安全性警示 - 參考指南
本文列出您可能會從 適用於雲端的 Microsoft Defender 取得的安全性警示,以及您啟用的任何 Microsoft Defender 方案。 您環境中顯示的警示取決於您要保護的資源和服務,以及您的自定義組態。
此頁面底部有一個數據表,描述與 MITRE ATT&CK 矩陣第 9 版對齊的 適用於雲端的 Microsoft Defender 終止鏈結。
注意
來自不同來源的警示可能需要不同時間才會出現。 例如,需要分析網路流量的警示,可能會比與虛擬機上執行的可疑進程相關的警示出現的時間更長。
Windows 計算機的警示
除了 適用於端點的 Microsoft Defender 所提供的偵測和警示之外,適用於伺服器的 Microsoft Defender 方案 2 還提供唯一的偵測和警示。 為 Windows 機器提供的警示如下:
偵測到來自惡意IP的登入。 [看到多次]
描述:帳戶 [帳戶] 和進程 [進程] 的成功遠端驗證發生,但登入IP位址 (x.x.x.x) 先前已回報為惡意或高度不尋常的。 可能發生成功的攻擊。 擴展名為 .scr 的檔案是螢幕保護程式檔案,通常位於 Windows 系統目錄中並執行。
MITRE 策略: -
嚴重性:高
已稽核自適性應用程控原則違規
VM_AdaptiveApplicationControlWindowsViolationAudited
描述:下列使用者在此計算機上執行了違反組織應用程控原則的應用程式。 它可能會向惡意代碼或應用程式弱點公開計算機。
MITRE 策略:執行
嚴重性:資訊
將來賓帳戶新增至本機 管理員 istrators 群組
描述:分析主機數據時,偵測到在 %{Compromised Host} 上將內建的來賓帳戶新增至本機 管理員 istrators 群組,這與攻擊者活動有強烈關聯。
MITRE 策略: -
嚴重性:中
已清除事件記錄檔
描述:計算機記錄會依使用者指出可疑的事件記錄清除作業:計算機: '%{CompromisedEntity}' 中的 '%{user name}'。 已清除 %{log channel} 記錄。
MITRE 策略: -
嚴重性:資訊
反惡意代碼動作失敗
描述:對惡意代碼或其他潛在垃圾軟體採取動作時,Microsoft Antimalware 發生錯誤。
MITRE 策略: -
嚴重性:中
已採取反惡意代碼動作
描述:適用於 Azure 的 Microsoft Antimalware 已採取動作來保護這部電腦免於惡意代碼或其他潛在的垃圾軟體。
MITRE 策略: -
嚴重性:中
虛擬機中的反惡意代碼廣泛檔案排除
(VM_AmBroadFilesExclusion)
描述:分析訂用帳戶中的 Azure Resource Manager 作業,偵測到虛擬機中具有廣泛排除規則之反惡意代碼擴充功能的檔案。 這類排除實際上會停用反惡意代碼保護。 攻擊者可能會從虛擬機上的反惡意代碼掃描中排除檔案,以防止在執行任意程式代碼或感染計算機時偵測到惡意代碼。
MITRE 策略: -
嚴重性:中
已停用反惡意代碼,並在虛擬機中執行程序代碼
(VM_AmDisablementAndCodeExecution)
描述:在虛擬機上執行程式碼的同時停用反惡意代碼。 這是藉由分析訂用帳戶中的 Azure Resource Manager 作業來偵測到的。 攻擊者會停用反惡意代碼掃描器,以防止在執行未經授權的工具或感染計算機時偵測到惡意代碼。
MITRE 策略: -
嚴重性:高
在虛擬機中停用反惡意代碼軟體
(VM_AmDisablement)
描述:虛擬機中已停用反惡意代碼軟體。 這是藉由分析訂用帳戶中的 Azure Resource Manager 作業來偵測到的。 攻擊者可能會停用虛擬機上的反惡意代碼軟體,以防止偵測。
MITRE 戰術:防禦逃避
嚴重性:中
虛擬機中的反惡意代碼檔案排除和程式碼執行
(VM_AmFileExclusionAndCodeExecution)
描述:從反惡意代碼掃描器中排除的檔案,同時透過虛擬機上的自定義腳本擴充功能執行程序代碼。 這是藉由分析訂用帳戶中的 Azure Resource Manager 作業來偵測到的。 攻擊者可能會從虛擬機上的反惡意代碼掃描中排除檔案,以防止在執行未經授權的工具或感染計算機時偵測到惡意代碼。
MITRE 策略: 防禦逃避, 執行
嚴重性:高
虛擬機中的反惡意代碼檔案排除和程式碼執行
(VM_AmTempFileExclusionAndCodeExecution)
描述:藉由分析訂用帳戶中的 Azure Resource Manager 作業,在虛擬機中偵測到透過自定義腳本擴充功能平行執行程式代碼的暫存盤排除。 攻擊者可能會從虛擬機上的反惡意代碼掃描中排除檔案,以防止在執行任意程式代碼或感染計算機時偵測到惡意代碼。
MITRE 策略: 防禦逃避, 執行
嚴重性:高
虛擬機中的反惡意代碼檔案排除
(VM_AmTempFileExclusion)
描述:從虛擬機上的反惡意代碼掃描器排除的檔案。 這是藉由分析訂用帳戶中的 Azure Resource Manager 作業來偵測到的。 攻擊者可能會從虛擬機上的反惡意代碼掃描中排除檔案,以防止在執行未經授權的工具或感染計算機時偵測到惡意代碼。
MITRE 戰術:防禦逃避
嚴重性:中
虛擬機中已停用反惡意代碼即時保護
(VM_AmRealtimeProtectionDisabled)
描述:藉由分析訂用帳戶中的 Azure Resource Manager 作業,偵測到虛擬機中偵測到反惡意代碼延伸模組的即時保護停用。 攻擊者可能會停用虛擬機上反惡意代碼掃描的即時保護,以避免在執行任意程式碼或感染計算機時偵測到惡意代碼。
MITRE 戰術:防禦逃避
嚴重性:中
在虛擬機中暫時停用反惡意代碼實時保護
(VM_AmTempRealtimeProtectionDisablement)
描述:藉由分析訂用帳戶中的 Azure Resource Manager 作業,偵測到虛擬機中偵測到反惡意代碼延伸模組的即時保護暫時停用。 攻擊者可能會停用虛擬機上反惡意代碼掃描的即時保護,以避免在執行任意程式碼或感染計算機時偵測到惡意代碼。
MITRE 戰術:防禦逃避
嚴重性:中
在虛擬機中執行程式代碼時,已暫時停用反惡意代碼實時保護
(VM_AmRealtimeProtectionDisablementAndCodeExec)
描述:藉由分析訂用帳戶中的 Azure Resource Manager 作業,在虛擬機中偵測到透過自定義腳本擴充功能平行執行反惡意代碼延伸模組的即時保護暫時停用。 攻擊者可能會停用虛擬機上反惡意代碼掃描的即時保護,以避免在執行任意程式碼或感染計算機時偵測到惡意代碼。
MITRE 策略: -
嚴重性:高
針對可能與虛擬機上惡意代碼活動相關的檔案封鎖反惡意代碼掃描 (預覽)
(VM_AmMalwareCampaignRelatedExclusion)
描述:在虛擬機中偵測到排除規則,以防止反惡意代碼延伸模塊掃描可疑與惡意代碼行銷活動相關的特定檔案。 藉由分析訂用帳戶中的 Azure Resource Manager 作業,偵測到此規則。 攻擊者可能會從反惡意代碼掃描中排除檔案,以防止在執行任意程式代碼或感染計算機時偵測到惡意代碼。
MITRE 戰術:防禦逃避
嚴重性:中
虛擬機中暫時停用反惡意代碼
(VM_AmTemporarilyDisablement)
描述:虛擬機中暫時停用反惡意代碼軟體。 這是藉由分析訂用帳戶中的 Azure Resource Manager 作業來偵測到的。 攻擊者可能會停用虛擬機上的反惡意代碼軟體,以防止偵測。
MITRE 策略: -
嚴重性:中
虛擬機中的反惡意代碼異常檔案排除
(VM_UnusualAmFileExclusion)
描述:藉由分析訂用帳戶中的 Azure Resource Manager 作業,偵測到虛擬機中反惡意代碼擴充功能的異常檔案排除。 攻擊者可能會從虛擬機上的反惡意代碼掃描中排除檔案,以防止在執行任意程式代碼或感染計算機時偵測到惡意代碼。
MITRE 戰術:防禦逃避
嚴重性:中
與威脅情報所識別可疑網域的通訊
(AzureDNS_ThreatIntelSuspectDomain)
描述:藉由分析來自您資源的 DNS 交易,並與威脅情報摘要識別的已知惡意網域進行比較,偵測到與可疑網域的通訊。 攻擊者經常執行與惡意網域的通訊,並可能表示您的資源遭到入侵。
MITRE 策略:初始存取、持續性、執行、命令和控制、惡意探索
嚴重性:中
偵測到的動作表示停用和刪除 IIS 記錄檔
描述:分析主機數據時偵測到顯示 IIS 記錄檔已停用和/或刪除的動作。
MITRE 策略: -
嚴重性:中
偵測到命令行中大寫和小寫字元的異常混合
描述:分析 %{Compromised Host} 上的主機數據時,偵測到命令行有異常的大寫和小寫字元混合。 這種模式雖然可能是良性的,但也是攻擊者嘗試在遭入侵的主機上執行系統管理工作時,嘗試隱藏不區分大小寫或哈希型規則比對的一般。
MITRE 策略: -
嚴重性:中
偵測到可能濫用以略過UAC的登錄機碼變更
描述:分析 %{Compromised Host} 上的主機數據時,偵測到可能濫用以略過 UAC 的登錄機碼已變更。 這種組態雖然可能是良性的,但也通常是攻擊者活動嘗試從未特殊許可權的(標準使用者)移至遭入侵主機上的特殊許可權(例如系統管理員)存取權。
MITRE 策略: -
嚴重性:中
使用內建certutil.exe工具偵測到可執行文件譯碼
描述:分析 %{Compromised Host} 上的主機數據時,偵測到內建系統管理員公用程式certutil.exe用來譯碼可執行檔,而不是與操作憑證和憑證數據相關的主要用途。 攻擊者已知會濫用合法系統管理員工具的功能來執行惡意動作,例如使用像是certutil.exe之類的工具來譯碼隨後執行的惡意可執行檔。
MITRE 策略: -
嚴重性:高
偵測到啟用 WDigest UseLogonCredential 登錄機碼
描述:分析主機數據時偵測到登錄機碼 HKLM\SYSTEM\ CurrentControlSet\Control\SecurityProviders\WDigest\ “UseLogonCredential” 中的變更。 具體而言,此密鑰已更新,以允許登入認證以純文本儲存在 LSA 記憶體中。 啟用之後,攻擊者可以使用Mimikatz等認證收集工具,從LSA記憶體傾印純文本密碼。
MITRE 策略: -
嚴重性:中
在命令行數據中偵測到編碼的可執行檔
描述:在 %{Compromised Host} 上分析主機數據時,偵測到base-64編碼的可執行檔。 這先前已與嘗試透過一連串命令即時建構可執行文件的攻擊者相關聯,並藉由確保沒有任何個別命令觸發警示來逃避入侵檢測系統。 這可能是合法的活動,或表示主機遭到入侵。
MITRE 策略: -
嚴重性:高
偵測到模糊化的命令行
描述:攻擊者會使用越來越複雜的混淆技術來逃避針對基礎數據執行的偵測。 在 %{Compromised Host} 上分析主機數據時,偵測到命令行上可疑的混淆指標。
MITRE 策略: -
嚴重性:資訊
偵測到keygen可執行檔的可能執行
描述:在 %{Compromised Host} 上分析主機數據時,偵測到執行名稱為keygen工具的程式;這類工具通常用來擊敗軟體授權機制,但其下載通常會與其他惡意軟體搭配使用。 據悉,活動群組 GOLD 利用這類 Keygens 秘密地獲得他們入侵的主機後門存取權。
MITRE 策略: -
嚴重性:中
偵測到惡意代碼卸除器可能執行
描述:分析 %{Compromised Host} 上的主機數據時,偵測到先前已與其中一個活動群組 GOLD 在受害者主機上安裝惡意代碼的方法相關聯。
MITRE 策略: -
嚴重性:高
偵測到可能的本機偵察活動
描述:分析 %{Compromised Host} 上的主機數據時,偵測到先前已與其中一個活動群組 GOLD 執行偵察活動的方法相關聯的 systeminfo 命令組合。 雖然「systeminfo.exe」是合法的 Windows 工具,但以這裡發生的方式連續執行兩次,這是罕見的。
MITRE 策略: -
嚴重性:低
偵測到可能可疑使用Telegram工具
描述:主機數據的分析顯示 Telegram 的安裝,這是行動和桌面系統同時存在的免費雲端式即時消息服務。 已知攻擊者會濫用此服務,將惡意二進位檔傳輸到任何其他計算機、手機或平板電腦。
MITRE 策略: -
嚴重性:中
偵測到在登入時向用戶顯示的法律通知隱藏
描述:分析 %{Compromised Host} 上的主機數據時,偵測到登錄機碼的變更,可控制使用者登入時是否向用戶顯示法律通知。 Microsoft 安全性分析已判斷這是攻擊者在入侵主機之後所執行的常見活動。
MITRE 策略: -
嚴重性:低
偵測到 HTA 和 PowerShell 的可疑組合
描述:mshta.exe (Microsoft HTML 應用程式主機),這是攻擊者用來啟動惡意 PowerShell 命令的已簽署 Microsoft 二進位檔。 攻擊者通常會使用內嵌 VBScript 來取得 HTA 檔案。 當受害者流覽至 HTA 檔案並選擇執行它時,會執行它所包含的 PowerShell 命令和腳本。 在啟動 PowerShell 命令mshta.exe偵測到 %{Compromised Host} 上的主機數據分析。
MITRE 策略: -
嚴重性:中
偵測到可疑的命令行自變數
描述:分析 %{Compromised Host} 上的主機數據時,偵測到已與活動群組 HYDROGEN 所使用的反向殼層搭配使用的可疑命令行自變數。
MITRE 策略: -
嚴重性:高
偵測到用來啟動目錄中所有可執行檔的可疑命令行
描述:分析主機數據時偵測到 %{Compromised Host} 上執行的可疑進程。 命令行表示嘗試啟動可能位於目錄中的所有可執行檔(*.exe)。 這可能表示主機遭到入侵。
MITRE 策略: -
嚴重性:中
在命令行中偵測到可疑的認證
描述:分析 %{Compromised Host} 上的主機數據時,偵測到活動群組 BORON 用來執行檔案的可疑密碼。 已知此活動群組會使用此密碼在受害者主機上執行 Pirpi 惡意代碼。
MITRE 策略: -
嚴重性:高
偵測到可疑的文件認證
描述:分析 %{Compromised Host} 上的主機數據時,偵測到惡意代碼用來執行檔案的可疑、常見的預先計算密碼哈希。 活動群組 HYDROGEN 已知會使用此密碼在受害者主機上執行惡意代碼。
MITRE 策略: -
嚴重性:高
偵測到 VBScript.Encode 命令的可疑執行
描述:在 %{Compromised Host} 上分析主機數據時,偵測到執行 VBScript.Encode 命令。 這會將腳本編碼成無法讀取的文字,讓使用者更難檢查程序代碼。 Microsoft 威脅研究表明,攻擊者通常會使用編碼的 VBscript 檔案作為攻擊的一部分,以逃避偵測系統。 這可能是合法的活動,或表示主機遭到入侵。
MITRE 策略: -
嚴重性:中
透過 rundll32.exe偵測到可疑的執行
描述:在 %{Compromised Host} 上分析主機數據時,偵測到rundll32.exe用來執行具有不常見名稱的進程,與活動群組 GOLD 先前在遭入侵的主機上安裝其第一階段植入時所使用的進程命名配置一致。
MITRE 策略: -
嚴重性:高
偵測到可疑的檔案清除命令
描述:分析 %{Compromised Host} 上的主機數據時,偵測到先前已與其中一個活動群組 GOLD 執行入侵后自我清除活動的方法相關聯的 systeminfo 命令組合。 雖然 『systeminfo.exe』 是合法的 Windows 工具,但會連續執行兩次,後面接著以這裡發生的方式刪除命令是罕見的。
MITRE 策略: -
嚴重性:高
偵測到可疑的檔案建立
描述:分析 %{Compromised Host} 上的主機數據時,偵測到建立或執行先前表示活動群組 BARIUM 對受害者主機採取入侵後動作的程式。 已知此活動群組會在網路釣魚檔中的附件開啟之後,使用這項技術將更多惡意代碼下載到遭入侵的主機。
MITRE 策略: -
嚴重性:高
偵測到可疑的命名管道通訊
描述:分析 %{Compromised Host} 上的主機數據偵測到從 Windows 控制台命令寫入本機命名管道的數據。 已知具名管道是攻擊者用來工作並與惡意植入物進行通訊的通道。 這可能是合法的活動,或表示主機遭到入侵。
MITRE 策略: -
嚴重性:高
偵測到可疑的網路活動
描述:分析來自 %{Compromised Host} 的網路流量偵測到可疑的網路活動。 這類流量雖然可能為良性,但通常由攻擊者用來與惡意伺服器通訊,以下載工具、命令和控制及外泄數據。 典型的相關攻擊者活動包括將遠端管理工具複製到遭入侵的主機,以及從中外洩用戶數據。
MITRE 策略: -
嚴重性:低
偵測到可疑的新防火牆規則
描述:偵測到新防火牆規則的主機數據分析已透過netsh.exe新增,以允許來自可疑位置可執行檔的流量。
MITRE 策略: -
嚴重性:中
偵測到 Cacls 可疑的使用,以降低系統的安全性狀態
描述:攻擊者使用無數的方式,例如暴力密碼破解、長矛網路釣魚等,以達成初始入侵,並取得網路上的立足點。 一旦達成初始入侵,他們通常會採取步驟來降低系統的安全性設定。 變更訪問控制清單的簡短是 Microsoft Windows 原生命令行公用程式,通常用於修改資料夾和檔案的安全性許可權。 攻擊者經常使用二進位檔來降低系統的安全性設定。 這可讓所有人完整存取某些系統二進位檔,例如ftp.exe、net.exe、wscript.exe等。分析 %{Compromised Host} 上的主機數據時,偵測到對 Cacls 的可疑使用,以降低系統的安全性。
MITRE 策略: -
嚴重性:中
偵測到可疑的 FTP -s 參數使用
描述:從 %{Compromised Host} 分析進程建立數據時,偵測到使用 FTP “-s:filename” 參數。 此參數是用來指定要執行用戶端的 FTP 腳本檔案。 已知惡意代碼或惡意程式會使用此 FTP 參數 (-s:filename) 指向腳本檔案,該檔案已設定為連線到遠端 FTP 伺服器並下載更多惡意二進位檔。
MITRE 策略: -
嚴重性:中
偵測到可疑使用Pcalua.exe來啟動可執行程序代碼
描述:在 %{Compromised Host} 上分析主機數據時,偵測到使用pcalua.exe啟動可執行的程序代碼。 Pcalua.exe是 Microsoft Windows「程式相容性小幫手」的元件,它會在安裝或執行程式期間偵測相容性問題。 攻擊者已知濫用合法 Windows 系統工具的功能來執行惡意動作,例如使用 pcalua.exe 搭配 -a 參數在本機或從遠端共享啟動惡意可執行檔。
MITRE 策略: -
嚴重性:中
偵測到停用重要服務
描述:%{Compromised Host} 上的主機數據分析偵測到執行「net.exe停止」命令,以停止 SharedAccess 或 Windows 安全性 應用程式等重要服務。 停止上述任一服務可能表示惡意行為。
MITRE 策略: -
嚴重性:中
偵測到的數位資產採礦相關行為
描述:在 %{Compromised Host} 上分析主機數據時,偵測到執行通常與貨幣採礦相關聯的進程或命令。
MITRE 策略: -
嚴重性:高
動態 PS 腳本建構
描述:分析 %{Compromised Host} 上的主機數據時,偵測到正在動態建構的 PowerShell 腳本。 攻擊者有時會使用此方法逐步建置腳本,以逃避 IDS 系統。 這可能是合法的活動,或表示您的其中一部計算機遭到入侵。
MITRE 策略: -
嚴重性:中
從可疑位置執行之可執行檔
描述:分析主機數據時,偵測到 %{Compromised Host} 上的可執行檔,該可執行檔是從已知可疑檔案通用的位置執行。 此可執行檔可能是合法的活動,或表示主機遭到入侵。
MITRE 策略: -
嚴重性:高
偵測到無檔案攻擊行為
(VM_FilelessAttackBehavior.Windows)
描述:指定的進程的記憶體包含無檔案攻擊常用的行為。 特定行為包括:
- Shellcode,這是一小段程式代碼,通常用於惡意探索軟體弱點中的承載。
- 作用中網路連線。 如需詳細資訊,請參閱下方的網路 連線。
- 對安全性敏感性作業系統介面的函式呼叫。 如需參考的OS功能,請參閱下面的功能。
- 包含已在動態配置的程式代碼區段中啟動的線程。 這是程式插入式攻擊的常見模式。
MITRE 戰術:防禦逃避
嚴重性:低
偵測到無檔案攻擊技術
(VM_FilelessAttackTechnique.Windows)
描述:下列指定的進程的記憶體包含無檔案攻擊技術的證據。 攻擊者會使用無檔案攻擊來執行程式碼,同時逃避安全性軟體的偵測。 特定行為包括:
- Shellcode,這是一小段程式代碼,通常用於惡意探索軟體弱點中的承載。
- 插入處理程式的可執行映像,例如在程式代碼插入式攻擊中。
- 作用中網路連線。 如需詳細資訊,請參閱下方的網路 連線。
- 對安全性敏感性作業系統介面的函式呼叫。 如需參考的OS功能,請參閱下面的功能。
- 進程空心,這是惡意代碼所使用的技術,其中合法進程會載入系統上,以作為惡意代碼的容器。
- 包含已在動態配置的程式代碼區段中啟動的線程。 這是程式插入式攻擊的常見模式。
MITRE 策略: 防禦逃避, 執行
嚴重性:高
偵測到無檔案攻擊工具組
(VM_FilelessAttackToolkit.Windows)
描述:指定的進程的記憶體包含無檔案攻擊工具組:[工具組名稱]。 無檔案攻擊工具組使用技術,可將磁碟上的惡意代碼追蹤降到最低或消除,並大幅降低磁碟型惡意代碼掃描解決方案偵測的機會。 特定行為包括:
- 已知的工具組和密碼編譯採礦軟體。
- Shellcode,這是一小段程式代碼,通常用於惡意探索軟體弱點中的承載。
- 在進程記憶體中插入惡意可執行檔。
MITRE 策略: 防禦逃避, 執行
嚴重性:中
偵測到高風險軟體
描述:分析來自 %{Compromised Host} 的主機數據時,偵測到過去與惡意代碼安裝相關聯的軟體使用方式。 在發佈惡意軟體時所使用的常見技術是將其封裝在其他良性工具內,例如此警示中所見的工具。 當您使用這些工具時,惡意代碼可以在背景中以無訊息方式安裝。
MITRE 策略: -
嚴重性:中
列舉本機 管理員 istrators 群組成員
描述:機器記錄指出群組 %{列舉組域名稱}%{列舉組名}上的成功列舉。 具體而言,%{列舉使用者功能變數名稱}%{列舉用戶名稱}會從遠端列舉 %{列舉群組域名}%{列舉組名} 群組的成員。 此活動可能是合法的活動,或指出組織中的計算機已遭入侵,並用來偵察 %{vmname}。
MITRE 策略: -
嚴重性:資訊
由 ZINC 伺服器植入所建立的惡意防火牆規則 [看到多次]
描述:防火牆規則是使用符合已知動作項目鋅的技術所建立。 此規則可能用來在 %{Compromised Host} 上開啟埠,以允許命令與控制通訊。 今天在下列計算機上看到此行為 [x] 次:[機器名稱]
MITRE 策略: -
嚴重性:高
惡意 SQL 活動
描述:計算機記錄指出 『%{process name}』 是由帳戶執行: %{user name}。 此活動被視為惡意活動。
MITRE 策略: -
嚴重性:高
查詢多個網域帳戶
描述:主機數據的分析已判斷從 %{Compromised Host} 短時間內查詢不同網域帳戶的異常數目。 這種活動可能是合法的,但也可能是妥協的跡象。
MITRE 策略: -
嚴重性:中
偵測到可能的認證傾印 [看到多次]
描述:分析主機數據時,偵測到使用原生 Windows 工具(例如,sqldumper.exe),以允許從記憶體擷取認證的方式使用。 攻擊者通常會使用這些技術來擷取認證,然後進一步用於橫向移動和許可權提升。 今天在下列計算機上看到此行為 [x] 次:[機器名稱]
MITRE 策略: -
嚴重性:中
偵測到可能略過 AppLocker 的嘗試
描述:分析 %{Compromised Host} 上的主機數據時,偵測到可能嘗試略過 AppLocker 限制。 AppLocker 可以設定為實作原則,以限制允許在 Windows 系統上執行的可執行檔。 類似此警示中所識別的命令行模式先前已與攻擊者嘗試使用受信任的可執行檔(AppLocker 原則允許)來執行不受信任的程式碼來規避 AppLocker 原則。 這可能是合法的活動,或表示主機遭到入侵。
MITRE 策略: -
嚴重性:高
執行罕見的 SVCHOST 服務群組
(VM_SvcHostRunInRareServiceGroup)
描述:觀察到系統進程 SVCHOST 正在執行罕見的服務群組。 惡意代碼通常會使用 SVCHOST 來偽裝其惡意活動。
MITRE 策略: 防禦逃避, 執行
嚴重性:資訊
偵測到黏性密鑰攻擊
描述:主機數據的分析表示攻擊者可能會顛覆輔助功能二進位檔(例如黏性按鍵、螢幕鍵盤、朗讀程式),以提供主機 %{Compromised Host} 的後門存取權。
MITRE 策略: -
嚴重性:中
成功的暴力密碼破解攻擊
(VM_LoginBruteForceSuccess)
描述:從相同的來源偵測到數次登入嘗試。 某些已成功向主機驗證。 這類似於高載攻擊,攻擊者會執行許多驗證嘗試來尋找有效的帳戶認證。
MITRE 策略:惡意探索
嚴重性:中/高
可疑完整性層級,表示 RDP 劫持
描述:分析主機數據時偵測到使用 SYSTEM 許可權執行的tscon.exe - 這表示攻擊者濫用此二進位檔,以便將此主機上的任何其他登入使用者切換至其他登入的使用者;這是已知的攻擊者技術,以入侵更多用戶帳戶,並橫向跨網路移動。
MITRE 策略: -
嚴重性:中
可疑的服務安裝
描述:分析主機數據時偵測到安裝tscon.exe即服務:此二進位檔啟動為服務,可能會讓攻擊者藉由劫持 RDP 連線,輕鬆地切換至此主機上任何其他登入的使用者;這是已知的攻擊者技術,以入侵更多用戶帳戶,並橫向移動網路。
MITRE 策略: -
嚴重性:中
觀察到可疑的 Kerberos 黃金票證攻擊參數
描述:分析主機數據時偵測到與 Kerberos 黃金票證攻擊一致的命令行參數。
MITRE 策略: -
嚴重性:中
偵測到可疑的帳戶建立
描述:在 %{Compromised Host} 上分析主機數據時,偵測到建立或使用本機帳戶 %{可疑帳戶名稱}:此帳戶名稱與標準 Windows 帳戶或組名 '%{類似帳戶名稱}'。 這可能是攻擊者所建立的流氓帳戶,因此命名以避免人為系統管理員注意到。
MITRE 策略: -
嚴重性:中
偵測到可疑的活動
(VM_SuspiciousActivity)
描述:分析主機數據時,偵測到在 %{machine name} 上執行的一或多個進程序列,這些進程在過去與惡意活動相關聯。 雖然個別命令可能會呈現良性狀態,但警示會根據這些命令的匯總來評分。 這可能是合法的活動,或表示主機遭到入侵。
MITRE 策略:執行
嚴重性:中
可疑的驗證活動
(VM_LoginBruteForceValidUserFailed)
描述:雖然其中沒有任何成功,但主機已辨識其中一些已使用的帳戶。 這類似於字典攻擊,攻擊者會使用預先定義的帳戶名稱和密碼的字典來執行許多驗證嘗試,以尋找有效的認證來存取主機。 這表示您的部分主機名可能存在於已知的帳戶名稱字典中。
MITRE 策略:探查
嚴重性:中
偵測到可疑的程式代碼區段
描述:表示程式代碼區段已使用非標準方法進行配置,例如反射插入和進程空心。 警示提供更多已處理的程式代碼區段特性,以提供報告程式代碼區段的功能和行為內容。
MITRE 策略: -
嚴重性:中
可疑的雙擴展名檔案執行
描述:主機數據的分析表示執行具有可疑雙重擴充功能的處理程式。 此延伸模組可能會誘使用戶認為檔案是安全的開啟,而且可能表示系統上存在惡意代碼。
MITRE 策略: -
嚴重性:高
偵測到使用 Certutil 偵測到可疑下載 [看到多次]
描述:分析 %{Compromised Host} 上的主機數據時,偵測到使用內建系統管理員公用程式certutil.exe下載二進位檔,而不是與操作憑證和憑證數據相關的主要用途。 攻擊者已知會濫用合法系統管理員工具的功能來執行惡意動作,例如使用certutil.exe下載和譯碼隨後執行的惡意可執行檔。 今天在下列計算機上看到此行為 [x] 次:[機器名稱]
MITRE 策略: -
嚴重性:中
偵測到使用 Certutil 偵測到可疑下載
描述:分析 %{Compromised Host} 上的主機數據時,偵測到使用內建系統管理員公用程式certutil.exe下載二進位檔,而不是與操作憑證和憑證數據相關的主要用途。 攻擊者已知會濫用合法系統管理員工具的功能來執行惡意動作,例如使用certutil.exe下載和譯碼隨後執行的惡意可執行檔。
MITRE 策略: -
嚴重性:中
偵測到可疑的PowerShell活動
描述:分析主機數據時,偵測到在 %{Compromised Host} 上執行的 PowerShell 腳本,該腳本具有已知可疑腳本的通用功能。 此腳本可能是合法的活動,或表示主機遭到入侵。
MITRE 策略: -
嚴重性:高
執行的可疑 PowerShell Cmdlet
描述:主機數據的分析表示執行已知的惡意 PowerShell PowerSploit Cmdlet。
MITRE 策略: -
嚴重性:中
執行可疑的進程 [看到多次]
描述:計算機記錄指出可疑進程:『%{可疑進程}』 正在計算機上執行,通常與攻擊者嘗試存取認證相關聯。 今天在下列計算機上看到此行為 [x] 次:[機器名稱]
MITRE 策略: -
嚴重性:高
執行可疑的進程
描述:計算機記錄指出可疑進程:『%{可疑進程}』 正在計算機上執行,通常與攻擊者嘗試存取認證相關聯。
MITRE 策略: -
嚴重性:高
偵測到可疑的進程名稱 [發現多次]
描述:分析 %{Compromised Host} 上的主機數據時,偵測到名稱可疑的程式,例如,對應至已知的攻擊者工具,或以暗示攻擊者工具在純視中隱藏的方式命名。 此程式可能是合法的活動,或表示您的其中一部機器遭到入侵。 今天在下列計算機上看到此行為 [x] 次:[機器名稱]
MITRE 策略: -
嚴重性:中
偵測到可疑的進程名稱
描述:分析 %{Compromised Host} 上的主機數據時,偵測到名稱可疑的程式,例如,對應至已知的攻擊者工具,或以暗示攻擊者工具在純視中隱藏的方式命名。 此程式可能是合法的活動,或表示您的其中一部機器遭到入侵。
MITRE 策略: -
嚴重性:中
可疑的 SQL 活動
描述:計算機記錄指出 『%{process name}』 是由帳戶執行: %{user name}。 此帳戶並不常見此活動。
MITRE 策略: -
嚴重性:中
執行可疑的 SVCHOST 進程
描述:系統進程 SVCHOST 觀察到在異常內容中執行。 惡意代碼通常會使用 SVCHOST 來偽裝其惡意活動。
MITRE 策略: -
嚴重性:高
執行可疑的系統進程
(VM_SystemProcessInAbnormalContext)
描述:系統進程 %{process name} 是在異常內容中執行。 惡意代碼通常會使用此進程名稱來偽裝其惡意活動。
MITRE 策略: 防禦逃避, 執行
嚴重性:高
可疑的磁碟區陰影複製活動
描述:分析主機數據時偵測到資源上的陰影複製刪除活動。 磁碟區陰影複製 (VSC) 是會儲存資料快照集的重要成品。 某些惡意代碼,特別是勒索軟體,以 VSC 為目標來破壞備份策略。
MITRE 策略: -
嚴重性:高
偵測到可疑的 WindowPosition 登錄值
描述:分析 %{Compromised Host} 上的主機數據時,偵測到嘗試的 WindowPosition 登錄組態變更,可能表示隱藏桌面中不可見的應用程式視窗。 這可能是合法的活動,或表示計算機遭到入侵:這種類型的活動先前已與已知的廣告軟體(或垃圾軟體)相關聯,例如 Win32/OneSystemCare 和 Win32/SystemHealer 和 Win32/SystemHealer,以及 Win32/Creprote 等惡意代碼。 當 WindowPosition 值設定為 201329664 時(Hex:0x0c00 0c00,對應至 X 軸=0c00 和 Y 軸=0c00),這會在用戶畫面的非可見區段中,將控制台應用程式的視窗放在可見的開始功能表/任務欄下方的檢視下方。 已知的可疑 Hex 值包含,但不限於 c000c000。
MITRE 策略: -
嚴重性:低
偵測到可疑的具名進程
描述:分析 %{Compromised Host} 上的主機數據時,偵測到名稱非常類似但與非常常見的執行進程不同 (%{與進程名稱類似}) 的進程。 雖然此程式可能是良性攻擊者,但有時候會藉由將惡意工具命名為類似合法進程名稱,以隱藏在純視中。
MITRE 策略: -
嚴重性:中
虛擬機中的異常設定重設
(VM_VMAccessUnusualConfigReset)
描述:藉由分析訂用帳戶中的 Azure Resource Manager 作業,在您的虛擬機中偵測到不尋常的組態重設。 雖然此動作可能是合法的,但攻擊者可以嘗試使用 VM 存取擴充功能來重設虛擬機中的設定,並加以入侵。
MITRE 策略:認證存取
嚴重性:中
偵測到不尋常的進程執行
描述:在 %{Compromised Host} 上分析主機數據時,偵測到 %{User Name} 執行異常的進程。 %{User Name} 等帳戶通常會執行一組有限的作業,此執行已判斷為字元不足且可能可疑。
MITRE 策略: -
嚴重性:高
虛擬機中的異常用戶密碼重設
(VM_VMAccessUnusualPasswordReset)
描述:藉由分析訂用帳戶中的 Azure Resource Manager 作業,在您的虛擬機中偵測到不尋常的用戶密碼重設。 雖然此動作可能是合法的,但攻擊者可以嘗試使用 VM 存取擴充功能來重設虛擬機中本機用戶的認證,並入侵它。
MITRE 策略:認證存取
嚴重性:中
虛擬機中的異常使用者 SSH 金鑰重設
(VM_VMAccessUnusualSSHReset)
描述:藉由分析訂用帳戶中的 Azure Resource Manager 作業,在您的虛擬機中偵測到不尋常的使用者 SSH 密鑰重設。 雖然此動作可能是合法的,但攻擊者可以嘗試利用 VM 存取擴充功能來重設虛擬機中用戶帳戶的 SSH 密鑰,並加以入侵。
MITRE 策略:認證存取
嚴重性:中
偵測到 VBScript HTTP 物件配置
描述:偵測到使用命令提示字元建立 VBScript 檔案。 下列文稿包含 HTTP 物件配置命令。 此動作可用來下載惡意檔案。
在虛擬機器中可疑安裝 GPU 擴充功能 (預覽版)
(VM_GPUDriverExtensionUnusualExecution)
描述:藉由分析訂用帳戶中的 Azure Resource Manager 作業,在您的虛擬機中偵測到 GPU 擴充功能的可疑安裝。 攻擊者可能會使用 GPU 驅動程式擴充功能,透過 Azure Resource Manager 在您的虛擬機上安裝 GPU 驅動程式,以執行密碼編譯。
MITRE 策略:影響
嚴重性:低
Linux 電腦的警示
除了 適用於端點的 Microsoft Defender 所提供的偵測和警示之外,適用於伺服器的 Microsoft Defender 方案 2 還提供唯一的偵測和警示。 針對Linux機器提供的警示如下:
已清除歷程記錄檔
描述:主機數據的分析表示已清除命令歷程記錄檔。 攻擊者可能會這麼做來涵蓋其追蹤。 作業是由使用者執行: 『%{user name}』。
MITRE 策略: -
嚴重性:中
已稽核自適性應用程控原則違規
(VM_AdaptiveApplicationControlLinuxViolationAudited)
描述:下列使用者在此計算機上執行了違反組織應用程控原則的應用程式。 它可能會向惡意代碼或應用程式弱點公開計算機。
MITRE 策略:執行
嚴重性:資訊
虛擬機中的反惡意代碼廣泛檔案排除
(VM_AmBroadFilesExclusion)
描述:分析訂用帳戶中的 Azure Resource Manager 作業,偵測到虛擬機中具有廣泛排除規則之反惡意代碼擴充功能的檔案。 這類排除實際上會停用反惡意代碼保護。 攻擊者可能會從虛擬機上的反惡意代碼掃描中排除檔案,以防止在執行任意程式代碼或感染計算機時偵測到惡意代碼。
MITRE 策略: -
嚴重性:中
已停用反惡意代碼,並在虛擬機中執行程序代碼
(VM_AmDisablementAndCodeExecution)
描述:在虛擬機上執行程式碼的同時停用反惡意代碼。 這是藉由分析訂用帳戶中的 Azure Resource Manager 作業來偵測到的。 攻擊者會停用反惡意代碼掃描器,以防止在執行未經授權的工具或感染計算機時偵測到惡意代碼。
MITRE 策略: -
嚴重性:高
在虛擬機中停用反惡意代碼軟體
(VM_AmDisablement)
描述:虛擬機中已停用反惡意代碼軟體。 這是藉由分析訂用帳戶中的 Azure Resource Manager 作業來偵測到的。 攻擊者可能會停用虛擬機上的反惡意代碼軟體,以防止偵測。
MITRE 戰術:防禦逃避
嚴重性:中
虛擬機中的反惡意代碼檔案排除和程式碼執行
(VM_AmFileExclusionAndCodeExecution)
描述:從反惡意代碼掃描器中排除的檔案,同時透過虛擬機上的自定義腳本擴充功能執行程序代碼。 這是藉由分析訂用帳戶中的 Azure Resource Manager 作業來偵測到的。 攻擊者可能會從虛擬機上的反惡意代碼掃描中排除檔案,以防止在執行未經授權的工具或感染計算機時偵測到惡意代碼。
MITRE 策略: 防禦逃避, 執行
嚴重性:高
虛擬機中的反惡意代碼檔案排除和程式碼執行
(VM_AmTempFileExclusionAndCodeExecution)
描述:藉由分析訂用帳戶中的 Azure Resource Manager 作業,在虛擬機中偵測到透過自定義腳本擴充功能平行執行程式代碼的暫存盤排除。 攻擊者可能會從虛擬機上的反惡意代碼掃描中排除檔案,以防止在執行任意程式代碼或感染計算機時偵測到惡意代碼。
MITRE 策略: 防禦逃避, 執行
嚴重性:高
虛擬機中的反惡意代碼檔案排除
(VM_AmTempFileExclusion)
描述:從虛擬機上的反惡意代碼掃描器排除的檔案。 這是藉由分析訂用帳戶中的 Azure Resource Manager 作業來偵測到的。 攻擊者可能會從虛擬機上的反惡意代碼掃描中排除檔案,以防止在執行未經授權的工具或感染計算機時偵測到惡意代碼。
MITRE 戰術:防禦逃避
嚴重性:中
虛擬機中已停用反惡意代碼即時保護
(VM_AmRealtimeProtectionDisabled)
描述:藉由分析訂用帳戶中的 Azure Resource Manager 作業,偵測到虛擬機中偵測到反惡意代碼延伸模組的即時保護停用。 攻擊者可能會停用虛擬機上反惡意代碼掃描的即時保護,以避免在執行任意程式碼或感染計算機時偵測到惡意代碼。
MITRE 戰術:防禦逃避
嚴重性:中
在虛擬機中暫時停用反惡意代碼實時保護
(VM_AmTempRealtimeProtectionDisablement)
描述:藉由分析訂用帳戶中的 Azure Resource Manager 作業,偵測到虛擬機中偵測到反惡意代碼延伸模組的即時保護暫時停用。 攻擊者可能會停用虛擬機上反惡意代碼掃描的即時保護,以避免在執行任意程式碼或感染計算機時偵測到惡意代碼。
MITRE 戰術:防禦逃避
嚴重性:中
在虛擬機中執行程式代碼時,已暫時停用反惡意代碼實時保護
(VM_AmRealtimeProtectionDisablementAndCodeExec)
描述:藉由分析訂用帳戶中的 Azure Resource Manager 作業,在虛擬機中偵測到透過自定義腳本擴充功能平行執行反惡意代碼延伸模組的即時保護暫時停用。 攻擊者可能會停用虛擬機上反惡意代碼掃描的即時保護,以避免在執行任意程式碼或感染計算機時偵測到惡意代碼。
MITRE 策略: -
嚴重性:高
針對可能與虛擬機上惡意代碼活動相關的檔案封鎖反惡意代碼掃描 (預覽)
(VM_AmMalwareCampaignRelatedExclusion)
描述:在虛擬機中偵測到排除規則,以防止反惡意代碼延伸模塊掃描可疑與惡意代碼行銷活動相關的特定檔案。 藉由分析訂用帳戶中的 Azure Resource Manager 作業,偵測到此規則。 攻擊者可能會從反惡意代碼掃描中排除檔案,以防止在執行任意程式代碼或感染計算機時偵測到惡意代碼。
MITRE 戰術:防禦逃避
嚴重性:中
虛擬機中暫時停用反惡意代碼
(VM_AmTemporarilyDisablement)
描述:虛擬機中暫時停用反惡意代碼軟體。 這是藉由分析訂用帳戶中的 Azure Resource Manager 作業來偵測到的。 攻擊者可能會停用虛擬機上的反惡意代碼軟體,以防止偵測。
MITRE 策略: -
嚴重性:中
虛擬機中的反惡意代碼異常檔案排除
(VM_UnusualAmFileExclusion)
描述:藉由分析訂用帳戶中的 Azure Resource Manager 作業,偵測到虛擬機中反惡意代碼擴充功能的異常檔案排除。 攻擊者可能會從虛擬機上的反惡意代碼掃描中排除檔案,以防止在執行任意程式代碼或感染計算機時偵測到惡意代碼。
MITRE 戰術:防禦逃避
嚴重性:中
偵測到類似勒索軟體的行為 [看到多次]
描述:在 %{Compromised Host} 上分析主機數據時,偵測到執行與已知勒索軟體相似且可能防止使用者存取其系統或個人檔案的檔案,並要求贖金付款以重新取得存取權。 今天在下列計算機上看到此行為 [x] 次:[機器名稱]
MITRE 策略: -
嚴重性:高
與威脅情報所識別可疑網域的通訊
(AzureDNS_ThreatIntelSuspectDomain)
描述:藉由分析來自您資源的 DNS 交易,並與威脅情報摘要識別的已知惡意網域進行比較,偵測到與可疑網域的通訊。 攻擊者經常執行與惡意網域的通訊,並可能表示您的資源遭到入侵。
MITRE 策略:初始存取、持續性、執行、命令和控制、惡意探索
嚴重性:中
偵測到具有礦工映像的容器
(VM_MinerInContainerImage)
描述:計算機記錄指出執行與貨幣採礦相關聯的映像的 Docker 容器。
MITRE 策略:執行
嚴重性:高
偵測到命令行中大寫和小寫字元的異常混合
描述:分析 %{Compromised Host} 上的主機數據時,偵測到命令行有異常的大寫和小寫字元混合。 這種模式雖然可能是良性的,但也是攻擊者嘗試在遭入侵的主機上執行系統管理工作時,嘗試隱藏不區分大小寫或哈希型規則比對的一般。
MITRE 策略: -
嚴重性:中
偵測到從已知惡意來源下載的檔案
描述:分析主機數據時,偵測到從 %{Compromised Host} 上已知惡意代碼來源下載檔案。
MITRE 策略: -
嚴重性:中
偵測到可疑的網路活動
描述:分析來自 %{Compromised Host} 的網路流量偵測到可疑的網路活動。 這類流量雖然可能為良性,但通常由攻擊者用來與惡意伺服器通訊,以下載工具、命令和控制及外泄數據。 典型的相關攻擊者活動包括將遠端管理工具複製到遭入侵的主機,以及從中外洩用戶數據。
MITRE 策略: -
嚴重性:低
偵測到的數位資產採礦相關行為
描述:在 %{Compromised Host} 上分析主機數據時,偵測到執行通常與貨幣採礦相關聯的進程或命令。
MITRE 策略: -
嚴重性:高
停用稽核記錄 [看到多次]
描述:Linux 稽核系統提供一種方式來追蹤系統上的安全性相關信息。 它會記錄系統上所發生事件的詳細資訊。 停用稽核記錄可能會妨礙探索系統上所使用的安全策略違規。 今天在下列計算機上看到此行為 [x] 次:[機器名稱]
MITRE 策略: -
嚴重性:低
開發 Xorg 弱點 [看到多次]
描述:在 %{Compromised Host} 上分析主機數據時,偵測到 Xorg 的使用者有可疑自變數。 攻擊者可能會在許可權提升嘗試中使用這項技術。 今天在下列計算機上看到此行為 [x] 次:[機器名稱]
MITRE 策略: -
嚴重性:中
SSH 暴力密碼破解攻擊失敗
(VM_SshBruteForceFailed)
描述:從下列攻擊者偵測到失敗的暴力密碼破解攻擊: %{Attackers}。 攻擊者嘗試存取具有下列用戶名稱的主機: %{在登入主機嘗試失敗時使用的帳戶}。
MITRE 策略:探查
嚴重性:中
偵測到無檔案攻擊行為
(VM_FilelessAttackBehavior.Linux)
描述:下列指定的進程的記憶體包含無檔案攻擊常用的行為。 特定行為包括: {觀察行為清單}
MITRE 策略:執行
嚴重性:低
偵測到無檔案攻擊技術
(VM_FilelessAttackTechnique.Linux)
描述:下列指定的進程的記憶體包含無檔案攻擊技術的證據。 攻擊者會使用無檔案攻擊來執行程式碼,同時逃避安全性軟體的偵測。 特定行為包括: {觀察行為清單}
MITRE 策略:執行
嚴重性:高
偵測到無檔案攻擊工具組
(VM_FilelessAttackToolkit.Linux)
描述:下列指定的進程的記憶體包含無檔案攻擊工具組:{ToolKitName}。 無檔案攻擊工具組通常不會在文件系統上存在,使得傳統防病毒軟體的偵測變得困難。 特定行為包括: {觀察行為清單}
MITRE 策略: 防禦逃避, 執行
嚴重性:高
偵測到隱藏的檔案執行
描述:分析主機數據表示隱藏的檔案是由 %{user name}執行。 此活動可能是合法的活動,或表示主機遭到入侵。
MITRE 策略: -
嚴重性:資訊
新增新的 SSH 金鑰 [看到多次]
(VM_SshKeyAddition)
描述:已將新的 SSH 金鑰新增至授權金鑰檔案。 今天在下列計算機上看到此行為 [x] 次:[機器名稱]
MITRE 策略:持續性
嚴重性:低
新增 SSH 金鑰
描述:已將新的 SSH 金鑰新增至授權金鑰檔案。
MITRE 策略: -
嚴重性:低
偵測到可能的後門 [看到多次]
描述:分析主機數據時偵測到正在下載的可疑檔案,然後在您訂用帳戶中的 %{Compromised Host} 上執行。 此活動先前已與安裝後門相關聯。 今天在下列計算機上看到此行為 [x] 次:[機器名稱]
MITRE 策略: -
嚴重性:中
偵測到郵件伺服器可能的惡意探索
(VM_MailserverExploitation)
描述:在 %{Compromised Host} 上分析主機數據時,偵測到郵件伺服器帳戶下異常執行
MITRE 策略:惡意探索
嚴重性:中
偵測到可能的惡意 Web 殼層
描述:在 %{Compromised Host} 上分析主機數據時,偵測到可能的 Web 殼層。 攻擊者通常會將 Web 殼層上傳至他們遭入侵的電腦,以取得持續性或進一步惡意探索。
MITRE 策略: -
嚴重性:中
偵測到使用 crypt-method 偵測到的可能密碼變更 [看到多次]
描述:在 %{Compromised Host} 上分析主機數據時,偵測到使用 crypt 方法的密碼變更。 攻擊者可以進行這項變更,以在入侵後繼續存取並取得持續性。 今天在下列計算機上看到此行為 [x] 次:[機器名稱]
MITRE 策略: -
嚴重性:中
偵測到與數字資產採礦相關聯的程式 [發現多次]
描述:在 %{Compromised Host} 上分析主機數據時,偵測到通常與數位資產採礦相關聯的進程執行。 此行為目前在下列計算機上出現超過 100 次:[計算機名稱]
MITRE 策略: -
嚴重性:中
偵測到與數位簽名採礦相關聯的程式
描述:主機數據分析偵測到通常與數位資產採礦相關聯的進程執行。
MITRE 策略:惡意探索、執行
嚴重性:中
偵測到 Python 編碼下載程式 [看到多次]
描述:分析 %{Compromised Host} 上的主機數據時,偵測到執行從遠端位置下載和執行程式碼的編碼 Python。 這可能是惡意活動的指示。 今天在下列計算機上看到此行為 [x] 次:[機器名稱]
MITRE 策略: -
嚴重性:低
在主機上拍攝的螢幕快照 [看到多次]
描述:在 %{Compromised Host} 上分析主機數據時,偵測到螢幕擷取工具的使用者。 攻擊者可能會使用這些工具來存取私人數據。 今天在下列計算機上看到此行為 [x] 次:[機器名稱]
MITRE 策略: -
嚴重性:低
偵測到Shellcode[看到多次]
描述:在 %{Compromised Host} 上分析主機數據時,偵測到從命令行產生殼層程序代碼。 此程式可能是合法的活動,或表示您的其中一部機器遭到入侵。 今天在下列計算機上看到此行為 [x] 次:[機器名稱]
MITRE 策略: -
嚴重性:中
成功的 SSH 暴力密碼破解攻擊
(VM_SshBruteForceSuccess)
描述:分析主機數據時偵測到成功的暴力密碼破解攻擊。 看到IP%{攻擊者來源IP} 進行多次登入嘗試。 使用下列使用者從該IP成功登入:%{用來成功登入host} 的 %{帳戶。 這表示主機可能會遭到惡意動作專案的入侵和控制。
MITRE 策略:惡意探索
嚴重性:高
偵測到可疑的帳戶建立
描述:在 %{Compromised Host} 上分析主機數據時,偵測到建立或使用本機帳戶 %{可疑帳戶名稱}:此帳戶名稱與標準 Windows 帳戶或組名 '%{類似帳戶名稱}'。 這可能是攻擊者所建立的流氓帳戶,因此命名以避免人為系統管理員注意到。
MITRE 策略: -
嚴重性:中
偵測到可疑的核心模組 [看到多次]
描述:分析 %{Compromised Host} 上的主機數據時,偵測到載入為核心模組的共享物件檔案。 這可能是合法的活動,或表示您的其中一部計算機遭到入侵。 今天在下列計算機上看到此行為 [x] 次:[機器名稱]
MITRE 策略: -
嚴重性:中
可疑的密碼存取 [看到多次]
描述:分析主機數據時偵測到 %{Compromised Host} 上加密用戶密碼的可疑存取。 今天在下列計算機上看到此行為 [x] 次:[機器名稱]
MITRE 策略: -
嚴重性:資訊
可疑的密碼存取
描述:分析主機數據時偵測到 %{Compromised Host} 上加密用戶密碼的可疑存取。
MITRE 策略: -
嚴重性:資訊
Kubernetes 儀錶板的可疑要求
(VM_KubernetesDashboard)
描述:計算機記錄指出已對 Kubernetes 儀錶板提出可疑的要求。 要求是從 Kubernetes 節點傳送的,可能是來自節點中執行的其中一個容器。 雖然此行為可能是刻意的,但它可能表示節點正在執行遭入侵的容器。
MITRE 策略:LateralMovement
嚴重性:中
虛擬機中的異常設定重設
(VM_VMAccessUnusualConfigReset)
描述:藉由分析訂用帳戶中的 Azure Resource Manager 作業,在您的虛擬機中偵測到不尋常的組態重設。 雖然此動作可能是合法的,但攻擊者可以嘗試使用 VM 存取擴充功能來重設虛擬機中的設定,並加以入侵。
MITRE 策略:認證存取
嚴重性:中
虛擬機中的異常用戶密碼重設
(VM_VMAccessUnusualPasswordReset)
描述:藉由分析訂用帳戶中的 Azure Resource Manager 作業,在您的虛擬機中偵測到不尋常的用戶密碼重設。 雖然此動作可能是合法的,但攻擊者可以嘗試使用 VM 存取擴充功能來重設虛擬機中本機用戶的認證,並入侵它。
MITRE 策略:認證存取
嚴重性:中
虛擬機中的異常使用者 SSH 金鑰重設
(VM_VMAccessUnusualSSHReset)
描述:藉由分析訂用帳戶中的 Azure Resource Manager 作業,在您的虛擬機中偵測到不尋常的使用者 SSH 密鑰重設。 雖然此動作可能是合法的,但攻擊者可以嘗試利用 VM 存取擴充功能來重設虛擬機中用戶帳戶的 SSH 密鑰,並加以入侵。
MITRE 策略:認證存取
嚴重性:中
在虛擬機器中可疑安裝 GPU 擴充功能 (預覽版)
(VM_GPUDriverExtensionUnusualExecution)
描述:藉由分析訂用帳戶中的 Azure Resource Manager 作業,在您的虛擬機中偵測到 GPU 擴充功能的可疑安裝。 攻擊者可能會使用 GPU 驅動程式擴充功能,透過 Azure Resource Manager 在您的虛擬機上安裝 GPU 驅動程式,以執行密碼編譯。
MITRE 策略:影響
嚴重性:低
DNS 的警示
重要
自 2023 年 8 月 1 日起,具有適用於 DNS 的 Defender 現有訂用帳戶的客戶可以繼續使用該服務,但新的訂閱者會收到有關可疑 DNS 活動的警示,作為適用於伺服器的 Defender P2 的一部分。
異常網路協定使用方式
(AzureDNS_ProtocolAnomaly)
描述:從 %{CompromisedEntity} 分析 DNS 交易偵測到異常通訊協定使用狀況。 這類流量雖然可能為良性,但可能表示濫用此常見通訊協定以略過網路流量篩選。 典型的相關攻擊者活動包括將遠端管理工具複製到遭入侵的主機,以及從中外洩用戶數據。
MITRE 策略:外洩
嚴重性: -
匿名網路活動
(AzureDNS_DarkWeb)
描述:從 %{CompromisedEntity} 分析 DNS 交易偵測到匿名網路活動。 這類活動雖然可能是合法的用戶行為,但攻擊者經常使用來逃避網路通訊的追蹤和指紋。 一般相關的攻擊者活動可能會包含惡意軟體或遠端管理工具的下載和執行。
MITRE 策略:外洩
嚴重性:低
使用 Web Proxy 的匿名網路活動
(AzureDNS_DarkWebProxy)
描述:從 %{CompromisedEntity} 分析 DNS 交易偵測到匿名網路活動。 這類活動雖然可能是合法的用戶行為,但攻擊者經常使用來逃避網路通訊的追蹤和指紋。 一般相關的攻擊者活動可能會包含惡意軟體或遠端管理工具的下載和執行。
MITRE 策略:外洩
嚴重性:低
嘗試與可疑的 sinkholed 網域進行通訊
(AzureDNS_SinkholedDomain)
描述:從 %{CompromisedEntity} 偵測到接收網域要求的 DNS 交易分析。 這類活動雖然可能是合法的用戶行為,但經常會指出下載或執行惡意軟體。 一般相關的攻擊者活動可能會包含進一步惡意軟體或遠端管理工具的下載和執行。
MITRE 策略:外洩
嚴重性:中
與可能的網路釣魚網域通訊
(AzureDNS_PhishingDomain)
描述:從 %{CompromisedEntity} 分析 DNS 交易偵測到可能網路釣魚網域的要求。 攻擊者通常會執行這類活動,以收集遠端服務的認證,雖然可能是良性活動。 一般相關的攻擊者活動可能會包含合法服務上任何認證的惡意探索。
MITRE 策略:外洩
嚴重性:資訊
與可疑演算法產生的網域通訊
(AzureDNS_DomainGenerationAlgorithm)
描述:從 %{CompromisedEntity} 分析 DNS 交易偵測到網域產生演算法的可能用法。 攻擊者通常會執行這類活動,以逃避網路監視和篩選。 一般相關的攻擊者活動可能會包含惡意軟體或遠端管理工具的下載和執行。
MITRE 策略:外洩
嚴重性:資訊
與威脅情報所識別可疑網域的通訊
(AzureDNS_ThreatIntelSuspectDomain)
描述:藉由分析來自您資源的 DNS 交易,並與威脅情報摘要識別的已知惡意網域進行比較,偵測到與可疑網域的通訊。 攻擊者經常執行與惡意網域的通訊,並可能表示您的資源遭到入侵。
MITRE 策略:初始存取
嚴重性:中
與可疑隨機功能變數名稱通訊
(AzureDNS_RandomizedDomain)
描述:從 %{CompromisedEntity} 分析 DNS 交易時,偵測到使用可疑隨機產生的域名。 攻擊者通常會執行這類活動,以逃避網路監視和篩選。 一般相關的攻擊者活動可能會包含惡意軟體或遠端管理工具的下載和執行。
MITRE 策略:外洩
嚴重性:資訊
數字資產採礦活動
(AzureDNS_CurrencyMining)
描述:從 %{CompromisedEntity} 偵測到的 DNS 交易分析偵測到的數位資產採礦活動。 這類活動雖然可能是合法的用戶行為,但攻擊者通常會在資源遭到入侵後執行。 一般相關的攻擊者活動可能會包含下載和執行常見的採礦工具。
MITRE 策略:外洩
嚴重性:低
網路入侵檢測簽章啟用
(AzureDNS_SuspiciousDomain)
描述:從 %{CompromisedEntity} 分析 DNS 交易偵測到已知的惡意網路簽章。 這類活動雖然可能是合法的用戶行為,但經常會指出下載或執行惡意軟體。 一般相關的攻擊者活動可能會包含進一步惡意軟體或遠端管理工具的下載和執行。
MITRE 策略:外洩
嚴重性:中
可能透過 DNS 通道下載數據
(AzureDNS_DataInfiltration)
描述:從 %{CompromisedEntity} 分析 DNS 交易偵測到可能的 DNS 通道。 這類活動雖然可能是合法的用戶行為,但經常由攻擊者執行,以逃避網路監視和篩選。 一般相關的攻擊者活動可能會包含惡意軟體或遠端管理工具的下載和執行。
MITRE 策略:外洩
嚴重性:低
可能透過 DNS 通道外洩數據
(AzureDNS_DataExfiltration)
描述:從 %{CompromisedEntity} 分析 DNS 交易偵測到可能的 DNS 通道。 這類活動雖然可能是合法的用戶行為,但經常由攻擊者執行,以逃避網路監視和篩選。 一般相關的攻擊者活動可能會包含惡意軟體或遠端管理工具的下載和執行。
MITRE 策略:外洩
嚴重性:低
透過 DNS 通道的可能資料傳輸
(AzureDNS_DataObfuscation)
描述:從 %{CompromisedEntity} 分析 DNS 交易偵測到可能的 DNS 通道。 這類活動雖然可能是合法的用戶行為,但經常由攻擊者執行,以逃避網路監視和篩選。 一般相關的攻擊者活動可能會包含惡意軟體或遠端管理工具的下載和執行。
MITRE 策略:外洩
嚴重性:低
Azure VM 擴充功能的警示
這些警示著重於偵測 Azure 虛擬機延伸模組的可疑活動,並提供攻擊者嘗試入侵和在您的虛擬機上執行惡意活動的見解。
Azure 虛擬機擴充功能是小型應用程式,可在虛擬機上執行部署後,並提供設定、自動化、監視、安全性等功能。 雖然擴充功能是功能強大的工具,但威脅執行者可以使用它們進行各種惡意意圖,例如:
數據收集和監視
具有高許可權的程式代碼執行和組態部署
重設認證並建立系統管理使用者
加密磁碟
深入瞭解 適用於雲端的 Defender 最新的保護,以防止濫用 Azure VM 擴充功能。
在訂用帳戶中安裝 GPU 擴充功能的可疑失敗 (預覽)
(VM_GPUExtensionSuspiciousFailure)
描述:在不支援的 VM 上安裝 GPU 擴充功能的可疑意圖。 此擴充功能應該安裝在配備圖形處理器的虛擬機上,在此情況下,虛擬機並未配備這類功能。 當惡意敵人針對密碼編譯採礦目的執行這類擴充功能的多個安裝時,就可以看到這些失敗。
MITRE 策略:影響
嚴重性:中
在虛擬機器上偵測到 GPU 擴充功能的可疑安裝 (預覽)
(VM_GPUDriverExtensionUnusualExecution)
描述:藉由分析訂用帳戶中的 Azure Resource Manager 作業,在您的虛擬機上偵測到 GPU 擴充功能的可疑安裝。 攻擊者可能會使用 GPU 驅動程式擴充功能,透過 Azure Resource Manager 在您的虛擬機上安裝 GPU 驅動程式,以執行密碼編譯。 當主體的行為偏離其一般模式時,此活動會被視為可疑。
MITRE 策略:影響
嚴重性:低
在虛擬機器上偵測到具有可疑文稿的執行指令 (預覽)
(VM_RunCommandSuspiciousScript)
描述:藉由分析訂用帳戶中的 Azure Resource Manager 作業,在您的虛擬機上偵測到具有可疑腳本的執行命令。 攻擊者可能會使用執行命令,透過 Azure Resource Manager 在虛擬機上以高許可權執行惡意代碼。 腳本被視為可疑,因為某些部分已識別為潛在的惡意。
MITRE 策略:執行
嚴重性:高
在虛擬機器上偵測到可疑的未經授權執行命令使用量 (預覽)
(VM_RunCommandSuspiciousFailure)
描述:執行命令的可疑未經授權使用量失敗,並藉由分析訂用帳戶中的 Azure Resource Manager 作業,在您的虛擬機上偵測到。 攻擊者可能會嘗試使用執行命令,透過 Azure Resource Manager 在虛擬機上以高許可權執行惡意代碼。 此活動被視為可疑,因為它以前沒有經常看到。
MITRE 策略:執行
嚴重性:中
在虛擬機器上偵測到可疑的執行指令使用量 (預覽)
(VM_RunCommandSuspiciousUsage)
描述:藉由分析訂用帳戶中的 Azure Resource Manager 作業,偵測到虛擬機上執行命令的可疑使用量。 攻擊者可能會使用執行命令,透過 Azure Resource Manager 在虛擬機上以高許可權執行惡意代碼。 此活動被視為可疑,因為它以前沒有經常看到。
MITRE 策略:執行
嚴重性:低
在虛擬機上偵測到多個監視或資料收集延伸模組的可疑使用量 (預覽)
(VM_SuspiciousMultiExtensionUsage)
描述:藉由分析訂用帳戶中的 Azure Resource Manager 作業,在您的虛擬機上偵測到多個監視或數據收集延伸模組的可疑使用量。 攻擊者可能會在您的訂用帳戶中濫用這類數據收集、網路流量監視等延伸模組。 此使用方式被視為可疑,因為它以前沒有經常看到。
MITRE 戰術:偵察
嚴重性:中
在虛擬機器上偵測到可疑的磁碟加密擴充功能安裝 (預覽)
(VM_DiskEncryptionSuspiciousUsage)
描述:藉由分析訂用帳戶中的 Azure Resource Manager 作業,在您的虛擬機上偵測到磁碟加密延伸模組的可疑安裝。 攻擊者可能會濫用磁碟加密擴充功能,透過 Azure Resource Manager 在虛擬機上部署完整磁碟加密,以嘗試執行勒索軟體活動。 由於大量擴充功能安裝,此活動被認為很可疑,因為之前和以前一直沒見過此活動。
MITRE 策略:影響
嚴重性:中
在虛擬機器上偵測到可疑的 VMAccess 擴充功能使用量 (預覽)
(VM_VMAccessSuspiciousUsage)
描述:在虛擬機上偵測到 VMAccess 擴充功能的可疑使用量。 攻擊者可能會濫用 VMAccess 擴充功能,藉由重設存取權或管理系統管理使用者,以高許可權存取並危害虛擬機。 此活動被視為可疑,因為主體的行為會偏離其一般模式,而且因為大量的擴充功能安裝。
MITRE 策略:持續性
嚴重性:中
在虛擬機器上偵測到具有可疑腳稿的所需 狀態設定 (DSC) 擴充功能 (預覽)
(VM_DSCExtensionSuspiciousScript)
描述:藉由分析訂用帳戶中的 Azure Resource Manager 作業,偵測到具有可疑腳本的所需 狀態設定 (DSC) 擴充功能。 攻擊者可能會使用 Desired 狀態設定 (DSC) 擴充功能,在虛擬機上部署惡意設定,例如持續性機制、惡意腳本等等。 腳本被視為可疑,因為某些部分已識別為潛在的惡意。
MITRE 策略:執行
嚴重性:高
在虛擬機上偵測到 Desired 狀態設定 (DSC) 擴充功能的可疑使用量 (預覽)
(VM_DSCExtensionSuspiciousUsage)
描述:藉由分析訂用帳戶中的 Azure Resource Manager 作業,在虛擬機上偵測到 Desired 狀態設定 (DSC) 擴充功能的可疑使用量。 攻擊者可能會使用 Desired 狀態設定 (DSC) 擴充功能,在虛擬機上部署惡意設定,例如持續性機制、惡意腳本等等。 此活動被視為可疑,因為主體的行為會偏離其一般模式,而且因為大量的擴充功能安裝。
MITRE 策略:執行
嚴重性:低
在虛擬機器上偵測到具有可疑腳稿的自訂文稿擴充功能 (預覽)
(VM_CustomScriptExtensionSuspiciousCmd)
描述:透過分析訂用帳戶中的 Azure Resource Manager 作業,在您的虛擬機上偵測到具有可疑腳本的自定義腳本擴充功能。 攻擊者可能會使用自定義腳本擴充功能,透過 Azure Resource Manager 在虛擬機上以高許可權執行惡意代碼。 腳本被視為可疑,因為某些部分已識別為潛在的惡意。
MITRE 策略:執行
嚴重性:高
虛擬機中自定義腳本擴充功能的可疑執行失敗
(VM_CustomScriptExtensionSuspiciousFailure)
描述:藉由分析訂用帳戶中的 Azure Resource Manager 作業,在您的虛擬機中偵測到自定義腳本擴充功能的可疑失敗。 這類失敗可能與此擴充功能所執行的惡意腳本相關聯。
MITRE 策略:執行
嚴重性:中
在虛擬機中異常刪除自定義腳本擴充功能
(VM_CustomScriptExtensionUnusualDeletion)
描述:藉由分析訂用帳戶中的 Azure Resource Manager 作業,偵測到虛擬機中異常刪除自定義腳本擴充功能。 攻擊者可能會使用自定義腳本擴充功能,透過 Azure Resource Manager 在您的虛擬機上執行惡意代碼。
MITRE 策略:執行
嚴重性:中
在虛擬機中異常執行自定義腳本擴充功能
(VM_CustomScriptExtensionUnusualExecution)
描述:藉由分析訂用帳戶中的 Azure Resource Manager 作業,偵測到虛擬機中異常執行自定義腳本擴充功能。 攻擊者可能會使用自定義腳本擴充功能,透過 Azure Resource Manager 在您的虛擬機上執行惡意代碼。
MITRE 策略:執行
嚴重性:中
具有虛擬機中可疑進入點的自定義腳本擴充功能
(VM_CustomScriptExtensionSuspiciousEntryPoint)
描述:藉由分析訂用帳戶中的 Azure Resource Manager 作業,在您的虛擬機中偵測到具有可疑進入點的自定義腳本擴充功能。 進入點是指可疑的 GitHub 存放庫。 攻擊者可能會使用自定義腳本擴充功能,透過 Azure Resource Manager 在您的虛擬機上執行惡意代碼。
MITRE 策略:執行
嚴重性:中
虛擬機中具有可疑承載的自定義腳本擴充功能
(VM_CustomScriptExtensionSuspiciousPayload)
描述:透過分析訂用帳戶中的 Azure Resource Manager 作業,偵測到具有可疑 GitHub 存放庫承載的自定義腳本擴充功能。 攻擊者可能會使用自定義腳本擴充功能,透過 Azure Resource Manager 在您的虛擬機上執行惡意代碼。
MITRE 策略:執行
嚴重性:中
Azure App 服務 警示
嘗試在 Windows App Service 上執行 Linux 命令
(AppServices_LinuxCommandOnWindows)
描述:分析 App Service 進程時偵測到嘗試在 Windows App Service 上執行 Linux 命令。 此動作是由 Web 應用程式執行。 在利用常見 Web 應用程式中弱點的行銷活動中,通常會看到此行為。 (適用於:Windows 上的 App Service)
MITRE 策略: -
嚴重性:中
在威脅情報中找到連線至 Azure App 服務 FTP 介面的IP
(AppServices_IncomingTiClientIpFtp)
描述:Azure App 服務 FTP 記錄指出從威脅情報摘要中找到的來源地址連線。 在此連線期間,使用者存取列出的頁面。 (適用於:Windows 上的 App Service 和 Linux 上的 App Service)
MITRE 策略:初始存取
嚴重性:中
嘗試執行偵測到的高許可權命令
(AppServices_HighPrivilegeCommand)
描述:分析 App Service 進程偵測到嘗試執行需要高許可權的命令。 命令在 Web 應用程式內容中執行。 雖然此行為可能是合法的,但在 Web 應用程式中,也會在惡意活動中觀察到此行為。 (適用於:Windows 上的 App Service)
MITRE 策略: -
嚴重性:中
與威脅情報所識別可疑網域的通訊
(AzureDNS_ThreatIntelSuspectDomain)
描述:藉由分析來自您資源的 DNS 交易,並與威脅情報摘要識別的已知惡意網域進行比較,偵測到與可疑網域的通訊。 攻擊者經常執行與惡意網域的通訊,並可能表示您的資源遭到入侵。
MITRE 策略:初始存取、持續性、執行、命令和控制、惡意探索
嚴重性:中
從偵測到異常IP位址 連線至網頁
(AppServices_AnomalousPageAccess)
描述:Azure App 服務 活動記錄指出從列出的來源IP位址與敏感性網頁的異常連線。 這可能表示有人嘗試對 Web 應用程式系統管理頁面進行暴力密碼破解攻擊。 也可能是合法使用者使用新IP位址的結果。 如果來源 IP 位址受信任,您可以安全地隱藏此資源的此警示。 若要瞭解如何隱藏安全性警示,請參閱隱藏來自 適用於雲端的 Microsoft Defender 的警示。 (適用於:Windows 上的 App Service 和 Linux 上的 App Service)
MITRE 策略:初始存取
嚴重性:低
偵測到 App Service 資源的懸空 DNS 記錄
(AppServices_DanglingDomain)
描述:已偵測到指向最近刪除的App Service資源(也稱為「懸空 DNS」專案的 DNS 記錄。 這可讓您容易受到子域接管的影響。 子網域接管可讓惡意執行者將組織網域的流量重新導向至執行惡意活動的網站。 (適用於:Windows 上的 App Service 和 Linux 上的 App Service)
MITRE 策略: -
嚴重性:高
在命令行數據中偵測到編碼的可執行檔
(AppServices_Base64EncodedExecutableInCommandLineParams)
描述:在 {Compromised host} 上分析主機數據時,偵測到 base-64 編碼的可執行檔。 這先前已與嘗試透過一連串命令即時建構可執行文件的攻擊者相關聯,並藉由確保沒有任何個別命令觸發警示來逃避入侵檢測系統。 這可能是合法的活動,或表示主機遭到入侵。 (適用於:Windows 上的 App Service)
MITRE 策略: 防禦逃避, 執行
嚴重性:高
偵測到從已知惡意來源下載的檔案
(AppServices_SuspectDownload)
描述:分析主機數據時,偵測到從您主機上已知惡意代碼來源下載檔案。 (適用於:Linux 上的 App Service)
MITRE 策略:許可權提升、執行、外泄、命令和控制
嚴重性:中
偵測到可疑的檔案下載
(AppServices_SuspectDownloadArtifacts)
描述:分析主機數據時偵測到遠端檔案的可疑下載。 (適用於:Linux 上的 App Service)
MITRE 策略:持續性
嚴重性:中
偵測到的數位資產採礦相關行為
(AppServices_DigitalCurrencyMining)
描述:在 Inn-Flow-WebJobs 上分析主機數據時,偵測到執行通常與貨幣採礦相關聯的進程或命令。 (適用於:Windows 上的 App Service 和 Linux 上的 App Service)
MITRE 策略:執行
嚴重性:高
使用 certutil 譯碼的可執行檔
(AppServices_ExecutableDecodedUsingCertutil)
描述:在 [Compromised 實體] 上分析主機數據時,偵測到內建系統管理員公用程式certutil.exe用來譯碼可執行檔,而不是與操作憑證和憑證數據相關的主要用途。 攻擊者已知會濫用合法系統管理員工具的功能來執行惡意動作,例如使用像是certutil.exe之類的工具來譯碼隨後執行的惡意可執行檔。 (適用於:Windows 上的 App Service)
MITRE 策略: 防禦逃避, 執行
嚴重性:高
偵測到無檔案攻擊行為
(AppServices_FilelessAttackBehaviorDetection)
描述:下列指定的進程的記憶體包含無檔案攻擊常用的行為。 特定行為包括:{觀察行為清單}(適用於:Windows 上的 App Service 和 Linux 上的 App Service)
MITRE 策略:執行
嚴重性:中
偵測到無檔案攻擊技術
(AppServices_FilelessAttackTechniqueDetection)
描述:下列指定的進程的記憶體包含無檔案攻擊技術的證據。 攻擊者會使用無檔案攻擊來執行程式碼,同時逃避安全性軟體的偵測。 特定行為包括:{觀察到的行為清單}(適用於:Windows 上的 App Service 和 Linux 上的 App Service)
MITRE 策略:執行
嚴重性:高
偵測到無檔案攻擊工具組
(AppServices_FilelessAttackToolkitDetection)
描述:下列指定的進程的記憶體包含無檔案攻擊工具組:{ToolKitName}。 無檔案攻擊工具組通常沒有文件系統上的存在,使得傳統防病毒軟體的偵測變得困難。 特定行為包括:{觀察行為清單}(適用於:Windows 上的 App Service 和 Linux 上的 App Service)
MITRE 策略: 防禦逃避, 執行
嚴重性:高
適用於雲端的 Microsoft Defender App Service 的測試警示 (不是威脅)
(AppServices_EICAR)
描述:這是 適用於雲端的 Microsoft Defender 所產生的測試警示。 無須進行任何進一步的動作。 (適用於:Windows 上的 App Service 和 Linux 上的 App Service)
MITRE 策略: -
嚴重性:高
偵測到 NMap 掃描
(AppServices_Nmap)
描述:Azure App 服務 活動記錄指出 App Service 資源上可能的 Web 指紋活動。 偵測到的可疑活動與NMAP相關聯。 攻擊者通常會使用此工具來探查 Web 應用程式,以找出弱點。 (適用於:Windows 上的 App Service 和 Linux 上的 App Service)
MITRE 策略:P reAttack
嚴重性:資訊
Azure Webapps 上裝載的網路釣魚內容
(AppServices_PhishingContent)
描述:在 Azure AppServices 網站上用於網路釣魚攻擊的 URL。 此 URL 是傳送給 Microsoft 365 客戶的網路釣魚攻擊的一部分。 內容通常會吸引訪客進入其公司認證或財務資訊進入合法外觀的網站。 (適用於:Windows 上的 App Service 和 Linux 上的 App Service)
MITRE 策略:集合
嚴重性:高
upload 資料夾中的 PHP 檔案
(AppServices_PhpInUploadFolder)
描述:Azure App 服務 活動記錄指出存取位於上傳資料夾中的可疑 PHP 頁面。 這種類型的資料夾通常不包含 PHP 檔案。 這類檔案的存在可能表示利用任意檔案上傳弱點的惡意探索。 (適用於:Windows 上的 App Service 和 Linux 上的 App Service)
MITRE 策略:執行
嚴重性:中
偵測到可能的 Cryptocrminer 下載
(AppServices_CryptoCoinMinerDownload)
描述:分析主機數據時,偵測到通常與數位資產採礦相關聯的檔案下載。 (適用於:Linux 上的 App Service)
MITRE 策略:防禦逃避、指揮和控制、惡意探索
嚴重性:中
偵測到可能的數據外洩
(AppServices_DataEgressArtifacts)
描述:分析主機/裝置數據時偵測到可能的數據輸出條件。 攻擊者通常會從他們遭入侵的計算機輸出數據。 (適用於:Linux 上的 App Service)
MITRE 策略:集合、外泄
嚴重性:中
偵測到 App Service 資源的潛在懸空 DNS 記錄
(AppServices_PotentialDanglingDomain)
描述:已偵測到指向最近刪除的App Service資源(也稱為「懸空 DNS」專案的 DNS 記錄。 這可能會讓您容易遭受子域接管。 子網域接管可讓惡意執行者將組織網域的流量重新導向至執行惡意活動的網站。 在此情況下,找到具有網域驗證標識碼的文字記錄。 這類文字記錄會防止子域接管,但仍建議您移除懸空網域。 如果您讓 DNS 記錄指向您組織中的任何人在未來刪除 TXT 檔案或記錄時,您面臨風險的子域。 (適用於:Windows 上的 App Service 和 Linux 上的 App Service)
MITRE 策略: -
嚴重性:低
偵測到潛在的反向殼層
(AppServices_ReverseShell)
描述:分析主機數據時偵測到潛在的反向殼層。 這些是用來取得遭入侵的計算機,以呼叫攻擊者擁有的計算機。 (適用於:Linux 上的 App Service)
MITRE 策略:外泄、惡意探索
嚴重性:中
偵測到原始數據下載
(AppServices_DownloadCodeFromWebsite)
描述:分析 App Service 進程偵測到嘗試從原始數據網站下載程式代碼,例如 Pastebin。 此動作是由 PHP 程式執行。 此行為與嘗試將 Web 殼層或其他惡意元件下載至 App Service 相關聯。 (適用於:Windows 上的 App Service)
MITRE 策略:執行
嚴重性:中
將 curl 輸出儲存到偵測到的磁碟
(AppServices_CurlToDisk)
描述:分析 App Service 進程偵測到執行 curl 命令,其中輸出已儲存至磁碟。 雖然此行為可能是合法的,但在 Web 應用程式中,此行為也會在惡意活動中觀察到,例如嘗試使用 Web 殼層感染網站。 (適用於:Windows 上的 App Service)
MITRE 策略: -
嚴重性:低
偵測到垃圾郵件資料夾查閱者
(AppServices_SpamReferrer)
描述:Azure App 服務 活動記錄指出識別為源自與垃圾郵件活動相關聯網站的Web活動。 如果您的網站遭到入侵並用於垃圾郵件活動,就會發生這種情況。 (適用於:Windows 上的 App Service 和 Linux 上的 App Service)
MITRE 策略: -
嚴重性:低
偵測到可疑存取可能易受攻擊的網頁
(AppServices_ScanSensitivePage)
描述:Azure App 服務 活動記錄指出已存取看似敏感的網頁。 此可疑活動源自來源IP位址,其存取模式類似於Web掃描器的IP位址。 此活動通常與攻擊者嘗試掃描網路以嘗試取得敏感性或易受攻擊網頁的存取權相關聯。 (適用於:Windows 上的 App Service 和 Linux 上的 App Service)
MITRE 策略: -
嚴重性:低
可疑域名參考
(AppServices_CommandlineSuspectDomain)
描述:分析偵測到可疑域名參考的主機數據。 這類活動雖然可能是合法的用戶行為,但經常會指出下載或執行惡意軟體。 一般相關的攻擊者活動可能會包含進一步惡意軟體或遠端管理工具的下載和執行。 (適用於:Linux 上的 App Service)
MITRE 策略:外洩
嚴重性:低
偵測到使用 Certutil 偵測到可疑下載
(AppServices_DownloadUsingCertutil)
描述:在 {NAME} 上分析主機數據時,偵測到使用內建系統管理員公用程式certutil.exe,以下載二進位檔,而不是與操作憑證和憑證數據相關的主流用途。 攻擊者已知會濫用合法系統管理員工具的功能來執行惡意動作,例如使用certutil.exe下載和譯碼隨後執行的惡意可執行檔。 (適用於:Windows 上的 App Service)
MITRE 策略:執行
嚴重性:中
偵測到可疑的 PHP 執行
(AppServices_SuspectPhp)
描述:計算機記錄指出可疑的 PHP 進程正在執行。 動作包含使用 PHP 程式,嘗試從命令行執行作業系統命令或 PHP 程式代碼。 雖然此行為可能是合法的,但在 Web 應用程式中,此行為可能表示惡意活動,例如嘗試使用 Web 殼層感染網站。 (適用於:Windows 上的 App Service 和 Linux 上的 App Service)
MITRE 策略:執行
嚴重性:中
執行的可疑 PowerShell Cmdlet
(AppServices_PowerShellPowerSploitScriptExecution)
描述:主機數據的分析表示執行已知的惡意 PowerShell PowerSploit Cmdlet。 (適用於:Windows 上的 App Service)
MITRE 策略:執行
嚴重性:中
執行可疑的進程
(AppServices_KnownCredential AccessTools)
描述:計算機記錄指出可疑進程:『%{進程路徑}』 正在計算機上執行,通常與攻擊者嘗試存取認證相關聯。 (適用於:Windows 上的 App Service)
MITRE 策略:認證存取
嚴重性:高
偵測到可疑的進程名稱
(AppServices_ProcessWithKnownSuspiciousExtension)
描述:分析 {NAME} 上的主機數據時,偵測到名稱可疑的程式,例如對應至已知的攻擊者工具,或以暗示攻擊者工具在純視中隱藏的方式命名。 此程式可能是合法的活動,或表示您的其中一部機器遭到入侵。 (適用於:Windows 上的 App Service)
MITRE 策略:持續性、防禦逃避
嚴重性:中
執行可疑的 SVCHOST 進程
(AppServices_SVCHostFromInvalidPath)
描述:系統進程 SVCHOST 觀察到在異常內容中執行。 惡意代碼通常會使用SVCHOST來遮罩其惡意活動。 (適用於:Windows 上的 App Service)
MITRE 策略: 防禦逃避, 執行
嚴重性:高
偵測到可疑的使用者代理程式
(AppServices_UserAgentInjection)
描述:Azure App 服務 活動記錄指出具有可疑使用者代理程式的要求。 此行為可以指出嘗試惡意探索App Service 應用程式中的弱點。 (適用於:Windows 上的 App Service 和 Linux 上的 App Service)
MITRE 策略:初始存取
嚴重性:資訊
偵測到可疑的 WordPress 主題調用
(AppServices_WpThemeInjection)
描述:Azure App 服務 活動記錄指出 App Service 資源上可能的程式代碼插入活動。 偵測到的可疑活動類似於 WordPress 主題的操作,以支援伺服器端執行程式碼,後面接著直接的 Web 要求來叫用操作的主題檔案。 過去曾看到這種活動是 WordPress 攻擊活動的一部分。 如果您的 App Service 資源未載入 WordPress 網站,它並不容易受到此特定程式代碼插入惡意探索的影響,而且您可以安全地隱藏資源的此警示。 若要瞭解如何隱藏安全性警示,請參閱隱藏來自 適用於雲端的 Microsoft Defender 的警示。 (適用於:Windows 上的 App Service 和 Linux 上的 App Service)
MITRE 策略:執行
嚴重性:高
偵測到弱點掃描器
(AppServices_DrupalScanner)
描述:Azure App 服務 活動記錄指出 App Service 資源上使用了可能的弱點掃描器。 偵測到的可疑活動類似於以內容管理系統 (CMS) 為目標的工具。 如果您的 App Service 資源未載入 Drupal 網站,它並不容易受到此特定程式代碼插入惡意探索的影響,而且您可以安全地隱藏資源的此警示。 若要瞭解如何隱藏安全性警示,請參閱隱藏來自 適用於雲端的 Microsoft Defender 的警示。 (適用於:Windows 上的 App Service)
MITRE 策略:P reAttack
嚴重性:低
偵測到弱點掃描器
(AppServices_JoomlaScanner)
描述:Azure App 服務 活動記錄指出 App Service 資源上使用了可能的弱點掃描器。 偵測到的可疑活動類似於以 Joomla 應用程式為目標的工具。 如果您的 App Service 資源未載入 Joomla 網站,它並不容易受到此特定程式代碼插入惡意探索的影響,而且您可以安全地隱藏資源的此警示。 若要瞭解如何隱藏安全性警示,請參閱從 適用於雲端的 Microsoft Defender 隱藏警示。 (適用於:Windows 上的 App Service 和 Linux 上的 App Service)
MITRE 策略:P reAttack
嚴重性:低
偵測到弱點掃描器
(AppServices_WpScanner)
描述:Azure App 服務 活動記錄指出 App Service 資源上使用了可能的弱點掃描器。 偵測到的可疑活動類似於以 WordPress 應用程式為目標的工具。 如果您的 App Service 資源未載入 WordPress 網站,它並不容易受到此特定程式代碼插入惡意探索的影響,而且您可以安全地隱藏資源的此警示。 若要瞭解如何隱藏安全性警示,請參閱隱藏來自 適用於雲端的 Microsoft Defender 的警示。 (適用於:Windows 上的 App Service 和 Linux 上的 App Service)
MITRE 策略:P reAttack
嚴重性:低
偵測到 Web 指紋
(AppServices_WebFingerprinting)
描述:Azure App 服務 活動記錄指出 App Service 資源上可能的 Web 指紋活動。 偵測到的可疑活動與稱為盲象的工具相關聯。 此工具會指紋網頁伺服器,並嘗試偵測已安裝的應用程式和版本。 攻擊者通常會使用此工具來探查 Web 應用程式,以找出弱點。 (適用於:Windows 上的 App Service 和 Linux 上的 App Service)
MITRE 策略:P reAttack
嚴重性:中
網站在威脅情報摘要中標記為惡意
(AppServices_SmartScreen)
描述:如以下所述,您的網站會標示為 Windows SmartScreen 的惡意網站。 如果您認為這是誤判,請透過提供的報表意見反應連結連絡 Windows SmartScreen。 (適用於:Windows 上的 App Service 和 Linux 上的 App Service)
MITRE 策略:集合
嚴重性:中
容器的警示 - Kubernetes 叢集
適用於容器的 Microsoft Defender 藉由監視控制平面(API 伺服器)和容器化工作負載本身,在叢集層級和基礎叢集節點上提供安全性警示。 控制平面安全性警示可由警示類型的前置詞 K8S_ 辨識。 叢集中運行時間工作負載的安全性警示可由警示類型的前置詞來辨識 K8S.NODE_ 。 除非另有指示,否則Linux僅支援所有警示。
已偵測到 Kubernetes 中具有信任驗證設定的公開 Postgres 服務 (預覽)
(K8S_ExposedPostgresTrustAuth)
描述:Kubernetes 叢集組態分析偵測到負載平衡器暴露 Postgres 服務。 服務會設定為信任驗證方法,而不需要認證。
MITRE 策略:InitialAccess
嚴重性:中
在偵測到 Kubernetes 中具有風險設定的公開 Postgres 服務 (預覽)
(K8S_ExposedPostgresBroadIPRange)
描述:Kubernetes 叢集組態分析偵測到具有風險設定的負載平衡器暴露 Postgres 服務。 將服務公開給各種IP位址會造成安全性風險。
MITRE 策略:InitialAccess
嚴重性:中
嘗試從偵測到的容器建立新的Linux命名空間
(K8S.NODE_NamespaceCreation) 1
描述:分析 Kubernetes 叢集中容器內執行的進程,偵測到嘗試建立新的 Linux 命名空間。 雖然此行為可能是合法的,但可能表示攻擊者嘗試從容器逸出至節點。 某些 CVE-2022-0185 惡意探索會使用這項技術。
MITRE 策略:P rivilegeEscalation
嚴重性:資訊
已清除歷程記錄檔
(K8S.NODE_HistoryFileCleared) 1
描述:分析在容器內或直接在 Kubernetes 節點上執行的進程,偵測到已清除命令歷程記錄檔。 攻擊者可能會這麼做來涵蓋其追蹤。 作業是由指定的用戶帳戶所執行。
MITRE 策略:D efenseEvasion
嚴重性:中
與 Kubernetes 相關聯的受控識別異常活動 (預覽)
(K8S_AbnormalMiActivity)
描述:分析 Azure Resource Manager 作業時,偵測到 AKS 附加元件所使用的受控識別異常行為。 偵測到的活動與相關聯附加元件的行為不一致。 雖然此活動可能是合法的,但這類行為可能表示攻擊者已取得身分識別,可能來自 Kubernetes 叢集中遭入侵的容器。
MITRE 策略:橫向移動
嚴重性:中
偵測到異常 Kubernetes 服務帳戶作業
(K8S_ServiceAccountRareOperation)
描述:Kubernetes 稽核記錄分析偵測到 Kubernetes 叢集中的服務帳戶異常行為。 服務帳戶用於作業,此服務帳戶並不常見。 雖然此活動可能是合法的,但這類行為可能表示服務帳戶正用於惡意用途。
MITRE 策略:橫向移動、認證存取
嚴重性:中
偵測到不常見的連線嘗試
(K8S.NODE_Suspect連線) 1
描述:分析在容器內或直接在 Kubernetes 節點上執行的進程,偵測到使用 Socks 通訊協定的常見連線嘗試。 這在正常作業中非常罕見,但攻擊者嘗試略過網路層偵測的已知技術。
MITRE 策略:執行、外泄、惡意探索
嚴重性:中
嘗試停止偵測到 apt-daily-upgrade.timer 服務
(K8S.NODE_TimerServiceDisabled) 1
描述:分析在容器內或直接在 Kubernetes 節點上執行的進程,偵測到嘗試停止apt-daily-upgrade.timer 服務。 攻擊者已觀察到停止此服務以下載惡意檔案,並授與其攻擊的執行許可權。 如果服務透過一般系統管理動作更新,也可能會發生此活動。
MITRE 策略:D efenseEvasion
嚴重性:資訊
偵測到的類似常見 Linux Bot 的行為 (預覽)
(K8S.NODE_CommonBot)
描述:分析在容器內或直接在 Kubernetes 節點上執行的進程,偵測到通常與一般 Linux BotNet 相關聯的進程執行。
MITRE 策略:執行、集合、命令和控制
嚴重性:中
在具有高許可權執行的容器內命令
(K8S.NODE_PrivilegedExecutionInContainer) 1
描述:計算機記錄指出已在 Docker 容器中執行特殊許可權命令。 特殊許可權命令在主計算機上具有擴充許可權。
MITRE 策略:P rivilegeEscalation
嚴重性:資訊
以特殊許可權模式執行的容器
(K8S.NODE_PrivilegedContainerArtifacts) 1
描述:分析在容器內或直接在 Kubernetes 節點上執行的進程,偵測到執行特殊許可權容器的 Docker 命令的執行。 特殊許可權容器具有裝載 Pod 或主機資源的完整存取權。 如果遭到入侵,攻擊者可能會使用具特殊許可權的容器來取得主控 Pod 或主機的存取權。
MITRE 策略:P rivilegeEscalation、Execution
嚴重性:資訊
偵測到具有敏感性磁碟區掛接的容器
(K8S_SensitiveMount)
描述:Kubernetes 稽核記錄分析偵測到具有敏感性磁碟區掛接的新容器。 偵測到的磁碟區是hostPath類型,會將敏感性檔案或資料夾從節點掛接至容器。 如果容器遭到入侵,攻擊者可以使用此掛接來取得節點的存取權。
MITRE 策略:許可權提升
嚴重性:資訊
偵測到 Kubernetes 中的 CoreDNS 修改
描述:Kubernetes 稽核記錄分析偵測到 CoreDNS 設定的修改。 您可以覆寫 CoreDNS 的組態,藉由覆寫其 configmap 來修改。 雖然此活動可能是合法的,但如果攻擊者具有修改 configmap 的許可權,他們可以變更叢集 DNS 伺服器的行為並有害。
MITRE 策略:橫向移動
嚴重性:低
偵測到許可 Webhook 組態的建立
(K8S_AdmissionController) 3
描述:Kubernetes 稽核記錄分析偵測到新的許可 Webhook 組態。 Kubernetes 有兩個內建的泛型許可控制器:MutatingAdmissionWebhook 和 ValidatingAdmissionWebhook。 這些許可控制器的行為取決於使用者部署至叢集的許可 Webhook。 這類許可控制器的使用可能是合法的,不過攻擊者可以使用這類 Webhook 來修改要求(如果是 MutatingAdmissionWebhook),或檢查要求並取得敏感性資訊(如果是 ValidatingAdmissionWebhook)。
MITRE 策略:認證存取、持續性
嚴重性:資訊
偵測到從已知惡意來源下載的檔案
(K8S.NODE_SuspectDownload) 1
描述:分析在容器內或直接在 Kubernetes 節點上執行的進程,偵測到經常用來散發惡意代碼的來源下載檔案。
MITRE 策略:P rivilegeEscalation、Execution、Exfiltration、Command And Control
嚴重性:中
偵測到可疑的檔案下載
(K8S.NODE_SuspectDownloadArtifacts) 1
描述:分析在容器內或直接在 Kubernetes 節點上執行的進程,偵測到遠端檔案的可疑下載。
MITRE 策略:持續性
嚴重性:資訊
偵測到可疑使用 nohup 命令
(K8S.NODE_SuspectNohup) 1
描述:分析在容器內或直接在 Kubernetes 節點上執行的進程,偵測到可疑使用 nohup 命令。 攻擊者已看到使用命令 nohup 從暫存目錄執行隱藏的檔案,以允許其可執行檔在背景中執行。 在暫存目錄中的隱藏檔案上執行此命令很少見。
MITRE 策略:持續性、防禦評估
嚴重性:中
偵測到可疑使用useradd命令
(K8S.NODE_SuspectUserAddition) 1
描述:分析在容器內或直接在 Kubernetes 節點上執行的進程,偵測到可疑使用 useradd 命令。
MITRE 策略:持續性
嚴重性:中
偵測到數位貨幣採礦容器
(K8S_MaliciousContainerImage) 3
描述:Kubernetes 稽核記錄分析偵測到具有與數位資產採礦工具相關聯之映像的容器。
MITRE 策略:執行
嚴重性:高
偵測到的數位資產採礦相關行為
(K8S.NODE_DigitalCurrencyMining) 1
描述:分析在容器內或直接在 Kubernetes 節點上執行的進程,偵測到執行通常與數位資產採礦相關聯的進程或命令。
MITRE 策略:執行
嚴重性:高
在 Kubernetes 節點上偵測到的 Docker 建置作業
(K8S.NODE_ImageBuildOnNode) 1
描述:分析在容器內或直接在 Kubernetes 節點上執行的進程,偵測到 Kubernetes 節點上容器映射的建置作業。 雖然此行為可能是合法的,但攻擊者可能會在本機建置其惡意映射,以避免偵測。
MITRE 策略:D efenseEvasion
嚴重性:資訊
偵測到公開的 Kubeflow 儀錶板
(K8S_ExposedKubeflow)
描述:Kubernetes 稽核記錄分析偵測到執行 Kubeflow 之叢集中的負載平衡器暴露 Istio 輸入。 此動作可能會向因特網公開 Kubeflow 儀錶板。 如果儀錶板暴露在因特網上,攻擊者就可以存取它,並在叢集上執行惡意容器或程序代碼。 在下列文章中尋找更多詳細資料: https://aka.ms/exposedkubeflow-blog
MITRE 策略:初始存取
嚴重性:中
偵測到公開的 Kubernetes 儀錶板
(K8S_ExposedDashboard)
描述:Kubernetes 稽核記錄分析偵測到 LoadBalancer 服務暴露 Kubernetes 儀錶板。 公開的儀表板會允許未經授權的叢集管理存取,並造成安全性威脅。
MITRE 策略:初始存取
嚴重性:高
偵測到公開的 Kubernetes 服務
(K8S_ExposedService)
描述:Kubernetes 稽核記錄分析偵測到負載平衡器暴露服務。 此服務與敏感性應用程式相關,可讓叢集中的高影響作業,例如在節點上執行進程或建立新的容器。 在某些情況下,此服務不需要驗證。 如果服務不需要驗證,將它公開給因特網會造成安全性風險。
MITRE 策略:初始存取
嚴重性:中
偵測到 AKS 中公開的 Redis 服務
(K8S_ExposedRedis)
描述:Kubernetes 稽核記錄分析偵測到負載平衡器暴露 Redis 服務。 如果服務不需要驗證,將它公開給因特網會造成安全性風險。
MITRE 策略:初始存取
嚴重性:低
偵測到與 DDOS 工具組相關聯的指標
(K8S.NODE_KnownLinuxDDoSToolkit) 1
描述:分析在容器內或直接在 Kubernetes 節點上執行的進程、偵測到與惡意代碼相關聯的檔名,能夠啟動 DDoS 攻擊、開啟埠和服務,以及完全控制受感染的系統。 這也可能是合法的活動。
MITRE 策略:持續性、橫向移動、執行、惡意探索
嚴重性:中
偵測到來自 Proxy IP 位址的 K8S API 要求
(K8S_TI_Proxy) 3
描述:Kubernetes 稽核記錄分析從與 Proxy 服務相關聯的 IP 位址偵測到叢集的 API 要求,例如 TOR。 雖然此行為可能是合法的,但攻擊者嘗試隱藏其來源IP時,通常會在惡意活動中看到此行為。
MITRE 策略:執行
嚴重性:低
已刪除 Kubernetes 事件
描述:適用於雲端的 Defender 偵測到某些 Kubernetes 事件已刪除。 Kubernetes 事件是 Kubernetes 中的物件,其中包含叢集中變更的相關信息。 攻擊者可能會刪除這些事件,以隱藏其在叢集中的作業。
MITRE 戰術:防禦逃避
嚴重性:低
偵測到 Kubernetes 滲透測試工具
(K8S_PenTestToolsKubeHunter)
描述:Kubernetes 稽核記錄分析偵測到 AKS 叢集中 Kubernetes 滲透測試工具的使用狀況。 雖然此行為可能是合法的,但攻擊者可能會針對惡意目的使用這類公用工具。
MITRE 策略:執行
嚴重性:低
適用於雲端的 Microsoft Defender 測試警示(不是威脅)。
(K8S.NODE_EICAR) 1
描述:這是 適用於雲端的 Microsoft Defender 所產生的測試警示。 無須進行任何進一步的動作。
MITRE 策略:執行
嚴重性:高
偵測到 kube-system 命名空間中的新容器
(K8S_KubeSystemContainer) 3
描述:Kubernetes 稽核記錄分析偵測到 kube-system 命名空間中的新容器,該容器不在通常在此命名空間中執行的容器中。 kube 系統命名空間不應該包含用戶資源。 攻擊者可以使用此命名空間來隱藏惡意元件。
MITRE 策略:持續性
嚴重性:資訊
偵測到新的高許可權角色
(K8S_HighPrivilegesRole) 3
描述:Kubernetes 稽核記錄分析偵測到具有高許可權的新角色。 具有高許可權之角色的系結可提供叢集中的使用者\群組高許可權。 不必要的許可權可能會導致叢集中的許可權提升。
MITRE 策略:持續性
嚴重性:資訊
偵測到可能的攻擊工具
(K8S.NODE_KnownLinuxAttackTool) 1
描述:分析在容器內或直接在 Kubernetes 節點上執行的進程,偵測到可疑的工具調用。 此工具通常與攻擊其他人的惡意使用者相關聯。
MITRE 策略:執行、集合、命令和控制、探查
嚴重性:中
偵測到可能的後門
(K8S.NODE_LinuxBackdoorArtifact) 1
描述:分析在容器內或直接在 Kubernetes 節點上執行的進程,偵測到正在下載並執行可疑的檔案。 此活動先前已與安裝後門相關聯。
MITRE 策略:持續性、防禦評估、執行、惡意探索
嚴重性:中
可能的命令行惡意探索嘗試
(K8S.NODE_ExploitAttempt) 1
描述:分析在容器內或直接在 Kubernetes 節點上執行的進程,偵測到針對已知弱點的可能惡意探索嘗試。
MITRE 策略:惡意探索
嚴重性:中
偵測到可能的認證存取工具
(K8S.NODE_KnownLinuxCredentialAccessTool) 1
描述:分析在容器內或直接在 Kubernetes 節點上執行的進程,偵測到容器上可能執行的已知認證存取工具,如指定的進程和命令行歷程記錄專案所識別。 此工具通常與攻擊者嘗試存取認證相關聯。
MITRE 策略:CredentialAccess
嚴重性:中
偵測到可能的 Cryptocrminer 下載
(K8S.NODE_CryptoCoinMinerDownload) 1
描述:分析在容器內或直接在 Kubernetes 節點上執行的進程,偵測到通常與數位資產採礦相關聯的檔案下載。
MITRE 策略:D efenseEvasion、Command And Control、Exploitation
嚴重性:中
偵測到可能的記錄竄改活動
(K8S.NODE_SystemLogRemoval) 1
描述:分析在容器內或直接在 Kubernetes 節點上執行的進程,偵測到在作業過程中追蹤用戶活動之檔案的可能移除。 攻擊者通常會嘗試逃避偵測,並藉由刪除這類記錄檔來留下惡意活動的追蹤。
MITRE 策略:D efenseEvasion
嚴重性:中
偵測到使用 crypt-method 偵測到的可能密碼變更
(K8S.NODE_SuspectPasswordChange) 1
描述:分析在容器內或直接在 Kubernetes 節點上執行的進程,已使用 crypt 方法偵測到密碼變更。 攻擊者可以進行這項變更,以在入侵後繼續存取並取得持續性。
MITRE 策略:CredentialAccess
嚴重性:中
潛在的埠轉送至外部IP位址
(K8S.NODE_SuspectPortForwarding) 1
描述:分析在容器內或直接在 Kubernetes 節點上執行的進程,偵測到埠轉送至外部 IP 位址的起始。
MITRE 策略:外泄、命令和控制
嚴重性:中
偵測到潛在的反向殼層
(K8S.NODE_ReverseShell) 1
描述:分析在容器內或直接在 Kubernetes 節點上執行的進程,偵測到潛在的反向殼層。 這些是用來取得遭入侵的計算機,以呼叫攻擊者擁有的計算機。
MITRE 策略:外泄、惡意探索
嚴重性:中
偵測到特殊許可權容器
(K8S_PrivilegedContainer)
描述:Kubernetes 稽核記錄分析偵測到新的特殊許可權容器。 具特殊許可權的容器可以存取節點的資源,並中斷容器之間的隔離。 如果遭到入侵,攻擊者可以使用具特殊許可權的容器來取得節點的存取權。
MITRE 策略:許可權提升
嚴重性:資訊
偵測到與數位簽名採礦相關聯的程式
(K8S.NODE_CryptoCoinMinerArtifacts) 1
描述:分析容器內執行的進程偵測到通常與數位資產採礦相關聯的進程執行。
MITRE 策略:執行、惡意探索
嚴重性:中
以不尋常的方式存取 SSH 授權金鑰檔案的程式
(K8S.NODE_SshKeyAccess) 1
描述:SSH authorized_keys檔案是在類似已知惡意代碼營銷活動的方法中存取的。 此存取可能表示動作項目嘗試取得機器的持續存取權。
MITRE 策略:未知
嚴重性:資訊
偵測到叢集管理員角色的角色系結
(K8S_Cluster管理員賓丁)
描述:Kubernetes 稽核記錄分析偵測到叢集管理員角色的新系結,可提供系統管理員許可權。 不必要的系統管理員許可權可能會導致叢集中的許可權提升。
MITRE 策略:持續性
嚴重性:資訊
偵測到安全性相關進程終止
(K8S.NODE_SuspectProcessTermination) 1
描述:分析在容器內或直接在 Kubernetes 節點上執行的進程,偵測到嘗試終止與容器上安全性監視相關的進程。 攻擊者通常會嘗試使用預先定義的腳本在入侵后終止這類程式。
MITRE 策略:持續性
嚴重性:低
SSH 伺服器正在容器內執行
(K8S.NODE_ContainerSSH) 1
描述:分析容器內執行的進程偵測到容器內執行的 SSH 伺服器。
MITRE 策略:執行
嚴重性:資訊
可疑的檔案時間戳修改
(K8S.NODE_TimestampTampering) 1
描述:分析在容器內或直接在 Kubernetes 節點上執行的進程,偵測到可疑的時間戳修改。 攻擊者通常會將時間戳從現有的合法檔案複製到新的工具,以避免偵測這些新卸除的檔案。
MITRE 策略:持續性、防禦評估
嚴重性:低
Kubernetes API 的可疑要求
(K8S.NODE_KubernetesAPI) 1
描述:分析容器內執行的進程表示已對 Kubernetes API 提出可疑要求。 要求是從叢集中的容器傳送。 雖然此行為可能是刻意的,但它可能表示遭入侵的容器正在叢集中執行。
MITRE 策略:LateralMovement
嚴重性:中
Kubernetes 儀錶板的可疑要求
(K8S.NODE_KubernetesDashboard) 1
描述:分析容器內執行的進程表示已對 Kubernetes 儀錶板提出可疑要求。 要求是從叢集中的容器傳送。 雖然此行為可能是刻意的,但它可能表示遭入侵的容器正在叢集中執行。
MITRE 策略:LateralMovement
嚴重性:中
潛在的加密硬幣礦工開始
(K8S.NODE_CryptoCoinMinerExecution) 1
描述:分析在容器內或直接在 Kubernetes 節點上執行的進程,偵測到進程是以通常與貨幣採礦相關聯的方式啟動。
MITRE 策略:執行
嚴重性:中
可疑的密碼存取
(K8S.NODE_SuspectPasswordFileAccess) 1
描述:分析在容器內或直接在 Kubernetes 節點上執行的進程,偵測到可疑嘗試存取加密的用戶密碼。
MITRE 策略:持續性
嚴重性:資訊
偵測到可能的惡意 Web 殼層。
(K8S.NODE_Webshell) 1
描述:分析容器內執行的進程偵測到可能的 Web 殼層。 攻擊者通常會將 Web 殼層上傳至他們遭入侵的計算資源,以取得持續性或進一步惡意探索。
MITRE 策略:持續性、惡意探索
嚴重性:中
多個偵察命令的暴增可能表示入侵后的初始活動
(K8S.NODE_ReconnaissanceArtifactsBurst) 1
描述:分析主機/裝置數據時,偵測到執行與收集系統或攻擊者在初始入侵後所執行之主機詳細數據相關的多個偵察命令。
MITRE 策略:探索、集合
嚴重性:低
可疑下載然後執行活動
(K8S.NODE_DownloadAndRunCombo) 1
描述:分析在容器內或直接在 Kubernetes 節點上執行的進程,偵測到正在下載的檔案,然後在相同的命令中執行。 雖然這不一定是惡意的,但這是攻擊者用來將惡意檔案擷取至受害者機器的常見技術。
MITRE 策略:執行、CommandAndControl、惡意探索
嚴重性:中
偵測到 kubelet kubeconfig 檔案的存取權
(K8S.NODE_KubeConfigAccess) 1
描述:分析在 Kubernetes 叢集節點上執行的進程偵測到主機上 kubeconfig 檔案的存取權。 Kubelet 程式通常使用的 kubeconfig 檔案包含 Kubernetes 叢集 API 伺服器的認證。 此檔案的存取通常與嘗試存取這些認證或安全性掃描工具相關聯,以檢查檔案是否可存取。
MITRE 策略:CredentialAccess
嚴重性:中
偵測到雲端元數據服務的存取權
(K8S.NODE_ImdsCall) 1
描述:分析在容器內執行的進程,偵測到存取雲端元數據服務以取得身分識別令牌。 容器通常不會執行這類作業。 雖然此行為可能是合法的,但攻擊者可能會在取得執行中容器的初始存取權之後,使用這項技術來存取雲端資源。
MITRE 策略:CredentialAccess
嚴重性:中
偵測到 MITRE Caldera 代理程式
(K8S.NODE_MitreCalderaTools) 1
描述:分析在容器內或直接在 Kubernetes 節點上執行的進程,偵測到可疑的進程。 這通常與 MITRE 54ndc47 代理程式相關聯,此代理程式可能會惡意地用來攻擊其他電腦。
MITRE 策略:持續性、PrivilegeEscalation、DefenseEvasion、CredentialAccess、Discovery、LateralMovement、Execution、Collection、Exfiltration、Command And Control、Probing、Exploitation
嚴重性:中
1: 非 AKS 叢集的預覽:AKS 叢集已正式推出此警示,但適用於其他環境,例如 Azure Arc、EKS 和 GKE。
2: GKE 叢集的限制:GKE 會使用不支援所有警示類型的 Kubernetes 審核策略。 因此,GKE 叢集不支援此以 Kubernetes 稽核事件為基礎的安全性警示。
SQL 資料庫 和 Azure Synapse Analytics 的警示
SQL 插入式可能弱點
(SQL.DB_VulnerabilityToSqlInjection SQL。VM_VulnerabilityToSqlInjection SQL.MI_VulnerabilityToSqlInjection SQL。DW_VulnerabilityToSqlInjection Synapse.SQLPool_VulnerabilityToSqlInjection)
描述:應用程式已在資料庫中產生錯誤的 SQL 語句。 這表示 SQL 插入式攻擊的可能弱點。 錯誤語句有兩個可能的原因。 應用程式程式代碼的瑕疵可能已建構錯誤的 SQL 語句。 或者,建構錯誤的 SQL 語句時,應用程式程式代碼或預存程式不會清理使用者輸入,而 SQL 插入可能會遭到惡意探索。
MITRE 策略:P reAttack
嚴重性:中
嘗試由潛在的有害應用程式登入
(SQL.DB_HarmfulApplication SQL。VM_HarmfulApplication SQL.MI_HarmfulApplication SQL。DW_HarmfulApplication Synapse.SQLPool_HarmfulApplication)
描述:可能有害的應用程式嘗試存取您的資源。
MITRE 策略:P reAttack
嚴重性:高
從不尋常的 Azure 數據中心登入
(SQL.DB_DataCenterAnomaly SQL。VM_DataCenterAnomaly SQL。DW_DataCenterAnomaly SQL.MI_DataCenterAnomaly Synapse.SQLPool_DataCenterAnomaly)
描述:SQL Server 的存取模式有所變更,其中有人已從不尋常的 Azure 數據中心登入伺服器。 在某些情況下,警示會偵測合法的動作(新的應用程式或 Azure 服務)。 在其他情況下,警示會偵測惡意動作(攻擊者在 Azure 中從入侵的資源作業)。
MITRE 策略:探查
嚴重性:低
從不尋常的位置登入
(SQL.DB_GeoAnomaly SQL。VM_GeoAnomaly SQL。DW_GeoAnomaly SQL.MI_GeoAnomaly Synapse.SQLPool_GeoAnomaly)
描述:SQL Server 的存取模式有所變更,其中有人已從不尋常的地理位置登入伺服器。 在某些情況下,警示會偵測合法的動作(新的應用程式或開發人員維護)。 在其他情況下,警示會偵測惡意動作(前員工或外部攻擊者)。
MITRE 策略:惡意探索
嚴重性:中
60 天內未看到主體使用者的登入
(SQL.DB_PrincipalAnomaly SQL。VM_PrincipalAnomaly SQL。DW_PrincipalAnomaly SQL.MI_PrincipalAnomaly Synapse.SQLPool_PrincipalAnomaly)
描述:過去 60 天內未看到的主要使用者已登入您的資料庫。 如果這個資料庫是新的,或這是最近存取資料庫的用戶變更所造成的預期行為,適用於雲端的 Defender 會識別存取模式的重大變更,並嘗試防止未來的誤判。
MITRE 策略:惡意探索
嚴重性:中
從 60 天內看不到的網域登入
(SQL.DB_DomainAnomaly SQL。VM_DomainAnomaly SQL。DW_DomainAnomaly SQL.MI_DomainAnomaly Synapse.SQLPool_DomainAnomaly)
描述:使用者已從網域登入您的資源,過去 60 天內沒有其他用戶連線。 如果此資源是新的,或這是最近存取資源之用戶變更所造成的預期行為,適用於雲端的 Defender 會識別存取模式的重大變更,並嘗試防止未來的誤判。
MITRE 策略:惡意探索
嚴重性:中
從可疑IP登入
(SQL.DB_SuspiciousIpAnomaly SQL。VM_SuspiciousIpAnomaly SQL。DW_SuspiciousIpAnomaly SQL.MI_SuspiciousIpAnomaly Synapse.SQLPool_SuspiciousIpAnomaly)
描述:您的資源已成功從 Microsoft 威脅情報與可疑活動相關聯的 IP 位址存取。
MITRE 策略:P reAttack
嚴重性:中
潛在 SQL 插入
(SQL.DB_PotentialSqlInjection SQL。VM_PotentialSqlInjection SQL.MI_PotentialSqlInjection SQL。DW_PotentialSqlInjection Synapse.SQLPool_PotentialSqlInjection)
描述:已針對容易遭受 SQL 插入的已識別應用程式發生作用中惡意探索。 這表示攻擊者嘗試使用易受攻擊的應用程式程式碼或預存程式插入惡意 SQL 語句。
MITRE 策略:P reAttack
嚴重性:高
使用有效使用者的可疑暴力密碼破解攻擊
(SQL.DB_BruteForce SQL。VM_BruteForce SQL。DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)
描述:在您的資源上偵測到潛在的暴力密碼破解攻擊。 攻擊者使用具有登入許可權的有效使用者(用戶名稱)。
MITRE 策略:P reAttack
嚴重性:高
可疑的暴力密碼破解攻擊
(SQL.DB_BruteForce SQL。VM_BruteForce SQL。DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)
描述:在您的資源上偵測到潛在的暴力密碼破解攻擊。
MITRE 策略:P reAttack
嚴重性:高
可疑成功的暴力密碼破解攻擊
(SQL.DB_BruteForce SQL。VM_BruteForce SQL。DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)
描述:在對資源進行明顯的暴力密碼破解攻擊之後,發生成功的登入。
MITRE 策略:P reAttack
嚴重性:高
SQL Server 可能會繁衍 Windows 命令殼層,並存取異常的外部來源
(SQL.DB_ShellExternalSourceAnomaly SQL。VM_ShellExternalSourceAnomaly SQL。DW_ShellExternalSourceAnomaly SQL.MI_ShellExternalSourceAnomaly Synapse.SQLPool_ShellExternalSourceAnomaly)
描述:可疑的 SQL 語句可能會繁衍 Windows 命令殼層,其中包含之前尚未看到的外部來源。 執行存取外部來源的殼層是攻擊者用來下載惡意承載的方法,然後在機器上執行並入侵它。 這可讓攻擊者以遠端方向執行惡意工作。 或者,存取外部來源可用來將數據外流至外部目的地。
MITRE 策略:執行
嚴重性:高
SQL Server 已起始具有模糊元件的異常承載
(SQL.VM_PotentialSqlInjection)
描述:有人已在 SQL Server 中使用與作業系統通訊的層,同時隱藏 SQL 查詢中的命令,來起始新的承載。 攻擊者通常會隱藏熱門監視的具影響命令,例如xp_cmdshell、sp_add_job和其他命令。 混淆技術會濫用字串串連、轉換、基底變更等合法命令,以避免 regex 偵測並損害記錄的可讀性。
MITRE 策略:執行
嚴重性:高
開放原始碼關係資料庫的警示
使用有效使用者的可疑暴力密碼破解攻擊
(SQL.PostgreSQL_BruteForce SQL。MariaDB_BruteForce SQL。MySQL_BruteForce)
描述:在您的資源上偵測到潛在的暴力密碼破解攻擊。 攻擊者使用具有登入許可權的有效使用者(用戶名稱)。
MITRE 策略:P reAttack
嚴重性:高
可疑成功的暴力密碼破解攻擊
(SQL.PostgreSQL_BruteForce SQL。MySQL_BruteForce SQL。MariaDB_BruteForce)
描述:在對資源進行明顯的暴力密碼破解攻擊之後,發生成功的登入。
MITRE 策略:P reAttack
嚴重性:高
可疑的暴力密碼破解攻擊
(SQL.PostgreSQL_BruteForce SQL。MySQL_BruteForce SQL。MariaDB_BruteForce)
描述:在您的資源上偵測到潛在的暴力密碼破解攻擊。
MITRE 策略:P reAttack
嚴重性:高
嘗試由潛在的有害應用程式登入
(SQL.PostgreSQL_HarmfulApplication SQL。MariaDB_HarmfulApplication SQL。MySQL_HarmfulApplication)
描述:可能有害的應用程式嘗試存取您的資源。
MITRE 策略:P reAttack
嚴重性:高
60 天內未看到主體使用者的登入
(SQL.PostgreSQL_PrincipalAnomaly SQL。MariaDB_PrincipalAnomaly SQL。MySQL_PrincipalAnomaly)
描述:過去 60 天內未看到的主要使用者已登入您的資料庫。 如果這個資料庫是新的,或這是最近存取資料庫的用戶變更所造成的預期行為,適用於雲端的 Defender 會識別存取模式的重大變更,並嘗試防止未來的誤判。
MITRE 策略:惡意探索
嚴重性:中
從 60 天內看不到的網域登入
(SQL.MariaDB_DomainAnomaly SQL。PostgreSQL_DomainAnomaly SQL。MySQL_DomainAnomaly)
描述:使用者已從網域登入您的資源,過去 60 天內沒有其他用戶連線。 如果此資源是新的,或這是最近存取資源的用戶變更所造成的預期行為,適用於雲端的 Defender 將會識別存取模式的重大變更,並嘗試防止未來的誤判。
MITRE 策略:惡意探索
嚴重性:中
從不尋常的 Azure 數據中心登入
(SQL.PostgreSQL_DataCenterAnomaly SQL。MariaDB_DataCenterAnomaly SQL。MySQL_DataCenterAnomaly)
描述:有人從不尋常的 Azure 數據中心登入您的資源。
MITRE 策略:探查
嚴重性:低
從不尋常的雲端提供者登入
(SQL.PostgreSQL_CloudProviderAnomaly SQL。MariaDB_CloudProviderAnomaly SQL。MySQL_CloudProviderAnomaly)
描述:過去 60 天內未看到有人從雲端提供者登入您的資源。 威脅執行者可以快速且輕鬆地取得一次性計算能力,以用於其營銷活動。 如果這是最近採用新雲端提供者所造成的預期行為,適用於雲端的 Defender 將會經過一段時間學習,並嘗試防止未來的誤判。
MITRE 策略:惡意探索
嚴重性:中
從不尋常的位置登入
(SQL.MariaDB_GeoAnomaly SQL。PostgreSQL_GeoAnomaly SQL。MySQL_GeoAnomaly)
描述:有人從不尋常的 Azure 數據中心登入您的資源。
MITRE 策略:惡意探索
嚴重性:中
從可疑IP登入
(SQL.PostgreSQL_SuspiciousIpAnomaly SQL。MariaDB_SuspiciousIpAnomaly SQL。MySQL_SuspiciousIpAnomaly)
描述:您的資源已成功從 Microsoft 威脅情報與可疑活動相關聯的 IP 位址存取。
MITRE 策略:P reAttack
嚴重性:中
Resource Manager 的警示
注意
由於第三方服務提供者的活動,會觸發具有 委派存取 指示的警示。 深入瞭解 服務提供者活動指示。
來自可疑IP位址的 Azure Resource Manager 作業
(ARM_OperationFromSuspiciousIP)
描述:適用於 Resource Manager 的 Microsoft Defender 偵測到 IP 位址中的作業,該 IP 位址在威脅情報摘要中標示為可疑。
MITRE 策略:執行
嚴重性:中
來自可疑 Proxy IP 位址的 Azure Resource Manager 作業
(ARM_OperationFromSuspiciousProxyIP)
描述:適用於 Resource Manager 的 Microsoft Defender 從與 Proxy 服務相關聯的 IP 位址偵測到資源管理作業,例如 TOR。 雖然此行為可能是合法的,但當威脅執行者嘗試隱藏其來源IP時,通常會出現在惡意活動中。
MITRE 戰術:防禦逃避
嚴重性:中
用來列舉訂用帳戶中資源的 MicroBurst 惡意探索工具組
(ARM_MicroBurst.AzDomainInfo)
描述:您的訂用帳戶中執行PowerShell腳本,並執行了執行資訊收集作業的可疑模式,以探索資源、許可權和網路結構。 威脅執行者會使用 MicroBurst 等自動化腳本來收集惡意活動的資訊。 這是藉由分析訂用帳戶中的 Azure Resource Manager 作業來偵測到的。 這項作業可能表示貴組織中的身分識別遭到入侵,而且威脅執行者正嘗試危害您的環境,以取得惡意意圖。
MITRE 策略: -
嚴重性:低
用來列舉訂用帳戶中資源的 MicroBurst 惡意探索工具組
(ARM_MicroBurst.AzureDomainInfo)
描述:您的訂用帳戶中執行PowerShell腳本,並執行了執行資訊收集作業的可疑模式,以探索資源、許可權和網路結構。 威脅執行者會使用 MicroBurst 等自動化腳本來收集惡意活動的資訊。 這是藉由分析訂用帳戶中的 Azure Resource Manager 作業來偵測到的。 這項作業可能表示貴組織中的身分識別遭到入侵,而且威脅執行者正嘗試危害您的環境,以取得惡意意圖。
MITRE 策略: -
嚴重性:低
用來在虛擬機上執行程序代碼的 MicroBurst 惡意探索工具組
(ARM_MicroBurst.AzVMBulkCMD)
描述:您的訂用帳戶中執行 PowerShell 腳本,並執行了在 VM 或 VM 清單上執行程式碼的可疑模式。 威脅執行者會使用 MicroBurst 等自動化腳本,在 VM 上執行惡意活動的腳本。 這是藉由分析訂用帳戶中的 Azure Resource Manager 作業來偵測到的。 這項作業可能表示貴組織中的身分識別遭到入侵,而且威脅執行者正嘗試危害您的環境,以取得惡意意圖。
MITRE 策略:執行
嚴重性:高
用來在虛擬機上執行程序代碼的 MicroBurst 惡意探索工具組
(RM_MicroBurst.AzureRmVMBulkCMD)
描述:MicroBurst 的惡意探索工具組用來在虛擬機上執行程序代碼。 這是藉由分析訂用帳戶中的 Azure Resource Manager 作業來偵測到的。
MITRE 策略: -
嚴重性:高
用來從 Azure 金鑰保存庫擷取金鑰的 MicroBurst 惡意探索工具組
(ARM_MicroBurst.AzKeyVaultKeysREST)
描述:您的訂用帳戶中執行 PowerShell 腳本,並執行了從 Azure 金鑰保存庫(s) 擷取密鑰的可疑模式。 威脅執行者會使用 MicroBurst 等自動化腳本來列出密鑰,並使用它們來存取敏感數據或執行橫向移動。 這是藉由分析訂用帳戶中的 Azure Resource Manager 作業來偵測到的。 這項作業可能表示貴組織中的身分識別遭到入侵,而且威脅執行者正嘗試危害您的環境,以取得惡意意圖。
MITRE 策略: -
嚴重性:高
用來擷取記憶體帳戶密鑰的 MicroBurst 惡意探索工具組
(ARM_MicroBurst.AZ 儲存體 KeysREST)
描述:您的訂用帳戶中執行PowerShell腳本,並執行了將密鑰擷取至 儲存體 帳戶的可疑模式。 威脅執行者會使用 MicroBurst 等自動化腳本來列出密鑰,並使用它們來存取您 儲存體 帳戶中的敏感數據。 這是藉由分析訂用帳戶中的 Azure Resource Manager 作業來偵測到的。 這項作業可能表示貴組織中的身分識別遭到入侵,而且威脅執行者正嘗試危害您的環境,以取得惡意意圖。
MITRE 策略:集合
嚴重性:高
用來從 Azure 金鑰保存庫擷取秘密的 MicroBurst 惡意探索工具組
(ARM_MicroBurst.AzKeyVaultSecretsREST)
描述:您的訂用帳戶中執行 PowerShell 腳本,並執行了從 Azure 金鑰保存庫(s) 擷取秘密的可疑模式。 威脅執行者會使用 MicroBurst 等自動化腳本來列出秘密,並使用它們來存取敏感數據或執行橫向移動。 這是藉由分析訂用帳戶中的 Azure Resource Manager 作業來偵測到的。 這項作業可能表示貴組織中的身分識別遭到入侵,而且威脅執行者正嘗試危害您的環境,以取得惡意意圖。
MITRE 策略: -
嚴重性:高
用來將 Azure AD 的存取權提升至 Azure 的 PowerZure 惡意探索工具組
(ARM_PowerZure.AzureElevatedPrivileges)
描述:P owerZure 惡意探索工具組可用來將 AzureAD 的存取權提升至 Azure。 這是藉由分析租使用者中的 Azure Resource Manager 作業來偵測到的。
MITRE 策略: -
嚴重性:高
用來列舉資源的PowerZure惡意探索工具組
(ARM_PowerZure.GetAzureTargets)
描述:P owerZure 惡意探索工具組用來代表您組織中的合法用戶帳戶列舉資源。 這是藉由分析訂用帳戶中的 Azure Resource Manager 作業來偵測到的。
MITRE 策略:集合
嚴重性:高
用來列舉記憶體容器、共用和數據表的PowerZure惡意探索工具組
(ARM_PowerZure.Show 儲存體 Content)
描述:P owerZure 惡意探索工具組可用來列舉記憶體共用、數據表和容器。 這是藉由分析訂用帳戶中的 Azure Resource Manager 作業來偵測到的。
MITRE 策略: -
嚴重性:高
用來在您的訂用帳戶中執行 Runbook 的 PowerZure 惡意探索工具組
(ARM_PowerZure.StartRunbook)
描述:P owerZure 惡意探索工具組用來執行 Runbook。 這是藉由分析訂用帳戶中的 Azure Resource Manager 作業來偵測到的。
MITRE 策略: -
嚴重性:高
用來擷取 Runbook 內容的 PowerZure 惡意探索工具組
(ARM_PowerZure.AzureRunbookContent)
描述:P owerZure 惡意探索工具組用來擷取 Runbook 內容。 這是藉由分析訂用帳戶中的 Azure Resource Manager 作業來偵測到的。
MITRE 策略:集合
嚴重性:高
預覽 - 偵測到 Azurite 工具組執行
(ARM_Azurite)
描述:在您的環境中偵測到已知的雲端環境偵察工具組執行。 攻擊者可以使用 Azurite 工具(或滲透測試人員)來對應訂用帳戶的資源,並識別不安全的組態。
MITRE 策略:集合
嚴重性:高
預覽 - 偵測到可疑的計算資源建立
(ARM_SuspiciousComputeCreation)
描述:適用於 Resource Manager 的 Microsoft Defender 識別出使用 虛擬機器/Azure 擴展集在訂用帳戶中建立計算資源的可疑。 識別的作業是設計來允許系統管理員在需要時部署新的資源,以有效率地管理其環境。 雖然此活動可能是合法的,但威脅執行者可能會利用這類作業來執行密碼編譯採礦。 活動被視為可疑,因為計算資源規模高於先前在訂用帳戶中觀察到的。 這表示主體遭到入侵,且正與惡意意圖搭配使用。
MITRE 策略:影響
嚴重性:中
預覽 - 偵測到可疑的金鑰保存庫復原
(Arm_Suspicious_Vault_Recovering)
描述:適用於 Resource Manager 的 Microsoft Defender 偵測到虛刪除密鑰保存庫資源的可疑復原作業。 復原資源的用戶與刪除資源的使用者不同。 這非常可疑,因為使用者很少叫用這類作業。 此外,使用者登入時沒有多重要素驗證 (MFA)。 這可能表示使用者遭到入侵,並嘗試探索秘密和密鑰以取得敏感性資源的存取權,或跨網路執行橫向移動。
MITRE 策略:橫向移動
嚴重性:中/高
預覽 - 使用偵測到非使用中帳戶的可疑管理會話
(ARM_UnusedAccountPersistence)
描述:訂用帳戶活動記錄分析偵測到可疑的行為。 長時間未使用的主體現在正在執行可保護攻擊者持續性的動作。
MITRE 策略:持續性
嚴重性:中
預覽 - 偵測到服務主體對高風險「認證存取」作業的可疑叫用
(ARM_AnomalousServiceOperation.CredentialAccess)
描述:適用於 Resource Manager 的 Microsoft Defender 識別出訂用帳戶中高風險作業的可疑調用,這可能表示嘗試存取認證。 識別的作業是設計來允許系統管理員有效率地管理其環境。 雖然此活動可能是合法的,但威脅執行者可能會利用這類作業來存取受限制的認證,並危害您環境中的資源。 這表示服務主體遭到入侵,且正與惡意意圖搭配使用。
MITRE 策略:認證存取
嚴重性:中
預覽 - 偵測到服務主體對高風險「數據收集」作業的可疑調用
(ARM_AnomalousServiceOperation.Collection)
描述:適用於 Resource Manager 的 Microsoft Defender 識別出訂用帳戶中高風險作業的可疑調用,這可能表示嘗試收集數據。 識別的作業是設計來允許系統管理員有效率地管理其環境。 雖然此活動可能是合法的,但威脅執行者可能會利用這類作業來收集環境中資源的敏感數據。 這表示服務主體遭到入侵,且正與惡意意圖搭配使用。
MITRE 策略:集合
嚴重性:中
預覽 - 偵測到服務主體對高風險「防禦逃避」作業的可疑調用
(ARM_AnomalousServiceOperation.DefenseEvasion)
描述:適用於 Resource Manager 的 Microsoft Defender 識別出您訂用帳戶中高風險作業的可疑調用,這可能表示嘗試逃避防禦。 識別的作業是設計來讓系統管理員有效率地管理其環境的安全性狀態。 雖然此活動可能是合法的,但威脅執行者可能會利用這類作業,以避免在危害您環境中的資源時偵測到。 這表示服務主體遭到入侵,且正與惡意意圖搭配使用。
MITRE 戰術:防禦逃避
嚴重性:中
預覽 - 偵測到服務主體對高風險「執行」作業的可疑調用
(ARM_AnomalousServiceOperation.Execution)
描述:適用於 Resource Manager 的 Microsoft Defender 識別出訂用帳戶中機器上高風險作業的可疑調用,這可能表示嘗試執行程序代碼。 識別的作業是設計來允許系統管理員有效率地管理其環境。 雖然此活動可能是合法的,但威脅執行者可能會利用這類作業來存取受限制的認證,並危害您環境中的資源。 這表示服務主體遭到入侵,且正與惡意意圖搭配使用。
MITRE 策略:防禦執行
嚴重性:中
預覽 - 偵測到服務主體對高風險「影響」作業的可疑調用
(ARM_AnomalousServiceOperation.Impact)
描述:適用於 Resource Manager 的 Microsoft Defender 識別出訂用帳戶中高風險作業的可疑調用,這可能表示嘗試的設定變更。 識別的作業是設計來允許系統管理員有效率地管理其環境。 雖然此活動可能是合法的,但威脅執行者可能會利用這類作業來存取受限制的認證,並危害您環境中的資源。 這表示服務主體遭到入侵,且正與惡意意圖搭配使用。
MITRE 策略:影響
嚴重性:中
預覽 - 偵測到服務主體對高風險「初始存取」作業的可疑調用
(ARM_AnomalousServiceOperation.InitialAccess)
描述:適用於 Resource Manager 的 Microsoft Defender 識別出訂用帳戶中高風險作業的可疑調用,這可能表示嘗試存取受限制的資源。 識別的作業是設計來允許系統管理員有效率地存取其環境。 雖然此活動可能是合法的,但威脅執行者可能會利用這類作業來取得環境中受限制資源的初始存取權。 這表示服務主體遭到入侵,且正與惡意意圖搭配使用。
MITRE 策略:初始存取
嚴重性:中
預覽 - 偵測到服務主體偵測到高風險「橫向動作存取」作業的可疑調用
(ARM_AnomalousServiceOperation.LateralMovement)
描述:適用於 Resource Manager 的 Microsoft Defender 識別出訂用帳戶中高風險作業的可疑調用,這可能表示嘗試執行橫向移動。 識別的作業是設計來允許系統管理員有效率地管理其環境。 雖然此活動可能是合法的,但威脅執行者可能會利用這類作業來危害您環境中的更多資源。 這表示服務主體遭到入侵,且正與惡意意圖搭配使用。
MITRE 策略:橫向移動
嚴重性:中
預覽 - 偵測到服務主體對高風險「持續性」作業的可疑調用
(ARM_AnomalousServiceOperation.Persistence)
描述:適用於 Resource Manager 的 Microsoft Defender 識別出訂用帳戶中高風險作業的可疑調用,這可能表示嘗試建立持續性。 識別的作業是設計來允許系統管理員有效率地管理其環境。 雖然此活動可能是合法的,但威脅執行者可能會利用這類作業在您的環境中建立持續性。 這表示服務主體遭到入侵,且正與惡意意圖搭配使用。
MITRE 策略:持續性
嚴重性:中
預覽 - 偵測到服務主體對高風險「許可權提升」作業的可疑叫用
(ARM_AnomalousServiceOperation.PrivilegeEscalation)
描述:適用於 Resource Manager 的 Microsoft Defender 識別出訂用帳戶中高風險作業的可疑調用,這可能表示嘗試提升許可權。 識別的作業是設計來允許系統管理員有效率地管理其環境。 雖然此活動可能是合法的,但威脅執行者可能會利用這類作業來提升許可權,同時危害您環境中的資源。 這表示服務主體遭到入侵,且正與惡意意圖搭配使用。
MITRE 策略:許可權提升
嚴重性:中
預覽 - 使用偵測到非使用中帳戶的可疑管理會話
(ARM_UnusedAccountPersistence)
描述:訂用帳戶活動記錄分析偵測到可疑的行為。 長時間未使用的主體現在正在執行可保護攻擊者持續性的動作。
MITRE 策略:持續性
嚴重性:中
預覽 - 偵測到使用 PowerShell 的可疑管理會話
(ARM_UnusedAppPowershellPersistence)
描述:訂用帳戶活動記錄分析偵測到可疑的行為。 不定期使用PowerShell來管理訂用帳戶環境的主體現在使用PowerShell,並執行可保護攻擊者持續性的動作。
MITRE 策略:持續性
嚴重性:中
預覽 - 使用偵測到的可疑管理會話 Azure 入口網站
(ARM_UnusedAppIbizaPersistence)
描述:分析您的訂用帳戶活動記錄偵測到可疑的行為。 未定期使用 Azure 入口網站 (Ibiza) 來管理訂用帳戶環境的主體(過去 45 天未使用 Azure 入口網站 管理,或目前正主動管理的訂用帳戶),現在會使用 Azure 入口網站 並執行可保護攻擊者持續性的動作。
MITRE 策略:持續性
嚴重性:中
以可疑的方式為訂用帳戶建立的特殊許可權自訂角色 (預覽)
(ARM_PrivilegedRoleDefinitionCreation)
描述:適用於 Resource Manager 的 Microsoft Defender 偵測到訂用帳戶中可疑建立特殊許可權自定義角色定義。 此作業可能是由組織中的合法使用者所執行。 或者,它可能表示貴組織中的帳戶遭到入侵,而且威脅執行者正嘗試建立特殊許可權角色,以在未來用來逃避偵測。
MITRE 策略:許可權提升、防禦逃避
嚴重性:資訊
偵測到可疑的 Azure 角色指派 (預覽)
(ARM_AnomalousRBACRoleAssignment)
描述:適用於 Resource Manager 的 Microsoft Defender 識別出租使用者中使用 PIM(Privileged Identity Management) 執行的可疑 Azure 角色指派/執行,這可能表示貴組織中的帳戶遭到入侵。 識別的作業是設計來允許系統管理員授與主體對 Azure 資源的存取權。 雖然此活動可能是合法的,但威脅執行者可能會利用角色指派來提升其許可權,讓他們能夠推進攻擊。
MITRE 戰術: 橫向運動, 防禦逃避
嚴重性:低 (PIM) / 高
偵測到高風險「認證存取」作業的可疑調用(預覽)
(ARM_AnomalousOperation.CredentialAccess)
描述:適用於 Resource Manager 的 Microsoft Defender 識別出訂用帳戶中高風險作業的可疑調用,這可能表示嘗試存取認證。 識別的作業是設計來允許系統管理員有效率地存取其環境。 雖然此活動可能是合法的,但威脅執行者可能會利用這類作業來存取受限制的認證,並危害您環境中的資源。 這表示帳戶遭到入侵,且正與惡意意圖搭配使用。
MITRE 策略:認證存取
嚴重性:中
偵測到高風險「數據收集」作業的可疑調用(預覽)
(ARM_AnomalousOperation.Collection)
描述:適用於 Resource Manager 的 Microsoft Defender 識別出訂用帳戶中高風險作業的可疑調用,這可能表示嘗試收集數據。 識別的作業是設計來允許系統管理員有效率地管理其環境。 雖然此活動可能是合法的,但威脅執行者可能會利用這類作業來收集環境中資源的敏感數據。 這表示帳戶遭到入侵,且正與惡意意圖搭配使用。
MITRE 策略:集合
嚴重性:中
偵測到高風險「防禦逃逸」作業的可疑調用(預覽)
(ARM_AnomalousOperation.DefenseEvasion)
描述:適用於 Resource Manager 的 Microsoft Defender 識別出您訂用帳戶中高風險作業的可疑調用,這可能表示嘗試逃避防禦。 識別的作業是設計來讓系統管理員有效率地管理其環境的安全性狀態。 雖然此活動可能是合法的,但威脅執行者可能會利用這類作業,以避免在危害您環境中的資源時偵測到。 這表示帳戶遭到入侵,且正與惡意意圖搭配使用。
MITRE 戰術:防禦逃避
嚴重性:中
偵測到高風險「執行」作業的可疑調用(預覽)
(ARM_AnomalousOperation.Execution)
描述:適用於 Resource Manager 的 Microsoft Defender 識別出訂用帳戶中機器上高風險作業的可疑調用,這可能表示嘗試執行程序代碼。 識別的作業是設計來允許系統管理員有效率地管理其環境。 雖然此活動可能是合法的,但威脅執行者可能會利用這類作業來存取受限制的認證,並危害您環境中的資源。 這表示帳戶遭到入侵,且正與惡意意圖搭配使用。
MITRE 策略:執行
嚴重性:中
偵測到高風險「影響」作業的可疑調用(預覽)
(ARM_AnomalousOperation.Impact)
描述:適用於 Resource Manager 的 Microsoft Defender 識別出訂用帳戶中高風險作業的可疑調用,這可能表示嘗試的設定變更。 識別的作業是設計來允許系統管理員有效率地管理其環境。 雖然此活動可能是合法的,但威脅執行者可能會利用這類作業來存取受限制的認證,並危害您環境中的資源。 這表示帳戶遭到入侵,且正與惡意意圖搭配使用。
MITRE 策略:影響
嚴重性:中
偵測到高風險「初始存取」作業的可疑調用(預覽)
(ARM_AnomalousOperation.InitialAccess)
描述:適用於 Resource Manager 的 Microsoft Defender 識別出訂用帳戶中高風險作業的可疑調用,這可能表示嘗試存取受限制的資源。 識別的作業是設計來允許系統管理員有效率地存取其環境。 雖然此活動可能是合法的,但威脅執行者可能會利用這類作業來取得環境中受限制資源的初始存取權。 這表示帳戶遭到入侵,且正與惡意意圖搭配使用。
MITRE 策略:初始存取
嚴重性:中
偵測到高風險「橫向移動」作業的可疑調用(預覽)
(ARM_AnomalousOperation.LateralMovement)
描述:適用於 Resource Manager 的 Microsoft Defender 識別出訂用帳戶中高風險作業的可疑調用,這可能表示嘗試執行橫向移動。 識別的作業是設計來允許系統管理員有效率地管理其環境。 雖然此活動可能是合法的,但威脅執行者可能會利用這類作業來危害您環境中的更多資源。 這表示帳戶遭到入侵,且正與惡意意圖搭配使用。
MITRE 策略:橫向移動
嚴重性:中
可疑提高存取權作業(預覽)(ARM_AnomalousElevateAccess)
描述:適用於 Resource Manager 的 Microsoft Defender 識別出可疑的「提高存取權」作業。 活動被視為可疑,因為此主體很少叫用這類作業。 雖然此活動可能是合法的,但威脅執行者可能會利用「提高存取權」作業,為遭入侵的使用者執行許可權提升。
MITRE 策略:許可權提升
嚴重性:中
偵測到高風險「持續性」作業的可疑調用(預覽)
(ARM_AnomalousOperation.Persistence)
描述:適用於 Resource Manager 的 Microsoft Defender 識別出訂用帳戶中高風險作業的可疑調用,這可能表示嘗試建立持續性。 識別的作業是設計來允許系統管理員有效率地管理其環境。 雖然此活動可能是合法的,但威脅執行者可能會利用這類作業在您的環境中建立持續性。 這表示帳戶遭到入侵,且正與惡意意圖搭配使用。
MITRE 策略:持續性
嚴重性:中
偵測到高風險「許可權提升」作業的可疑調用(預覽)
(ARM_AnomalousOperation.PrivilegeEscalation)
描述:適用於 Resource Manager 的 Microsoft Defender 識別出訂用帳戶中高風險作業的可疑調用,這可能表示嘗試提升許可權。 識別的作業是設計來允許系統管理員有效率地管理其環境。 雖然此活動可能是合法的,但威脅執行者可能會利用這類作業來提升許可權,同時危害您環境中的資源。 這表示帳戶遭到入侵,且正與惡意意圖搭配使用。
MITRE 策略:許可權提升
嚴重性:中
使用 MicroBurst 惡意探索工具組來執行任意程式代碼或外洩 Azure 自動化 帳戶認證
(ARM_MicroBurst.RunCodeOnBehalf)
描述:您的訂用帳戶中執行 PowerShell 腳本,並執行了執行任意程式代碼或外流 Azure 自動化 帳戶認證的可疑模式。 威脅執行者會使用 MicroBurst 等自動化腳本來執行惡意活動的任意程序代碼。 這是藉由分析訂用帳戶中的 Azure Resource Manager 作業來偵測到的。 這項作業可能表示貴組織中的身分識別遭到入侵,而且威脅執行者正嘗試危害您的環境,以取得惡意意圖。
MITRE 策略:持續性、認證存取
嚴重性:高
使用 NetSPI 技術來維護 Azure 環境中的持續性
(ARM_NetSPI.MaintainPersistence)
描述:使用 NetSPI 持續性技術來建立 Webhook 後門,並在 Azure 環境中維護持續性。 這是藉由分析訂用帳戶中的 Azure Resource Manager 作業來偵測到的。
MITRE 策略: -
嚴重性:高
使用 PowerZure 惡意探索工具組來執行任意程式代碼或外洩 Azure 自動化 帳戶認證
(ARM_PowerZure.RunCodeOnBehalf)
描述:偵測到 PowerZure 惡意探索工具組嘗試執行程式碼或外洩 Azure 自動化 帳戶認證。 這是藉由分析訂用帳戶中的 Azure Resource Manager 作業來偵測到的。
MITRE 策略: -
嚴重性:高
使用 PowerZure 函式來維護 Azure 環境中的持續性
(ARM_PowerZure.MaintainPersistence)
描述:P owerZure 惡意探索工具組偵測到建立Webhook後門,以維護 Azure 環境中的持續性。 這是藉由分析訂用帳戶中的 Azure Resource Manager 作業來偵測到的。
MITRE 策略: -
嚴重性:高
偵測到可疑的傳統角色指派 (預覽)
(ARM_AnomalousClassicRoleAssignment)
描述:適用於 Resource Manager 的 Microsoft Defender 在租用戶中識別出可疑的傳統角色指派,這可能表示貴組織中的帳戶遭到入侵。 識別的作業是設計來提供與不再常用之傳統角色的回溯相容性。 雖然此活動可能合法,但威脅執行者可能會利用這類指派,將許可權授與在其控制下的另一個用戶帳戶。
MITRE 戰術: 橫向運動, 防禦逃避
嚴重性:高
Azure 儲存體 警示
從可疑應用程式存取
(儲存體.Blob_SuspiciousApp)
描述:表示可疑的應用程式已成功存取具有驗證的記憶體帳戶容器。 這可能表示攻擊者已取得存取帳戶所需的認證,並正在利用它。 這也表示在您的組織中進行的滲透測試。 適用於:Azure Blob 儲存體、Azure Data Lake 儲存體 Gen2
MITRE 策略:初始存取
嚴重性:高/中
從可疑IP位址存取
(儲存體.Blob_SuspiciousIp 儲存體。Files_SuspiciousIp)
描述:表示此記憶體帳戶已成功從被視為可疑的IP位址存取。 此警示由 Microsoft 威脅情報提供。 深入瞭解 Microsoft 的威脅情報功能。 適用於:Azure Blob 儲存體、Azure 檔案儲存體、Azure Data Lake 儲存體 Gen2
MITRE 策略:攻擊前
嚴重性:高/中/低
裝載在記憶體帳戶上的網路釣魚內容
(儲存體.Blob_PhishingContent 儲存體。Files_PhishingContent)
描述:網路釣魚攻擊中使用的 URL 會指向您的 Azure 儲存體 帳戶。 此 URL 是影響 Microsoft 365 使用者的網路釣魚攻擊的一部分。 通常,裝載於這類頁面上的內容旨在誘使訪客進入其公司認證或財務資訊,以進入看起來合法的網頁窗體。 此警示由 Microsoft 威脅情報提供。 深入瞭解 Microsoft 的威脅情報功能。 適用於:Azure Blob 儲存體、Azure 檔案儲存體
MITRE 策略:集合
嚴重性:高
儲存體 識別為惡意代碼發佈來源的帳戶
(儲存體.Files_WidespreadeAm)
描述:反惡意代碼警示指出受感染的檔案儲存在掛接至多個 VM 的 Azure 檔案共用中。 如果攻擊者取得具有已掛接 Azure 檔案共用之 VM 的存取權,他們可以使用它將惡意代碼傳播到裝載相同共用的其他 VM。 適用於:Azure 檔案儲存體
MITRE 策略:執行
嚴重性:中
潛在敏感性記憶體 Blob 容器的存取層級已變更,以允許未經驗證的公用存取
(儲存體.Blob_OpenACL)
描述:警示指出有人已將記憶體帳戶中 Blob 容器的存取層級變更為「容器」層級,以允許未經驗證的(匿名)公用存取。 變更是透過 Azure 入口網站 進行的。 根據統計分析,Blob 容器會標示為可能包含敏感數據。 此分析建議,具有類似名稱的 Blob 容器或記憶體帳戶通常不會公開給公用存取。 適用於:Azure Blob(標準一般用途 v2、Azure Data Lake 儲存體 Gen2 或進階區塊 Blob) 記憶體帳戶。
MITRE 策略:集合
嚴重性:中
來自 Tor 結束節點的已驗證存取權
(儲存體.Blob_TorAnomaly 儲存體。Files_TorAnomaly)
描述:您記憶體帳戶中的一或多個記憶體容器/檔案共用已成功從已知為 Tor 的作用中結束節點的 IP 位址存取(匿名 Proxy)。 威脅執行者會使用 Tor 將活動追蹤回去變得困難。 來自 Tor 結束節點的已驗證存取可能表示威脅執行者正嘗試隱藏其身分識別。 適用於:Azure Blob 儲存體、Azure 檔案儲存體、Azure Data Lake 儲存體 Gen2
MITRE 策略:初始存取/攻擊前
嚴重性:高/中
從不尋常的位置存取記憶體帳戶
(儲存體.Blob_GeoAnomaly 儲存體。Files_GeoAnomaly)
描述:表示 Azure 儲存體 帳戶的存取模式有所變更。 相較於最近的活動,有人已從被視為不熟悉的IP位址存取此帳戶。 攻擊者已取得帳戶的存取權,或合法使用者已從新的或不尋常的地理位置連線。 後者的範例是來自新應用程式或開發人員的遠端維護。 適用於:Azure Blob 儲存體、Azure 檔案儲存體、Azure Data Lake 儲存體 Gen2
MITRE 策略:初始存取
嚴重性:高/中/低
對記憶體容器的異常未驗證存取
(儲存體.Blob_AnonymousAccessAnomaly)
描述:此記憶體帳戶未經驗證即可存取,這是常見存取模式的變更。 此容器的讀取許可權通常會經過驗證。 這可能表示威脅執行者能夠利用此記憶體帳戶中記憶體容器的公用讀取許可權。 適用於:Azure Blob 儲存體
MITRE 策略:初始存取
嚴重性:高/低
上傳至記憶體帳戶的潛在惡意代碼
(儲存體.Blob_MalwareHashReputation 儲存體。Files_MalwareHashReputation)
描述:表示包含潛在惡意代碼的 Blob 已上傳至記憶體帳戶中的 Blob 容器或檔案共用。 此警示是以利用 Microsoft 威脅情報的強大功能進行哈希信譽分析,其中包括病毒、特洛伊木馬、間諜軟體和勒索軟體的哈希。 潛在原因可能包括攻擊者刻意上傳惡意代碼,或合法使用者無意上傳潛在惡意 Blob。 適用於:Azure Blob 儲存體、Azure 檔案儲存體(僅適用於 REST API 的交易)深入瞭解 Microsoft 的威脅情報功能。
MITRE 策略:橫向移動
嚴重性:高
已成功探索可公開存取的記憶體容器
(儲存體.Blob_OpenContainersScanning.SuccessfulDiscovery)
描述:掃描文本或工具在過去一小時內,已成功探索記憶體帳戶中公開開啟的記憶體容器。
這通常表示偵察攻擊,威脅執行者會嘗試藉由猜測容器名稱來列出 Blob,希望尋找設定錯誤的開放記憶體容器,並在其中含有敏感數據。
威脅執行者可能會使用自己的腳本,或使用 Microburst 等已知掃描工具來掃描公開開啟的容器。
✔ ✖ Azure Blob 儲存體 Azure 檔案儲存體 ✖ Azure Data Lake 儲存體 Gen2
MITRE 策略:集合
嚴重性:高/中
未成功掃描可公開存取的記憶體容器
(儲存體.Blob_OpenContainersScanning.FailedAttempt)
描述:過去一小時內已執行一系列嘗試掃描公開開啟的記憶體容器。
這通常表示偵察攻擊,威脅執行者會嘗試藉由猜測容器名稱來列出 Blob,希望尋找設定錯誤的開放記憶體容器,並在其中含有敏感數據。
威脅執行者可能會使用自己的腳本,或使用 Microburst 等已知掃描工具來掃描公開開啟的容器。
✔ azure ✖ Data Lake 儲存體 Gen2 Azure Blob 儲存體 Azure 檔案儲存體 ✖
MITRE 策略:集合
嚴重性:高/低
記憶體帳戶中的異常存取檢查
(儲存體.Blob_AccessInspectionAnomaly 儲存體。Files_AccessInspectionAnomaly)
描述:指出相較於此帳戶上最近的活動,記憶體帳戶的訪問許可權已以不尋常的方式進行檢查。 潛在的原因是攻擊者已針對未來的攻擊執行偵察。 適用於:Azure Blob 儲存體、Azure 檔案儲存體
MITRE 策略:探索
嚴重性:高/中
從記憶體帳戶擷取的異常數據量
(儲存體.Blob_DataExfiltration.AmountOfDataAnomaly 儲存體。Blob_DataExfiltration.NumberOfBlobsAnomaly 儲存體。Files_DataExfiltration.AmountOfDataAnomaly 儲存體。Files_DataExfiltration.NumberOfFilesAnomaly)
描述:指出相較於此記憶體容器上的最近活動,已擷取異常大量的數據。 潛在的原因是攻擊者已從保存 Blob 記憶體的容器擷取大量數據。 適用於:Azure Blob 儲存體、Azure 檔案儲存體、Azure Data Lake 儲存體 Gen2
MITRE 策略:外洩
嚴重性:高/低
不尋常的應用程式存取記憶體帳戶
(儲存體.Blob_ApplicationAnomaly 儲存體。Files_ApplicationAnomaly)
描述:表示不尋常的應用程式已存取此記憶體帳戶。 潛在的原因是攻擊者已使用新的應用程式來存取您的記憶體帳戶。 適用於:Azure Blob 儲存體、Azure 檔案儲存體
MITRE 策略:執行
嚴重性:高/中
記憶體帳戶中的異常數據探索
(儲存體.Blob_DataExplorationAnomaly 儲存體。Files_DataExplorationAnomaly)
描述:指出相較於此帳戶上最近的活動,記憶體帳戶中的 Blob 或容器已以異常方式列舉。 潛在的原因是攻擊者已針對未來的攻擊執行偵察。 適用於:Azure Blob 儲存體、Azure 檔案儲存體
MITRE 策略:執行
嚴重性:高/中
記憶體帳戶中的異常刪除
(儲存體.Blob_DeletionAnomaly 儲存體。Files_DeletionAnomaly)
描述:指出與此帳戶上最近的活動相比,記憶體帳戶中已發生一或多個非預期的刪除作業。 潛在的原因是攻擊者已從記憶體帳戶中刪除數據。 適用於:Azure Blob 儲存體、Azure 檔案儲存體、Azure Data Lake 儲存體 Gen2
MITRE 策略:外洩
嚴重性:高/中
對敏感性 Blob 容器的異常未驗證公用存取權 (預覽)
儲存體。Blob_AnonymousAccessAnomaly.Sensitive
描述:警示指出有人使用外部 (公用) IP 位址,存取記憶體帳戶中具有敏感數據的 Blob 容器,而不需驗證。 此存取是可疑的,因為 Blob 容器會開放給公用存取,而且通常只會透過來自內部網路(私人 IP 位址)的驗證來存取。 此存取可能表示 Blob 容器的存取層級設定錯誤,且惡意執行者可能已惡意探索公用存取。 安全性警示包含探索到的敏感性資訊內容(掃描時間、分類標籤、資訊類型和檔類型)。 深入瞭解敏感數據威脅偵測。 適用於:Azure Blob(標準一般用途 v2、Azure Data Lake 儲存體 Gen2 或進階區塊 Blob)儲存器帳戶,以及已啟用數據敏感度威脅偵測功能的新 Defender for 儲存體 方案。
MITRE 策略:初始存取
嚴重性:高
從敏感性 Blob 容器擷取的異常數據量 (預覽)
儲存體。Blob_DataExfiltration.AmountOfDataAnomaly.Sensitive
描述:警示指出有人從記憶體帳戶中具有敏感數據的 Blob 容器擷取了異常大量數據。 適用於:Azure Blob(標準一般用途 v2、Azure Data Lake 儲存體 Gen2 或進階區塊 Blob)儲存器帳戶,以及已啟用數據敏感度威脅偵測功能的新 Defender for 儲存體 方案。
MITRE 策略:外洩
嚴重性:中
從敏感性 Blob 容器擷取的異常 Blob 數目 (預覽)
儲存體。Blob_DataExfiltration.NumberOfBlobsAnomaly.Sensitive
描述:警示指出有人從記憶體帳戶中具有敏感數據的 Blob 容器擷取了異常大量的 Blob。 適用於:Azure Blob(標準一般用途 v2、Azure Data Lake 儲存體 Gen2 或進階區塊 Blob)儲存器帳戶,以及已啟用數據敏感度威脅偵測功能的新 Defender for 儲存體 方案。
MITRE 策略:外洩
從已知的可疑應用程式存取敏感性 Blob 容器 (預覽)
儲存體。Blob_SuspiciousApp.Sensitive
描述:警示指出具有已知可疑應用程式的人員存取了記憶體帳戶中具有敏感數據的 Blob 容器,並執行已驗證的作業。
存取可能表示威脅執行者已取得認證,以使用已知的可疑應用程式來存取記憶體帳戶。 不過,存取也可能表示在組織中執行的滲透測試。
適用於:Azure Blob(標準一般用途 v2、Azure Data Lake 儲存體 Gen2 或進階區塊 Blob)儲存器帳戶,具有已啟用數據敏感度威脅偵測功能的新 Defender for 儲存體 方案。
MITRE 策略:初始存取
嚴重性:高
從已知的可疑 IP 位址存取敏感性 Blob 容器 (預覽)
儲存體。Blob_SuspiciousIp.Sensitive
描述:警示指出有人從 Microsoft 威脅情報與威脅 Intel 相關聯的已知可疑 IP 位址存取記憶體帳戶中具有敏感數據的 Blob 容器。 由於已驗證存取權,因此允許存取此記憶體帳戶的認證可能會遭到入侵。 深入瞭解 Microsoft 的威脅情報功能。 適用於:Azure Blob(標準一般用途 v2、Azure Data Lake 儲存體 Gen2 或進階區塊 Blob)儲存器帳戶,以及已啟用數據敏感度威脅偵測功能的新 Defender for 儲存體 方案。
MITRE 策略:攻擊前
嚴重性:高
從 Tor 結束節點存取敏感性 Blob 容器 (預覽)
儲存體。Blob_TorAnomaly.Sensitive
描述:警示指出已知IP位址為 Tor 結束節點的人員存取了具有已驗證存取權之記憶體帳戶中敏感數據的 Blob 容器。 Tor 結束節點的已驗證存取,強烈表示動作專案嘗試針對可能的惡意意圖保持匿名。 由於已驗證存取權,因此允許存取此記憶體帳戶的認證可能會遭到入侵。 適用於:Azure Blob(標準一般用途 v2、Azure Data Lake 儲存體 Gen2 或進階區塊 Blob)儲存器帳戶,且已啟用數據敏感度威脅偵測功能的新 Defender for 儲存體 方案。
MITRE 策略:攻擊前
嚴重性:高
從不尋常的位置存取敏感性 Blob 容器 (預覽)
儲存體。Blob_GeoAnomaly.Sensitive
描述:警示指出有人已從不尋常的位置存取記憶體帳戶中具有敏感數據的 Blob 容器。 由於已驗證存取權,因此允許存取此記憶體帳戶的認證可能會遭到入侵。 適用於:Azure Blob(標準一般用途 v2、Azure Data Lake 儲存體 Gen2 或進階區塊 Blob)儲存器帳戶,以及已啟用數據敏感度威脅偵測功能的新 Defender for 儲存體 方案。
MITRE 策略:初始存取
嚴重性:中
敏感性記憶體 Blob 容器的存取層級已變更為允許未經驗證的公用存取權 (預覽)
儲存體。Blob_OpenACL.Sensitive
描述:警示指出有人已將記憶體帳戶中 Blob 容器的存取層級變更為「容器」層級,以允許未經驗證的(匿名)公用存取。 變更是透過 Azure 入口網站 進行的。 存取層級變更可能會危害數據的安全性。 建議您立即採取動作來保護數據,並在觸發此警示時防止未經授權的存取。 適用於:Azure Blob(標準一般用途 v2、Azure Data Lake 儲存體 Gen2 或進階區塊 Blob)儲存器帳戶,以及已啟用數據敏感度威脅偵測功能的新 Defender for 儲存體 方案。
MITRE 策略:集合
嚴重性:高
具有過度寬鬆 SAS 令牌的 Azure 記憶體帳戶可疑外部存取權 (預覽)
儲存體。Blob_AccountSas.InternalSasUsedExternally
描述:警示指出具有外部 (公用) IP 位址的人員使用過長到期日過度寬鬆的 SAS 令牌來存取記憶體帳戶。 這種類型的存取被視為可疑,因為 SAS 令牌通常只會用於內部網路(來自私人 IP 位址)。 活動可能表示惡意執行者已洩漏 SAS 令牌,或無意中從合法來源洩漏。 即使存取合法,使用具有長時間到期日的高許可權 SAS 令牌仍會違反安全性最佳做法,並造成潛在的安全性風險。 適用於:Azure Blob(標準一般用途 v2、Azure Data Lake 儲存體 Gen2 或進階區塊 Blob)儲存器帳戶,以及適用於 儲存體 的新 Defender 方案。
MITRE 策略:外泄/資源開發/影響
嚴重性:中
具有過度寬鬆 SAS 令牌的 Azure 記憶體帳戶可疑外部作業 (預覽)
儲存體。Blob_AccountSas.UnusualOperationFromExternalIp
描述:警示指出具有外部 (公用) IP 位址的人員使用過長到期日過度寬鬆的 SAS 令牌來存取記憶體帳戶。 存取會被視為可疑,因為使用此 SAS 令牌叫用到網路外部的作業(而非來自私人 IP 位址),通常用於一組特定的讀取/寫入/刪除作業,但發生其他作業,使得此存取變得可疑。 此活動可能表示惡意執行者已洩漏 SAS 令牌,或無意中從合法來源洩漏。 即使存取合法,使用具有長時間到期日的高許可權 SAS 令牌仍會違反安全性最佳做法,並造成潛在的安全性風險。 適用於:Azure Blob(標準一般用途 v2、Azure Data Lake 儲存體 Gen2 或進階區塊 Blob)儲存器帳戶,以及適用於 儲存體 的新 Defender 方案。
MITRE 策略:外泄/資源開發/影響
嚴重性:中
不尋常的 SAS 令牌用來從公用 IP 位址存取 Azure 記憶體帳戶 (預覽)
儲存體。Blob_AccountSas.UnusualExternalAccess
描述:警示指出具有外部 (公用) IP 位址的人員已使用帳戶 SAS 令牌來存取記憶體帳戶。 存取是非常不尋常的,並被視為可疑,因為使用SAS令牌的記憶體帳戶存取通常只來自內部(私人)IP 位址。 惡意動作專案可能從您的組織內部或外部洩漏或產生 SAS 令牌,以取得此儲存體帳戶的存取權。 適用於:Azure Blob(標準一般用途 v2、Azure Data Lake 儲存體 Gen2 或進階區塊 Blob)儲存器帳戶,以及適用於 儲存體 的新 Defender 方案。
MITRE 策略:外泄/資源開發/影響
嚴重性:低
上傳至記憶體帳戶的惡意檔案
儲存體。Blob_AM。MalwareFound
描述:警示指出惡意 Blob 已上傳至記憶體帳戶。 此安全性警示是由適用於 儲存體的Defender中的惡意代碼掃描功能所產生。 潛在原因可能包括威脅執行者故意上傳惡意代碼,或合法使用者無意上傳惡意檔案。 適用於:Azure Blob(標準一般用途 v2、Azure Data Lake 儲存體 Gen2 或進階區塊 Blob)儲存器帳戶,以及已啟用惡意代碼掃描功能的新 Defender for 儲存體 方案。
MITRE 策略:橫向移動
嚴重性:高
惡意 Blob 已從記憶體帳戶下載 (預覽)
儲存體。Blob_MalwareDownload
描述:警示指出已從記憶體帳戶下載惡意 Blob。 潛在原因可能包括上傳至記憶體帳戶且未移除或隔離的惡意代碼,進而讓威脅執行者下載它,或合法使用者或應用程式無意下載惡意代碼。 適用於:Azure Blob(標準一般用途 v2、Azure Data Lake 儲存體 Gen2 或進階區塊 Blob)儲存器帳戶,以及已啟用惡意代碼掃描功能的新 Defender for 儲存體 方案。
MITRE 策略:橫向移動
嚴重性:高,如果 Eicar - 低
Azure Cosmos DB 的警示
從 Tor 結束節點存取
(CosmosDB_TorAnomaly)
描述:此 Azure Cosmos DB 帳戶已成功從已知為 Tor 的作用中結束節點的 IP 位址存取,這是匿名 Proxy。 來自 Tor 結束節點的已驗證存取可能表示威脅執行者正嘗試隱藏其身分識別。
MITRE 策略:初始存取
嚴重性:高/中
從可疑IP存取
(CosmosDB_SuspiciousIp)
描述:此 Azure Cosmos DB 帳戶已成功從 Microsoft 威脅情報識別為威脅的 IP 位址存取。
MITRE 策略:初始存取
嚴重性:中
從不尋常的位置存取
(CosmosDB_GeoAnomaly)
描述:此 Azure Cosmos DB 帳戶是根據一般存取模式,從被視為不熟悉的位置存取。
威脅執行者已取得帳戶的存取權,或合法使用者已從新的或不尋常的地理位置連線
MITRE 策略:初始存取
嚴重性:低
擷取的異常數據量
(CosmosDB_DataExfiltrationAnomaly)
描述:從這個 Azure Cosmos DB 帳戶擷取了異常大量的數據。 這可能表示威脅執行者外泄數據。
MITRE 策略:外洩
嚴重性:中
透過潛在的惡意腳本擷取 Azure Cosmos DB 帳戶密鑰
(CosmosDB_SuspiciousListKeys.MaliciousScript)
描述:您的訂用帳戶中執行 PowerShell 腳本,並執行了可疑的金鑰清單作業模式,以取得訂用帳戶中 Azure Cosmos DB 帳戶的金鑰。 威脅執行者會使用 Microburst 等自動化腳本來列出密鑰,並尋找他們可以存取的 Azure Cosmos DB 帳戶。
這項作業可能表示貴組織中的身分識別遭到入侵,而且威脅執行者正嘗試危害您環境中的 Azure Cosmos DB 帳戶,以取得惡意意圖。
或者,惡意測試人員可能會嘗試存取敏感數據,並執行橫向移動。
MITRE 策略:集合
嚴重性:中
可疑擷取 Azure Cosmos DB 帳戶密鑰 (AzureCosmosDB_SuspiciousListKeys.SuspiciousPrincipal)
描述:從您的訂用帳戶擷取 Azure Cosmos DB 帳戶存取密鑰的可疑來源。 如果此來源不是合法的來源,這可能是高影響問題。 擷取的存取金鑰可完整控制相關聯資料庫和儲存在內的數據。 請參閱每個特定警示的詳細數據,以瞭解來源為何標示為可疑。
MITRE 策略:認證存取
嚴重性:高
SQL 插入:潛在的數據外洩
(CosmosDB_SqlInjection.DataExfiltration)
描述:可疑的 SQL 語句用來查詢此 Azure Cosmos DB 帳戶中的容器。
插入的語句可能會成功外泄威脅執行者未獲授權存取的數據。
由於 Azure Cosmos DB 查詢的結構和功能,Azure Cosmos DB 帳戶上的許多已知 SQL 插入式攻擊無法運作。 不過,此攻擊中使用的變化可能會運作,威脅執行者可能會外泄數據。
MITRE 策略:外洩
嚴重性:中
SQL 插入:模糊嘗試
(CosmosDB_SqlInjection.FailedFuzzingAttempt)
描述:可疑的 SQL 語句用來查詢此 Azure Cosmos DB 帳戶中的容器。
與其他已知的 SQL 插入式攻擊一樣,此攻擊將無法成功危害 Azure Cosmos DB 帳戶。
不過,這表示威脅執行者正嘗試攻擊此帳戶中的資源,而且您的應用程式可能會遭到入侵。
某些 SQL 插入式攻擊可能會成功,並用來外洩數據。 這表示如果攻擊者繼續執行 SQL 插入式嘗試,他們可能會危害您的 Azure Cosmos DB 帳戶並外洩數據。
您可以使用參數化查詢來防止此威脅。
MITRE 策略:攻擊前
嚴重性:低
Azure 網路層的警示
偵測到與惡意計算機的網路通訊
(Network_CommunicationWithC2)
描述:網路流量分析指出您的計算機(IP %{Victim IP}) 已與命令和控制中心通訊。 當遭入侵的資源是負載平衡器或應用程式閘道時,可疑的活動可能表示後端集區(負載平衡器或應用程式閘道)中的一或多個資源已與命令和控制中心通訊。
MITRE 策略:命令和控制
嚴重性:中
偵測到可能遭入侵的電腦
(Network_ResourceIpIndicatedAsMalicious)
描述:威脅情報指出您的計算機(在IP %{計算機IP})可能遭到 Conficker 類型的惡意代碼入侵。 Conficker 是一種以 Microsoft Windows 操作系統為目標的電腦蠕蟲,於 2008 年 11 月首次偵測到。 康菲克感染了數百萬部計算機,包括政府、商業和家庭計算機在內的200多個國家/地區,使其成為自2003年以來最大的已知計算機蠕蟲感染。
MITRE 策略:命令和控制
嚴重性:中
偵測到可能的傳入 %{服務名稱} 暴力密碼破解嘗試
(Generic_Incoming_BF_OneToOne)
描述:網路流量分析偵測到來自 %{Attacker IP} 的資源 %{Compromised Host} 與 %{Victim IP} 的連入 %{Victim IP} 通訊。 當遭入侵的資源是負載平衡器或應用程式閘道時,可疑的連入流量已轉送至後端集區中一或多個資源(負載平衡器或應用程式網關)。 具體而言,取樣的網路數據會顯示埠 %{Victim Port} 上 %{Start Time} 與 %{End Time} 之間的可疑活動。 此活動與針對 %{Service Name} 伺服器的暴力密碼破解嘗試一致。
MITRE 策略:P reAttack
嚴重性:資訊
偵測到可能的傳入 SQL 暴力密碼破解嘗試
(SQL_Incoming_BF_OneToOne)
描述:網路流量分析偵測到從 %{Attacker IP} 與資源 %{Compromised Host}相關聯的 %{Victim IP}連入 SQL 通訊。 當遭入侵的資源是負載平衡器或應用程式閘道時,可疑的連入流量已轉送至後端集區中一或多個資源(負載平衡器或應用程式網關)。 具體而言,取樣的網路數據會顯示埠 %{Port Number} (%{SQL Service Type}) 上 %{Start Time} 與 %{End Time} 之間的可疑活動。 此活動與針對 SQL Server 的暴力密碼破解嘗試一致。
MITRE 策略:P reAttack
嚴重性:中
偵測到可能的連出阻斷服務攻擊
(DDOS)
描述:網路流量分析偵測到來自部署中資源 %{Compromised Host}的異常連出活動。 此活動可能表示您的資源遭到入侵,且現在正針對外部端點進行阻斷服務攻擊。 當遭入侵的資源是負載平衡器或應用程式閘道時,可疑的活動可能表示後端集區(負載平衡器或應用程式閘道)中的一或多個資源遭到入侵。 根據連線量,我們相信下列IP可能是 DOS 攻擊的目標: %{Possible Victims}。 請注意,與其中一些IP的通訊可能是合法的。
MITRE 策略:影響
嚴重性:中
來自多個來源的可疑連入 RDP 網路活動
(RDP_Incoming_BF_ManyToOne)
描述:網路流量分析偵測到來自多個來源與資源 %{Compromised Host}相關聯的 %{Victim IP}的異常連入遠端桌面通訊協定 (RDP) 通訊。 當遭入侵的資源是負載平衡器或應用程式閘道時,可疑的連入流量已轉送至後端集區中一或多個資源(負載平衡器或應用程式網關)。 具體而言,取樣的網路數據會顯示 %{攻擊IP數目} 連線到您資源的唯一IP,這在此環境中被視為異常。 此活動可能表示嘗試從多部主機 (Botnet) 暴力密碼破解 RDP 端點。
MITRE 策略:P reAttack
嚴重性:中
可疑的連入 RDP 網路活動
(RDP_Incoming_BF_OneToOne)
描述:網路流量分析偵測到來自 %{Attacker IP} 的資源 %{Compromised Host}與 %{Victim IP}相關聯的異常連入遠端桌面通訊協定 (RDP) 通訊。 當遭入侵的資源是負載平衡器或應用程式閘道時,可疑的連入流量已轉送至後端集區中一或多個資源(負載平衡器或應用程式網關)。 具體而言,取樣的網路數據會顯示 %{連線 ions} 連入資源的連線數目,這在此環境中被視為異常。 此活動可能表示嘗試暴力密碼破解 RDP 端點
MITRE 策略:P reAttack
嚴重性:中
來自多個來源的可疑連入 SSH 網路活動
(SSH_Incoming_BF_ManyToOne)
描述:網路流量分析偵測到來自多個來源的 %{Victim IP}與資源 %{Compromised Host}相關聯的異常連入 SSH 通訊。 當遭入侵的資源是負載平衡器或應用程式閘道時,可疑的連入流量已轉送至後端集區中一或多個資源(負載平衡器或應用程式網關)。 具體而言,取樣的網路數據會顯示 %{攻擊IP數目} 連線到您資源的唯一IP,這在此環境中被視為異常。 此活動可能表示嘗試從多部主機強制執行 SSH 端點 (Botnet)
MITRE 策略:P reAttack
嚴重性:中
可疑的連入 SSH 網路活動
(SSH_Incoming_BF_OneToOne)
描述:網路流量分析偵測到 %{Victim IP}與資源 %{Compromised Host}相關聯的異常連入 SSH 通訊,來自 %{Attacker IP}。 當遭入侵的資源是負載平衡器或應用程式閘道時,可疑的連入流量已轉送至後端集區中一或多個資源(負載平衡器或應用程式網關)。 具體而言,取樣的網路數據會顯示 %{連線 ions} 連入資源的連線數目,這在此環境中被視為異常。 此活動可能表示嘗試對您的 SSH 端點進行暴力密碼破解
MITRE 策略:P reAttack
嚴重性:中
偵測到可疑的傳出 %{攻擊通訊協定} 流量
(PortScanning)
描述:網路流量分析偵測到從 %{Compromised Host} 到目的地埠 %{最常見的埠}的可疑連出流量。 當遭入侵的資源是負載平衡器或應用程式閘道時,可疑的連出流量已源自後端集區(負載平衡器或應用程式網關的一或多個資源)。 此行為可能表示您的資源正在參與 %{攻擊通訊協定} 暴力密碼破解嘗試或埠掃掠攻擊。
MITRE 策略:探索
嚴重性:中
多個目的地的可疑連出 RDP 網路活動
(RDP_Outgoing_BF_OneToMany)
描述:網路流量分析偵測到來自您部署中資源 %{Compromised Host} (%{Attacker IP}) 的多個目的地的異常連出遠端桌面通訊協定 (RDP) 通訊。 當遭入侵的資源是負載平衡器或應用程式閘道時,可疑的連出流量已源自後端集區(負載平衡器或應用程式網關的一或多個資源)。 具體來說,取樣的網路數據會顯示連線到 %{攻擊IP數目} 的唯一IP的電腦,這在此環境中被視為異常。 此活動可能表示您的資源遭到入侵,且現在用來暴力破解外部 RDP 端點。 請注意,這種類型的活動可能會導致您的IP被外部實體標示為惡意。
MITRE 策略:探索
嚴重性:高
可疑的連出 RDP 網路活動
(RDP_Outgoing_BF_OneToOne)
描述:網路流量分析偵測到來自您部署中資源 %{Compromised Host} 的 %{Victim IP} 的異常連出遠端桌面通訊協定 (RDP) 通訊。 當遭入侵的資源是負載平衡器或應用程式閘道時,可疑的連出流量已源自後端集區(負載平衡器或應用程式網關的一或多個資源)。 具體而言,取樣的網路數據會顯示來自您資源的 %{連線 ions} 傳出連線數目,這在此環境中被視為異常。 此活動可能表示您的電腦遭到入侵,且現在用來暴力破解外部 RDP 端點。 請注意,這種類型的活動可能會導致您的IP被外部實體標示為惡意。
MITRE 策略:橫向移動
嚴重性:高
對多個目的地的可疑連出SSH網路活動
(SSH_Outgoing_BF_OneToMany)
描述:網路流量分析偵測到來自您部署中資源 %{Compromised Host} (%{Attacker IP}) 的多個目的地異常連出 SSH 通訊。 當遭入侵的資源是負載平衡器或應用程式閘道時,可疑的連出流量已源自後端集區(負載平衡器或應用程式網關的一或多個資源)。 具體來說,取樣的網路數據會顯示連線到 %{攻擊IP數目} 的唯一IP的資源,這在此環境中被視為異常。 此活動可能表示您的資源遭到入侵,且現在用來暴力破解外部 SSH 端點。 請注意,這種類型的活動可能會導致您的IP被外部實體標示為惡意。
MITRE 策略:探索
嚴重性:中
可疑的連出SSH網路活動
(SSH_Outgoing_BF_OneToOne)
描述:網路流量分析偵測到來自部署中資源 %{Compromised Host} 的 %{Victim IP} 異常連出 SSH 通訊。 當遭入侵的資源是負載平衡器或應用程式閘道時,可疑的連出流量已源自後端集區(負載平衡器或應用程式網關的一或多個資源)。 具體而言,取樣的網路數據會顯示來自您資源的 %{連線 ions} 傳出連線數目,這在此環境中被視為異常。 此活動可能表示您的資源遭到入侵,且現在用來暴力破解外部 SSH 端點。 請注意,這種類型的活動可能會導致您的IP被外部實體標示為惡意。
MITRE 策略:橫向移動
嚴重性:中
從建議封鎖的IP位址偵測到的流量
(Network_TrafficFromUnrecommendedIP)
描述:適用於雲端的 Microsoft Defender 偵測到來自建議封鎖IP位址的輸入流量。 此 IP 位址不會定期與此資源通訊時,通常會發生這種情況。 或者,IP 位址已被 適用於雲端的 Defender 的威脅情報來源標示為惡意。
MITRE 策略:探查
嚴重性:資訊
Azure 金鑰保存庫 的警示
從可疑IP位址存取金鑰保存庫
(KV_SuspiciousIPAccess)
描述:Microsoft 威脅情報識別為可疑IP位址的IP已成功存取密鑰保存庫。 這可能表示您的基礎結構已遭入侵。 我們建議進一步調查。 深入瞭解 Microsoft 的威脅情報功能。
MITRE 策略:認證存取
嚴重性:中
從 TOR 結束節點存取金鑰保存庫
(KV_TORAccess)
描述:已從已知的 TOR 結束節點存取金鑰保存庫。 這可能表示威脅執行者已存取金鑰保存庫,並使用 TOR 網路來隱藏其來源位置。 我們建議進一步調查。
MITRE 策略:認證存取
嚴重性:中
金鑰保存庫中的大量作業
(KV_OperationVolumeAnomaly)
描述:用戶、服務主體和/或特定密鑰保存庫執行了異常數目的密鑰保存庫作業。 此異常活動模式可能是合法的,但可能是表示威脅執行者已取得金鑰保存庫及其內含秘密的存取權。 我們建議進一步調查。
MITRE 策略:認證存取
嚴重性:中
金鑰保存庫中的可疑原則變更和秘密查詢
(KV_PutGetAnomaly)
描述:用戶或服務主體已執行異常保存庫放置原則變更作業,後面接著一或多個秘密取得作業。 此模式通常不是由指定的用戶或服務主體執行。 這可能是合法的活動,但可能是威脅執行者已更新密鑰保存庫原則,以存取先前無法存取的秘密。 我們建議進一步調查。
MITRE 策略:認證存取
嚴重性:中
金鑰保存庫中的可疑秘密清單和查詢
(KV_ListGetAnomaly)
描述:用戶或服務主體已執行異常秘密清單作業,後面接著一或多個秘密取得作業。 此模式通常不是由指定的使用者或服務主體執行,通常與秘密傾印相關聯。 這可能是合法的活動,但可能是表示威脅執行者已取得密鑰保存庫的存取權,並嘗試探索可用來橫向透過網路移動的秘密,並/或取得敏感性資源的存取權。 我們建議進一步調查。
MITRE 策略:認證存取
嚴重性:中
異常拒絕存取 - 使用者存取大量密鑰保存庫遭到拒絕
(KV_AccountVolumeAccessDeniedAnomaly)
描述:用戶或服務主體在過去 24 小時內嘗試存取異常大量的密鑰保存庫。 此異常存取模式可能是合法的活動。 雖然此嘗試失敗,但可能是可能嘗試取得密鑰保存庫及其內含秘密的嘗試。 我們建議進一步調查。
MITRE 策略:探索
嚴重性:低
異常存取遭拒 - 異常使用者存取密鑰保存庫遭拒
(KV_UserAccessDeniedAnomaly)
描述:未正常存取金鑰保存庫的用戶嘗試存取金鑰保存庫,此異常存取模式可能是合法的活動。 雖然此嘗試失敗,但可能是可能嘗試取得密鑰保存庫及其內含秘密的嘗試。
MITRE 策略:初始存取、探索
嚴重性:低
不尋常的應用程式存取金鑰保存庫
(KV_AppAnomaly)
描述:通常無法存取金鑰保存庫的服務主體已存取金鑰保存庫。 此異常存取模式可能是合法的活動,但可能表示威脅執行者已取得密鑰保存庫的存取權,以嘗試存取其內含的秘密。 我們建議進一步調查。
MITRE 策略:認證存取
嚴重性:中
金鑰保存庫中不尋常的作業模式
(KV_OperationPatternAnomaly)
描述:金鑰保存庫作業的異常模式是由用戶、服務主體和/或特定密鑰保存庫所執行。 此異常活動模式可能是合法的,但可能是表示威脅執行者已取得金鑰保存庫及其內含秘密的存取權。 我們建議進一步調查。
MITRE 策略:認證存取
嚴重性:中
不尋常的使用者存取金鑰保存庫
(KV_UserAnomaly)
描述:使用者已存取密鑰保存庫,而該保存庫通常無法加以存取。 此異常存取模式可能是合法的活動,但可能表示威脅執行者已取得密鑰保存庫的存取權,以嘗試存取其內含的秘密。 我們建議進一步調查。
MITRE 策略:認證存取
嚴重性:中
不尋常的使用者應用程式組存取金鑰保存庫
(KV_UserAppAnomaly)
描述:使用者服務主體組已存取密鑰保存庫,但通常無法存取密鑰保存庫。 此異常存取模式可能是合法的活動,但可能表示威脅執行者已取得密鑰保存庫的存取權,以嘗試存取其內含的秘密。 我們建議進一步調查。
MITRE 策略:認證存取
嚴重性:中
使用者存取大量金鑰保存庫
(KV_AccountVolumeAnomaly)
描述:用戶或服務主體已存取異常大量的密鑰保存庫。 此異常存取模式可能是合法的活動,但可能表示威脅執行者已取得多個密鑰保存庫的存取權,以嘗試存取其內含的秘密。 我們建議進一步調查。
MITRE 策略:認證存取
嚴重性:中
拒絕從可疑IP存取金鑰保存庫
(KV_SuspiciousIPAccessDenied)
描述:Microsoft 威脅情報已識別為可疑IP位址的IP嘗試密鑰保存庫存取失敗。 雖然此嘗試失敗,但表示您的基礎結構可能已遭入侵。 我們建議進一步調查。
MITRE 策略:認證存取
嚴重性:低
從可疑 IP 異常存取金鑰儲存函式庫 (非 Microsoft 或外部)
(KV_UnusualAccessSuspiciousIP)
描述:過去 24 小時內,用戶或服務主體已嘗試從非 Microsoft IP 對金鑰保存庫進行異常存取。 此異常存取模式可能是合法的活動。 這可能表示可能嘗試取得金鑰保存庫及其內含秘密的存取權。 我們建議進一步調查。
MITRE 策略:認證存取
嚴重性:中
Azure DDoS 保護的警示
偵測到公用IP的 DDoS 攻擊
(NETWORK_DDOS_DETECTED)
描述:針對公用IP(IP位址)偵測到的 DDoS 攻擊,並降低風險。
MITRE 策略:探查
嚴重性:高
已降低公用IP的 DDoS 攻擊
(NETWORK_DDOS_MITIGATED)
描述:已降低公用IP的 DDoS 攻擊 (IP 位址)。
MITRE 策略:探查
嚴重性:低
適用於 API 的 Defender 警示
API 端點的可疑母體層級尖峰
(API_PopulationSpikeInAPITraffic)
描述:在其中一個 API 端點偵測到 API 流量的可疑尖峰。 偵測系統會使用歷程記錄流量模式來建立所有IP與端點之間的例行API流量流量基準,而每個狀態代碼的API流量專用基準(例如200成功)。 偵測系統標示出此基準的異常偏差,導致偵測可疑活動。
MITRE 策略:影響
嚴重性:中
從單一IP位址到 API 端點的 API 流量可疑尖峰
(API_SpikeInAPITraffic)
描述:從用戶端 IP 到 API 端點偵測到 API 流量的可疑尖峰。 偵測系統會使用歷程記錄流量模式,為來自特定IP到端點的端點建立例行API流量磁碟區的基準。 偵測系統標示出此基準的異常偏差,導致偵測可疑活動。
MITRE 策略:影響
嚴重性:中
單一IP位址與 API 端點之間傳輸的異常大型響應承載
(API_SpikeInPayload)
描述:針對單一IP與其中一個 API 端點之間的流量,觀察到 API 回應承載大小的可疑尖峰。 根據過去 30 天的歷史流量模式,適用於 API 的 Defender 會學習基準,代表特定 IP 和 API 端點之間的一般 API 回應承載大小。 學習的基準是針對每個狀態代碼的 API 流量所特有(例如 200 成功)。 已觸發警示,因為 API 回應承載大小明顯偏離歷史基準。
MITRE 策略:初始存取
嚴重性:中
單一IP位址與 API 端點之間傳輸的異常大型要求主體
(API_SpikeInPayload)
描述:針對單一IP與其中一個 API 端點之間的流量,觀察到 API 要求主體大小的可疑尖峰。 根據過去 30 天的歷史流量模式,適用於 API 的 Defender 會學習基準,代表特定 IP 與 API 端點之間的一般 API 要求主體大小。 學習的基準是針對每個狀態代碼的 API 流量所特有(例如 200 成功)。 已觸發警示,因為 API 要求大小明顯偏離歷史基準。
MITRE 策略:初始存取
嚴重性:中
(預覽)單一IP位址與 API 端點之間流量的可疑延遲尖峰
(API_SpikeInLatency)
描述:觀察到單一IP與其中一個API端點之間流量的可疑延遲尖峰。 根據過去 30 天的歷史流量模式,適用於 API 的 Defender 會瞭解一個基準,代表特定 IP 與 API 端點之間的例行 API 流量延遲。 學習的基準是針對每個狀態代碼的 API 流量所特有(例如 200 成功)。 已觸發警示,因為 API 呼叫延遲明顯偏離歷史基準。
MITRE 策略:初始存取
嚴重性:中
API 要求從單一IP位址噴洒到異常大量的不同 API 端點
(API_SprayInRequests)
描述:觀察到單一IP對異常大量的不同端點進行API呼叫。 根據過去 30 天的歷史流量模式,適用於 API 的 Defender 會學習基準,代表單一 IP 跨 20 分鐘時段呼叫的一般相異端點數目。 警示已觸發,因為單一IP的行為與歷史基準明顯偏離。
MITRE 策略:探索
嚴重性:中
API 端點上的參數列舉
(API_ParameterEnumeration)
描述:存取其中一個 API 端點時,觀察到列舉參數的單一 IP。 根據過去 30 天的歷史流量模式,適用於 API 的 Defender 會學習基準,代表單一 IP 在跨 20 分鐘時段存取此端點時所使用的一般相異參數值數目。 已觸發警示,因為單一用戶端 IP 最近會使用異常大量的相異參數值來存取端點。
MITRE 策略:初始存取
嚴重性:中
API 端點上的分散式參數列舉
(API_DistributedParameterEnumeration)
描述:存取其中一個 API 端點時,觀察到匯總使用者母體擴展 (所有 IP) 列舉參數。 根據過去 30 天的歷史流量模式,適用於 API 的 Defender 會學習基準,代表使用者母體擴展 (所有 IP) 在存取 20 分鐘時段時所使用的一般相異參數值數目。 已觸發警示,因為使用者母體最近會使用異常大量的相異參數值來存取端點。
MITRE 策略:初始存取
嚴重性:中
API 呼叫中具有異常數據類型的參數值
(API_UnseenParamType)
描述:觀察到單一IP存取您的其中一個API端點,並使用低機率數據類型的參數值(例如字串、整數等)。 根據過去 30 天的歷史流量模式,適用於 API 的 Defender 會瞭解每個 API 參數的預期數據類型。 已觸發警示,因為IP最近使用先前的低機率數據類型做為參數輸入來存取端點。
MITRE 策略:影響
嚴重性:中
先前在 API 呼叫中使用的看不見參數
(API_UnseenParam)
描述:觀察到單一IP會使用要求中先前未見或超出界限的參數來存取其中一個API端點。 根據過去 30 天的歷史流量模式,適用於 API 的 Defender 會學習一組與端點呼叫相關聯的預期參數。 已觸發警示,因為IP最近使用先前看不見的參數存取端點。
MITRE 策略:影響
嚴重性:中
從 Tor 結束節點存取 API 端點
(API_AccessFromTorExitNode)
描述:來自 Tor 網路的 IP 位址已存取您的其中一個 API 端點。 Tor 是一種網路,可讓使用者存取因特網,同時隱藏其真正的 IP。 雖然有合法的用途,但攻擊者在在線鎖定人員系統時,經常會使用來隱藏其身分識別。
MITRE 策略:攻擊前
嚴重性:中
來自可疑IP的 API 端點存取
(API_AccessFromSuspiciousIP)
描述:存取其中一個 API 端點的 IP 位址已由 Microsoft 威脅情報識別為高機率的威脅。 在觀察惡意因特網流量時,此IP涉及攻擊其他在線目標。
MITRE 策略:攻擊前
嚴重性:高
偵測到可疑的使用者代理程式
(API_AccessFromSuspiciousUserAgent)
描述:存取其中一個 API 端點之要求的使用者代理程式包含異常值,表示嘗試遠端程式代碼執行。 這並不表示您的任何 API 端點都遭到入侵,但確實表示嘗試的攻擊正在進行中。
MITRE 策略:執行
嚴重性:中
已淘汰適用於容器的 Defender 警示
下列清單包含已淘汰的適用於容器的Defender安全性警示。
偵測到主機防火牆的操作
(K8S.NODE_FirewallDisabled)
描述:分析在容器內或直接在 Kubernetes 節點上執行的進程,偵測到主機上防火牆的可能操作。 攻擊者通常會停用此功能以外泄數據。
MITRE 策略:D efenseEvasion、外洩
嚴重性:中
透過 HTTPS 可疑使用 DNS
(K8S.NODE_SuspiciousDNSOverHttps)
描述:分析在容器內或直接在 Kubernetes 節點上執行的進程,以不常見的方式偵測到使用透過 HTTPS 的 DNS 呼叫。 攻擊者會使用這項技術來隱藏對可疑或惡意網站的呼叫。
MITRE 策略:D efenseEvasion、外洩
嚴重性:中
偵測到與惡意位置的可能連線。
(K8S.NODE_ThreatIntelCommandLineSuspectDomain)
描述:分析在容器內或直接在 Kubernetes 節點上執行的進程,偵測到已回報為惡意或不尋常的位置的連線。 這是可能已發生入侵的指標。
MITRE 策略:InitialAccess
嚴重性:中
數字資產採礦活動
(K8S.NODE_CurrencyMining)
描述:偵測到的 DNS 交易分析數位貨幣採礦活動。 這類活動雖然可能是合法的用戶行為,但攻擊者通常會在資源遭到入侵後執行。 一般相關的攻擊者活動可能會包含下載和執行常見的採礦工具。
MITRE 策略:外洩
嚴重性:低
適用於伺服器的 Defender Linux 警示已被取代
VM_AbnormalDaemonTermination
警示顯示名稱:異常終止
嚴重性:低
VM_BinaryGeneratedFromCommandLine
警示顯示名稱:偵測到可疑的二進位檔
嚴重性:中
VM_CommandlineSuspectDomain可疑
警示顯示名稱:功能變數名稱參考
嚴重性:低
VM_CommonBot
警示顯示名稱:偵測到的類似常見Linux Bot的行為
嚴重性:中
VM_CompCommonBots
警示顯示名稱:偵測到類似常見Linux Bot的命令
嚴重性:中
VM_CompSuspiciousScript
警示顯示名稱:偵測到殼層腳本
嚴重性:中
VM_CompTestRule
警示顯示名稱:複合分析測試警示
嚴重性:低
VM_CronJobAccess
警示顯示名稱:偵測到排程工作的操作
嚴重性:資訊
VM_CryptoCoinMinerArtifacts
警示顯示名稱:偵測到與數位簽名採礦相關聯的程式
嚴重性:中
VM_CryptoCoinMinerDownload
警示顯示名稱:偵測到可能的 Cryptocrminer 下載
嚴重性:中
VM_CryptoCoinMinerExecution
警示顯示名稱:潛在加密硬幣礦工已開始
嚴重性:中
VM_DataEgressArtifacts
警示顯示名稱:偵測到可能的數據外流
嚴重性:中
VM_DigitalCurrencyMining
警示顯示名稱:偵測到數位貨幣採礦相關行為
嚴重性:高
VM_DownloadAndRunCombo
警示顯示名稱:可疑的下載,然後執行活動
嚴重性:中
VM_EICAR
警示顯示名稱:適用於雲端的 Microsoft Defender 測試警示(不是威脅)
嚴重性:高
VM_ExecuteHiddenFile
警示顯示名稱:執行隱藏檔案
嚴重性:資訊
VM_ExploitAttempt
警示顯示名稱:可能的命令行惡意探索嘗試
嚴重性:中
VM_ExposedDocker
警示顯示名稱:TCP 套接字上公開的 Docker 精靈
嚴重性:中
VM_FairwareMalware
警示顯示名稱:偵測到與 Fairware 勒索軟體類似的行為
嚴重性:中
VM_FirewallDisabled
警示顯示名稱:偵測到主機防火牆的操作
嚴重性:中
VM_HadoopYarnExploit
警示顯示名稱:可能惡意探索Hadoop Yarn
嚴重性:中
VM_HistoryFileCleared
警示顯示名稱:已清除歷程記錄檔
嚴重性:中
VM_KnownLinuxAttackTool
警示顯示名稱:偵測到可能的攻擊工具
嚴重性:中
VM_KnownLinuxCredentialAccessTool
警示顯示名稱:偵測到可能的認證存取工具
嚴重性:中
VM_KnownLinuxDDoSToolkit
警示顯示名稱:偵測到與 DDOS 工具組相關聯的指標
嚴重性:中
VM_KnownLinuxScreenshotTool
警示顯示名稱:主機上拍攝的螢幕快照
嚴重性:低
VM_LinuxBackdoorArtifact
警示顯示名稱:偵測到可能的後門
嚴重性:中
VM_LinuxReconnaissance
警示顯示名稱:偵測到本機主機偵察
嚴重性:中
VM_MismatchedScriptFeatures
警示顯示名稱:偵測到腳本延伸模組不符
嚴重性:中
VM_MitreCalderaTools
警示顯示名稱:偵測到 MITRE Caldera 代理程式
嚴重性:中
VM_NewSingleUserModeStartupScript
警示顯示名稱:偵測到持續性嘗試
嚴重性:中
VM_NewSudoerAccount
警示顯示名稱:新增至sudo群組的帳戶
嚴重性:低
VM_OverridingCommonFiles
警示顯示名稱:可能覆寫一般檔案
嚴重性:中
VM_PrivilegedContainerArtifacts
警示顯示名稱:以特殊許可權模式執行的容器
嚴重性:低
VM_PrivilegedExecutionInContainer
警示顯示名稱:以高許可權執行之容器內的命令
嚴重性:低
VM_ReadingHistoryFile
警示顯示名稱:Bash歷程記錄檔案的異常存取
嚴重性:資訊
VM_ReverseShell
警示顯示名稱:偵測到潛在的反向殼層
嚴重性:中
VM_SshKeyAccess
警示顯示名稱:以不尋常的方式存取 SSH 授權金鑰檔案的程式
嚴重性:低
VM_SshKeyAddition
警示顯示名稱:新增 SSH 金鑰
嚴重性:低
VM_SuspectCompilation
警示顯示名稱:偵測到可疑編譯
嚴重性:中
VM_Suspect連線 ion
警示顯示名稱:偵測到不常見的連線嘗試
嚴重性:中
VM_SuspectDownload
警示顯示名稱:偵測到從已知惡意來源下載的檔案
嚴重性:中
VM_SuspectDownloadArtifacts
警示顯示名稱:偵測到可疑的檔案下載
嚴重性:低
VM_SuspectExecutablePath
警示顯示名稱:從可疑位置找到執行的可執行檔
嚴重性:中
VM_SuspectHtaccessFileAccess
警示顯示名稱:偵測到 htaccess 檔案的存取
嚴重性:中
VM_SuspectInitialShellCommand
警示顯示名稱:殼層中的可疑第一個命令
嚴重性:低
VM_SuspectMixedCaseText
警示顯示名稱:偵測到命令行中大寫和小寫字元的異常混合
嚴重性:中
VM_SuspectNetwork連線 ion
警示顯示名稱:可疑的網路連線
嚴重性:資訊
VM_SuspectNohup
警示顯示名稱:偵測到可疑使用 nohup 命令
嚴重性:中
VM_SuspectPasswordChange
警示顯示名稱:偵測到使用 crypt-method 偵測到的可能密碼變更
嚴重性:中
VM_SuspectPasswordFileAccess
警示顯示名稱:可疑的密碼存取
嚴重性:資訊
VM_SuspectPhp
警示顯示名稱:偵測到可疑的 PHP 執行
嚴重性:中
VM_SuspectPortForwarding
警示顯示名稱:潛在的埠轉送至外部IP位址
嚴重性:中
VM_SuspectProcessAccountPrivilegeCombo
警示顯示名稱:服務帳戶中執行的進程意外變成根目錄
嚴重性:中
VM_SuspectProcessTermination
警示顯示名稱:偵測到安全性相關進程終止
嚴重性:低
VM_SuspectUserAddition
警示顯示名稱:偵測到可疑使用useradd命令
嚴重性:中
VM_SuspiciousCommandLineExecution
警示顯示名稱:可疑的命令執行
嚴重性:高
VM_SuspiciousDNSOverHttps
警示顯示名稱:透過 HTTPS 可疑使用 DNS
嚴重性:中
VM_SystemLogRemoval
警示顯示名稱:偵測到可能的記錄竄改活動
嚴重性:中
VM_ThreatIntelCommandLineSuspectDomain
警示顯示名稱:偵測到可能連線到惡意位置
嚴重性:中
VM_ThreatIntelSuspectLogon
警示顯示名稱:偵測到惡意IP的登入
嚴重性:高
VM_TimerServiceDisabled
警示顯示名稱:嘗試停止偵測到apt-daily-upgrade.timer服務
嚴重性:資訊
VM_TimestampTampering
警示顯示名稱:可疑的檔案時間戳修改
嚴重性:低
VM_Webshell
警示顯示名稱:偵測到可能的惡意 Web 殼層
嚴重性:中
已淘汰的適用於伺服器的Defender Windows警示
SCUBA_MULTIPLEACCOUNTCREATE
警示顯示名稱:在多部主機上可疑建立帳戶
嚴重性:中
SCUBA_PSINSIGHT_CONTEXT
警示顯示名稱:偵測到可疑的PowerShell使用
嚴重性:資訊
SCUBA_RULE_AddGuestTo管理員 istrators
警示顯示名稱:將來賓帳戶新增至本機 管理員 istrators 群組
嚴重性:中
SCUBA_RULE_Apache_Tomcat_executing_suspicious_commands
警示顯示名稱:Apache_Tomcat_executing_suspicious_commands
嚴重性:中
SCUBA_RULE_KnownBruteForcingTools
警示顯示名稱:執行可疑的進程
嚴重性:高
SCUBA_RULE_KnownCollectionTools
警示顯示名稱:執行可疑的進程
嚴重性:高
SCUBA_RULE_KnownDefenseEvasionTools
警示顯示名稱:執行可疑的進程
嚴重性:高
SCUBA_RULE_KnownExecutionTools
警示顯示名稱:執行可疑的進程
嚴重性:高
SCUBA_RULE_KnownPassTheHashTools
警示顯示名稱:執行可疑的進程
嚴重性:高
SCUBA_RULE_KnownSpammingTools
警示顯示名稱:執行可疑的進程
嚴重性:中
SCUBA_RULE_Lowering_Security_設定
警示顯示名稱:偵測到停用重要服務
嚴重性:中
SCUBA_RULE_OtherKnownHackerTools
警示顯示名稱:執行可疑的進程
嚴重性:高
SCUBA_RULE_RDP_session_hijacking_via_tscon
警示顯示名稱:可疑完整性層級,表示 RDP 劫持
嚴重性:中
SCUBA_RULE_RDP_session_hijacking_via_tscon_service
警示顯示名稱:可疑的服務安裝
嚴重性:中
SCUBA_RULE_Suppress_pesky_unauthorized_use_prohibited_notices
警示顯示名稱:偵測到隱藏登入時向用戶顯示的法律通知
嚴重性:低
SCUBA_RULE_WDigest_Enabling
警示顯示名稱:偵測到啟用 WDigest UseLogonCredential 登錄機碼
嚴重性:中
VM.Windows_ApplockerBypass
警示顯示名稱:可能嘗試略過偵測到的AppLocker
嚴重性:高
VM.Windows_BariumKnownSuspiciousProcessExecution
警示顯示名稱:偵測到可疑的檔案建立
嚴重性:高
VM.Windows_Base64EncodedExecutableInCommandLineParams
警示顯示名稱:在命令行數據中偵測到編碼的可執行檔
嚴重性:高
VM.Windows_CalcsCommandLineUse
警示顯示名稱:偵測到可疑的 Cacls 使用來降低系統的安全性狀態
嚴重性:中
VM.Windows_CommandLineStartingAllExe
警示顯示名稱:偵測到用來啟動目錄中所有可執行檔的可疑命令行
嚴重性:中
VM.Windows_DisablingAndDeletingIISLogFiles
警示顯示名稱:偵測到指出停用和刪除 IIS 記錄檔的動作
嚴重性:中
VM.Windows_DownloadUsingCertutil
警示顯示名稱:偵測到使用 Certutil 進行可疑下載
嚴重性:中
VM.Windows_EchoOverPipeOnLocalhost
警示顯示名稱:偵測到可疑的命名管道通訊
嚴重性:高
VM.Windows_EchoToConstructPowerShellScript
警示顯示名稱:動態PowerShell腳本建構
嚴重性:中
VM.Windows_ExecutableDecodedUsingCertutil
警示顯示名稱:使用內建certutil.exe工具偵測到可執行文件譯碼
嚴重性:中
VM.Windows_FileDeletionIsSospisiousLocation
警示顯示名稱:偵測到可疑的檔案刪除
嚴重性:中
VM.Windows_KerberosGoldenTicketAttack
警示顯示名稱:觀察到可疑的 Kerberos 黃金票證攻擊參數
嚴重性:中
VM.Windows_KeygenToolKnownProcessName
警示顯示名稱:偵測到執行keygen可執行檔的可能執行可疑進程
嚴重性:中
VM.Windows_KnownCredentialAccessTools
警示顯示名稱:執行可疑的進程
嚴重性:高
VM.Windows_KnownSuspiciousPowerShellScript
警示顯示名稱:偵測到可疑的PowerShell使用
嚴重性:高
VM.Windows_KnownSuspiciousSoftwareInstallation
警示顯示名稱:偵測到高風險軟體
嚴重性:中
VM.Windows_MsHtaAndPowerShellCombination
警示顯示名稱:偵測到 HTA 和 PowerShell 的可疑組合
嚴重性:中
VM.Windows_MultipleAccountsQuery
警示顯示名稱:查詢多個網域帳戶
嚴重性:中
VM.Windows_NewAccountCreation
警示顯示名稱:偵測到帳戶建立
嚴重性:資訊
VM.Windows_ObfuscatedCommandLine
警示顯示名稱:偵測到模糊化的命令行。
嚴重性:高
VM.Windows_PcaluaUseToLaunchExecutable
警示顯示名稱:偵測到可疑的Pcalua.exe來啟動可執行程序代碼
嚴重性:中
VM.Windows_PetyaRansomware
警示顯示名稱:偵測到 Petya 勒索軟體指標
嚴重性:高
VM.Windows_PowerShellPowerSploitScriptExecution
警示顯示名稱:執行可疑的PowerShell Cmdlet
嚴重性:中
VM.Windows_RansomwareIndication
警示顯示名稱:偵測到勒索軟體指標
嚴重性:高
VM.Windows_SqlDumperUsedSuspiciously
警示顯示名稱:偵測到可能的認證傾印 [看到多次]
嚴重性:中
VM.Windows_StopCriticalServices
警示顯示名稱:偵測到停用重要服務
嚴重性:中
VM.Windows_SubvertingAccessibilityBinary
警示顯示名稱:偵測到黏性密鑰攻擊偵測到可疑帳戶建立偵測到中
VM.Windows_SuspiciousAccountCreation
警示顯示名稱:偵測到可疑的帳戶建立
嚴重性:中
VM.Windows_SuspiciousFirewallRuleAdded
警示顯示名稱:偵測到可疑的新防火牆規則
嚴重性:中
VM.Windows_SuspiciousFTPSSwitchUsage
警示顯示名稱:偵測到可疑的 FTP -s 參數使用
嚴重性:中
VM.Windows_SuspiciousSQLActivity
警示顯示名稱:可疑的 SQL 活動
嚴重性:中
VM.Windows_SVCHostFromInvalidPath
警示顯示名稱:執行可疑的進程
嚴重性:高
VM.Windows_SystemEventLogCleared
警示顯示名稱:已清除 Windows 安全性 記錄
嚴重性:資訊
VM.Windows_TelegramInstallation
警示顯示名稱:偵測到可能可疑使用Telegram工具
嚴重性:中
VM.Windows_UndercoverProcess
警示顯示名稱:偵測到可疑的具名進程
嚴重性:高
VM.Windows_UserAccountControlBypass
警示顯示名稱:偵測到可能濫用以略過 UAC 的登錄機碼變更
嚴重性:中
VM.Windows_VBScriptEncoding
警示顯示名稱:偵測到 VBScript.Encode 命令的可疑執行
嚴重性:中
VM.Windows_WindowPositionRegisteryChange
警示顯示名稱:偵測到可疑的 WindowPosition 登錄值
嚴重性:低
VM.Windows_ZincPortOpenningUsingFirewallRule
警示顯示名稱:由 ZINC 伺服器植入所建立的惡意防火牆規則
嚴重性:高
VM_DigitalCurrencyMining
警示顯示名稱:偵測到數位貨幣採礦相關行為
嚴重性:高
VM_MaliciousSQLActivity
警示顯示名稱:惡意 SQL 活動
嚴重性:高
VM_ProcessWithDoubleExtensionExecution
警示顯示名稱:執行可疑的雙擴展名檔案
嚴重性:高
VM_RegistryPersistencyKey
警示顯示名稱:偵測到 Windows 登錄持續性方法
嚴重性:低
VM_ShadowCopyDeletion
警示顯示名稱:從可疑位置執行的可疑磁碟區陰影複製活動可執行檔
嚴重性:高
VM_SuspectExecutablePath
警示顯示名稱:從可疑位置找到執行的可執行檔偵測到命令行中大寫和小寫字元的異常混合
嚴重性:資訊
中
VM_SuspectPhp
警示顯示名稱:偵測到可疑的 PHP 執行
嚴重性:中
VM_SuspiciousCommandLineExecution
警示顯示名稱:可疑的命令執行
嚴重性:高
VM_SuspiciousScreenSaverExecution
警示顯示名稱:執行可疑的 Screensaver 進程
嚴重性:中
VM_SvcHostRunInRareServiceGroup
警示顯示名稱:執行罕見的SVCHOST服務群組
嚴重性:資訊
VM_SystemProcessInAbnormalContext
警示顯示名稱:執行可疑的系統進程
嚴重性:中
VM_ThreatIntelCommandLineSuspectDomain
警示顯示名稱:偵測到可能連線到惡意位置
嚴重性:中
VM_ThreatIntelSuspectLogon
警示顯示名稱:偵測到惡意IP的登入
嚴重性:高
VM_VbScriptHttpObjectAllocation
警示顯示名稱:偵測到 VBScript HTTP 物件配置
嚴重性:高
VM_TaskkillBurst
警示顯示名稱:可疑的進程終止高載
嚴重性:低
VM_RunByPsExec
警示顯示名稱:偵測到 PsExec 執行
嚴重性:資訊
MITRE ATT&CK 策略
了解攻擊目的可以協助您更容易調查和報告事件。 為了協助解決這些問題,適用於雲端的 Microsoft Defender 警示包含 MITRE 策略與許多警示。
描述從偵察到資料外流之網路攻擊進展的一系列步驟,通常稱為「終止鏈結」。
適用於雲端的 Defender 支援的終止鏈結意圖是以 MITRE ATT&CK 矩陣的第 9 版為基礎,如下表所述。
| 策略 | ATT&CK 版本 | 描述 |
|---|---|---|
| PreAttack | PreAttack 可能是嘗試存取特定資源,不論惡意意圖為何,或嘗試取得目標系統的存取權,以在惡意探索之前收集資訊。 此步驟通常會被偵測為來自網路外部的嘗試,目的是掃描目標系統並識別進入點。 | |
| 初始存取 | V7、V9 | 初始存取是攻擊者設法取得受攻擊資源立足點的階段。 此階段有關計算主機和資源,例如使用者帳戶和憑證等。威脅執行者通常可在此階段後控制資源。 |
| 持續性 | V7、V9 | 持續性是系統的任何存取、動作或設定變更,可讓威脅行為者在該系統上持續存在。 威脅行為者通常需要透過中斷 (例如系統重新啟動、認證遺失或其他可能需要重新啟動遠端存取工具的失敗情況) 來維持對系統的存取權,或提供替代的後門程式讓他們重新取得存取權。 |
| 權限提升 | V7、V9 | 權限提升是允許敵人在系統或網路上取得較高層級權限的動作結果。 特定工具或動作需要較高層級的權限才能正常運作,而且在整個作業的許多點上都有此必要。 有權存取特定系統的用戶帳戶,或執行敵人達成其目標所需的特定功能,也可能會被視為提升許可權。 |
| 防禦逃避 | V7、V9 | 防禦逃避是由敵人可用來逃避偵測或避免其他防禦的技術所組成。 有時候,這些動作與其他類別中的 (或各種不同的) 技術相同,都具有破壞特定防禦或緩和措施的附加優點。 |
| 認證存取 | V7、V9 | 認證存取代表導致存取或控制企業環境中所使用的系統、網域或服務認證的技術。 敵人可能會嘗試從使用者或管理員帳戶 (具有管理員存取權的本機系統管理員或網域使用者) 取得合法的認證,以在網路中使用。 有了足夠的網路存取權,敵人就可以建立帳戶以便稍後在環境中使用。 |
| 探索 | V7、V9 | 探索包含可讓敵人掌握系統和內部網路相關知識的技術。 當敵人獲得新系統的存取權時,他們必須把自己導向到他們現在擁有控制權的內容,以及從該系統操作的好處,在入侵期間給予他們目前的目標或整體目標。 作業系統提供許多原生工具,有助於此入侵後的資訊收集階段。 |
| LateralMovement | V7、V9 | 橫向移動是由技術所組成,可讓敵人存取和控制網路上的遠端系統,而且不一定包括遠端系統上的工具執行。 橫向移動技術讓敵人不需其他工具,例如遠端存取工具,即可透過系統收集資訊。 敵人可以針對許多用途使用橫向移動,包括遠端執行工具、樞紐至更多系統、存取特定資訊或檔案、存取更多認證或造成效果。 |
| 執行 | V7、V9 | 執行策略代表會導致在本機或遠端系統上執行受敵人控制之程式碼的技術。 此策略通常與橫向移動搭配使用,以擴充網路上遠端系統的存取權。 |
| 集合 | V7、V9 | 集合包含的技術,可在資料外流之前,用來識別並收集來自目標網路的資訊 (例如敏感性檔案)。 此類別也涵蓋攻擊者可能尋找資訊以外洩的系統或網路上的位置。 |
| 命令和控制 | V7、V9 | 命令與控制策略代表敵人在目標網路中,與其控制下系統通訊的方式。 |
| 外洩 | V7、V9 | 外流是指導致協助敵人從目標網路移除檔案和資訊的技術和性質。 此類別也涵蓋攻擊者可能尋找資訊以外洩的系統或網路上的位置。 |
| 影響 | V7、V9 | 影響事件主要嘗試直接減少系統、服務或網路的可用性或完整性;包括操作數據以影響商務或作業程式。 這通常指的是勒索軟體、竄改、資料操控和其他技術。 |
注意
針對處於預覽狀態的警示: Azure 預覽補充條款 包含適用於 Beta 版、預覽版或尚未發行至正式運作之 Azure 功能的其他法律條款。