已被取代的安全性警示

本文列出 適用於雲端的 Microsoft Defender 中已被取代的安全性警示。

已淘汰適用於容器的 Defender 警示

下列清單包含已淘汰的適用於容器的Defender安全性警示。

偵測到主機防火牆的操作

（K8S.NODE_FirewallDisabled）

描述：分析在容器內或直接在 Kubernetes 節點上執行的進程，偵測到主機上防火牆的可能操作。 攻擊者通常會停用此功能以外泄數據。

MITRE 策略:D efenseEvasion、外洩

嚴重性：中

透過 HTTPS 可疑使用 DNS

（K8S.NODE_SuspiciousDNSOverHttps）

描述：分析在容器內或直接在 Kubernetes 節點上執行的進程，以不常見的方式偵測到使用透過 HTTPS 的 DNS 呼叫。 攻擊者會使用這項技術來隱藏對可疑或惡意網站的呼叫。

MITRE 策略:D efenseEvasion、外洩

嚴重性：中

偵測到可能與惡意位置的連線

（K8S.NODE_ThreatIntelCommandLineSuspectDomain）

描述：分析在容器內或直接在 Kubernetes 節點上執行的進程，偵測到已回報為惡意或不尋常的位置的連線。 這是可能已發生入侵的指標。

MITRE 策略：InitialAccess

嚴重性：中

數字資產採礦活動

（K8S.NODE_CurrencyMining）

描述：偵測到的 DNS 交易分析數位貨幣採礦活動。 這類活動雖然可能是合法的用戶行為，但攻擊者通常會在資源遭到入侵後執行。 一般相關的攻擊者活動可能會包含下載和執行常見的採礦工具。

MITRE 策略：外洩

嚴重性：低

適用於伺服器的 Defender Linux 警示已被取代

VM_AbnormalDaemonTermination

警示顯示名稱：異常終止

嚴重性：低

VM_BinaryGeneratedFromCommandLine

警示顯示名稱：偵測到可疑的二進位檔

嚴重性：中

VM_CommandlineSuspectDomain可疑

警示顯示名稱：功能變數名稱參考

嚴重性：低

VM_CommonBot

警示顯示名稱：偵測到的類似常見Linux Bot的行為

嚴重性：中

VM_CompCommonBots

警示顯示名稱：偵測到類似常見Linux Bot的命令

嚴重性：中

VM_CompSuspiciousScript

警示顯示名稱：偵測到殼層腳本

嚴重性：中

VM_CompTestRule

警示顯示名稱：複合分析測試警示

嚴重性：低

VM_CronJobAccess

警示顯示名稱：偵測到排程工作的操作

嚴重性：資訊

VM_CryptoCoinMinerArtifacts

警示顯示名稱：偵測到與數位簽名採礦相關聯的程式

嚴重性：中

VM_CryptoCoinMinerDownload

警示顯示名稱：偵測到可能的 Cryptocrminer 下載

嚴重性：中

VM_CryptoCoinMinerExecution

警示顯示名稱：潛在加密硬幣礦工已開始

嚴重性：中

VM_DataEgressArtifacts

警示顯示名稱：偵測到可能的數據外流

嚴重性：中

VM_DigitalCurrencyMining

警示顯示名稱：偵測到數位貨幣採礦相關行為

嚴重性：高

VM_DownloadAndRunCombo

警示顯示名稱：可疑的下載，然後執行活動

嚴重性：中

VM_EICAR

警示顯示名稱：適用於雲端的 Microsoft Defender 測試警示（不是威脅）

嚴重性：高

VM_ExecuteHiddenFile

警示顯示名稱：執行隱藏檔案

嚴重性：資訊

VM_ExploitAttempt

警示顯示名稱：可能的命令行惡意探索嘗試

嚴重性：中

VM_ExposedDocker

警示顯示名稱：TCP 套接字上公開的 Docker 精靈

嚴重性：中

VM_FairwareMalware

警示顯示名稱：偵測到與 Fairware 勒索軟體類似的行為

嚴重性：中

VM_FirewallDisabled

警示顯示名稱：偵測到主機防火牆的操作

嚴重性：中

VM_HadoopYarnExploit

警示顯示名稱：可能惡意探索Hadoop Yarn

嚴重性：中

VM_HistoryFileCleared

警示顯示名稱：已清除歷程記錄檔

嚴重性：中

VM_KnownLinuxAttackTool

警示顯示名稱：偵測到可能的攻擊工具

嚴重性：中

VM_KnownLinuxCredentialAccessTool

警示顯示名稱：偵測到可能的認證存取工具

嚴重性：中

VM_KnownLinuxDDoSToolkit

警示顯示名稱：偵測到與 DDOS 工具組相關聯的指標

嚴重性：中

VM_KnownLinuxScreenshotTool

警示顯示名稱：主機上拍攝的螢幕快照

嚴重性：低

VM_LinuxBackdoorArtifact

警示顯示名稱：偵測到可能的後門

嚴重性：中

VM_LinuxReconnaissance

警示顯示名稱：偵測到本機主機偵察

嚴重性：中

VM_MismatchedScriptFeatures

警示顯示名稱：偵測到腳本延伸模組不符

嚴重性：中

VM_MitreCalderaTools

警示顯示名稱：偵測到 MITRE Caldera 代理程式

嚴重性：中

VM_NewSingleUserModeStartupScript

警示顯示名稱：偵測到持續性嘗試

嚴重性：中

VM_NewSudoerAccount

警示顯示名稱：新增至sudo群組的帳戶

嚴重性：低

VM_OverridingCommonFiles

警示顯示名稱：可能覆寫一般檔案

嚴重性：中

VM_PrivilegedContainerArtifacts

警示顯示名稱：以特殊許可權模式執行的容器

嚴重性：低

VM_PrivilegedExecutionInContainer

警示顯示名稱：以高許可權執行之容器內的命令

嚴重性：低

VM_ReadingHistoryFile

警示顯示名稱：Bash歷程記錄檔案的異常存取

嚴重性：資訊

VM_ReverseShell

警示顯示名稱：偵測到潛在的反向殼層

嚴重性：中

VM_SshKeyAccess

警示顯示名稱：以不尋常的方式存取 SSH 授權金鑰檔案的程式

嚴重性：低

VM_SshKeyAddition

警示顯示名稱：新增 SSH 金鑰

嚴重性：低

VM_SuspectCompilation

警示顯示名稱：偵測到可疑編譯

嚴重性：中

VM_SuspectConnection

警示顯示名稱：偵測到不常見的連線嘗試

嚴重性：中

VM_SuspectDownload

警示顯示名稱：偵測到從已知惡意來源下載的檔案

嚴重性：中

VM_SuspectDownloadArtifacts

警示顯示名稱：偵測到可疑的檔案下載

嚴重性：低

VM_SuspectExecutablePath

警示顯示名稱：從可疑位置找到執行的可執行檔

嚴重性：中

VM_SuspectHtaccessFileAccess

警示顯示名稱：偵測到 htaccess 檔案的存取

嚴重性：中

VM_SuspectInitialShellCommand

警示顯示名稱：殼層中的可疑第一個命令

嚴重性：低

VM_SuspectMixedCaseText

警示顯示名稱：偵測到命令行中大寫和小寫字元的異常混合

嚴重性：中

VM_SuspectNetworkConnection

警示顯示名稱：可疑的網路連線

嚴重性：資訊

VM_SuspectNohup

警示顯示名稱：偵測到可疑使用 nohup 命令

嚴重性：中

VM_SuspectPasswordChange

警示顯示名稱：偵測到使用 crypt-method 偵測到的可能密碼變更

嚴重性：中

VM_SuspectPasswordFileAccess

警示顯示名稱：可疑的密碼存取

嚴重性：資訊

VM_SuspectPhp

警示顯示名稱：偵測到可疑的 PHP 執行

嚴重性：中

VM_SuspectPortForwarding

警示顯示名稱：潛在的埠轉送至外部IP位址

嚴重性：中

VM_SuspectProcessAccountPrivilegeCombo

警示顯示名稱：服務帳戶中執行的進程意外變成根目錄

嚴重性：中

VM_SuspectProcessTermination

警示顯示名稱：偵測到安全性相關進程終止

嚴重性：低

VM_SuspectUserAddition

警示顯示名稱：偵測到可疑使用useradd命令

嚴重性：中

VM_SuspiciousCommandLineExecution

警示顯示名稱：可疑的命令執行

嚴重性：高

VM_SuspiciousDNSOverHttps

警示顯示名稱：透過 HTTPS 可疑使用 DNS

嚴重性：中

VM_SystemLogRemoval

警示顯示名稱：偵測到可能的記錄竄改活動

嚴重性：中

VM_ThreatIntelCommandLineSuspectDomain

警示顯示名稱：偵測到可能連線到惡意位置

嚴重性：中

VM_ThreatIntelSuspectLogon

警示顯示名稱：偵測到惡意IP的登入

嚴重性：高

VM_TimerServiceDisabled

警示顯示名稱：嘗試停止偵測到apt-daily-upgrade.timer服務

嚴重性：資訊

VM_TimestampTampering

警示顯示名稱：可疑的檔案時間戳修改

嚴重性：低

VM_Webshell

警示顯示名稱：偵測到可能的惡意 Web 殼層

嚴重性：中

已淘汰的適用於伺服器的Defender Windows警示

SCUBA_MULTIPLEACCOUNTCREATE

警示顯示名稱：在多部主機上可疑建立帳戶

嚴重性：中

SCUBA_PSINSIGHT_CONTEXT

警示顯示名稱：偵測到可疑的PowerShell使用

嚴重性：資訊

SCUBA_RULE_AddGuestToAdministrators

警示顯示名稱：將來賓帳戶新增至本機系統管理員群組

嚴重性：中

SCUBA_RULE_Apache_Tomcat_executing_suspicious_commands

警示顯示名稱：Apache_Tomcat_executing_suspicious_commands

嚴重性：中

SCUBA_RULE_KnownBruteForcingTools

警示顯示名稱：執行可疑的進程

嚴重性：高

SCUBA_RULE_KnownCollectionTools

警示顯示名稱：執行可疑的進程

嚴重性：高

SCUBA_RULE_KnownDefenseEvasionTools

警示顯示名稱：執行可疑的進程

嚴重性：高

SCUBA_RULE_KnownExecutionTools

警示顯示名稱：執行可疑的進程

嚴重性：高

SCUBA_RULE_KnownPassTheHashTools

警示顯示名稱：執行可疑的進程

嚴重性：高

SCUBA_RULE_KnownSpammingTools

警示顯示名稱：執行可疑的進程

嚴重性：中

SCUBA_RULE_Lowering_Security_Settings

警示顯示名稱：偵測到停用重要服務

嚴重性：中

SCUBA_RULE_OtherKnownHackerTools

警示顯示名稱：執行可疑的進程

嚴重性：高

SCUBA_RULE_RDP_session_hijacking_via_tscon

警示顯示名稱：可疑完整性層級，表示 RDP 劫持

嚴重性：中

SCUBA_RULE_RDP_session_hijacking_via_tscon_service

警示顯示名稱：可疑的服務安裝

嚴重性：中

SCUBA_RULE_Suppress_pesky_unauthorized_use_prohibited_notices

警示顯示名稱：偵測到隱藏登入時向用戶顯示的法律通知

嚴重性：低

SCUBA_RULE_WDigest_Enabling

警示顯示名稱：偵測到啟用 WDigest UseLogonCredential 登錄機碼

嚴重性：中

VM.Windows_ApplockerBypass

警示顯示名稱：可能嘗試略過偵測到的AppLocker

嚴重性：高

VM.Windows_BariumKnownSuspiciousProcessExecution

警示顯示名稱：偵測到可疑的檔案建立

嚴重性：高

VM.Windows_Base64EncodedExecutableInCommandLineParams

警示顯示名稱：在命令行數據中偵測到編碼的可執行檔

嚴重性：高

VM.Windows_CalcsCommandLineUse

警示顯示名稱：偵測到可疑的 Cacls 使用來降低系統的安全性狀態

嚴重性：中

VM.Windows_CommandLineStartingAllExe

警示顯示名稱：偵測到用來啟動目錄中所有可執行檔的可疑命令行

嚴重性：中

VM.Windows_DisablingAndDeletingIISLogFiles

警示顯示名稱：偵測到指出停用和刪除 IIS 記錄檔的動作

嚴重性：中

VM.Windows_DownloadUsingCertutil

警示顯示名稱：偵測到使用 Certutil 進行可疑下載

嚴重性：中

VM.Windows_EchoOverPipeOnLocalhost

警示顯示名稱：偵測到可疑的命名管道通訊

嚴重性：高

VM.Windows_EchoToConstructPowerShellScript

警示顯示名稱：動態PowerShell腳本建構

嚴重性：中

VM.Windows_ExecutableDecodedUsingCertutil

警示顯示名稱：使用內建certutil.exe工具偵測到可執行文件譯碼

嚴重性：中

VM.Windows_FileDeletionIsSospisiousLocation

警示顯示名稱：偵測到可疑的檔案刪除

嚴重性：中

VM.Windows_KerberosGoldenTicketAttack

警示顯示名稱：觀察到可疑的 Kerberos 黃金票證攻擊參數

嚴重性：中

VM.Windows_KeygenToolKnownProcessName

警示顯示名稱：偵測到執行keygen可執行檔的可能執行可疑進程

嚴重性：中

VM.Windows_KnownCredentialAccessTools

警示顯示名稱：執行可疑的進程

嚴重性：高

VM.Windows_KnownSuspiciousPowerShellScript

警示顯示名稱：偵測到可疑的PowerShell使用

嚴重性：高

VM.Windows_KnownSuspiciousSoftwareInstallation

警示顯示名稱：偵測到高風險軟體

嚴重性：中

VM.Windows_MsHtaAndPowerShellCombination

警示顯示名稱：偵測到 HTA 和 PowerShell 的可疑組合

嚴重性：中

VM.Windows_MultipleAccountsQuery

警示顯示名稱：查詢多個網域帳戶

嚴重性：中

VM.Windows_NewAccountCreation

警示顯示名稱：偵測到帳戶建立

嚴重性：資訊

VM.Windows_ObfuscatedCommandLine

警示顯示名稱：偵測到模糊化的命令行。

嚴重性：高

VM.Windows_PcaluaUseToLaunchExecutable

警示顯示名稱：偵測到可疑的Pcalua.exe來啟動可執行程序代碼

嚴重性：中

VM.Windows_PetyaRansomware

警示顯示名稱：偵測到 Petya 勒索軟體指標

嚴重性：高

VM.Windows_PowerShellPowerSploitScriptExecution

警示顯示名稱：執行可疑的PowerShell Cmdlet

嚴重性：中

VM.Windows_RansomwareIndication

警示顯示名稱：偵測到勒索軟體指標

嚴重性：高

VM.Windows_SqlDumperUsedSuspiciously

警示顯示名稱：偵測到可能的認證傾印 [看到多次]

嚴重性：中

VM.Windows_StopCriticalServices

警示顯示名稱：偵測到停用重要服務

嚴重性：中

VM.Windows_SubvertingAccessibilityBinary

警示顯示名稱：偵測到黏性密鑰攻擊偵測到可疑帳戶建立偵測到中

VM.Windows_SuspiciousAccountCreation

警示顯示名稱：偵測到可疑的帳戶建立

嚴重性：中

VM.Windows_SuspiciousFirewallRuleAdded

警示顯示名稱：偵測到可疑的新防火牆規則

嚴重性：中

VM.Windows_SuspiciousFTPSSwitchUsage

警示顯示名稱：偵測到可疑的 FTP -s 參數使用

嚴重性：中

VM.Windows_SuspiciousSQLActivity

警示顯示名稱：可疑的 SQL 活動

嚴重性：中

VM.Windows_SVCHostFromInvalidPath

警示顯示名稱：執行可疑的進程

嚴重性：高

VM.Windows_SystemEventLogCleared

警示顯示名稱：已清除 Windows 安全性 記錄

嚴重性：資訊

VM.Windows_TelegramInstallation

警示顯示名稱：偵測到可能可疑使用Telegram工具

嚴重性：中

VM.Windows_UndercoverProcess

警示顯示名稱：偵測到可疑的具名進程

嚴重性：高

VM.Windows_UserAccountControlBypass

警示顯示名稱：偵測到可能濫用以略過 UAC 的登錄機碼變更

嚴重性：中

VM.Windows_VBScriptEncoding

警示顯示名稱：偵測到 VBScript.Encode 命令的可疑執行

嚴重性：中

VM.Windows_WindowPositionRegisteryChange

警示顯示名稱：偵測到可疑的 WindowPosition 登錄值

嚴重性：低

VM.Windows_ZincPortOpenningUsingFirewallRule

警示顯示名稱：由 ZINC 伺服器植入所建立的惡意防火牆規則

嚴重性：高

VM_DigitalCurrencyMining

警示顯示名稱：偵測到數位貨幣採礦相關行為

嚴重性：高

VM_MaliciousSQLActivity

警示顯示名稱：惡意 SQL 活動

嚴重性：高

VM_ProcessWithDoubleExtensionExecution

警示顯示名稱：執行可疑的雙擴展名檔案

嚴重性：高

VM_RegistryPersistencyKey

警示顯示名稱：偵測到 Windows 登錄持續性方法

嚴重性：低

VM_ShadowCopyDeletion

警示顯示名稱：從可疑位置執行的可疑磁碟區陰影複製活動可執行檔

嚴重性：高

VM_SuspectExecutablePath

警示顯示名稱：從可疑位置找到執行的可執行檔偵測到命令行中大寫和小寫字元的異常混合

嚴重性：資訊

中

VM_SuspectPhp

警示顯示名稱：偵測到可疑的 PHP 執行

嚴重性：中

VM_SuspiciousCommandLineExecution

警示顯示名稱：可疑的命令執行

嚴重性：高

VM_SuspiciousScreenSaverExecution

警示顯示名稱：執行可疑的 Screensaver 進程

嚴重性：中

VM_SvcHostRunInRareServiceGroup

警示顯示名稱：執行罕見的SVCHOST服務群組

嚴重性：資訊

VM_SystemProcessInAbnormalContext

警示顯示名稱：執行可疑的系統進程

嚴重性：中

VM_ThreatIntelCommandLineSuspectDomain

警示顯示名稱：偵測到可能連線到惡意位置

嚴重性：中

VM_ThreatIntelSuspectLogon

警示顯示名稱：偵測到惡意IP的登入

嚴重性：高

VM_VbScriptHttpObjectAllocation

警示顯示名稱：偵測到 VBScript HTTP 物件配置

嚴重性：高

VM_TaskkillBurst

警示顯示名稱：可疑的進程終止高載

嚴重性：低

VM_RunByPsExec

警示顯示名稱：偵測到 PsExec 執行

嚴重性：資訊

注意

針對處於預覽狀態的警示： Azure 預覽補充條款 包含適用於 Beta 版、預覽版或尚未發行至正式運作之 Azure 功能的其他法律條款。

下一步

• 適用於雲端的 Microsoft Defender 中的安全性警示
• 管理及回應適用於雲端的 Microsoft Defender 中的安全性警示
• 持續匯出適用於雲端的 Defender 資料