Azure VM 延伸模組的警示

發行項
08/07/2024

本文列出您可能會從適用於雲端的 Microsoft Defender 取得 Azure VM 擴充功能的安全性警示，以及您啟用的任何Microsoft Defender 方案。您環境中顯示的警示取決於您要保護的資源和服務，以及您的自定義組態。

注意

Microsoft Defender 威脅情報和適用於端點的 Microsoft Defender 提供電源的一些最近新增的警示可能未記載。

瞭解如何回應這些警示。

瞭解如何匯出警示。

注意

來自不同來源的警示可能需要不同時間才會出現。例如，需要分析網路流量的警示，可能會比與虛擬機上執行的可疑進程相關的警示出現的時間更長。

Azure VM 擴充功能警示

這些警示著重於偵測 Azure 虛擬機延伸模組的可疑活動，並提供攻擊者嘗試入侵和在您的虛擬機上執行惡意活動的見解。

Azure 虛擬機器擴充功能是小型應用程式，可在虛擬機器上執行後置部署，並提供設定、自動化、監視、安全性等功能。雖然擴充功能是功能強大的工具，但可能被威脅執行者用來進行各種惡意意圖，例如：

資料收集和監視
使用高權限進行程式碼執行和組態部署
重設認證並建立系統管理使用者
加密磁碟

深入瞭解適用於雲端的 Defender 最新的保護，以防止濫用 Azure VM 擴充功能。

在訂用帳戶中安裝 GPU 擴充功能時發生可疑的失敗 (預覽)

(VM_GPUExtensionSuspiciousFailure)

描述：在不支援的 VM 上安裝 GPU 擴充功能的可疑意圖。此擴充功能應該安裝在配備圖形處理器的虛擬機上，在此情況下，虛擬機並未配備這類功能。當惡意敵人針對密碼編譯採礦目的執行多次安裝這類擴充功能時，就可以看到這些失敗。

MITRE 策略：影響

嚴重性：中

在虛擬機器上偵測到 GPU 擴充功能的可疑安裝 (預覽)

(VM_GPUDriverExtensionUnusualExecution)

描述：藉由分析訂用帳戶中的 Azure Resource Manager 作業，在您的虛擬機上偵測到 GPU 擴充功能的可疑安裝。攻擊者可能會使用 GPU 驅動程式擴充功能，透過 Azure Resource Manager 在您的虛擬機器上安裝 GPU 驅動程式，以執行密碼編譯。當主體的行為偏離其一般模式時，此活動會被視為可疑。

MITRE 策略：影響

嚴重性：低

在虛擬機器上偵測到具有可疑指令碼的執行指令 (預覽)

(VM_RunCommandSuspiciousScript)

描述：藉由分析訂用帳戶中的 Azure Resource Manager 作業，在您的虛擬機上偵測到具有可疑腳本的執行命令。攻擊者可能會使用執行命令，透過 Azure Resource Manager 在虛擬機器上以高權限執行惡意程式碼。因為某些部分已識別為潛在的惡意，所以指令碼被視為可疑。

MITRE 策略：執行

嚴重性：高

在虛擬機器上偵測到可疑的未經授權執行命令使用量 (預覽)

(VM_RunCommandSuspiciousFailure)

描述：執行命令的可疑未經授權使用量失敗，並藉由分析訂用帳戶中的 Azure Resource Manager 作業，在您的虛擬機上偵測到。攻擊者可能會嘗試使用執行命令，透過 Azure Resource Manager 在虛擬機器上以高權限執行惡意程式碼。此活動被視為可疑，因為其以前並未經常看到。

MITRE 策略：執行

嚴重性：中

在虛擬機器上偵測到可疑的執行命令使用量 (預覽)

(VM_RunCommandSuspiciousUsage)

描述：藉由分析訂用帳戶中的 Azure Resource Manager 作業，偵測到虛擬機上執行命令的可疑使用量。攻擊者可能會使用執行命令，透過 Azure Resource Manager 在虛擬機器上以高權限執行惡意程式碼。此活動被視為可疑，因為其以前並未經常看到。

MITRE 策略：執行

嚴重性：低

在虛擬機器上偵測到多個監視或資料收集擴充功能的可疑使用量 (預覽)

(VM_SuspiciousMultiExtensionUsage)

描述：藉由分析訂用帳戶中的 Azure Resource Manager 作業，在您的虛擬機上偵測到多個監視或數據收集延伸模組的可疑使用量。攻擊者可能會在您的訂用帳戶中濫用這類資料收集、網路流量監視等擴充功能。此使用量被視為可疑，因為其以前並未經常看到。

MITRE 戰術：偵察

嚴重性：中

在虛擬機器上偵測到磁碟加密擴充功能的可疑安裝 (預覽)

(VM_DiskEncryptionSuspiciousUsage)

描述：藉由分析訂用帳戶中的 Azure Resource Manager 作業，在您的虛擬機上偵測到磁碟加密延伸模組的可疑安裝。攻擊者可能會濫用磁碟加密擴充功能，透過 Azure Resource Manager 在您的虛擬機器上部署完整磁碟加密，以嘗試執行勒索軟體活動。因為過去並不常見到此活動，且由於大量安裝擴充功能，所以此活動被認為很可疑。

MITRE 策略：影響

嚴重性：中

在虛擬機器上偵測到可疑的 VMAccess 擴充功能使用量（預覽）

(VM_VMAccessSuspiciousUsage)

描述：在虛擬機上偵測到 VMAccess 擴充功能的可疑使用量。攻擊者可能會濫用 VMAccess 擴充功能，藉由重設存取權或管理系統管理使用者，以高許可權存取並危害虛擬機。因為主體的行為偏離其一般模式，且由於大量安裝擴充功能，所以此活動被視為可疑。

MITRE 策略：持續性

嚴重性：中

在虛擬機器上偵測到具有可疑指令碼的 Desired State Configuration (DSC) 擴充功能 (預覽)

(VM_DSCExtensionSuspiciousScript)

描述：藉由分析訂用帳戶中的 Azure Resource Manager 作業，偵測到具有可疑腳本的所需狀態設定（DSC）擴充功能。攻擊者可能會使用 Desired State Configuration (DSC) 擴充功能，在虛擬機器上部署惡意設定，例如持續性機制、惡意指令碼等等。因為某些部分已識別為潛在的惡意，所以指令碼被視為可疑。

MITRE 策略：執行

嚴重性：高

在虛擬機器上偵測到 Desired State Configuration (DSC) 擴充功能的可疑使用量 (預覽)

(VM_DSCExtensionSuspiciousUsage)

描述：藉由分析訂用帳戶中的 Azure Resource Manager 作業，在虛擬機上偵測到 Desired 狀態設定（DSC）擴充功能的可疑使用量。攻擊者可能會使用 Desired State Configuration (DSC) 擴充功能，在虛擬機器上部署惡意設定，例如持續性機制、惡意指令碼等等。因為主體的行為偏離其一般模式，且由於大量安裝擴充功能，所以此活動被視為可疑。

MITRE 策略：執行

嚴重性：低

在虛擬機器上偵測到具有可疑指令碼的自訂指令碼延伸模組 (預覽)

(VM_CustomScriptExtensionSuspiciousCmd)

描述：透過分析訂用帳戶中的 Azure Resource Manager 作業，在您的虛擬機上偵測到具有可疑腳本的自定義腳本擴充功能。攻擊者可能會使用自訂指令碼延伸模組，透過 Azure Resource Manager 在虛擬機器上以高權限執行惡意程式碼。因為某些部分已識別為潛在的惡意，所以指令碼被視為可疑。

MITRE 策略：執行

嚴重性：高

虛擬機中自定義腳本擴充功能的可疑執行失敗

（VM_CustomScriptExtensionSuspiciousFailure）

描述：藉由分析訂用帳戶中的 Azure Resource Manager 作業，在您的虛擬機中偵測到自定義腳本擴充功能的可疑失敗。這類失敗可能與此擴充功能所執行的惡意腳本相關聯。

MITRE 策略：執行

嚴重性：中

在虛擬機中異常刪除自定義腳本擴充功能

（VM_CustomScriptExtensionUnusualDeletion）

描述：藉由分析訂用帳戶中的 Azure Resource Manager 作業，偵測到虛擬機中異常刪除自定義腳本擴充功能。攻擊者可能會使用自定義腳本擴充功能，透過 Azure Resource Manager 在您的虛擬機上執行惡意代碼。

MITRE 策略：執行

嚴重性：中

在虛擬機中異常執行自定義腳本擴充功能

（VM_CustomScriptExtensionUnusualExecution）

描述：藉由分析訂用帳戶中的 Azure Resource Manager 作業，偵測到虛擬機中異常執行自定義腳本擴充功能。攻擊者可能會使用自定義腳本擴充功能，透過 Azure Resource Manager 在您的虛擬機上執行惡意代碼。

MITRE 策略：執行

嚴重性：中

具有虛擬機中可疑進入點的自定義腳本擴充功能

（VM_CustomScriptExtensionSuspiciousEntryPoint）

描述：藉由分析訂用帳戶中的 Azure Resource Manager 作業，在您的虛擬機中偵測到具有可疑進入點的自定義腳本擴充功能。進入點是指可疑的 GitHub 存放庫。攻擊者可能會使用自定義腳本擴充功能，透過 Azure Resource Manager 在您的虛擬機上執行惡意代碼。

MITRE 策略：執行

嚴重性：中

虛擬機中具有可疑承載的自定義腳本擴充功能

（VM_CustomScriptExtensionSuspiciousPayload）

描述：透過分析訂用帳戶中的 Azure Resource Manager 作業，偵測到具有可疑 GitHub 存放庫承載的自定義腳本擴充功能。攻擊者可能會使用自定義腳本擴充功能，透過 Azure Resource Manager 在您的虛擬機上執行惡意代碼。

MITRE 策略：執行

嚴重性：中

注意

針對處於預覽狀態的警示： Azure 預覽補充條款包含適用於 Beta 版、預覽版或尚未發行至正式運作之 Azure 功能的其他法律條款。

共用方式為

Azure VM 延伸模組的警示

Azure VM 擴充功能警示

在訂用帳戶中安裝 GPU 擴充功能時發生可疑的失敗 (預覽)

在虛擬機器上偵測到 GPU 擴充功能的可疑安裝 (預覽)

在虛擬機器上偵測到具有可疑指令碼的執行指令 (預覽)

在虛擬機器上偵測到可疑的未經授權執行命令使用量 (預覽)

在虛擬機器上偵測到可疑的執行命令使用量 (預覽)

在虛擬機器上偵測到多個監視或資料收集擴充功能的可疑使用量 (預覽)

在虛擬機器上偵測到磁碟加密擴充功能的可疑安裝 (預覽)

在虛擬機器上偵測到可疑的 VMAccess 擴充功能使用量（預覽）

在虛擬機器上偵測到具有可疑指令碼的 Desired State Configuration (DSC) 擴充功能 (預覽)

在虛擬機器上偵測到 Desired State Configuration (DSC) 擴充功能的可疑使用量 (預覽)

在虛擬機器上偵測到具有可疑指令碼的自訂指令碼延伸模組 (預覽)

虛擬機中自定義腳本擴充功能的可疑執行失敗

在虛擬機中異常刪除自定義腳本擴充功能

在虛擬機中異常執行自定義腳本擴充功能

具有虛擬機中可疑進入點的自定義腳本擴充功能

虛擬機中具有可疑承載的自定義腳本擴充功能

下一步

意見反應

其他資源

共用方式為

Azure VM 延伸模組的警示

Azure VM 擴充功能警示

在訂用帳戶中安裝 GPU 擴充功能時發生可疑的失敗 (預覽)

在虛擬機器上偵測到 GPU 擴充功能的可疑安裝 (預覽)

在虛擬機器上偵測到具有可疑指令碼的執行指令 (預覽)

在虛擬機器上偵測到可疑的未經授權執行命令使用量 (預覽)

在虛擬機器上偵測到可疑的執行命令使用量 (預覽)

在虛擬機器上偵測到多個監視或資料收集擴充功能的可疑使用量 (預覽)

在虛擬機器上偵測到磁碟加密擴充功能的可疑安裝 (預覽)

在虛擬機器上偵測到可疑的 VMAccess 擴充功能使用量 （預覽）

在虛擬機器上偵測到具有可疑指令碼的 Desired State Configuration (DSC) 擴充功能 (預覽)

在虛擬機器上偵測到 Desired State Configuration (DSC) 擴充功能的可疑使用量 (預覽)

在虛擬機器上偵測到具有可疑指令碼的自訂指令碼延伸模組 (預覽)

虛擬機中自定義腳本擴充功能的可疑執行失敗

在虛擬機中異常刪除自定義腳本擴充功能

在虛擬機中異常執行自定義腳本擴充功能

具有虛擬機中可疑進入點的自定義腳本擴充功能

虛擬機中具有可疑承載的自定義腳本擴充功能

下一步

意見反應

其他資源

在虛擬機器上偵測到可疑的 VMAccess 擴充功能使用量（預覽）