Linux 電腦的警示
本文列出您可能從 適用於雲端的 Microsoft Defender 取得 Linux 計算機的安全性警示,以及您啟用的任何Microsoft Defender 方案。 您環境中顯示的警示取決於您要保護的資源和服務,以及您的自定義組態。
注意
某些由 Microsoft Defender 威脅情報 和 適用於端點的 Microsoft Defender 提供電源的最近新增警示可能未記載。
注意
來自不同來源的警示可能需要不同時間才會出現。 例如,需要分析網路流量的警示,可能會比與虛擬機上執行的可疑進程相關的警示出現的時間更長。
Linux 機器警示
Microsoft適用於伺服器的 Defender 方案 2 除了 適用於端點的 Microsoft Defender 所提供的偵測和警示之外,還提供唯一的偵測和警示。 針對Linux機器提供的警示如下:
已清除歷程記錄檔
描述:主機數據的分析表示已清除命令歷程記錄檔。 攻擊者可能會這麼做來涵蓋其追蹤。 作業是由使用者執行: 『%{user name}』。
MITRE 策略: -
嚴重性:中
已稽核自適性應用程控原則違規
(VM_AdaptiveApplicationControlLinuxViolationAudited)
描述:下列使用者在此計算機上執行了違反組織應用程控原則的應用程式。 其可能會向惡意程式碼或應用程式弱點公開機器。
MITRE 策略:執行
嚴重性:資訊
虛擬機中的反惡意代碼廣泛檔案排除
(VM_AmBroadFilesExclusion)
描述:分析訂用帳戶中的 Azure Resource Manager 作業,偵測到虛擬機中具有廣泛排除規則之反惡意代碼擴充功能的檔案。 這類排除實際上會停用反惡意代碼保護。 攻擊者可能會從虛擬機上的反惡意代碼掃描中排除檔案,以防止在執行任意程式代碼或感染計算機時偵測到惡意代碼。
MITRE 策略: -
嚴重性:中
已停用反惡意代碼,並在虛擬機中執行程序代碼
(VM_AmDisablementAndCodeExecution)
描述:在虛擬機上執行程式碼的同時停用反惡意代碼。 這是藉由分析訂用帳戶中的 Azure Resource Manager 作業來偵測到的。 攻擊者會停用反惡意代碼掃描器,以防止在執行未經授權的工具或感染計算機時偵測到惡意代碼。
MITRE 策略: -
嚴重性:高
在虛擬機中停用反惡意代碼軟體
(VM_AmDisablement)
描述:虛擬機中已停用反惡意代碼軟體。 這是藉由分析訂用帳戶中的 Azure Resource Manager 作業來偵測到的。 攻擊者可能會停用虛擬機上的反惡意代碼軟體,以防止偵測。
MITRE 戰術:防禦逃避
嚴重性:中
虛擬機中的反惡意代碼檔案排除和程式碼執行
(VM_AmFileExclusionAndCodeExecution)
描述:從反惡意代碼掃描器中排除的檔案,同時透過虛擬機上的自定義腳本擴充功能執行程序代碼。 這是藉由分析訂用帳戶中的 Azure Resource Manager 作業來偵測到的。 攻擊者可能會從虛擬機上的反惡意代碼掃描中排除檔案,以防止在執行未經授權的工具或感染計算機時偵測到惡意代碼。
MITRE 策略: 防禦逃避, 執行
嚴重性:高
虛擬機器中的反惡意代碼檔案排除和程式碼執行 (暫存)
(VM_AmTempFileExclusionAndCodeExecution)
描述:藉由分析訂用帳戶中的 Azure Resource Manager 作業,在虛擬機中偵測到透過自定義腳本擴充功能平行執行程式代碼的暫存盤排除。 攻擊者可能會從虛擬機上的反惡意代碼掃描中排除檔案,以防止在執行任意程式代碼或感染計算機時偵測到惡意代碼。
MITRE 策略: 防禦逃避, 執行
嚴重性:高
虛擬機中的反惡意代碼檔案排除
(VM_AmTempFileExclusion)
描述:從虛擬機上的反惡意代碼掃描器排除的檔案。 這是藉由分析訂用帳戶中的 Azure Resource Manager 作業來偵測到的。 攻擊者可能會從虛擬機上的反惡意代碼掃描中排除檔案,以防止在執行未經授權的工具或感染計算機時偵測到惡意代碼。
MITRE 戰術:防禦逃避
嚴重性:中
虛擬機中已停用反惡意代碼即時保護
(VM_AmRealtimeProtectionDisabled)
描述:藉由分析訂用帳戶中的 Azure Resource Manager 作業,偵測到虛擬機中偵測到反惡意代碼延伸模組的即時保護停用。 攻擊者可能會停用虛擬機上反惡意代碼掃描的即時保護,以避免在執行任意程式碼或感染計算機時偵測到惡意代碼。
MITRE 戰術:防禦逃避
嚴重性:中
在虛擬機中暫時停用反惡意代碼實時保護
(VM_AmTempRealtimeProtectionDisablement)
描述:藉由分析訂用帳戶中的 Azure Resource Manager 作業,偵測到虛擬機中偵測到反惡意代碼延伸模組的即時保護暫時停用。 攻擊者可能會停用虛擬機上反惡意代碼掃描的即時保護,以避免在執行任意程式碼或感染計算機時偵測到惡意代碼。
MITRE 戰術:防禦逃避
嚴重性:中
在虛擬機中執行程式代碼時,已暫時停用反惡意代碼實時保護
(VM_AmRealtimeProtectionDisablementAndCodeExec)
描述:藉由分析訂用帳戶中的 Azure Resource Manager 作業,在虛擬機中偵測到透過自定義腳本擴充功能平行執行反惡意代碼延伸模組的即時保護暫時停用。 攻擊者可能會停用虛擬機上反惡意代碼掃描的即時保護,以避免在執行任意程式碼或感染計算機時偵測到惡意代碼。
MITRE 策略: -
嚴重性:高
針對可能與虛擬機上惡意代碼活動相關的檔案封鎖反惡意代碼掃描 (預覽)
(VM_AmMalwareCampaignRelatedExclusion)
描述:在虛擬機中偵測到排除規則,以防止反惡意代碼延伸模塊掃描可疑與惡意代碼行銷活動相關的特定檔案。 藉由分析訂用帳戶中的 Azure Resource Manager 作業,偵測到此規則。 攻擊者可能會從反惡意代碼掃描中排除檔案,以防止在執行任意程式代碼或感染計算機時偵測到惡意代碼。
MITRE 戰術:防禦逃避
嚴重性:中
虛擬機中暫時停用反惡意代碼
(VM_AmTemporarilyDisablement)
描述:虛擬機中暫時停用反惡意代碼軟體。 這是藉由分析訂用帳戶中的 Azure Resource Manager 作業來偵測到的。 攻擊者可能會停用虛擬機上的反惡意代碼軟體,以防止偵測。
MITRE 策略: -
嚴重性:中
虛擬機中的反惡意代碼異常檔案排除
(VM_UnusualAmFileExclusion)
描述:藉由分析訂用帳戶中的 Azure Resource Manager 作業,偵測到虛擬機中反惡意代碼擴充功能的異常檔案排除。 攻擊者可能會從虛擬機上的反惡意代碼掃描中排除檔案,以防止在執行任意程式代碼或感染計算機時偵測到惡意代碼。
MITRE 戰術:防禦逃避
嚴重性:中
偵測到類似勒索軟體的行為 [看到多次]
描述:在 %{Compromised Host} 上分析主機數據時,偵測到執行與已知勒索軟體相似且可能防止使用者存取其系統或個人檔案的檔案,並要求贖金付款以重新取得存取權。 今天在下列計算機上看到此行為 [x] 次:[機器名稱]
MITRE 策略: -
嚴重性:高
與威脅情報所識別可疑網域的通訊
(AzureDNS_ThreatIntelSuspectDomain)
描述:藉由分析來自您資源的 DNS 交易,並與威脅情報摘要識別的已知惡意網域進行比較,偵測到與可疑網域的通訊。 攻擊者經常執行與惡意網域的通訊,並可能表示您的資源遭到入侵。
MITRE 策略:初始存取、持續性、執行、命令和控制、惡意探索
嚴重性:中
偵測到具有礦工映像的容器
(VM_MinerInContainerImage)
描述:計算機記錄指出執行與貨幣採礦相關聯的映像的 Docker 容器。
MITRE 策略:執行
嚴重性:高
偵測到命令行中大寫和小寫字元的異常混合
描述:分析 %{Compromised Host} 上的主機數據時,偵測到命令行有異常的大寫和小寫字元混合。 這種模式雖然可能是良性的,但也是攻擊者嘗試在遭入侵的主機上執行系統管理工作時,嘗試隱藏不區分大小寫或哈希型規則比對的一般。
MITRE 策略: -
嚴重性:中
偵測到從已知惡意來源下載的檔案
描述:分析主機數據時,偵測到從 %{Compromised Host} 上已知惡意代碼來源下載檔案。
MITRE 策略: -
嚴重性:中
偵測到可疑的網路活動
描述:分析來自 %{Compromised Host} 的網路流量偵測到可疑的網路活動。 這類流量雖然可能為良性,但通常由攻擊者用來與惡意伺服器通訊,以下載工具、命令和控制及外泄數據。 典型的相關攻擊者活動包括將遠端管理工具複製到遭入侵的主機,以及從中外洩用戶數據。
MITRE 策略: -
嚴重性:低
偵測到的數位資產採礦相關行為
描述:在 %{Compromised Host} 上分析主機數據時,偵測到執行通常與貨幣採礦相關聯的進程或命令。
MITRE 策略: -
嚴重性:高
停用稽核記錄 [看到多次]
描述:Linux 稽核系統提供一種方式來追蹤系統上的安全性相關信息。 它會記錄系統上所發生事件的詳細資訊。 停用稽核記錄可能會妨礙探索系統上所使用的安全策略違規。 今天在下列計算機上看到此行為 [x] 次:[機器名稱]
MITRE 策略: -
嚴重性:低
開發 Xorg 弱點 [看到多次]
描述:在 %{Compromised Host} 上分析主機數據時,偵測到 Xorg 的使用者有可疑自變數。 攻擊者可能會在許可權提升嘗試中使用這項技術。 今天在下列計算機上看到此行為 [x] 次:[機器名稱]
MITRE 策略: -
嚴重性:中
SSH 暴力密碼破解攻擊失敗
(VM_SshBruteForceFailed)
描述:從下列攻擊者偵測到失敗的暴力密碼破解攻擊: %{Attackers}。 攻擊者嘗試存取具有下列用戶名稱的主機: %{在登入主機嘗試失敗時使用的帳戶}。
MITRE 策略:探查
嚴重性:中
偵測到無檔案攻擊行為
(VM_FilelessAttackBehavior.Linux)
描述:下列指定的進程的記憶體包含無檔案攻擊常用的行為。 特定行為包括: {觀察行為清單}
MITRE 策略:執行
嚴重性:低
偵測到無檔案攻擊技術
(VM_FilelessAttackTechnique.Linux)
描述:下列指定的進程的記憶體包含無檔案攻擊技術的證據。 攻擊者會使用無檔案攻擊來執行程式碼,同時逃避安全性軟體的偵測。 特定行為包括: {觀察行為清單}
MITRE 策略:執行
嚴重性:高
偵測到無檔案攻擊工具組
(VM_FilelessAttackToolkit.Linux)
描述:下列指定的進程的記憶體包含無檔案攻擊工具組:{ToolKitName}。 無檔案攻擊工具組通常不會在文件系統上存在,使得傳統防病毒軟體的偵測變得困難。 特定行為包括: {觀察行為清單}
MITRE 策略: 防禦逃避, 執行
嚴重性:高
偵測到隱藏的檔案執行
描述:分析主機數據表示隱藏的檔案是由 %{user name}執行。 此活動可能是合法的活動,或表示主機遭到入侵。
MITRE 策略: -
嚴重性:資訊
新增新的 SSH 金鑰 [看到多次]
(VM_SshKeyAddition)
描述:已將新的 SSH 金鑰新增至授權金鑰檔案。 今天在下列計算機上看到此行為 [x] 次:[機器名稱]
MITRE 策略:持續性
嚴重性:低
新增 SSH 金鑰
描述:已將新的 SSH 金鑰新增至授權金鑰檔案。
MITRE 策略: -
嚴重性:低
偵測到可能的後門 [看到多次]
描述:分析主機數據時偵測到正在下載的可疑檔案,然後在您訂用帳戶中的 %{Compromised Host} 上執行。 此活動先前已與安裝後門相關聯。 今天在下列計算機上看到此行為 [x] 次:[機器名稱]
MITRE 策略: -
嚴重性:中
偵測到郵件伺服器可能的惡意探索
(VM_MailserverExploitation)
描述:在 %{Compromised Host} 上分析主機數據時,偵測到郵件伺服器帳戶下異常執行
MITRE 策略:惡意探索
嚴重性:中
偵測到可能的惡意 Web 殼層
描述:在 %{Compromised Host} 上分析主機數據時,偵測到可能的 Web 殼層。 攻擊者通常會將 Web 殼層上傳至他們遭入侵的電腦,以取得持續性或進一步惡意探索。
MITRE 策略: -
嚴重性:中
偵測到使用 crypt-method 偵測到的可能密碼變更 [看到多次]
描述:在 %{Compromised Host} 上分析主機數據時,偵測到使用 crypt 方法的密碼變更。 攻擊者可以進行這項變更,以在入侵後繼續存取並取得持續性。 今天在下列計算機上看到此行為 [x] 次:[機器名稱]
MITRE 策略: -
嚴重性:中
偵測到與數字資產採礦相關聯的程式 [發現多次]
描述:在 %{Compromised Host} 上分析主機數據時,偵測到通常與數位資產採礦相關聯的進程執行。 此行為目前在下列計算機上出現超過 100 次:[計算機名稱]
MITRE 策略: -
嚴重性:中
偵測到與數位簽名採礦相關聯的程式
描述:主機數據分析偵測到通常與數位資產採礦相關聯的進程執行。
MITRE 策略:惡意探索、執行
嚴重性:中
偵測到 Python 編碼下載程式 [看到多次]
描述:分析 %{Compromised Host} 上的主機數據時,偵測到執行從遠端位置下載和執行程式碼的編碼 Python。 這可能是惡意活動的指示。 今天在下列計算機上看到此行為 [x] 次:[機器名稱]
MITRE 策略: -
嚴重性:低
在主機上拍攝的螢幕快照 [看到多次]
描述:在 %{Compromised Host} 上分析主機數據時,偵測到螢幕擷取工具的使用者。 攻擊者可能會使用這些工具來存取私人數據。 今天在下列計算機上看到此行為 [x] 次:[機器名稱]
MITRE 策略: -
嚴重性:低
偵測到Shellcode[看到多次]
描述:在 %{Compromised Host} 上分析主機數據時,偵測到從命令行產生殼層程序代碼。 此程式可能是合法的活動,或表示您的其中一部機器遭到入侵。 今天在下列計算機上看到此行為 [x] 次:[機器名稱]
MITRE 策略: -
嚴重性:中
成功的 SSH 暴力密碼破解攻擊
(VM_SshBruteForceSuccess)
描述:分析主機數據時偵測到成功的暴力密碼破解攻擊。 看到IP%{攻擊者來源IP} 進行多次登入嘗試。 使用下列使用者從該IP成功登入:%{用來成功登入host} 的 %{帳戶。 這表示主機可能會遭到惡意動作專案的入侵和控制。
MITRE 策略:惡意探索
嚴重性:高
偵測到可疑的帳戶建立
描述:在 %{Compromised Host} 上分析主機數據時,偵測到建立或使用本機帳戶 %{可疑帳戶名稱}:此帳戶名稱與標準 Windows 帳戶或組名 '%{類似帳戶名稱}'。 這可能是攻擊者所建立的流氓帳戶,因此命名以避免人為系統管理員注意到。
MITRE 策略: -
嚴重性:中
偵測到可疑的核心模組 [看到多次]
描述:分析 %{Compromised Host} 上的主機數據時,偵測到載入為核心模組的共享物件檔案。 這可能是合法的活動,或表示您的其中一部計算機遭到入侵。 今天在下列計算機上看到此行為 [x] 次:[機器名稱]
MITRE 策略: -
嚴重性:中
可疑的密碼存取 [看到多次]
描述:分析主機數據時偵測到 %{Compromised Host} 上加密用戶密碼的可疑存取。 今天在下列計算機上看到此行為 [x] 次:[機器名稱]
MITRE 策略: -
嚴重性:資訊
可疑的密碼存取
描述:分析主機數據時偵測到 %{Compromised Host} 上加密用戶密碼的可疑存取。
MITRE 策略: -
嚴重性:資訊
Kubernetes 儀錶板的可疑要求
(VM_KubernetesDashboard)
描述:計算機記錄指出已對 Kubernetes 儀錶板提出可疑的要求。 要求是從 Kubernetes 節點傳送的,可能是來自節點中執行的其中一個容器。 雖然此行為可能是刻意的,但它可能表示節點正在執行遭入侵的容器。
MITRE 策略:LateralMovement
嚴重性:中
虛擬機中的異常設定重設
(VM_VMAccessUnusualConfigReset)
描述:藉由分析訂用帳戶中的 Azure Resource Manager 作業,在您的虛擬機中偵測到不尋常的組態重設。 雖然此動作可能是合法的,但攻擊者可以嘗試使用 VM 存取擴充功能來重設虛擬機中的設定,並加以入侵。
MITRE 策略:認證存取
嚴重性:中
虛擬機中的異常用戶密碼重設
(VM_VMAccessUnusualPasswordReset)
描述:藉由分析訂用帳戶中的 Azure Resource Manager 作業,在您的虛擬機中偵測到不尋常的用戶密碼重設。 雖然此動作可能是合法的,但攻擊者可以嘗試使用 VM 存取擴充功能來重設虛擬機中本機用戶的認證,並入侵它。
MITRE 策略:認證存取
嚴重性:中
虛擬機中的異常使用者 SSH 金鑰重設
(VM_VMAccessUnusualSSHReset)
描述:藉由分析訂用帳戶中的 Azure Resource Manager 作業,在您的虛擬機中偵測到不尋常的使用者 SSH 密鑰重設。 雖然此動作可能是合法的,但攻擊者可以嘗試利用 VM 存取擴充功能來重設虛擬機中用戶帳戶的 SSH 密鑰,並加以入侵。
MITRE 策略:認證存取
嚴重性:中
在虛擬機器中可疑安裝 GPU 擴充功能 (預覽版)
(VM_GPUDriverExtensionUnusualExecution)
描述:藉由分析訂用帳戶中的 Azure Resource Manager 作業,在您的虛擬機中偵測到 GPU 擴充功能的可疑安裝。 攻擊者可能會使用 GPU 驅動程式擴充功能,透過 Azure Resource Manager 在您的虛擬機器上安裝 GPU 驅動程式,以執行密碼編譯。
MITRE 策略:影響
嚴重性:低
注意
針對處於預覽狀態的警示: Azure 預覽補充條款 包含適用於 Beta 版、預覽版或尚未發行至正式運作之 Azure 功能的其他法律條款。