种异常活动模式可能是合法的，但可能是表明威胁参与者已获取对密钥保管库及其中包含的机密的访问权限。 建议进一步调查。

MITRE 策略：凭据访问

严重性：中等

异常用户访问了密钥保管库

(KV_UserAnomaly)

说明：用户已访问密钥保管库，该密钥保管库通常不对其进行访问。 这种异常访问模式可能是合法的活动，但可能是表明威胁参与者在尝试访问密钥保管库中包含的机密时已获得对密钥保管库的访问权限。 建议进一步调查。

MITRE 策略：凭据访问

严重性：中等

异常用户-应用程序对访问了密钥保管库

(KV_UserAppAnomaly)

说明：用户服务主体对已访问密钥保管库，该对通常无法访问密钥保管库。 这种异常访问模式可能是合法的活动，但可能是表明威胁参与者在尝试访问密钥保管库中包含的机密时已获得对密钥保管库的访问权限。 建议进一步调查。

MITRE 策略：凭据访问

严重性：中等

用户访问了大量密钥保管库

(KV_AccountVolumeAnomaly)

说明：用户或服务主体访问了异常大量的密钥保管库。 这种异常访问模式可能是合法的活动，但它可能表明威胁参与者已获取对多个密钥保管库的访问权限，试图访问它们中包含的机密。 建议进一步调查。

MITRE 策略：凭据访问

严重性：中等

已拒绝从可疑 IP 访问密钥保管库

(KV_SuspiciousIPAccessDenied)

说明：Microsoft 威胁智能标识为可疑 IP 地址的 IP 尝试了密钥保管库访问失败。 尽管此次尝试失败，但这表明你的基础结构可能已遭入侵。 建议进一步调查。

MITRE 策略：凭据访问

严重性：低

从可疑 IP（非 Microsoft 或外部 IP）异常访问密钥保管库

(KV_UnusualAccessSuspiciousIP)

说明：用户或服务主体在过去 24 小时内尝试从非 Microsoft IP 对密钥保管库进行异常访问。 此异常访问模式可能是合法的活动。 它可能表明：用户或主体可能在尝试访问密钥保管库及其中包含的机密。 建议进一步调查。

MITRE 策略：凭据访问

严重性：中等

Azure DDoS 防护警报

更多详细信息和说明

检测到针对公共 IP 的 DDoS 攻击

(NETWORK_DDOS_DETECTED)

说明：检测到公共 IP（IP 地址）的 DDoS 攻击并得到缓解。

MITRE 策略：探测

严重性：高

针对公共 IP 的 DDoS 攻击得到缓解

(NETWORK_DDOS_MITIGATED)

说明：针对公共 IP（IP 地址）缓解的 DDoS 攻击。

MITRE 策略：探测

严重性：低

Defender for API 警报

流向 API 终结点的 API 流量出现总体级别的可疑峰值

(API_PopulationSpikeInAPITraffic)

说明：在 API 终结点之一检测到 API 流量的可疑高峰。 检测系统使用历史流量模式建立一个基线来表示所有 IP 和终结点之间的常规 API 流量，该基线特定于每个状态代码（例如 200 成功）的 API 流量。 检测系统标记了与该基线的异常偏差，从而导致检测到可疑活动。

MITRE 策略：影响

严重性：中等

从单一 IP 地址到 API 终结点的 API 流量出现可疑峰值

(API_SpikeInAPITraffic)

说明：检测到从客户端 IP 到 API 终结点的 API 流量出现可疑峰值。 检测系统使用历史流量模式建立一个基线来表示从特定 IP 流向终结点的常规 API 流量。 检测系统标记了与该基线的异常偏差，从而导致检测到可疑活动。

MITRE 策略：影响

严重性：中等

在单一 IP 地址和 API 终结点之间传输的响应有效负载异常大

(API_SpikeInPayload)

说明：观察到 API 响应有效负载大小的可疑峰值，用于单个 IP 和其中一个 API 终结点之间的流量。 Defender for API 会根据过去 30 天的历史流量模式习得一个基线，用于表示特定 IP 和 API 终结点之间典型的 API 响应有效负载大小。 学习的基线特定于每个状态代码的 API 流量（例如 200 成功）。 触发警报的原因是 API 响应有效负载大小明显偏离历史基线。

MITRE 策略：初始访问

严重性：中等

单一 IP 地址和 API 终结点之间传输的请求正文异常大

(API_SpikeInPayload)

说明：观察到 API 请求正文大小的可疑峰值，用于单个 IP 和其中一个 API 终结点之间的流量。 Defender for API 会根据过去 30 天的历史流量模式习得一个基线，用于表示特定 IP 和 API 终结点之间典型的 API 请求正文大小。 学习的基线特定于每个状态代码的 API 流量（例如 200 成功）。 触发警报的原因是 API 请求大小明显偏离历史基线。

MITRE 策略：初始访问

严重性：中等

（预览）单个 IP 地址与 API 终结点之间的流量出现可疑的延迟峰值

(API_SpikeInLatency)

说明：观察到单个 IP 与其中一个 API 终结点之间的流量出现可疑延迟高峰。 Defender for API 会根据过去 30 天的历史流量模式习得一个基线，用于表示特定 IP 和 API 终结点之间的常规 API 流量延迟。 学习的基线特定于每个状态代码的 API 流量（例如 200 成功）。 触发警报的原因是 API 调用延迟明显偏离历史基线。

MITRE 策略：初始访问

严重性：中等

API 请求从单一 IP 地址发往异常多的不同 API 终结点

(API_SprayInRequests)

说明：观察到单个 IP 对异常大量的不同终结点进行 API 调用。 Defenders for API 会根据过去 30 天的历史流量模式习得一个基线，用于表示在 20 分钟的时段内由单个 IP 调用的不同终结点的典型数量。 触发警报的原因是单个 IP 的行为明显偏离历史基线。

MITRE 策略：发现

严重性：中等

API 终结点上的参数枚举

(API_ParameterEnumeration)

说明：访问其中一个 API 终结点时观察到单个 IP 枚举参数。 Defenders for API 会根据过去 30 天的历史流量模式习得一个基线，用于表示在 20 分钟的时段内单个 IP 访问此终结点时使用的非重复参数值的典型数量。 触发警报的原因是单个客户端 IP 最近使用异常多的非重复参数值访问终结点。

MITRE 策略：初始访问

严重性：中等

API 终结点上的分布式参数枚举

(API_DistributedParameterEnumeration)

说明：访问其中一个 API 终结点时观察到聚合用户总体（所有 IP）枚举参数。 Defenders for API 会根据过去 30 天的历史流量模式习得一个基线，用于表示在 20 分钟的时段内用户群体（所有 IP）访问终结点时使用的非重复参数值的典型数量。 触发警报的原因是用户群体最近使用异常多的非重复参数值访问终结点。

MITRE 策略：初始访问

严重性：中等

API 调用中参数值具有异常数据类型

(API_UnseenParamType)

说明：观察到单个 IP 访问其中一个 API 终结点，并使用低概率数据类型的参数值（例如字符串、整数等）。 Defender for API 会根据过去 30 天的历史流量模式学习每个 API 参数的预期数据类型。 触发警报的原因是某个 IP 最近使用以前的低概率数据类型作为参数输入访问终结点。

MITRE 策略：影响

严重性：中等

API 调用中使用了以前未见过的参数

(API_UnseenParam)

说明：观察到单个 IP 使用请求中以前看不到或超出边界的参数访问其中一个 API 终结点。 Defender for API 会根据过去 30 天的历史流量模式习得一组与终结点调用相关的预期参数。 触发警报的原因是某个 IP 最近使用以前未见过的参数访问终结点。

MITRE 策略：影响

严重性：中等

从 Tor 退出节点访问 API 终结点

(API_AccessFromTorExitNode)

说明：Tor 网络中的 IP 地址访问了其中一个 API 终结点。 Tor 是一个允许用户访问 Internet 同时隐藏其真实 IP 的网络。 尽管有合法用途，但攻击者经常在联机攻击用户的系统时使用它来隐藏其身份。

MITRE 策略：攻击前

严重性：中等

从可疑 IP 访问 API 终结点

(API_AccessFromSuspiciousIP)

说明：访问其中一个 API 终结点的 IP 地址被 Microsoft 威胁情报识别为具有很高的威胁概率。 在监视恶意 Internet 流量时，发现此 IP 参与攻击了其他联机目标。

MITRE 策略：攻击前

严重性：高

检测到可疑的用户代理

(API_AccessFromSuspiciousUserAgent)

说明：访问其中一个 API 终结点的请求的用户代理包含异常值，指示远程代码执行尝试。 这不一定代表有任何 API 终结点已遭入侵，但确实表明有人正在试图攻击。

MITRE 策略：执行

严重性：中等

已弃用的用于容器的 Defender 警报

以下列表包括已弃用的 Defender for Containers 安全警报。

检测到主机防火墙操作

(K8S.NODE_FirewallDisabled)

说明：分析容器中或直接在 Kubernetes 节点上运行的进程，检测到对主机防火墙的可能操作。 攻击者通常会禁用防火墙以外泄数据。

MITRE 策略：DefenseEvasion、外泄

严重性：中等

通过 HTTPS 对 DNS 的可疑使用

(K8S.NODE_SuspiciousDNSOverHttps)

说明：分析容器中或直接在 Kubernetes 节点上运行的进程，以不常见的方式检测到使用通过 HTTPS 进行 DNS 调用。 攻击者使用此方法隐藏对可疑或恶意网站的调用。

MITRE 策略：DefenseEvasion、外泄

严重性：中等

已检测到可能连接到了某个恶意位置。

(K8S.NODE_ThreatIntelCommandLineSuspectDomain)

说明：分析容器中或直接在 Kubernetes 节点上运行的进程，检测到已报告为恶意或异常的位置的连接。 这是可能已发生泄露的指标。

MITRE 策略：InitialAccess

严重性：中等

数字货币挖掘活动

（K8S.NODE_CurrencyMining）

说明：分析检测到的数字签名挖掘活动。 此类活动虽然可能是合法的用户行为，但经常在资源遭受入侵后被攻击者执行。 典型的相关攻击者活动可能包括下载和执行常见挖掘工具。

MITRE 策略：外泄

严重性：低

已弃用的 Defender for Servers Linux 警报

VM_AbnormalDaemonTermination

警报显示名称：异常终止

严重性：低

VM_BinaryGeneratedFromCommandLine

警报显示名称：检测到可疑二进制文件

严重性：中等

VM_CommandlineSuspectDomain Suspicious

警报显示名称：域名参考

严重性：低

VM_CommonBot

警报显示名称：类似于检测到的常见 Linux 机器人的行为

严重性：中等

VM_CompCommonBots

警报显示名称：与检测到的常见 Linux 机器人类似的命令

严重性：中等

VM_CompSuspiciousScript

警报显示名称：检测到 Shell 脚本

严重性：中等

VM_CompTestRule

警报显示名称：复合分析测试警报

严重性：低

VM_CronJobAccess

警报显示名称：检测到的计划任务的操作

严重性：信息性

VM_CryptoCoinMinerArtifacts

警报显示名称：检测到与检测到的数字签名挖掘关联的进程

严重性：中等

VM_CryptoCoinMinerDownload

警报显示名称：检测到可能的 Cryptopdfminer 下载

严重性：中等

VM_CryptoCoinMinerExecution

警报显示名称：潜在的加密硬币矿工已开始

严重性：中等

VM_DataEgressArtifacts

警报显示名称：检测到可能的数据外泄

严重性：中等

VM_DigitalCurrencyMining

警报显示名称：检测到与货币挖掘相关的行为

严重性：高

VM_DownloadAndRunCombo

警报显示名称：可疑下载，然后运行活动

严重性：中等

VM_EICAR

警报显示名称：Microsoft Defender for Cloud 测试警报（不是威胁）

严重性：高

VM_ExecuteHiddenFile

警报显示名称：执行隐藏文件

严重性：信息性

VM_ExploitAttempt

警报显示名称：可能的命令行利用尝试

严重性：中等

VM_ExposedDocker

警报显示名称：TCP 套接字上公开的 Docker 守护程序

严重性：中等

VM_FairwareMalware

警报显示名称：检测到类似于 Fairware 勒索软件的行为

严重性：中等

VM_FirewallDisabled

警报显示名称：检测到主机防火墙的操作

严重性：中等

VM_HadoopYarnExploit

警报显示名称：可能利用 Hadoop Yarn

严重性：中等

VM_HistoryFileCleared

警报显示名称：已清除历史记录文件

严重性：中等

VM_KnownLinuxAttackTool

警报显示名称：检测到可能的攻击工具

严重性：中等

VM_KnownLinuxCredentialAccessTool

警报显示名称：检测到可能的凭据访问工具

严重性：中等

VM_KnownLinuxDDoSToolkit

警报显示名称：检测到与 DDOS 工具包关联的指示器

严重性：中等

VM_KnownLinuxScreenshotTool

警报显示名称：主机上拍摄的屏幕截图

严重性：低

VM_LinuxBackdoorArtifact

警报显示名称：检测到可能的后门

严重性：中等

VM_LinuxReconnaissance

警报显示名称：检测到本地主机侦查

严重性：中等

VM_MismatchedScriptFeatures

警报显示名称：检测到脚本扩展不匹配

严重性：中等

VM_MitreCalderaTools

警报显示名称：检测到 MITRE Caldera 代理

严重性：中等

VM_NewSingleUserModeStartupScript

警报显示名称：检测到持久性尝试

严重性：中等

VM_NewSudoerAccount

警报显示名称：添加到 sudo 组的帐户

严重性：低

VM_OverridingCommonFiles

警报显示名称：可能重写常用文件

严重性：中等

VM_PrivilegedContainerArtifacts

警报显示名称：在特权模式下运行的容器

严重性：低

VM_PrivilegedExecutionInContainer

警报显示名称：使用高特权运行的容器中的命令

严重性：低

VM_ReadingHistoryFile

警报显示名称：异常访问 bash 历史记录文件

严重性：信息性

VM_ReverseShell

警报显示名称：检测到潜在的反向 shell

严重性：中等

VM_SshKeyAccess

警报显示名称：以异常方式访问 SSH 授权密钥文件的过程

严重性：低

VM_SshKeyAddition

警报显示名称：添加了新的 SSH 密钥

严重性：低

VM_SuspectCompilation

警报显示名称：检测到可疑编译

严重性：中等

VM_SuspectConnection

警报显示名称：检测到不常见的连接尝试

严重性：中等

VM_SuspectDownload

警报显示名称：检测到从已知恶意源下载的文件

严重性：中等

VM_SuspectDownloadArtifacts

警报显示名称：检测到可疑文件下载

严重性：低

VM_SuspectExecutablePath

警报显示名称：从可疑位置运行的可执行文件

严重性：中等

VM_SuspectHtaccessFileAccess

警报显示名称：检测到 htaccess 文件的访问

严重性：中等

VM_SuspectInitialShellCommand

警报显示名称：shell 中的可疑第一个命令

严重性：低

VM_SuspectMixedCaseText

警报显示名称：检测到命令行中大写和小写字符的异常混合

严重性：中等

VM_SuspectNetworkConnection

警报显示名称：可疑网络连接

严重性：信息性

VM_SuspectNohup

警报显示名称：检测到可疑使用 nohup 命令

严重性：中等

VM_SuspectPasswordChange

警报显示名称：检测到使用 crypt-method 检测到可能的密码更改

严重性：中等

VM_SuspectPasswordFileAccess

警报显示名称：可疑密码访问

严重性：信息性

VM_SuspectPhp

警报显示名称：检测到可疑的 PHP 执行

严重性：中等

VM_SuspectPortForwarding

警报显示名称：潜在的端口转发到外部 IP 地址

严重性：中等

VM_SuspectProcessAccountPrivilegeCombo

警报显示名称：服务帐户中运行的进程意外成为根

严重性：中等

VM_SuspectProcessTermination

警报显示名称：检测到与安全相关的进程终止

严重性：低

VM_SuspectUserAddition

警报显示名称：检测到可疑使用 useradd 命令

严重性：中等

VM_SuspiciousCommandLineExecution

警报显示名称：可疑命令执行

严重性：高

VM_SuspiciousDNSOverHttps

警报显示名称：通过 HTTPS 可疑使用 DNS

严重性：中等

VM_SystemLogRemoval

警报显示名称：检测到可能的日志篡改活动

严重性：中等

VM_ThreatIntelCommandLineSuspectDomain

警报显示名称：检测到与恶意位置的可能连接

严重性：中等

VM_ThreatIntelSuspectLogon

警报显示名称：检测到来自恶意 IP 的登录

严重性：高

VM_TimerServiceDisabled

警报显示名称：尝试停止检测到 apt-daily-upgrade.timer 服务

严重性：信息性

VM_TimestampTampering

警报显示名称：可疑的文件时间戳修改

严重性：低

VM_Webshell

警报显示名称：检测到可能的恶意 Web shell

严重性：中等

已弃用的 Defender for Servers Windows 警报

SCUBA_MULTIPLEACCOUNTCREATE

警报显示名称：在多个主机上可疑地创建帐户

严重性：中等

SCUBA_PSINSIGHT_CONTEXT

警报显示名称：检测到可疑使用 PowerShell

严重性：信息性

SCUBA_RULE_AddGuestToAdministrators

警报显示名称：将来宾帐户添加到本地管理员istrators 组

严重性：中等

SCUBA_RULE_Apache_Tomcat_executing_suspicious_commands

警报显示名称：Apache_Tomcat_executing_suspicious_commands

严重性：中等

SCUBA_RULE_KnownBruteForcingTools

警报显示名称：执行的可疑进程

严重性：高

SCUBA_RULE_KnownCollectionTools

警报显示名称：执行的可疑进程

严重性：高

SCUBA_RULE_KnownDefenseEvasionTools

警报显示名称：执行的可疑进程

严重性：高

SCUBA_RULE_KnownExecutionTools

警报显示名称：执行的可疑进程

严重性：高

SCUBA_RULE_KnownPassTheHashTools

警报显示名称：执行的可疑进程

严重性：高

SCUBA_RULE_KnownSpammingTools

警报显示名称：执行的可疑进程

严重性：中等

SCUBA_RULE_Lowering_Security_Settings

警报显示名称：检测到禁用关键服务

严重性：中等

SCUBA_RULE_OtherKnownHackerTools

警报显示名称：执行的可疑进程

严重性：高

SCUBA_RULE_RDP_session_hijacking_via_tscon

警报显示名称：指示 RDP 劫持的可疑完整性级别

严重性：中等

SCUBA_RULE_RDP_session_hijacking_via_tscon_service

警报显示名称：可疑服务安装

严重性：中等

SCUBA_RULE_Suppress_pesky_unauthorized_use_prohibited_notices

警报显示名称：检测到禁止在登录时向用户显示的法律通知

严重性：低

SCUBA_RULE_WDigest_Enabling

警报显示名称：检测到启用 WDigest UseLogonCredential 注册表项

严重性：中等

VM.Windows_ApplockerBypass

警报显示名称：检测到可能绕过 AppLocker 的尝试

严重性：高

VM.Windows_BariumKnownSuspiciousProcessExecution

警报显示名称：检测到可疑文件创建

严重性：高

VM.Windows_Base64EncodedExecutableInCommandLineParams

警报显示名称：在命令行数据中检测到编码的可执行文件

严重性：高

VM.Windows_CalcsCommandLineUse

警报显示名称：检测到对 Cacls 的可疑使用，以降低系统的安全状态

严重性：中等

VM.Windows_CommandLineStartingAllExe

警报显示名称：检测到用于启动目录中所有可执行文件的可疑命令行

严重性：中等

VM.Windows_DisablingAndDeletingIISLogFiles

警报显示名称：检测到指示禁用和删除 IIS 日志文件的操作

严重性：中等

VM.Windows_DownloadUsingCertutil

警报显示名称：检测到 Certutil 的可疑下载

严重性：中等

VM.Windows_EchoOverPipeOnLocalhost

警报显示名称：检测到可疑的命名管道通信

严重性：高

VM.Windows_EchoToConstructPowerShellScript

警报显示名称：动态 PowerShell 脚本构造

严重性：中等

VM.Windows_ExecutableDecodedUsingCertutil

警报显示名称：使用内置certutil.exe工具检测到可执行文件解码

严重性：中等

VM.Windows_FileDeletionIsSospisiousLocation

警报显示名称：检测到可疑的文件删除

严重性：中等

VM.Windows_KerberosGoldenTicketAttack

警报显示名称：观察到可疑的 Kerberos 黄金票证攻击参数

严重性：中等

VM.Windows_KeygenToolKnownProcessName

警报显示名称：检测到执行 keygen 可执行文件的可能执行可疑进程

严重性：中等

VM.Windows_KnownCredentialAccessTools

警报显示名称：执行的可疑进程

严重性：高

VM.Windows_KnownSuspiciousPowerShellScript

警报显示名称：检测到可疑使用 PowerShell

严重性：高

VM.Windows_KnownSuspiciousSoftwareInstallation

警报显示名称：检测到高风险软件

严重性：中等

VM.Windows_MsHtaAndPowerShellCombination

警报显示名称：检测到 HTA 和 PowerShell 的可疑组合

严重性：中等

VM.Windows_MultipleAccountsQuery

警报显示名称：查询多个域帐户

严重性：中等

VM.Windows_NewAccountCreation

警报显示名称：检测到帐户创建

严重性：信息性

VM.Windows_ObfuscatedCommandLine

警报显示名称：检测到模糊处理命令行。

严重性：高

VM.Windows_PcaluaUseToLaunchExecutable

警报显示名称：检测到可疑使用Pcalua.exe启动可执行代码

严重性：中等

VM.Windows_PetyaRansomware

警报显示名称：检测到的 Petya 勒索软件指示器

严重性：高

VM.Windows_PowerShellPowerSploitScriptExecution

警报显示名称：执行的可疑 PowerShell cmdlet

严重性：中等

VM.Windows_RansomwareIndication

警报显示名称：检测到勒索软件指示器

严重性：高

VM.Windows_SqlDumperUsedSuspiciously

警报显示名称：检测到可能的凭据转储[多次]

严重性：中等

VM.Windows_StopCriticalServices

警报显示名称：检测到禁用关键服务

严重性：中等

VM.Windows_SubvertingAccessibilityBinary

警报显示名称：粘滞密钥攻击检测到可疑帐户创建检测到中等

VM.Windows_SuspiciousAccountCreation

警报显示名称：检测到可疑帐户创建

严重性：中等

VM.Windows_SuspiciousFirewallRuleAdded

警报显示名称：检测到可疑的新防火墙规则

严重性：中等

VM.Windows_SuspiciousFTPSSwitchUsage

警报显示名称：检测到可疑使用 FTP -s 开关

严重性：中等

VM.Windows_SuspiciousSQLActivity

警报显示名称：可疑 SQL 活动

严重性：中等

VM.Windows_SVCHostFromInvalidPath

警报显示名称：执行的可疑进程

严重性：高

VM.Windows_SystemEventLogCleared

警报显示名称：已清除Windows 安全日志

严重性：信息性

VM.Windows_TelegramInstallation

警报显示名称：检测到可能可疑地使用 Telegram 工具

严重性：中等

VM.Windows_UndercoverProcess

警报显示名称：检测到可疑命名的进程

严重性：高

VM.Windows_UserAccountControlBypass

警报显示名称：检测到对可能滥用的注册表项的更改以绕过 UAC

严重性：中等

VM.Windows_VBScriptEncoding

警报显示名称：检测到 VBScript.Encode 命令的可疑执行

严重性：中等

VM.Windows_WindowPositionRegisteryChange

警报显示名称：检测到可疑的 WindowPosition 注册表值

严重性：低

VM.Windows_ZincPortOpenningUsingFirewallRule

警报显示名称：由锌服务器植入创建的恶意防火墙规则

严重性：高

VM_DigitalCurrencyMining

警报显示名称：检测到与货币挖掘相关的行为

严重性：高

VM_MaliciousSQLActivity

警报显示名称：恶意 SQL 活动

严重性：高

VM_ProcessWithDoubleExtensionExecution

警报显示名称：执行可疑的双扩展文件

严重性：高

VM_RegistryPersistencyKey

警报显示名称：检测到 Windows 注册表持久性方法

严重性：低

VM_ShadowCopyDeletion

警报显示名称：从可疑位置运行的可疑卷影复制活动可执行文件

严重性：高

VM_SuspectExecutablePath

警报显示名称：从可疑位置运行的可执行文件检测到命令行中大写和小写字符的异常混合

严重性：信息性

中

VM_SuspectPhp

警报显示名称：检测到可疑的 PHP 执行

严重性：中等

VM_SuspiciousCommandLineExecution

警报显示名称：可疑命令执行

严重性：高

VM_SuspiciousScreenSaverExecution

警报显示名称：执行的可疑屏幕保护进程

严重性：中等

VM_SvcHostRunInRareServiceGroup

警报显示名称：执行罕见的 SVCHOST 服务组

严重性：信息性

VM_SystemProcessInAbnormalContext

警报显示名称：执行的可疑系统进程

严重性：中等

VM_ThreatIntelCommandLineSuspectDomain

警报显示名称：检测到与恶意位置的可能连接

严重性：中等

VM_ThreatIntelSuspectLogon

警报显示名称：检测到来自恶意 IP 的登录

严重性：高

VM_VbScriptHttpObjectAllocation

警报显示名称：检测到 VBScript HTTP 对象分配

严重性：高

VM_TaskkillBurst

警报显示名称：可疑进程终止突发

严重性：低

VM_RunByPsExec

警报显示名称：检测到 PsExec 执行

严重性：信息性

MITRE ATT&CK 策略

了解攻击意图有助于更轻松地调查和报告事件。 为了帮助完成这些工作，Microsoft Defender for Cloud 警报包括带有许多警报的 MITRE 策略。

描述网络攻击过程（从侦查到数据外泄）的一系列步骤通常被称为“杀伤链”。

Defender for Cloud 支持的终止链意向基于 MITRE ATT&CK 矩阵 版本 9，如下表所述。

技巧	ATT&CK 版本	说明
预攻击		预攻击可能是对某个资源的访问尝试，而不考虑恶意意图，也可能是在利用之前访问目标系统以收集信息的失败尝试。 此步骤通常被检测为源自网络外部的尝试，目的是扫描目标系统并标识入口点。
初始访问	V7、V9	初始访问是攻击者设法在受到攻击的资源上建立据点的阶段。 此阶段与计算主机和资源（例如用户帐户、证书等）相关。在此阶段之后，威胁参与者通常能控制资源。
持久性	V7、V9	持久性指为了让威胁参与者在系统上持久存在而对该系统进行的任何访问、操作或配置更改。 威胁参与者通常需要通过中断操作来维持自己对系统的访问，这些中断操作包括系统重启、丢失凭据或其他可能需要远程访问工具重启的故障，或者提供备用后门来重新获得访问权限。
特权提升	V7、V9	特权提升指允许攻击者在系统或网络上获得更高级别权限的操作的结果。 某些工具或操作需要更高级别的特权才能正常运行，并且在操作过程中的很多个时间点它们都是必需的。 有权访问特定系统的用户帐户或执行攻击者实现其目标所需的特定功能也可能被视为特权升级。
防御规避	V7、V9	防御逃避包括攻击者可用于逃避检测或避免其他防御的技术。 在某些情况下，这些操作与其他类别中的方法相同（或者是它们的变体），这些方法还能破坏特定防御措施或缓解工具。
凭据访问	V7、V9	凭据访问指能够访问或控制企业环境中使用的系统、域或服务凭据的方法。 攻击者可能会尝试通过用户或管理员帐户（本地系统管理员或具有管理员权限的域用户）获取合法凭据，以便在网络中使用。 当攻击者在网络中具备足够的访问权限时，他们就可以创建帐户以供之后在环境中使用。
发现	V7、V9	发现策略包含允许攻击者了解系统和内部网络的方法。 当攻击者获得对新系统的访问权限时，在入侵期间，他们必须适应自己现在能控制的内容，并了解从该系统执行操作对他们的当前目标或总体目标有什么好处。 操作系统提供许多对这一入侵后信息收集阶段有帮助的本机工具。
横向移动	V7、V9	横向移动包含的方法让攻击者能够访问并控制网络上的远程系统，但不一定包括在远程系统上执行工具。 横向移动技术可让攻击者无需使用其他工具（如远程访问工具）即可从系统收集信息。 攻击者可以使用横向移动来实现多种目的，包括远程执行工具、转到其他系统、访问特定信息或文件、访问其他凭据或造成某种影响。
执行	V7、V9	执行策略表示允许在本地系统或远程系统上执行受攻击者控制的代码的方法。 这一策略通常与横向移动结合使用，目的是扩展网络上的远程系统访问权限。
集合	V7、V9	收集包含的方法让攻击者能在外泄之前标识和收集目标网络中的信息，例如敏感文件。 此类别还涵盖攻击者可能查找信息外泄的系统或网络上的位置。
命令和控制	V7、V9	命令和控制策略表示攻击者如何在目标网络中与其控制的系统通信。
外泄	V7、V9	外泄策略指允许或有助于攻击者从目标网络中删除文件和信息的方法和特性。 此类别还涵盖攻击者可能查找信息外泄的系统或网络上的位置。
影响	V7、V9	影响事件主要尝试直接降低系统、服务或网络的可用性或完整性；包括为了影响业务或操作过程而进行的数据操作活动。 这通常指勒索软件、篡改、数据操作等方法。

注意

对于处于预览状态的警报：Azure 预览版补充条款包含适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。

后续步骤

• Microsoft Defender for Cloud 中的安全警报
• 在 Microsoft Defender for Cloud 中管理和响应安全警报
• 连续导出 Defender for Cloud 数据