تنبيهات الأمان - دليل مرجعي
تسرد هذه المقالة تنبيهات الأمان التي قد تتلقاها من Microsoft Defender for Cloud وأي خطط Microsoft Defender قمت بتمكينها. تعتمد التنبيهات المعروضة في بيئتك على الموارد والخدمات التي تحميها، بالإضافة إلى التكوين المخصص.
في أسفل هذه الصفحة ، يوجد جدول يصف سلسلة قتل Microsoft Defender for Cloud المحاذاة مع الإصدار 9 من مصفوفة MITRE ATTCK&.
تعرف على كيفية الرد على هذه التنبيهات.
تعرف على كيفية تصدير التنبيهات.
ملاحظة
قد تستغرق التنبيهات من مصادر مختلفة وقتاً مختلفاً للظهور. مثلاً، قد تستغرق التنبيهات التي تتطلب تحليل حركة مرور الشبكة وقتاً أطول من التنبيهات المتعلقة بالعمليات المشبوهة التي تعمل على الأجهزة الظاهرية.
تنبيهات لآلات Windows
| تنبيه (نوع التنبيه) | الوصف | تكتيكات MITRE (تعرف على المزيد) |
الخطورة |
|---|---|---|---|
| تم الكشف عن تسجيل دخول من عنوان IP ضار. [شوهد عدة مرات] | حدثت مصادقة ناجحة عن بعد للحساب [الحساب] والعملية [العملية]، ولكن تم الإبلاغ مسبقا عن عنوان IP لتسجيل الدخول (x.x.x.x) على أنه ضار أو غير عادي للغاية. من المحتمل أن يكون هجوم ناجح قد حدث. الملفات ذات امتدادات .scr هي ملفات شاشة توقف وعادة ما تكون موجودة وتنفذ من دليل النظام Windows. | - | درجة عالية |
| إضافة حساب ضيف إلى مجموعة المسؤولين المحليين | كشف تحليل بيانات المضيف عن إضافة حساب Guest مضمن إلى مجموعة المسؤولين المحليين على ٪{المضيف المخترق}، والذي يرتبط ارتباطا وثيقا بنشاط المهاجم. | - | متوسط |
| تم مسح سجل أحداث | تشير سجلات الجهاز إلى عملية مسح سجل أحداث مشبوهة بواسطة المستخدم: '٪{اسم المستخدم}' في الجهاز: '٪{CompromisedEntity}'. تم مسح سجل ٪{قناة السجل}. | - | معلوماتي |
| فشل إجراء مكافحة البرامج الضارة | واجه برنامج Microsoft Antimalware خطأ عند اتخاذ إجراء بشأن البرامج الضارة أو البرامج الأخرى التي يحتمل أن تكون غير مرغوب فيها. | - | متوسط |
| إجراءات مكافحة البرامج الضارة المتخذة | اتخذ Microsoft Antimalware for Azure إجراء لحماية هذا الجهاز من البرامج الضارة أو البرامج الأخرى التي يحتمل أن تكون غير مرغوب فيها. | - | متوسط |
| استبعاد الملفات على نطاق واسع لمكافحة البرامج الضارة في جهازك الظاهري (VM_AmBroadFilesExclusion) |
تم اكتشاف استبعاد الملفات من ملحق مكافحة البرامج الضارة مع قاعدة استبعاد واسعة في جهازك الظاهري عن طريق تحليل عمليات Azure Resource Manager في اشتراكك. هذا الاستبعاد يعطل عمليا الحماية من البرامج الضارة. قد يستبعد المهاجمون الملفات من فحص مكافحة البرامج الضارة على جهازك الظاهري لمنع اكتشافها أثناء تشغيل تعليمات برمجية عشوائية أو إصابة الجهاز ببرامج ضارة. |
- | متوسط |
| تم تعطيل مكافحة البرامج الضارة وتنفيذ التعليمات البرمجية في جهازك الظاهري (VM_AmDisablementAndCodeExecution) |
تم تعطيل برنامج مكافحة البرامج الضارة في نفس الوقت الذي تم فيه تنفيذ التعليمات البرمجية على جهازك الظاهري. تم اكتشاف ذلك من خلال تحليل عمليات Azure Resource Manager في اشتراكك. يقوم المهاجمون بتعطيل الماسحات الضوئية لمكافحة البرامج الضارة لمنع اكتشافها أثناء تشغيل أدوات غير مصرح بها أو إصابة الجهاز ببرامج ضارة. |
- | درجة عالية |
| تم تعطيل مكافحة البرامج الضارة في جهازك الظاهري (VM_AmDisablement) |
تم تعطيل مكافحة البرامج الضارة في جهازك الظاهري. تم اكتشاف ذلك من خلال تحليل عمليات Azure Resource Manager في اشتراكك. قد يقوم المهاجمون بتعطيل برنامج مكافحة البرامج الضارة على جهازك الظاهري لمنع اكتشافه. |
التهرب الدفاعي | متوسط |
| استبعاد ملفات مكافحة البرامج الضارة وتنفيذ التعليمات البرمجية في جهازك الظاهري (VM_AmFileExclusionAndCodeExecution) |
تم استبعاد الملف من الماسح الضوئي لمكافحة البرامج الضارة في نفس الوقت الذي تم فيه تنفيذ التعليمات البرمجية عبر امتداد برنامج نصي مخصص على جهازك الظاهري. تم اكتشاف ذلك من خلال تحليل عمليات Azure Resource Manager في اشتراكك. قد يستبعد المهاجمون الملفات من فحص مكافحة البرامج الضارة على جهازك الظاهري لمنع اكتشافها أثناء تشغيل أدوات غير مصرح بها أو إصابة الجهاز ببرامج ضارة. |
التهرب الدفاعي والإعدام | درجة عالية |
| استبعاد ملفات مكافحة البرامج الضارة وتنفيذ التعليمات البرمجية في جهازك الظاهري (VM_AmTempFileExclusionAndCodeExecution) |
تم اكتشاف استبعاد مؤقت للملفات من ملحق مكافحة البرامج الضارة بالتوازي مع تنفيذ التعليمات البرمجية عبر ملحق البرنامج النصي المخصص في جهازك الظاهري عن طريق تحليل عمليات Azure Resource Manager في اشتراكك. قد يستبعد المهاجمون الملفات من فحص مكافحة البرامج الضارة على جهازك الظاهري لمنع اكتشافها أثناء تشغيل تعليمات برمجية عشوائية أو إصابة الجهاز ببرامج ضارة. |
التهرب الدفاعي والإعدام | درجة عالية |
| استبعاد ملفات مكافحة البرامج الضارة في جهازك الظاهري (VM_AmTempFileExclusion) |
تم استبعاد الملف من الماسح الضوئي لمكافحة البرامج الضارة على جهازك الظاهري. تم اكتشاف ذلك من خلال تحليل عمليات Azure Resource Manager في اشتراكك. قد يستبعد المهاجمون الملفات من فحص مكافحة البرامج الضارة على جهازك الظاهري لمنع اكتشافها أثناء تشغيل أدوات غير مصرح بها أو إصابة الجهاز ببرامج ضارة. |
التهرب الدفاعي | متوسط |
| تم تعطيل الحماية من البرامج الضارة في الوقت الفعلي في جهازك الظاهري (VM_AmRealtimeProtectionDisabled) |
تم اكتشاف تعطيل الحماية في الوقت الفعلي لملحق مكافحة البرامج الضارة في جهازك الظاهري من خلال تحليل عمليات Azure Resource Manager في اشتراكك. قد يقوم المهاجمون بتعطيل الحماية في الوقت الفعلي من فحص مكافحة البرامج الضارة على جهازك الظاهري لتجنب اكتشافها أثناء تشغيل تعليمات برمجية عشوائية أو إصابة الجهاز ببرامج ضارة. |
التهرب الدفاعي | متوسط |
| تم تعطيل الحماية من البرامج الضارة في الوقت الفعلي مؤقتا في جهازك الظاهري (VM_AmTempRealtimeProtectionDisablement) |
تم الكشف عن التعطيل المؤقت للحماية في الوقت الفعلي لملحق مكافحة البرامج الضارة في جهازك الظاهري من خلال تحليل عمليات Azure Resource Manager في اشتراكك. قد يقوم المهاجمون بتعطيل الحماية في الوقت الفعلي من فحص مكافحة البرامج الضارة على جهازك الظاهري لتجنب اكتشافها أثناء تشغيل تعليمات برمجية عشوائية أو إصابة الجهاز ببرامج ضارة. |
التهرب الدفاعي | متوسط |
| تم تعطيل الحماية من البرامج الضارة في الوقت الفعلي مؤقتا أثناء تنفيذ التعليمات البرمجية في جهازك الظاهري (VM_AmRealtimeProtectionDisablementAndCodeExec) |
تم الكشف عن تعطيل مؤقت للحماية في الوقت الفعلي لملحق مكافحة البرامج الضارة بالتوازي مع تنفيذ التعليمات البرمجية عبر ملحق برنامج نصي مخصص في جهازك الظاهري عن طريق تحليل عمليات Azure Resource Manager في اشتراكك. قد يقوم المهاجمون بتعطيل الحماية في الوقت الفعلي من فحص مكافحة البرامج الضارة على جهازك الظاهري لتجنب اكتشافها أثناء تشغيل تعليمات برمجية عشوائية أو إصابة الجهاز ببرامج ضارة. |
- | درجة عالية |
| عمليات فحص مكافحة البرامج الضارة المحظورة بحثا عن الملفات التي يحتمل أن تكون ذات صلة بحملات البرامج الضارة على جهازك الظاهري (معاينة) (VM_AmMalwareCampaignRelatedExclusion) |
تم اكتشاف قاعدة استبعاد في جهازك الظاهري لمنع إضافة مكافحة البرامج الضارة من فحص ملفات معينة يشتبه في ارتباطها بحملة برامج ضارة. تم اكتشاف القاعدة من خلال تحليل عمليات Azure Resource Manager في اشتراكك. قد يستبعد المهاجمون الملفات من عمليات فحص مكافحة البرامج الضارة لمنع اكتشافها أثناء تشغيل تعليمات برمجية عشوائية أو إصابة الجهاز ببرامج ضارة. | التهرب الدفاعي | متوسط |
| تم تعطيل مكافحة البرامج الضارة مؤقتا في جهازك الظاهري (VM_AmTemporarilyDisablement) |
تم تعطيل مكافحة البرامج الضارة مؤقتا في جهازك الظاهري. تم اكتشاف ذلك من خلال تحليل عمليات Azure Resource Manager في اشتراكك. قد يقوم المهاجمون بتعطيل برنامج مكافحة البرامج الضارة على جهازك الظاهري لمنع اكتشافه. |
- | متوسط |
| استبعاد الملفات غير العادية لمكافحة البرامج الضارة في جهازك الظاهري (VM_UnusualAmFileExclusion) |
تم اكتشاف استبعاد ملف غير عادي من ملحق مكافحة البرامج الضارة في جهازك الظاهري عن طريق تحليل عمليات Azure Resource Manager في اشتراكك. قد يستبعد المهاجمون الملفات من فحص مكافحة البرامج الضارة على جهازك الظاهري لمنع اكتشافها أثناء تشغيل تعليمات برمجية عشوائية أو إصابة الجهاز ببرامج ضارة. |
التهرب الدفاعي | متوسط |
| التواصل مع المجال المشبوه الذي تم تحديده بواسطة استخبارات التهديدات (AzureDNS_ThreatIntelSuspectDomain) |
تم اكتشاف الاتصال بالمجال المشبوه من خلال تحليل معاملات DNS من موردك ومقارنتها بالمجالات الضارة المعروفة التي تم تحديدها بواسطة خلاصات معلومات التهديدات. غالبا ما يتم تنفيذ الاتصال بالنطاقات الضارة بواسطة المهاجمين وقد يعني ذلك أن موردك قد تم اختراقه. | الوصول الأولي ، المثابرة ، التنفيذ ، القيادة والسيطرة ، الاستغلال | متوسط |
| ملحق برنامج نصي مخصص مع أمر مشبوه في جهازك الظاهري (VM_CustomScriptExtensionSuspiciousCmd) |
تم اكتشاف ملحق برنامج نصي مخصص مع أمر مشبوه في جهازك الظاهري عن طريق تحليل عمليات Azure Resource Manager في اشتراكك. قد يستخدم المهاجمون ملحق برنامج نصي مخصص لتنفيذ تعليمات برمجية ضارة على جهازك الظاهري عبر Azure Resource Manager. |
التنفيذ | متوسط |
| ملحق برنامج نصي مخصص مع نقطة دخول مشبوهة في جهازك الظاهري (VM_CustomScriptExtensionSuspiciousEntryPoint) |
تم اكتشاف ملحق برنامج نصي مخصص يحتوي على نقطة دخول مشبوهة في جهازك الظاهري عن طريق تحليل عمليات Azure Resource Manager في اشتراكك. تشير نقطة الدخول إلى مستودع GitHub مشبوه. قد يستخدم المهاجمون ملحقات البرامج النصية المخصصة لتنفيذ تعليمات برمجية ضارة على أجهزتك الظاهرية عبر Azure Resource Manager. |
التنفيذ | متوسط |
| ملحق برنامج نصي مخصص مع حمولة مشبوهة في جهازك الظاهري (VM_CustomScriptExtensionSuspiciousPayload) |
تم اكتشاف ملحق برنامج نصي مخصص مع حمولة من مستودع GitHub مريب في جهازك الظاهري عن طريق تحليل عمليات Azure Resource Manager في اشتراكك. قد يستخدم المهاجمون ملحقات البرامج النصية المخصصة لتنفيذ تعليمات برمجية ضارة على أجهزتك الظاهرية عبر Azure Resource Manager. |
التنفيذ | متوسط |
| الإجراءات المكتشفة التي تشير إلى تعطيل ملفات سجل IIS وحذفها | كشف تحليل بيانات المضيف عن الإجراءات التي تعرض تعطيل ملفات سجل IIS و/أو حذفها. | - | متوسط |
| اكتشاف مزيج شاذ من الأحرف الكبيرة والصغيرة في سطر الأوامر | كشف تحليل بيانات المضيف على ٪{المضيف المخترق} عن سطر أوامر يحتوي على مزيج شاذ من الأحرف الكبيرة والصغيرة. هذا النوع من النمط، على الرغم من أنه قد يكون حميدا، هو أيضا نموذجي للمهاجمين الذين يحاولون الاختباء من مطابقة القواعد الحساسة لحالة الأحرف أو المستندة إلى التجزئة عند تنفيذ المهام الإدارية على مضيف مخترق. | - | متوسط |
| تم الكشف عن تغيير في مفتاح تسجيل يمكن إساءة استخدامه لتجاوز UAC | كشف تحليل بيانات المضيف على ٪{المضيف المخترق} أنه تم تغيير مفتاح تسجيل يمكن إساءة استخدامه لتجاوز UAC (التحكم في حساب المستخدم). هذا النوع من التكوين ، على الرغم من أنه قد يكون حميدا ، إلا أنه نموذجي أيضا لنشاط المهاجم عند محاولة الانتقال من الوصول غير المميز (المستخدم القياسي) إلى الوصول المميز (على سبيل المثال المسؤول) على مضيف مخترق. | - | متوسط |
| تم الكشف عن فك تشفير ملف قابل للتنفيذ باستخدام أداة certutil.exe مضمنة | كشف تحليل بيانات المضيف على ٪{المضيف المخترق} أن certutil.exe، وهي أداة مساعدة مضمنة للمسؤول، كانت تستخدم لفك تشفير ملف قابل للتنفيذ بدلا من غرضه السائد الذي يتعلق بالتلاعب بالشهادات وبيانات الشهادة. من المعروف أن المهاجمين يسيئون استخدام وظائف أدوات المسؤول الشرعية لتنفيذ إجراءات ضارة، على سبيل المثال باستخدام أداة مثل certutil.exe لفك تشفير ملف تنفيذي ضار سيتم تنفيذه لاحقا. | - | درجة عالية |
| تم الكشف عن تمكين مفتاح التسجيل WDigest UseLogonCredential | كشف تحليل بيانات المضيف عن تغيير في مفتاح التسجيل HKLM\SYSTEM\ CurrentControlSet\Control\SecurityProviders\WDigest\ "UseLogonCredential". على وجه التحديد تم تحديث هذا المفتاح للسماح بتخزين بيانات اعتماد تسجيل الدخول في نص واضح في ذاكرة LSA. بمجرد تمكين المهاجم ، يمكنه تفريغ كلمات مرور نصية واضحة من ذاكرة LSA باستخدام أدوات حصاد بيانات الاعتماد مثل Mimikatz. | - | متوسط |
| تم الكشف عن ترميز قابل للتنفيذ في بيانات سطر الأوامر | كشف تحليل بيانات المضيف على ٪{المضيف المخترق} عن ملف قابل للتنفيذ مشفر من base-64. وقد ارتبط هذا في السابق بالمهاجمين الذين يحاولون إنشاء ملفات تنفيذية أثناء التنقل من خلال سلسلة من الأوامر ، ومحاولة التهرب من أنظمة اكتشاف التسلل من خلال التأكد من عدم قيام أي أمر فردي بتشغيل تنبيه. قد يكون هذا نشاطا مشروعا ، أو مؤشرا على وجود مضيف مخترق. | - | درجة عالية |
| سطر الأوامر الغامض المكتشف | يستخدم المهاجمون تقنيات تشويش متزايدة التعقيد للتهرب من عمليات الكشف التي تتعارض مع البيانات الأساسية. كشف تحليل بيانات المضيف على ٪{المضيف المخترق} عن مؤشرات مشبوهة للتشويش على سطر الأوامر. | - | معلوماتي |
| مؤشرات الفدية Petya المكتشفة | كشف تحليل بيانات المضيف على ٪{المضيف المخترق} عن المؤشرات المرتبطة ببرامج الفدية Petya. راجع https://aka.ms/petya-blog لمزيد من المعلومات. راجع سطر الأوامر المقترن في هذا التنبيه وقم بتصعيد هذا التنبيه إلى فريق الأمان. | - | درجة عالية |
| الكشف عن التنفيذ المحتمل لكجن القابل للتنفيذ | كشف تحليل بيانات المضيف على ٪{المضيف المخترق} عن تنفيذ عملية يشير اسمها إلى أداة كجن؛ عادة ما تستخدم هذه الأدوات لهزيمة آليات ترخيص البرامج ولكن غالبا ما يتم تجميع تنزيلها مع برامج ضارة أخرى. من المعروف أن مجموعة النشاط GOLD تستخدم مثل هذه المفاتيح للحصول سرا على إمكانية الوصول إلى الباب الخلفي للمضيفين الذين يتنازلون عنهم. | - | متوسط |
| الكشف عن التنفيذ المحتمل لقطارة البرامج الضارة | كشف تحليل بيانات المضيف على ٪{المضيف المخترق} عن اسم ملف تم ربطه سابقا بإحدى طرق مجموعة النشاط GOLD لتثبيت البرامج الضارة على مضيف ضحية. | - | درجة عالية |
| اكتشاف نشاط استطلاع محلي محتمل | كشف تحليل بيانات المضيف على ٪{المضيف المخترق} عن مجموعة من أوامر systeminfo التي كانت مرتبطة سابقا بإحدى طرق مجموعة النشاط GOLD لأداء نشاط الاستطلاع. في حين أن "systeminfo.exe" هي أداة Windows مشروعة ، فإن تنفيذها مرتين متتاليتين بالطريقة التي حدثت هنا أمر نادر الحدوث. | - | |
| تم الكشف عن استخدام يحتمل أن يكون مشبوها لأداة Telegram | يظهر تحليل بيانات المضيف تثبيت Telegram ، وهي خدمة مراسلة فورية مجانية قائمة على السحابة موجودة لكل من نظام الهاتف المحمول وسطح المكتب. من المعروف أن المهاجمين يسيئون استخدام هذه الخدمة لنقل الثنائيات الضارة إلى أي جهاز كمبيوتر أو هاتف أو جهاز لوحي آخر. | - | متوسط |
| تم الكشف عن منع الإشعار القانوني المعروض للمستخدمين عند تسجيل الدخول | كشف تحليل بيانات المضيف على ٪{المضيف المخترق} عن تغييرات في مفتاح التسجيل الذي يتحكم في ما إذا كان يتم عرض إشعار قانوني للمستخدمين عند تسجيل الدخول. حدد تحليل أمان Microsoft أن هذا نشاط شائع يقوم به المهاجمون بعد اختراق مضيف. | - | منخفض |
| تم الكشف عن مزيج مشبوه من HTA و PowerShell | يتم استخدام mshta.exe (Microsoft HTML Application Host) وهو ثنائي Microsoft موقع من قبل المهاجمين لإطلاق أوامر PowerShell الضارة. غالبا ما يلجأ المهاجمون إلى وجود ملف HTA مع VBScript مضمن. عندما يتصفح الضحية ملف HTA ويختار تشغيله، يتم تنفيذ أوامر PowerShell والبرامج النصية التي يحتوي عليها. كشف تحليل بيانات المضيف على ٪{المضيف المخترق} mshta.exe تشغيل أوامر PowerShell. | - | متوسط |
| تم اكتشاف وسيطات سطر الأوامر المشبوهة | كشف تحليل بيانات المضيف على ٪{المضيف المخترق} عن وسيطات سطر الأوامر المشبوهة التي تم استخدامها بالاقتران مع غلاف عكسي تستخدمه مجموعة النشاط HYDROGEN. | - | درجة عالية |
| تم اكتشاف سطر أوامر مريب يستخدم لبدء تشغيل كافة الملفات التنفيذية في دليل | كشف تحليل بيانات المضيف عن عملية مشبوهة تعمل على ٪{المضيف المخترق}. يشير سطر الأوامر إلى محاولة لبدء تشغيل كافة الملفات التنفيذية (*.exe) التي قد توجد في دليل. قد يكون هذا مؤشرا على وجود مضيف مخترق. | - | متوسط |
| بيانات الاعتماد المشبوهة المكتشفة في سطر الأوامر | كشف تحليل بيانات المضيف على ٪{المضيف المخترق} عن كلمة مرور مشبوهة يتم استخدامها لتنفيذ ملف بواسطة مجموعة النشاط BORON. من المعروف أن مجموعة النشاط هذه تستخدم كلمة المرور هذه لتنفيذ برامج Pirpi الضارة على مضيف ضحية. | - | درجة عالية |
| بيانات اعتماد المستندات المشبوهة المكتشفة | كشف تحليل بيانات المضيف على ٪{المضيف المخترق} عن تجزئة كلمة مرور مشبوهة وشائعة وشائعة تم حسابها مسبقا تستخدمها البرامج الضارة المستخدمة لتنفيذ ملف. من المعروف أن مجموعة النشاط HYDROGEN تستخدم كلمة المرور هذه لتنفيذ برامج ضارة على مضيف ضحية. | - | درجة عالية |
| تم الكشف عن تنفيذ مشبوه للأمر VBScript.Encode | كشف تحليل بيانات المضيف على ٪{المضيف المخترق} عن تنفيذ الأمر VBScript.Encode. يؤدي ذلك إلى تشفير البرامج النصية إلى نص غير قابل للقراءة ، مما يجعل من الصعب على المستخدمين فحص الرمز. تظهر أبحاث التهديدات من Microsoft أن المهاجمين غالبا ما يستخدمون ملفات VBscript المشفرة كجزء من هجومهم للتهرب من أنظمة الكشف. قد يكون هذا نشاطا مشروعا ، أو مؤشرا على وجود مضيف مخترق. | - | متوسط |
| تم الكشف عن تنفيذ مشبوه عبر rundll32.exe | كشف تحليل بيانات المضيف على ٪{المضيف المخترق} عن rundll32.exe يتم استخدامه لتنفيذ عملية باسم غير شائع، بما يتفق مع مخطط تسمية العملية الذي شوهد سابقا مستخدما من قبل مجموعة النشاط GOLD عند تثبيت غرسة المرحلة الأولى على مضيف مخترق. | - | درجة عالية |
| أوامر تنظيف الملفات المشبوهة المكتشفة | كشف تحليل بيانات المضيف على ٪{المضيف المخترق} عن مجموعة من أوامر systeminfo التي ارتبطت سابقا بإحدى طرق مجموعة النشاط GOLD لتنفيذ نشاط التنظيف الذاتي بعد الاختراق. في حين أن "systeminfo.exe" هي أداة Windows مشروعة ، إلا أن تنفيذها مرتين متتاليتين ، متبوعا بأمر حذف بالطريقة التي حدثت هنا أمر نادر الحدوث. | - | درجة عالية |
| تم اكتشاف إنشاء ملف مشبوه | كشف تحليل بيانات المضيف على ٪{المضيف المخترق} عن إنشاء أو تنفيذ عملية سبق أن أشارت إلى إجراء ما بعد التسوية الذي تم اتخاذه على مضيف الضحية من قبل مجموعة النشاط BARIUM. من المعروف أن مجموعة النشاط هذه تستخدم هذه التقنية لتنزيل برامج ضارة إضافية إلى مضيف مخترق بعد فتح مرفق في مستند تصيد احتيالي. | - | درجة عالية |
| الكشف عن اتصالات الأنابيب المسماة المشبوهة | كشف تحليل بيانات المضيف على ٪{المضيف المخترق} عن البيانات التي تتم كتابتها إلى أنبوب محلي مسمى من أمر وحدة تحكم Windows. من المعروف أن الأنابيب المسماة هي قناة يستخدمها المهاجمون لمهمة عملية زرع خبيثة والتواصل معها. قد يكون هذا نشاطا مشروعا ، أو مؤشرا على وجود مضيف مخترق. | - | درجة عالية |
| تم اكتشاف نشاط مشبوه للشبكة | كشف تحليل حركة مرور الشبكة من ٪{المضيف المخترق} عن نشاط مشبوه للشبكة. عادة ما يستخدم المهاجم حركة المرور هذه ، على الرغم من أنها قد تكون حميدة ، للتواصل مع خوادم ضارة لتنزيل الأدوات والقيادة والتحكم واستخراج البيانات. يتضمن نشاط المهاجم النموذجي ذي الصلة نسخ أدوات الإدارة عن بعد إلى مضيف مخترق وإخراج بيانات المستخدم منه. | - | منخفض |
| تم اكتشاف قاعدة جدار حماية جديدة مشبوهة | كشف تحليل بيانات المضيف عن إضافة قاعدة جدار حماية جديدة عبر netsh.exe للسماح بحركة المرور من ملف قابل للتنفيذ في موقع مشبوه. | - | متوسط |
| الكشف عن الاستخدام المشبوه ل Cacls لخفض الحالة الأمنية للنظام | يستخدم المهاجمون طرقا لا تعد ولا تحصى مثل القوة الغاشمة والتصيد الاحتيالي بالرمح وما إلى ذلك لتحقيق حل وسط أولي والحصول على موطئ قدم على الشبكة. بمجرد تحقيق الحل الوسط الأولي ، غالبا ما يتخذون خطوات لخفض إعدادات الأمان للنظام. Cacls—اختصار لقائمة التحكم في الوصول إلى التغيير هو Microsoft Windows أداة مساعدة أصلية لسطر الأوامر غالبا ما تستخدم لتعديل إذن الأمان على المجلدات والملفات. في كثير من الأحيان يتم استخدام الثنائي من قبل المهاجمين لخفض إعدادات الأمان للنظام. يتم ذلك عن طريق منح الجميع حق الوصول الكامل إلى بعض ثنائيات النظام مثل ftp.exe net.exe wscript.exe وما إلى ذلك. كشف تحليل بيانات المضيف على ٪{المضيف المخترق} عن الاستخدام المشبوه ل Cacls لتقليل أمان النظام. | - | متوسط |
| تم الكشف عن الاستخدام المشبوه ل FTP -s Switch | كشف تحليل بيانات إنشاء العملية من ٪{المضيف المخترق} عن استخدام رمز تبديل FTP "-s:filename". يتم استخدام رمز التبديل هذا لتحديد ملف برنامج نصي FTP للعميل لتشغيله. من المعروف أن البرامج الضارة أو العمليات الضارة تستخدم مبدل FTP هذا (-s:filename) للإشارة إلى ملف برنامج نصي تم تكوينه للاتصال بخادم FTP بعيد وتنزيل ثنائيات ضارة إضافية. | - | متوسط |
| اكتشاف استخدام مشبوه Pcalua.exe لتشغيل التعليمات البرمجية القابلة للتنفيذ | كشف تحليل بيانات المضيف على ٪{المضيف المخترق} عن استخدام pcalua.exe لتشغيل التعليمات البرمجية القابلة للتنفيذ. Pcalua.exe هو أحد مكونات Microsoft Windows "مساعد توافق البرامج" الذي يكتشف مشكلات التوافق أثناء تثبيت البرنامج أو تنفيذه. من المعروف أن المهاجمين يسيئون استخدام وظائف أدوات نظام Windows الشرعية لتنفيذ إجراءات ضارة، على سبيل المثال استخدام pcalua.exe مع المفتاح -a لإطلاق ملفات تنفيذية ضارة إما محليا أو من المشاركات عن بعد. | - | متوسط |
| الكشف عن تعطيل الخدمات الحيوية | كشف تحليل بيانات المضيف على ٪{المضيف المخترق} عن تنفيذ الأمر "net.exe إيقاف" المستخدم لإيقاف الخدمات الهامة مثل SharedAccess أو تطبيق أمن Windows. يمكن أن يكون إيقاف أي من هذه الخدمات مؤشرا على وجود سلوك ضار. | - | متوسط |
| الكشف عن السلوك المتعلق بتعدين العملات الرقمية | كشف تحليل بيانات المضيف على ٪{المضيف المخترق} عن تنفيذ عملية أو أمر يرتبط عادة بتعدين العملات الرقمية. | - | درجة عالية |
| إنشاء برنامج نصي PS ديناميكي | كشف تحليل بيانات المضيف على ٪{المضيف المخترق} عن برنامج نصي PowerShell يتم إنشاؤه ديناميكيا. يستخدم المهاجمون أحيانا هذا النهج المتمثل في بناء برنامج نصي تدريجيا من أجل التهرب من أنظمة IDS. قد يكون هذا نشاطا مشروعا، أو مؤشرا على أن أحد أجهزتك قد تم اختراقه. | - | متوسط |
| قابل للتنفيذ تم العثور عليه يعمل من موقع مشبوه | كشف تحليل بيانات المضيف عن ملف قابل للتنفيذ على ٪{المضيف المخترق} يتم تشغيله من موقع مشترك مع الملفات المشبوهة المعروفة. يمكن أن يكون هذا الملف القابل للتنفيذ إما نشاطا مشروعا أو مؤشرا على وجود مضيف مخترق. | - | درجة عالية |
| تم الكشف عن سلوك هجوم بدون ملف (VM_FilelessAttackBehavior. Windows) |
تحتوي ذاكرة العملية المحددة على سلوكيات شائعة الاستخدام بواسطة الهجمات بدون ملفات. تتضمن السلوكيات المحددة ما يلي: 1) Shellcode ، وهو جزء صغير من التعليمات البرمجية يستخدم عادة كحمولة في استغلال ثغرة برمجية. 2) اتصالات الشبكة النشطة. راجع NetworkConnections أدناه للحصول على التفاصيل. 3) وظيفة الدعوات إلى واجهات نظام التشغيل الحساسة للأمان. راجع الإمكانات أدناه للاطلاع على إمكانات نظام التشغيل المشار إليها. 4) يحتوي على مؤشر ترابط تم تشغيله في مقطع تعليمات برمجية مخصص ديناميكيا. هذا هو نمط شائع لهجمات حقن العملية. |
التهرب الدفاعي | منخفض |
| تم الكشف عن تقنية الهجوم بدون ملف (VM_FilelessAttackTechnique. Windows) |
تحتوي ذاكرة العملية المحددة أدناه على دليل على تقنية هجوم بدون ملف. يتم استخدام الهجمات بدون ملفات من قبل المهاجمين لتنفيذ التعليمات البرمجية أثناء التهرب من الكشف عنها بواسطة برامج الأمان. تتضمن السلوكيات المحددة ما يلي: 1) Shellcode ، وهو جزء صغير من التعليمات البرمجية يستخدم عادة كحمولة في استغلال ثغرة برمجية. 2) صورة قابلة للتنفيذ يتم حقنها في العملية ، كما هو الحال في هجوم حقن التعليمات البرمجية. 3) اتصالات الشبكة النشطة. راجع NetworkConnections أدناه للحصول على التفاصيل. 4) وظيفة الاستدعاءات إلى واجهات نظام التشغيل الحساسة للأمان. راجع الإمكانات أدناه للاطلاع على إمكانات نظام التشغيل المشار إليها. 5) عملية التجويف ، وهي تقنية تستخدمها البرامج الضارة التي يتم فيها تحميل عملية مشروعة على النظام لتكون بمثابة حاوية للتعليمات البرمجية المعادية. 6) يحتوي على مؤشر ترابط تم تشغيله في مقطع تعليمات برمجية مخصص ديناميكيا. هذا هو نمط شائع لهجمات حقن العملية. |
التهرب الدفاعي والإعدام | درجة عالية |
| تم اكتشاف مجموعة أدوات الهجوم بدون ملف (VM_FilelessAttackToolkit. Windows) |
تحتوي ذاكرة العملية المحددة على مجموعة أدوات هجوم بدون ملف: [اسم مجموعة الأدوات]. تستخدم مجموعات أدوات الهجوم بدون ملفات تقنيات تقلل أو تقضي على آثار البرامج الضارة على القرص ، وتقلل بشكل كبير من فرص اكتشافها بواسطة حلول فحص البرامج الضارة المستندة إلى القرص. تتضمن السلوكيات المحددة ما يلي: 1) مجموعات الأدوات المعروفة وبرامج تعدين التشفير. 2) Shellcode ، وهو جزء صغير من التعليمات البرمجية يستخدم عادة كحمولة في استغلال ثغرة برمجية. 3) حقن الخبيثة القابلة للتنفيذ في ذاكرة العملية. |
التهرب الدفاعي والإعدام | متوسط |
| تم اكتشاف برامج عالية الخطورة | كشف تحليل بيانات المضيف من ٪{المضيف المخترق} عن استخدام البرامج التي ارتبطت بتثبيت البرامج الضارة في الماضي. من التقنيات الشائعة المستخدمة في توزيع البرامج الضارة تعبئتها ضمن أدوات حميدة مثل تلك التي تظهر في هذا التنبيه. عند استخدام هذه الأدوات ، يمكن تثبيت البرامج الضارة بصمت في الخلفية. | - | متوسط |
| تم تعداد أعضاء مجموعة المسؤولين المحليين | تشير سجلات الجهاز إلى تعداد ناجح على المجموعة ٪{اسم مجال المجموعة المعدود}٪{اسم المجموعة المعدود}. وعلى وجه التحديد، قام ٪{تعداد اسم مجال المستخدم}٪{تعداد اسم المستخدم} بتعداد أعضاء المجموعة ٪{اسم مجال المجموعة المعدود}٪{اسم المجموعة المعدود} عن بعد. قد يكون هذا النشاط إما نشاطا مشروعا، أو مؤشرا على أن جهازا في مؤسستك قد تم اختراقه واستخدامه للاستطلاع ٪{vmname}. | - | معلوماتي |
| قاعدة جدار الحماية الضارة التي تم إنشاؤها بواسطة زرع خادم ZINC [شوهد عدة مرات] | تم إنشاء قاعدة جدار حماية باستخدام تقنيات تتطابق مع ممثل معروف ، ZINC. ربما تم استخدام القاعدة لفتح منفذ على ٪{المضيف المخترق} للسماح باتصالات التحكم في القيادة & . شوهد هذا السلوك [x] مرات اليوم على الأجهزة التالية: [أسماء الأجهزة] | - | درجة عالية |
| نشاط SQL ضار | تشير سجلات الجهاز إلى أنه تم تنفيذ '٪{اسم العملية}' بواسطة الحساب: ٪{اسم المستخدم}. يعتبر هذا النشاط ضارا. | - | درجة عالية |
| الاستعلام عن حسابات نطاقات متعددة | حدد تحليل بيانات المضيف أنه يتم الاستعلام عن عدد غير عادي من حسابات النطاقات المتميزة خلال فترة زمنية قصيرة من ٪{المضيف المخترق}. ويمكن أن يكون هذا النوع من النشاط مشروعا، ولكنه يمكن أن يكون أيضا مؤشرا على التوصل إلى حل وسط. | - | متوسط |
| اكتشاف إغراق محتمل لبيانات الاعتماد [شوهد عدة مرات] | كشف تحليل بيانات المضيف عن استخدام أداة windows الأصلية (مثل sqldumper.exe) التي يتم استخدامها بطريقة تسمح باستخراج بيانات الاعتماد من الذاكرة. غالبا ما يستخدم المهاجمون هذه التقنيات لاستخراج بيانات الاعتماد التي يستخدمونها بعد ذلك للحركة الجانبية وتصعيد الامتيازات. شوهد هذا السلوك [x] مرات اليوم على الأجهزة التالية: [أسماء الأجهزة] | - | متوسط |
| اكتشاف محاولة محتملة لتجاوز AppLocker | كشف تحليل بيانات المضيف على ٪{المضيف المخترق} عن محاولة محتملة لتجاوز قيود AppLocker. يمكن تكوين AppLocker لتنفيذ نهج يحد من الملفات التنفيذية المسموح بتشغيلها على نظام Windows. تم إقران نمط سطر الأوامر المشابه لذلك المحدد في هذا التنبيه سابقا بمحاولات المهاجم للتحايل على نهج AppLocker باستخدام الملفات التنفيذية الموثوق بها (المسموح بها بواسطة نهج AppLocker) لتنفيذ تعليمات برمجية غير موثوق بها. قد يكون هذا نشاطا مشروعا ، أو مؤشرا على وجود مضيف مخترق. | - | درجة عالية |
| تم الكشف عن تنفيذ PsExec (VM_RunByPsExec) |
يشير تحليل بيانات المضيف إلى أن العملية ٪{اسم العملية} تم تنفيذها بواسطة الأداة المساعدة PsExec. يمكن استخدام PsExec لتشغيل العمليات عن بعد. قد تستخدم هذه التقنية لأغراض خبيثة. | الحركة الجانبية، التنفيذ | معلوماتي |
| تم الكشف عن مؤشرات برامج الفدية [شوهدت عدة مرات] | يشير تحليل بيانات المضيف إلى نشاط مشبوه مرتبط تقليديا بشاشة القفل وبرامج الفدية المشفرة. يعرض برنامج الفدية لشاشة القفل رسالة ملء الشاشة تمنع الاستخدام التفاعلي للمضيف والوصول إلى ملفاته. يمنع برنامج الفدية التشفير الوصول عن طريق تشفير ملفات البيانات. في كلتا الحالتين ، يتم عرض رسالة فدية عادة ، تطلب الدفع من أجل استعادة الوصول إلى الملفات. شوهد هذا السلوك [x] مرات اليوم على الأجهزة التالية: [أسماء الأجهزة] | - | درجة عالية |
| الكشف عن مؤشرات برامج الفدية | يشير تحليل بيانات المضيف إلى نشاط مشبوه مرتبط تقليديا بشاشة القفل وبرامج الفدية المشفرة. يعرض برنامج الفدية لشاشة القفل رسالة ملء الشاشة تمنع الاستخدام التفاعلي للمضيف والوصول إلى ملفاته. يمنع برنامج الفدية التشفير الوصول عن طريق تشفير ملفات البيانات. في كلتا الحالتين ، يتم عرض رسالة فدية عادة ، تطلب الدفع من أجل استعادة الوصول إلى الملفات. | - | درجة عالية |
| مجموعة خدمة SVCHOST نادرة تم تنفيذها (VM_SvcHostRunInRareServiceGroup) |
تمت ملاحظة عملية النظام SVCHOST التي تدير مجموعة خدمات نادرة. غالبا ما تستخدم البرامج الضارة SVCHOST للتنكر في نشاطها الضار. | التهرب الدفاعي والإعدام | معلوماتي |
| اكتشاف هجوم المفاتيح اللاصقة | يشير تحليل بيانات المضيف إلى أن المهاجم قد يكون يقوم بتخريب ثنائي إمكانية الوصول (على سبيل المثال المفاتيح اللاصقة ولوحة المفاتيح على الشاشة والراوي) من أجل توفير وصول خلفي إلى المضيف ٪{المضيف المخترق}. | - | متوسط |
| هجوم ناجح للقوة الغاشمة (VM_LoginBruteForceSuccess) |
تم الكشف عن عدة محاولات لتوقيع الدخول من نفس المصدر. تمت مصادقة بعضها بنجاح على المضيف. يشبه هذا الهجوم الاندفاعي ، حيث يقوم المهاجم بتنفيذ العديد من محاولات المصادقة للعثور على بيانات اعتماد حساب صالحة. |
استغلال | متوسط/مرتفع |
| مستوى النزاهة المشتبه به يدل على اختطاف RDP | كشف تحليل بيانات المضيف عن tscon.exe التي تعمل بامتيازات SYSTEM - يمكن أن يكون هذا مؤشرا على قيام مهاجم بإساءة استخدام هذا الثنائي من أجل تبديل السياق إلى أي مستخدم آخر قام بتسجيل الدخول على هذا المضيف ؛ إنها تقنية مهاجم معروفة لاختراق حسابات المستخدمين الإضافية والانتقال أفقيا عبر الشبكة. | - | متوسط |
| تثبيت خدمة مشبوهة | كشف تحليل بيانات المضيف عن تثبيت tscon.exe كخدمة: من المحتمل أن يسمح هذا الثنائي الذي يتم تشغيله كخدمة للمهاجم بالتبديل بشكل تافه إلى أي مستخدم آخر قام بتسجيل الدخول على هذا المضيف عن طريق اختطاف اتصالات RDP ؛ إنها تقنية مهاجم معروفة لاختراق حسابات المستخدمين الإضافية والانتقال أفقيا عبر الشبكة. | - | متوسط |
| المعلمات المشتبه بها في هجوم التذكرة الذهبية لكيربيروس لوحظت | كشف تحليل بيانات المضيف عن معلمات سطر الأوامر المتسقة مع هجوم Kerberos Golden Ticket. | - | متوسط |
| اكتشاف إنشاء حساب مشبوه | كشف تحليل بيانات المضيف على ٪{المضيف المخترق} عن إنشاء أو استخدام حساب محلي ٪{اسم حساب مشبوه} : يشبه اسم الحساب هذا إلى حد كبير اسم حساب Windows أو المجموعة القياسي '٪{مشابه لاسم الحساب}'. من المحتمل أن يكون هذا حسابا مارقا تم إنشاؤه بواسطة مهاجم ، سمي بهذا الاسم لتجنب ملاحظته من قبل مسؤول بشري. | - | متوسط |
| تم اكتشاف نشاط مشبوه (VM_SuspiciousActivity) |
كشف تحليل بيانات المضيف عن سلسلة من عملية واحدة أو أكثر تعمل على ٪{اسم الجهاز} والتي ارتبطت تاريخيا بنشاط ضار. على الرغم من أن الأوامر الفردية قد تبدو حميدة، إلا أنه يتم تسجيل التنبيه استنادا إلى تجميع هذه الأوامر. يمكن أن يكون هذا إما نشاطا مشروعا ، أو مؤشرا على وجود مضيف مخترق. | التنفيذ | متوسط |
| نشاط مصادقة مشبوه (VM_LoginBruteForceValidUserFailed) |
على الرغم من أن أيا منهم لم ينجح ، إلا أن المضيف تعرف على حسابات مستخدمة لبعضهم. يشبه هذا هجوم القاموس ، حيث يقوم المهاجم بإجراء العديد من محاولات المصادقة باستخدام قاموس لأسماء الحسابات وكلمات المرور المحددة مسبقا للعثور على بيانات اعتماد صالحة للوصول إلى المضيف. يشير هذا إلى أن بعض أسماء حسابات المضيفين قد تكون موجودة في قاموس أسماء الحسابات المعروف. | التحقيق | متوسط |
| تم اكتشاف شريحة التعليمات البرمجية المشبوهة | يشير إلى أنه تم تخصيص جزء التعليمات البرمجية باستخدام طرق غير قياسية، مثل الحقن العاكس وتجويف العملية. يوفر التنبيه خصائص إضافية لشريحة التعليمات البرمجية التي تمت معالجتها لتوفير سياق لقدرات وسلوكيات شريحة التعليمات البرمجية التي تم الإبلاغ عنها. | - | متوسط |
| تنفيذ الأوامر المشبوهة (VM_SuspiciousCommandLineExecution) |
تشير سجلات الجهاز إلى تنفيذ سطر أوامر مريب بواسطة المستخدم ٪{اسم المستخدم}. | التنفيذ | درجة عالية |
| تم تنفيذ ملف ملحق مزدوج مشبوه | يشير تحليل بيانات المضيف إلى تنفيذ عملية ذات امتداد مزدوج مشبوه. قد يخدع هذا الامتداد المستخدمين للاعتقاد بأن الملفات آمنة ليتم فتحها وقد يشير إلى وجود برامج ضارة على النظام. | - | درجة عالية |
| تم اكتشاف تنزيل مشبوه باستخدام Certutil [شوهد عدة مرات] | كشف تحليل بيانات المضيف على ٪{المضيف المخترق} عن استخدام certutil.exe، وهي أداة مساعدة مضمنة للمسؤولية، لتنزيل ثنائي بدلا من غرضه السائد الذي يتعلق بالتلاعب بالشهادات وبيانات الشهادة. من المعروف أن المهاجمين يسيئون استخدام وظائف أدوات المسؤول الشرعي لتنفيذ إجراءات ضارة ، على سبيل المثال استخدام certutil.exe لتنزيل وفك تشفير ملف تنفيذي ضار سيتم تنفيذه لاحقا. شوهد هذا السلوك [x] مرات اليوم على الأجهزة التالية: [أسماء الأجهزة] | - | متوسط |
| تم اكتشاف تنزيل مشبوه باستخدام Certutil | كشف تحليل بيانات المضيف على ٪{المضيف المخترق} عن استخدام certutil.exe، وهي أداة مساعدة مضمنة للمسؤولية، لتنزيل ثنائي بدلا من غرضه السائد الذي يتعلق بالتلاعب بالشهادات وبيانات الشهادة. من المعروف أن المهاجمين يسيئون استخدام وظائف أدوات المسؤول الشرعي لتنفيذ إجراءات ضارة ، على سبيل المثال استخدام certutil.exe لتنزيل وفك تشفير ملف تنفيذي ضار سيتم تنفيذه لاحقا. | - | متوسط |
| فشل التنفيذ المشبوه لملحق البرنامج النصي المخصص في جهازك الظاهري (VM_CustomScriptExtensionSuspiciousFailure) |
تم اكتشاف فشل مريب في ملحق برنامج نصي مخصص في جهازك الظاهري عن طريق تحليل عمليات Azure Resource Manager في اشتراكك. قد ترتبط حالات الفشل هذه بالبرامج النصية الضارة التي يتم تشغيلها بواسطة هذا الملحق. |
التنفيذ | متوسط |
| تم اكتشاف نشاط PowerShell مشبوه | كشف تحليل بيانات المضيف عن برنامج نصي PowerShell يعمل على ٪{المضيف المخترق} الذي يحتوي على ميزات مشتركة مع البرامج النصية المشبوهة المعروفة. يمكن أن يكون هذا البرنامج النصي إما نشاطا مشروعا أو مؤشرا على وجود مضيف مخترق. | - | درجة عالية |
| تم تنفيذ أوامر cmdlets PowerShell المشبوهة | يشير تحليل بيانات المضيف إلى تنفيذ cmdlets PowerShell PowerSploit الضار المعروف. | - | متوسط |
| تنفيذ عملية مشبوهة [شوهد عدة مرات] | تشير سجلات الجهاز إلى أن العملية المشبوهة: '٪{عملية مشبوهة}' كانت قيد التشغيل على الجهاز، وغالبا ما ترتبط بمحاولات المهاجم للوصول إلى بيانات الاعتماد. شوهد هذا السلوك [x] مرات اليوم على الأجهزة التالية: [أسماء الأجهزة] | - | درجة عالية |
| تنفيذ عملية مشبوهة | تشير سجلات الجهاز إلى أن العملية المشبوهة: '٪{عملية مشبوهة}' كانت قيد التشغيل على الجهاز، وغالبا ما ترتبط بمحاولات المهاجم للوصول إلى بيانات الاعتماد. | - | درجة عالية |
| تم اكتشاف اسم عملية مشبوهة [تمت مشاهدته عدة مرات] | كشف تحليل بيانات المضيف على ٪{المضيف المخترق} عن عملية يكون اسمها مشبوها، على سبيل المثال يتوافق مع أداة مهاجم معروفة أو مسماة بطريقة توحي بأدوات المهاجم التي تحاول الاختباء على مرأى من الجميع. قد تكون هذه العملية نشاطا مشروعا، أو مؤشرا على أن أحد أجهزتك قد تم اختراقه. شوهد هذا السلوك [x] مرات اليوم على الأجهزة التالية: [أسماء الأجهزة] | - | متوسط |
| تم اكتشاف اسم عملية مشبوهة | كشف تحليل بيانات المضيف على ٪{المضيف المخترق} عن عملية يكون اسمها مشبوها، على سبيل المثال يتوافق مع أداة مهاجم معروفة أو مسماة بطريقة توحي بأدوات المهاجم التي تحاول الاختباء على مرأى من الجميع. قد تكون هذه العملية نشاطا مشروعا، أو مؤشرا على أن أحد أجهزتك قد تم اختراقه. | - | متوسط |
| انفجار إنهاء عملية مشبوهة (VM_TaskkillBurst) |
يشير تحليل بيانات المضيف إلى حدوث اندفاع مريب لإنهاء العملية في ٪{اسم الجهاز}. على وجه التحديد، تم قتل عمليات ٪{NumberOfCommands} بين ٪{Begin} و٪{Ending}. | التهرب الدفاعي | منخفض |
| تنفيذ عملية شاشة التوقف المشبوهة (VM_SuspiciousScreenSaverExecution) |
تمت ملاحظة العملية '٪{اسم العملية}' وهي تنفذ من موقع غير شائع. الملفات ذات امتدادات .scr هي ملفات شاشة توقف وعادة ما تكون موجودة وتنفذ من دليل النظام Windows. | التهرب الدفاعي والإعدام | متوسط |
| نشاط SQL مشبوه | تشير سجلات الجهاز إلى أنه تم تنفيذ '٪{اسم العملية}' بواسطة الحساب: ٪{اسم المستخدم}. هذا النشاط غير شائع مع هذا الحساب. | - | متوسط |
| تنفيذ عملية SVCHOST المشبوهة | لوحظت عملية النظام SVCHOST تعمل في سياق غير طبيعي. غالبا ما تستخدم البرامج الضارة SVCHOST للتنكر في نشاطها الضار. | - | درجة عالية |
| تنفيذ عملية نظام مشبوهة (VM_SystemProcessInAbnormalContext) |
تمت ملاحظة عملية النظام ٪{اسم العملية} تعمل في سياق غير طبيعي. غالبا ما تستخدم البرامج الضارة اسم العملية هذا للتنكر في نشاطها الضار. | التهرب الدفاعي والإعدام | درجة عالية |
| نشاط النسخ الاحتياطي لوحدة التخزين المشبوهة | كشف تحليل بيانات المضيف عن نشاط حذف نسخة احتياطية على المورد. تعد نسخة الظل لوحدة التخزين (VSC) قطعة أثرية مهمة تخزن لقطات البيانات. تستهدف بعض البرامج الضارة وتحديدا Ransomware VSC لتخريب استراتيجيات النسخ الاحتياطي. | - | درجة عالية |
| تم الكشف عن قيمة التسجيل WindowPosition المشبوهة | كشف تحليل بيانات المضيف على ٪{المضيف المخترق} عن محاولة تغيير تكوين التسجيل WindowPosition الذي يمكن أن يكون مؤشرا على إخفاء نوافذ التطبيق في أقسام غير مرئية من سطح المكتب. قد يكون هذا نشاطا مشروعا أو مؤشرا على وجود جهاز مخترق: تم ربط هذا النوع من النشاط سابقا ببرامج إعلانية معروفة (أو برامج غير مرغوب فيها) مثل Win32 / OneSystemCare و Win32 / SystemHealer والبرامج الضارة مثل Win32 / Creprote. عند تعيين قيمة WindowPosition إلى 201329664، (Hex: 0x0c00 0c00، المقابلة ل X-axis=0c00 و Y-axis=0c00)، يضع هذا نافذة تطبيق وحدة التحكم في قسم غير مرئي من شاشة المستخدم في منطقة مخفية عن العرض أسفل قائمة/شريط المهام المرئي. تتضمن القيمة السداسية المشبوهة المعروفة ، على سبيل المثال لا الحصر c000c000 | - | منخفض |
| تم اكتشاف عملية مسماة بشكل مريب | كشف تحليل بيانات المضيف على ٪{المضيف المخترق} عن عملية يشبه اسمها إلى حد كبير عملية تشغيل شائعة جدا ولكنها تختلف عنها (٪{مشابه لاسم العملية}). في حين أن هذه العملية يمكن أن تكون حميدة ، فمن المعروف أن المهاجمين يختبئون أحيانا على مرأى من الجميع عن طريق تسمية أدواتهم الضارة لتشبه أسماء العمليات المشروعة. | - | متوسط |
| إعادة تعيين التكوين غير العادي في جهازك الظاهري (VM_VMAccessUnusualConfigReset) |
تم اكتشاف إعادة تعيين تكوين غير عادية في جهازك الظاهري عن طريق تحليل عمليات Azure Resource Manager في اشتراكك. على الرغم من أن هذا الإجراء قد يكون مشروعا، إلا أنه يمكن للمهاجمين محاولة استخدام ملحق VM Access لإعادة تعيين التكوين في جهازك الظاهري واختراقه. |
الوصول إلى بيانات تسجيل الدخول | متوسط |
| حذف غير عادي لملحق البرنامج النصي المخصص في جهازك الظاهري (VM_CustomScriptExtensionUnusualDeletion) |
تم اكتشاف حذف غير عادي لملحق برنامج نصي مخصص في جهازك الظاهري من خلال تحليل عمليات Azure Resource Manager في اشتراكك. قد يستخدم المهاجمون ملحقات البرامج النصية المخصصة لتنفيذ تعليمات برمجية ضارة على أجهزتك الظاهرية عبر Azure Resource Manager. |
التنفيذ | متوسط |
| تنفيذ غير عادي لملحق البرنامج النصي المخصص في جهازك الظاهري (VM_CustomScriptExtensionUnusualExecution) |
تم اكتشاف تنفيذ غير عادي لملحق برنامج نصي مخصص في جهازك الظاهري عن طريق تحليل عمليات Azure Resource Manager في اشتراكك. قد يستخدم المهاجمون ملحقات البرامج النصية المخصصة لتنفيذ تعليمات برمجية ضارة على أجهزتك الظاهرية عبر Azure Resource Manager. |
التنفيذ | متوسط |
| تم الكشف عن تنفيذ عملية غير عادية | كشف تحليل بيانات المضيف على ٪{المضيف المخترق} عن تنفيذ عملية بواسطة ٪{اسم المستخدم} التي كانت غير عادية. تميل حسابات مثل ٪{اسم المستخدم} إلى تنفيذ مجموعة محدودة من العمليات، وقد تم تحديد هذا التنفيذ على أنه خارج الطابع وقد يكون مشبوها. | - | درجة عالية |
| إعادة تعيين كلمة مرور المستخدم غير العادية في جهازك الظاهري (VM_VMAccessUnusualPasswordReset) |
تم اكتشاف إعادة تعيين كلمة مرور مستخدم غير عادية في جهازك الظاهري عن طريق تحليل عمليات Azure Resource Manager في اشتراكك. على الرغم من أن هذا الإجراء قد يكون مشروعا، إلا أنه يمكن للمهاجمين محاولة استخدام ملحق VM Access لإعادة تعيين بيانات اعتماد مستخدم محلي في جهازك الظاهري واختراقه. |
الوصول إلى بيانات تسجيل الدخول | متوسط |
| إعادة تعيين مفتاح SSH غير العادي للمستخدم في جهازك الظاهري (VM_VMAccessUnusualSSHReset) |
تم اكتشاف إعادة تعيين مفتاح SSH مستخدم غير عادي في جهازك الظاهري عن طريق تحليل عمليات Azure Resource Manager في اشتراكك. على الرغم من أن هذا الإجراء قد يكون مشروعا، إلا أنه يمكن للمهاجمين محاولة استخدام ملحق VM Access لإعادة تعيين مفتاح SSH لحساب مستخدم في جهازك الظاهري واختراقه. |
الوصول إلى بيانات تسجيل الدخول | متوسط |
| تم الكشف عن تخصيص كائن VBScript HTTP | تم الكشف عن إنشاء ملف VBScript باستخدام موجه الأوامر. يحتوي البرنامج النصي التالي على أمر تخصيص كائن HTTP. يمكن استخدام هذا الإجراء لتنزيل الملفات الضارة. | - | درجة عالية |
| Windows اكتشاف طريقة ثبات التسجيل (VM_RegistryPersistencyKey) |
كشف تحليل بيانات المضيف عن محاولة لاستمرار ملف قابل للتنفيذ في سجل Windows. غالبا ما تستخدم البرامج الضارة مثل هذه التقنية للبقاء على قيد الحياة في التمهيد. | الاستمرار | منخفض |
تنبيهات لأجهزة لينكس
| تنبيه (نوع التنبيه) | الوصف | تكتيكات MITRE (تعرف على المزيد) |
الخطورة |
|---|---|---|---|
| تم مسح ملف محفوظات | يشير تحليل بيانات المضيف إلى أنه تم مسح ملف سجل محفوظات الأوامر. قد يقوم المهاجمون بذلك لتغطية آثارهم. تم تنفيذ العملية بواسطة المستخدم: '٪{اسم المستخدم}'. | - | متوسط |
| تم الكشف عن الوصول إلى ملف htaccess (VM_SuspectHtaccessFileAccess) |
كشف تحليل بيانات المضيف على ٪{المضيف المخترق} عن تلاعب محتمل بملف htaccess. Htaccess هو ملف تكوين قوي يسمح لك بإجراء تغييرات متعددة على خادم ويب يقوم بتشغيل برنامج Apache Web بما في ذلك وظائف إعادة التوجيه الأساسية ، أو للحصول على وظائف أكثر تقدما مثل الحماية الأساسية بكلمة مرور. غالبا ما يقوم المهاجمون بتعديل ملفات htaccess على الأجهزة التي قاموا باختراقها للحصول على الاستمرار. | المثابرة، التهرب الدفاعي، الإعدام | متوسط |
| استبعاد الملفات على نطاق واسع لمكافحة البرامج الضارة في جهازك الظاهري (VM_AmBroadFilesExclusion) |
تم اكتشاف استبعاد الملفات من ملحق مكافحة البرامج الضارة مع قاعدة استبعاد واسعة في جهازك الظاهري عن طريق تحليل عمليات Azure Resource Manager في اشتراكك. هذا الاستبعاد يعطل عمليا الحماية من البرامج الضارة. قد يستبعد المهاجمون الملفات من فحص مكافحة البرامج الضارة على جهازك الظاهري لمنع اكتشافها أثناء تشغيل تعليمات برمجية عشوائية أو إصابة الجهاز ببرامج ضارة. |
- | متوسط |
| تم تعطيل مكافحة البرامج الضارة وتنفيذ التعليمات البرمجية في جهازك الظاهري (VM_AmDisablementAndCodeExecution) |
تم تعطيل برنامج مكافحة البرامج الضارة في نفس الوقت الذي تم فيه تنفيذ التعليمات البرمجية على جهازك الظاهري. تم اكتشاف ذلك من خلال تحليل عمليات Azure Resource Manager في اشتراكك. يقوم المهاجمون بتعطيل الماسحات الضوئية لمكافحة البرامج الضارة لمنع اكتشافها أثناء تشغيل أدوات غير مصرح بها أو إصابة الجهاز ببرامج ضارة. |
- | درجة عالية |
| تم تعطيل مكافحة البرامج الضارة في جهازك الظاهري (VM_AmDisablement) |
تم تعطيل مكافحة البرامج الضارة في جهازك الظاهري. تم اكتشاف ذلك من خلال تحليل عمليات Azure Resource Manager في اشتراكك. قد يقوم المهاجمون بتعطيل برنامج مكافحة البرامج الضارة على جهازك الظاهري لمنع اكتشافه. |
التهرب الدفاعي | متوسط |
| استبعاد ملفات مكافحة البرامج الضارة وتنفيذ التعليمات البرمجية في جهازك الظاهري (VM_AmFileExclusionAndCodeExecution) |
تم استبعاد الملف من الماسح الضوئي لمكافحة البرامج الضارة في نفس الوقت الذي تم فيه تنفيذ التعليمات البرمجية عبر امتداد برنامج نصي مخصص على جهازك الظاهري. تم اكتشاف ذلك من خلال تحليل عمليات Azure Resource Manager في اشتراكك. قد يستبعد المهاجمون الملفات من فحص مكافحة البرامج الضارة على جهازك الظاهري لمنع اكتشافها أثناء تشغيل أدوات غير مصرح بها أو إصابة الجهاز ببرامج ضارة. |
التهرب الدفاعي والإعدام | درجة عالية |
| استبعاد ملفات مكافحة البرامج الضارة وتنفيذ التعليمات البرمجية في جهازك الظاهري (VM_AmTempFileExclusionAndCodeExecution) |
تم اكتشاف استبعاد مؤقت للملفات من ملحق مكافحة البرامج الضارة بالتوازي مع تنفيذ التعليمات البرمجية عبر ملحق البرنامج النصي المخصص في جهازك الظاهري عن طريق تحليل عمليات Azure Resource Manager في اشتراكك. قد يستبعد المهاجمون الملفات من فحص مكافحة البرامج الضارة على جهازك الظاهري لمنع اكتشافها أثناء تشغيل تعليمات برمجية عشوائية أو إصابة الجهاز ببرامج ضارة. |
التهرب الدفاعي والإعدام | درجة عالية |
| استبعاد ملفات مكافحة البرامج الضارة في جهازك الظاهري (VM_AmTempFileExclusion) |
تم استبعاد الملف من الماسح الضوئي لمكافحة البرامج الضارة على جهازك الظاهري. تم اكتشاف ذلك من خلال تحليل عمليات Azure Resource Manager في اشتراكك. قد يستبعد المهاجمون الملفات من فحص مكافحة البرامج الضارة على جهازك الظاهري لمنع اكتشافها أثناء تشغيل أدوات غير مصرح بها أو إصابة الجهاز ببرامج ضارة. |
التهرب الدفاعي | متوسط |
| تم تعطيل الحماية من البرامج الضارة في الوقت الفعلي في جهازك الظاهري (VM_AmRealtimeProtectionDisabled) |
تم اكتشاف تعطيل الحماية في الوقت الفعلي لملحق مكافحة البرامج الضارة في جهازك الظاهري من خلال تحليل عمليات Azure Resource Manager في اشتراكك. قد يقوم المهاجمون بتعطيل الحماية في الوقت الفعلي من فحص مكافحة البرامج الضارة على جهازك الظاهري لتجنب اكتشافها أثناء تشغيل تعليمات برمجية عشوائية أو إصابة الجهاز ببرامج ضارة. |
التهرب الدفاعي | متوسط |
| تم تعطيل الحماية من البرامج الضارة في الوقت الفعلي مؤقتا في جهازك الظاهري (VM_AmTempRealtimeProtectionDisablement) |
تم الكشف عن التعطيل المؤقت للحماية في الوقت الفعلي لملحق مكافحة البرامج الضارة في جهازك الظاهري من خلال تحليل عمليات Azure Resource Manager في اشتراكك. قد يقوم المهاجمون بتعطيل الحماية في الوقت الفعلي من فحص مكافحة البرامج الضارة على جهازك الظاهري لتجنب اكتشافها أثناء تشغيل تعليمات برمجية عشوائية أو إصابة الجهاز ببرامج ضارة. |
التهرب الدفاعي | متوسط |
| تم تعطيل الحماية من البرامج الضارة في الوقت الفعلي مؤقتا أثناء تنفيذ التعليمات البرمجية في جهازك الظاهري (VM_AmRealtimeProtectionDisablementAndCodeExec) |
تم الكشف عن تعطيل مؤقت للحماية في الوقت الفعلي لملحق مكافحة البرامج الضارة بالتوازي مع تنفيذ التعليمات البرمجية عبر ملحق برنامج نصي مخصص في جهازك الظاهري عن طريق تحليل عمليات Azure Resource Manager في اشتراكك. قد يقوم المهاجمون بتعطيل الحماية في الوقت الفعلي من فحص مكافحة البرامج الضارة على جهازك الظاهري لتجنب اكتشافها أثناء تشغيل تعليمات برمجية عشوائية أو إصابة الجهاز ببرامج ضارة. |
- | درجة عالية |
| عمليات فحص مكافحة البرامج الضارة المحظورة بحثا عن الملفات التي يحتمل أن تكون ذات صلة بحملات البرامج الضارة على جهازك الظاهري (معاينة) (VM_AmMalwareCampaignRelatedExclusion) |
تم اكتشاف قاعدة استبعاد في جهازك الظاهري لمنع إضافة مكافحة البرامج الضارة من فحص ملفات معينة يشتبه في ارتباطها بحملة برامج ضارة. تم اكتشاف القاعدة من خلال تحليل عمليات Azure Resource Manager في اشتراكك. قد يستبعد المهاجمون الملفات من عمليات فحص مكافحة البرامج الضارة لمنع اكتشافها أثناء تشغيل تعليمات برمجية عشوائية أو إصابة الجهاز ببرامج ضارة. | التهرب الدفاعي | متوسط |
| تم تعطيل مكافحة البرامج الضارة مؤقتا في جهازك الظاهري (VM_AmTemporarilyDisablement) |
تم تعطيل مكافحة البرامج الضارة مؤقتا في جهازك الظاهري. تم اكتشاف ذلك من خلال تحليل عمليات Azure Resource Manager في اشتراكك. قد يقوم المهاجمون بتعطيل برنامج مكافحة البرامج الضارة على جهازك الظاهري لمنع اكتشافه. |
- | متوسط |
| استبعاد الملفات غير العادية لمكافحة البرامج الضارة في جهازك الظاهري (VM_UnusualAmFileExclusion) |
تم اكتشاف استبعاد ملف غير عادي من ملحق مكافحة البرامج الضارة في جهازك الظاهري عن طريق تحليل عمليات Azure Resource Manager في اشتراكك. قد يستبعد المهاجمون الملفات من فحص مكافحة البرامج الضارة على جهازك الظاهري لمنع اكتشافها أثناء تشغيل تعليمات برمجية عشوائية أو إصابة الجهاز ببرامج ضارة. |
التهرب الدفاعي | متوسط |
| محاولة إيقاف خدمة apt-daily-upgrade.timer المكتشفة [تمت مشاهدتها عدة مرات] | كشف تحليل بيانات المضيف على ٪{المضيف المخترق} عن محاولة لإيقاف خدمة apt-daily-upgrade.timer. في بعض الهجمات الأخيرة ، لوحظ أن المهاجمين يوقفون هذه الخدمة ، لتنزيل الملفات الضارة ومنح امتيازات التنفيذ لهجومهم. شوهد هذا السلوك [x] مرات اليوم على الأجهزة التالية: [أسماء الأجهزة] | - | منخفض |
| محاولة إيقاف خدمة apt-daily-upgrade.timer المكتشفة (VM_TimerServiceDisabled) |
كشف تحليل بيانات المضيف على ٪{المضيف المخترق} عن محاولة لإيقاف خدمة apt-daily-upgrade.timer. في بعض الهجمات الأخيرة ، لوحظ أن المهاجمين يوقفون هذه الخدمة ، لتنزيل الملفات الضارة ومنح امتيازات التنفيذ لهجومهم. | التهرب الدفاعي | منخفض |
| سلوك مشابه لروبوتات Linux الشائعة التي تم اكتشافها [تمت مشاهدتها عدة مرات] | كشف تحليل بيانات المضيف على ٪{المضيف المخترق} عن تنفيذ عملية ترتبط عادة بشبكات روبوتات لينكس الشائعة. شوهد هذا السلوك [x] مرات اليوم على الأجهزة التالية: [أسماء الأجهزة] | - | متوسط |
| سلوك مشابه لروبوتات الدردشة Linux الشائعة التي تم اكتشافها (VM_CommonBot) |
كشف تحليل بيانات المضيف على ٪{المضيف المخترق} عن تنفيذ عملية ترتبط عادة بشبكات روبوتات لينكس الشائعة. | التنفيذ والجمع والقيادة والتحكم | متوسط |
| تم اكتشاف سلوك مشابه لبرامج الفدية من Fairware [شوهد عدة مرات] | كشف تحليل بيانات المضيف على ٪{المضيف المخترق} عن تنفيذ أوامر rm -rf المطبقة على المواقع المشبوهة. نظرا لأن rm -rf سيقوم بحذف الملفات بشكل متكرر ، فإنه يستخدم عادة في المجلدات المنفصلة. في هذه الحالة ، يتم استخدامه في موقع يمكنه إزالة الكثير من البيانات. ومن المعروف عن برنامج الفدية الضارة Fairware انتزاع الفدية لتنفيذ أوامر RM-RF في هذا المجلد. شوهد هذا السلوك [x] مرات اليوم على الأجهزة التالية: [أسماء الأجهزة] | - | متوسط |
| تم الكشف عن سلوك مشابه لبرامج الفدية الضارة Fairware (VM_FairwareMalware) |
كشف تحليل بيانات المضيف على ٪{المضيف المخترق} عن تنفيذ أوامر rm -rf المطبقة على المواقع المشبوهة. نظرا لأن rm -rf سيقوم بحذف الملفات بشكل متكرر ، فإنه يستخدم عادة في المجلدات المنفصلة. في هذه الحالة ، يتم استخدامه في موقع يمكنه إزالة الكثير من البيانات. ومن المعروف عن برنامج الفدية الضارة Fairware انتزاع الفدية لتنفيذ أوامر RM-RF في هذا المجلد. | التنفيذ | متوسط |
| سلوك مشابه لبرامج الفدية المكتشفة [شوهد عدة مرات] | كشف تحليل بيانات المضيف على ٪{المضيف المخترق} عن تنفيذ ملفات تشبه برامج الفدية المعروفة التي يمكن أن تمنع المستخدمين من الوصول إلى نظامهم أو ملفاتهم الشخصية، وتطالب بدفع فدية من أجل استعادة الوصول. شوهد هذا السلوك [x] مرات اليوم على الأجهزة التالية: [أسماء الأجهزة] | - | درجة عالية |
| التواصل مع المجال المشبوه الذي تم تحديده بواسطة استخبارات التهديدات (AzureDNS_ThreatIntelSuspectDomain) |
تم اكتشاف الاتصال بالمجال المشبوه من خلال تحليل معاملات DNS من موردك ومقارنتها بالمجالات الضارة المعروفة التي تم تحديدها بواسطة خلاصات معلومات التهديدات. غالبا ما يتم تنفيذ الاتصال بالنطاقات الضارة بواسطة المهاجمين وقد يعني ذلك أن موردك قد تم اختراقه. | الوصول الأولي ، المثابرة ، التنفيذ ، القيادة والسيطرة ، الاستغلال | متوسط |
| حاوية بها صورة عامل منجم تم اكتشافها (VM_MinerInContainerImage) |
تشير سجلات الجهاز إلى تنفيذ حاوية Docker التي تقوم بتشغيل صورة مقترنة بتعدين عملة رقمية. | التنفيذ | درجة عالية |
| تنفيذ منجم عملة التشفير (VM_CryptoCoinMinerExecution) |
كشف تحليل بيانات المضيف / الجهاز عن عملية بدأت بطريقة تشبه إلى حد كبير عملية تعدين العملات. | التنفيذ | متوسط |
| ملحق برنامج نصي مخصص مع أمر مشبوه في جهازك الظاهري (VM_CustomScriptExtensionSuspiciousCmd) |
تم اكتشاف ملحق برنامج نصي مخصص مع أمر مشبوه في جهازك الظاهري عن طريق تحليل عمليات Azure Resource Manager في اشتراكك. قد يستخدم المهاجمون ملحق برنامج نصي مخصص لتنفيذ تعليمات برمجية ضارة على جهازك الظاهري عبر Azure Resource Manager. |
التنفيذ | متوسط |
| ملحق برنامج نصي مخصص مع نقطة دخول مشبوهة في جهازك الظاهري (VM_CustomScriptExtensionSuspiciousEntryPoint) |
تم اكتشاف ملحق برنامج نصي مخصص يحتوي على نقطة دخول مشبوهة في جهازك الظاهري عن طريق تحليل عمليات Azure Resource Manager في اشتراكك. تشير نقطة الدخول إلى مستودع GitHub مشبوه. قد يستخدم المهاجمون ملحقات البرامج النصية المخصصة لتنفيذ تعليمات برمجية ضارة على أجهزتك الظاهرية عبر Azure Resource Manager. |
التنفيذ | متوسط |
| ملحق برنامج نصي مخصص مع حمولة مشبوهة في جهازك الظاهري (VM_CustomScriptExtensionSuspiciousPayload) |
تم اكتشاف ملحق برنامج نصي مخصص مع حمولة من مستودع GitHub مريب في جهازك الظاهري عن طريق تحليل عمليات Azure Resource Manager في اشتراكك. قد يستخدم المهاجمون ملحقات البرامج النصية المخصصة لتنفيذ تعليمات برمجية ضارة على أجهزتك الظاهرية عبر Azure Resource Manager. |
التنفيذ | متوسط |
| اكتشاف مزيج شاذ من الأحرف الكبيرة والصغيرة في سطر الأوامر | كشف تحليل بيانات المضيف على ٪{المضيف المخترق} عن سطر أوامر يحتوي على مزيج شاذ من الأحرف الكبيرة والصغيرة. هذا النوع من النمط، على الرغم من أنه قد يكون حميدا، هو أيضا نموذجي للمهاجمين الذين يحاولون الاختباء من مطابقة القواعد الحساسة لحالة الأحرف أو المستندة إلى التجزئة عند تنفيذ المهام الإدارية على مضيف مخترق. | - | متوسط |
| تم اكتشاف تنزيل ملف من مصدر ضار معروف [تمت مشاهدته عدة مرات] (VM_SuspectDownload) |
كشف تحليل بيانات المضيف عن تنزيل ملف من مصدر برامج ضارة معروف على ٪{المضيف المخترق}. شوهد هذا السلوك أكثر من [x] مرات اليوم على الأجهزة التالية: [أسماء الأجهزة] | تصعيد الامتيازات، التنفيذ، الإخراج، القيادة والتحكم | متوسط |
| تنزيل ملف تم اكتشافه من مصدر ضار معروف | كشف تحليل بيانات المضيف عن تنزيل ملف من مصدر برامج ضارة معروف على ٪{المضيف المخترق}. | - | متوسط |
| محاولة الثبات المكتشفة [شوهدت عدة مرات] | كشف تحليل بيانات المضيف على ٪{المضيف المخترق} عن تثبيت برنامج نصي لبدء التشغيل لوضع المستخدم الفردي. من النادر للغاية أن أي عملية مشروعة تحتاج إلى التنفيذ في هذا الوضع ، لذلك قد يشير هذا إلى أن المهاجم قد أضاف عملية ضارة إلى كل مستوى تشغيل لضمان الاستمرار. شوهد هذا السلوك [x] مرات اليوم على الأجهزة التالية: [أسماء الأجهزة] | - | متوسط |
| محاولة المثابرة المكتشفة (VM_NewSingleUserModeStartupScript) |
اكتشف تحليل بيانات المضيف أنه تم تثبيت برنامج نصي لبدء التشغيل لوضع المستخدم الفردي. نظرا لأنه من النادر أن تكون هناك حاجة إلى أي عملية مشروعة للتشغيل في هذا الوضع، فقد يشير ذلك إلى أن المهاجم قد أضاف عملية ضارة إلى كل مستوى تشغيل لضمان الاستمرار. |
الاستمرار | متوسط |
| تم اكتشاف تنزيل ملف مريب [تمت مشاهدته عدة مرات] | كشف تحليل بيانات المضيف عن تنزيل مشبوه للملف البعيد على ٪{المضيف المخترق}. شوهد هذا السلوك 10 مرات اليوم على الأجهزة التالية: [اسم الجهاز] | - | منخفض |
| تم اكتشاف تنزيل ملف مشبوه (VM_SuspectDownloadArtifacts) |
كشف تحليل بيانات المضيف عن تنزيل مشبوه للملف البعيد على ٪{المضيف المخترق}. | الاستمرار | منخفض |
| تم اكتشاف نشاط مشبوه للشبكة | كشف تحليل حركة مرور الشبكة من ٪{المضيف المخترق} عن نشاط مشبوه للشبكة. عادة ما يستخدم المهاجم حركة المرور هذه ، على الرغم من أنها قد تكون حميدة ، للتواصل مع خوادم ضارة لتنزيل الأدوات والقيادة والتحكم واستخراج البيانات. يتضمن نشاط المهاجم النموذجي ذي الصلة نسخ أدوات الإدارة عن بعد إلى مضيف مخترق وإخراج بيانات المستخدم منه. | - | منخفض |
| تم اكتشاف استخدام مريب للأمر useradd [تمت مشاهدته عدة مرات] | كشف تحليل بيانات المضيف عن استخدام مشبوه للأمر useradd على ٪{المضيف المخترق}. شوهد هذا السلوك [x] مرات اليوم على الأجهزة التالية: [أسماء الأجهزة] | - | متوسط |
| اكتشاف استخدام مشبوه للأمر useradd (VM_SuspectUserAddition) |
كشف تحليل بيانات المضيف عن استخدام مشبوه للأمر useradd على ٪{المضيف المخترق}. | الاستمرار | متوسط |
| الكشف عن السلوك المتعلق بتعدين العملات الرقمية | كشف تحليل بيانات المضيف على ٪{المضيف المخترق} عن تنفيذ عملية أو أمر يرتبط عادة بتعدين العملات الرقمية. | - | درجة عالية |
| تعطيل التسجيل المدقق [شوهد عدة مرات] | يوفر نظام تدقيق Linux طريقة لتتبع المعلومات المتعلقة بالأمان على النظام. يسجل أكبر قدر ممكن من المعلومات حول الأحداث التي تحدث على النظام الخاص بك. يمكن أن يؤدي تعطيل التسجيل المدقق إلى إعاقة اكتشاف انتهاكات سياسات الأمان المستخدمة في النظام. شوهد هذا السلوك [x] مرات اليوم على الأجهزة التالية: [أسماء الأجهزة] | - | منخفض |
| تم اكتشاف عملية إنشاء Docker على عقدة Kubernetes (VM_ImageBuildOnNode) |
تشير سجلات الجهاز إلى عملية إنشاء لصورة حاوية على عقدة Kubernetes. على الرغم من أن هذا السلوك قد يكون مشروعا، إلا أن المهاجمين قد ينشئون صورهم الضارة محليا لتجنب اكتشافها. | التهرب الدفاعي | منخفض |
| قابل للتنفيذ تم العثور عليه يعمل من موقع مشبوه (VM_SuspectExecutablePath) |
كشف تحليل بيانات المضيف عن ملف قابل للتنفيذ على ٪{المضيف المخترق} يتم تشغيله من موقع مشترك مع الملفات المشبوهة المعروفة. يمكن أن يكون هذا الملف القابل للتنفيذ إما نشاطا مشروعا أو مؤشرا على وجود مضيف مخترق. | التنفيذ | درجة عالية |
| استغلال ثغرة Xorg [شوهد عدة مرات] | كشف تحليل بيانات المضيف على ٪{المضيف المخترق} عن مستخدم Xorg بحجج مشبوهة. قد يستخدم المهاجمون هذه التقنية في محاولات تصعيد الامتيازات. شوهد هذا السلوك [x] مرات اليوم على الأجهزة التالية: [أسماء الأجهزة] | - | متوسط |
| برنامج Docker الخفي المكشوف على مقبس TCP (VM_ExposedDocker) |
تشير سجلات الجهاز إلى أن الخفي إلى أن عامل الإرساء يكشف عبر مأخذ توصيل بروتوكول تحكم الإرسال. بشكل افتراضي، تكوين عامل الإرساء لا يستخدم التشفير أو المصادقة عند تمكين مأخذ توصيل بروتوكول تحكم الإرسال. يتيح ذلك الوصول الكامل إلى برنامج Docker الخفي ، من قبل أي شخص لديه حق الوصول إلى المنفذ ذي الصلة. | التنفيذ والاستغلال | متوسط |
| فشل هجوم القوة الغاشمة SSH (VM_SshBruteForceFailed) |
تم الكشف عن هجمات القوة الغاشمة الفاشلة من المهاجمين التاليين: ٪{Attackers}. كان المهاجمون يحاولون الوصول إلى المضيف باستخدام أسماء المستخدمين التالية: ٪{الحسابات المستخدمة في محاولات تسجيل الدخول الفاشلة لاستضافة المحاولات}. | التحقيق | متوسط |
| تم الكشف عن سلوك هجوم بدون ملف (VM_FilelessAttackBehavior.Linux) |
تحتوي ذاكرة العملية المحددة أدناه على سلوكيات شائعة الاستخدام من قبل الهجمات بدون ملفات. تتضمن السلوكيات المحددة ما يلي: {قائمة السلوكيات المرصودة} |
التنفيذ | منخفض |
| تم الكشف عن تقنية الهجوم بدون ملف (VM_FilelessAttackTechnique.Linux) |
تحتوي ذاكرة العملية المحددة أدناه على دليل على تقنية هجوم بدون ملف. يتم استخدام الهجمات بدون ملفات من قبل المهاجمين لتنفيذ التعليمات البرمجية أثناء التهرب من الكشف عنها بواسطة برامج الأمان. تتضمن السلوكيات المحددة ما يلي: {قائمة السلوكيات المرصودة} |
التنفيذ | درجة عالية |
| تم الكشف عن مجموعة أدوات الهجوم بدون ملف (VM_FilelessAttackToolkit.Linux) |
تحتوي ذاكرة العملية المحددة أدناه على مجموعة أدوات هجوم بدون ملف: {ToolKitName}. عادة ما لا يكون لمجموعات أدوات الهجوم بدون ملفات وجود على نظام الملفات ، مما يجعل اكتشافها بواسطة برامج مكافحة الفيروسات التقليدية أمرا صعبا. تتضمن السلوكيات المحددة ما يلي: {قائمة السلوكيات المرصودة} |
التهرب الدفاعي والإعدام | درجة عالية |
| تم الكشف عن تنفيذ ملف مخفي | يشير تحليل بيانات المضيف إلى أنه تم تنفيذ ملف مخفي بواسطة ٪{اسم المستخدم}. يمكن أن يكون هذا النشاط إما نشاطا مشروعا أو مؤشرا على وجود مضيف مخترق. | - | معلوماتي |
| المؤشرات المرتبطة بمجموعة أدوات DDOS المكتشفة [شوهدت عدة مرات] | كشف تحليل بيانات المضيف على ٪{Comthreat Host} عن أسماء الملفات التي تشكل جزءا من مجموعة أدوات مرتبطة بالبرامج الضارة القادرة على إطلاق هجمات DDoS وفتح المنافذ والخدمات والتحكم الكامل في النظام المصاب. وقد يكون هذا أيضا نشاطا مشروعا. شوهد هذا السلوك [x] مرات اليوم على الأجهزة التالية: [أسماء الأجهزة] | - | متوسط |
| المؤشرات المرتبطة بمجموعة أدوات DDOS المكتشفة (VM_KnownLinuxDDoSToolkit) |
كشف تحليل بيانات المضيف على ٪{Comthreat Host} عن أسماء الملفات التي تشكل جزءا من مجموعة أدوات مرتبطة بالبرامج الضارة القادرة على إطلاق هجمات DDoS وفتح المنافذ والخدمات والتحكم الكامل في النظام المصاب. وقد يكون هذا أيضا نشاطا مشروعا. | المثابرة، الحركة الجانبية، الإعدام، الاستغلال | متوسط |
| تم اكتشاف استطلاع مضيف محلي [شوهد عدة مرات] | كشف تحليل بيانات المضيف على ٪{المضيف المخترق} عن تنفيذ أمر مرتبط عادة باستطلاع روبوت لينكس الشائع. شوهد هذا السلوك [x] مرات اليوم على الأجهزة التالية: [أسماء الأجهزة] | - | متوسط |
| الكشف عن استكشاف المضيف المحلي (VM_LinuxReconnaissance) |
كشف تحليل بيانات المضيف على ٪{المضيف المخترق} عن تنفيذ أمر مرتبط عادة باستطلاع روبوت لينكس الشائع. | اكتشاف | متوسط |
| تم اكتشاف التلاعب بجدار حماية المضيف [شوهد عدة مرات] (VM_FirewallDisabled) |
كشف تحليل بيانات المضيف على ٪{المضيف المخترق} عن التلاعب المحتمل بجدار الحماية على المضيف. غالبا ما يقوم المهاجمون بتعطيل هذا لتصفية البيانات. شوهد هذا السلوك [x] مرات اليوم على الأجهزة التالية: [أسماء الأجهزة] | التهرب الدفاعي والتسلل | متوسط |
| تم الكشف عن التلاعب بجدار الحماية المضيف | كشف تحليل بيانات المضيف على ٪{المضيف المخترق} عن التلاعب المحتمل بجدار الحماية على المضيف. غالبا ما يقوم المهاجمون بتعطيل هذا لتصفية البيانات. | - | متوسط |
| الكشف عن عامل MITRE Caldera (VM_MitreCalderaTools) |
تشير سجلات الجهاز إلى أن العملية المشبوهة: '٪{عملية مشبوهة}' كانت قيد التشغيل على ٪{المضيف المخترق}. غالبا ما يرتبط هذا بعامل MITRE 54ndc47 الذي يمكن استخدامه بشكل ضار لمهاجمة الآلات الأخرى بطريقة ما. | الكل | متوسط |
| تمت إضافة مفتاح SSH جديد [تمت مشاهدته عدة مرات] (VM_SshKeyAddition) |
تمت إضافة مفتاح SSH جديد إلى ملف المفاتيح المعتمدة. شوهد هذا السلوك [x] مرات اليوم على الأجهزة التالية: [أسماء الأجهزة] | الاستمرار | منخفض |
| تمت إضافة مفتاح SSH جديد | تمت إضافة مفتاح SSH جديد إلى ملف المفاتيح المعتمدة | - | منخفض |
| تم اكتشاف أداة هجوم محتملة [شوهدت عدة مرات] | تشير سجلات الجهاز إلى أن العملية المشبوهة: '٪{عملية مشبوهة}' كانت قيد التشغيل على ٪{المضيف المخترق}. غالبا ما ترتبط هذه الأداة بالمستخدمين الضارين الذين يهاجمون الأجهزة الأخرى بطريقة ما. شوهد هذا السلوك [x] مرات اليوم على الأجهزة التالية: [أسماء الأجهزة] | - | متوسط |
| تم اكتشاف أداة هجوم محتملة (VM_KnownLinuxAttackTool) |
تشير سجلات الجهاز إلى أن العملية المشبوهة: '٪{عملية مشبوهة}' كانت قيد التشغيل على ٪{المضيف المخترق}. غالبا ما ترتبط هذه الأداة بالمستخدمين الضارين الذين يهاجمون الأجهزة الأخرى بطريقة ما. | التنفيذ، الجمع، القيادة والتحكم، التحقيق | متوسط |
| تم اكتشاف الباب الخلفي المحتمل [شوهد عدة مرات] | اكتشف تحليل بيانات المضيف ملفا مشبوها يتم تنزيله ثم تشغيله على ٪{المضيف المخترق} في اشتراكك. وقد ارتبط هذا النشاط سابقا بتركيب باب خلفي. شوهد هذا السلوك [x] مرات اليوم على الأجهزة التالية: [أسماء الأجهزة] | - | متوسط |
| تم اكتشاف أداة الوصول إلى بيانات الاعتماد المحتملة [تمت مشاهدتها عدة مرات] | تشير سجلات الجهاز إلى أن أداة الوصول إلى بيانات الاعتماد المعروفة المحتملة كانت تعمل على ٪{المضيف المخترق} الذي تم إطلاقه بواسطة العملية: '٪{عملية مشبوهة}'. غالبا ما ترتبط هذه الأداة بمحاولات المهاجم للوصول إلى بيانات الاعتماد. شوهد هذا السلوك [x] مرات اليوم على الأجهزة التالية: [أسماء الأجهزة] | - | متوسط |
| تم اكتشاف أداة الوصول إلى بيانات الاعتماد المحتملة (VM_KnownLinuxCredentialAccessTool) |
تشير سجلات الجهاز إلى أن أداة الوصول إلى بيانات الاعتماد المعروفة المحتملة كانت تعمل على ٪{المضيف المخترق} الذي تم إطلاقه بواسطة العملية: '٪{عملية مشبوهة}'. غالبا ما ترتبط هذه الأداة بمحاولات المهاجم للوصول إلى بيانات الاعتماد. | الوصول إلى بيانات تسجيل الدخول | متوسط |
| إمكانية استخراج البيانات [شوهد عدة مرات] | كشف تحليل بيانات المضيف على ٪{المضيف المخترق} عن حالة خروج بيانات محتملة. غالبا ما يخرج المهاجمون البيانات من الأجهزة التي قاموا باختراقها. شوهد هذا السلوك [x]] مرات اليوم على الأجهزة التالية: [أسماء الأجهزة] | - | متوسط |
| إمكانية استخراج البيانات (VM_DataEgressArtifacts) |
كشف تحليل بيانات المضيف على ٪{المضيف المخترق} عن حالة خروج بيانات محتملة. غالبا ما يخرج المهاجمون البيانات من الأجهزة التي قاموا باختراقها. | التحصيل، الإخراج | متوسط |
| الاستغلال المحتمل لغزل Hadoop (VM_HadoopYarnExploit) |
كشف تحليل بيانات المضيف على ٪{المضيف المخترق} عن الاستغلال المحتمل لخدمة Hadoop Yarn. | استغلال | متوسط |
| اكتشاف استغلال محتمل لخادم البريد (VM_MailserverExploitation ) |
كشف تحليل بيانات المضيف على ٪{المضيف المخترق} عن تنفيذ غير عادي ضمن حساب خادم البريد | استغلال | متوسط |
| تم اكتشاف نشاط محتمل للتلاعب بالسجل [شوهد عدة مرات] | كشف تحليل بيانات المضيف على ٪{المضيف المخترق} عن إمكانية إزالة الملفات التي تتعقب نشاط المستخدم أثناء تشغيلها. غالبا ما يحاول المهاجمون التهرب من الكشف وعدم ترك أي أثر للأنشطة الضارة عن طريق حذف ملفات السجل هذه. شوهد هذا السلوك [x] مرات اليوم على الأجهزة التالية: [أسماء الأجهزة] | - | متوسط |
| تم الكشف عن نشاط محتمل للتلاعب بالسجل (VM_SystemLogRemoval) |
كشف تحليل بيانات المضيف على ٪{المضيف المخترق} عن إمكانية إزالة الملفات التي تتعقب نشاط المستخدم أثناء تشغيلها. غالبا ما يحاول المهاجمون التهرب من الكشف وعدم ترك أي أثر للأنشطة الضارة عن طريق حذف ملفات السجل هذه. | التهرب الدفاعي | متوسط |
| تم اكتشاف غلاف ويب ضار محتمل [شوهد عدة مرات] (VM_Webshell) |
كشف تحليل بيانات المضيف على ٪{المضيف المخترق} عن غلاف ويب محتمل. غالبا ما يقوم المهاجمون بتحميل غلاف ويب إلى جهاز قاموا باختراقه للحصول على المثابرة أو لمزيد من الاستغلال. شوهد هذا السلوك [x] مرات اليوم على الأجهزة التالية: [أسماء الأجهزة] | المثابرة والاستغلال | متوسط |
| تم الكشف عن قذيفة ويب ضارة محتملة | كشف تحليل بيانات المضيف على ٪{المضيف المخترق} عن غلاف ويب محتمل. غالبا ما يقوم المهاجمون بتحميل غلاف ويب إلى جهاز قاموا باختراقه للحصول على المثابرة أو لمزيد من الاستغلال. | - | متوسط |
| تم اكتشاف تغيير محتمل لكلمة المرور باستخدام طريقة التشفير [شوهد عدة مرات] | كشف تحليل بيانات المضيف على ٪{المضيف المخترق} عن تغيير كلمة المرور باستخدام طريقة السرد. يمكن للمهاجمين إجراء هذا التغيير لمواصلة الوصول والحصول على المثابرة بعد التوصل إلى حل وسط. شوهد هذا السلوك [x] مرات اليوم على الأجهزة التالية: [أسماء الأجهزة] | - | متوسط |
| التجاوز المحتمل للملفات الشائعة [شوهد عدة مرات] | كشف تحليل بيانات المضيف عن وجود ملفات تنفيذية شائعة يتم استبدالها على ٪{المضيف المخترق}. سيقوم المهاجمون بالكتابة فوق الملفات الشائعة كوسيلة للتعتيم على أفعالهم أو للمثابرة. شوهد هذا السلوك [x] مرات اليوم على الأجهزة التالية: [أسماء الأجهزة] | - | متوسط |
| تجاوز محتمل للملفات الشائعة (VM_OverridingCommonFiles) |
كشف تحليل بيانات المضيف عن وجود ملفات تنفيذية شائعة يتم استبدالها على ٪{المضيف المخترق}. سيقوم المهاجمون بالكتابة فوق الملفات الشائعة كوسيلة للتعتيم على أفعالهم أو للمثابرة. | الاستمرار | متوسط |
| إعادة توجيه المنفذ المحتمل إلى عنوان IP خارجي [تمت مشاهدته عدة مرات] | كشف تحليل بيانات المضيف على ٪{المضيف المخترق} عن بدء إعادة توجيه المنفذ إلى عنوان IP خارجي. شوهد هذا السلوك [x] مرات اليوم على الأجهزة التالية: [أسماء الأجهزة] | - | متوسط |
| إعادة توجيه المنفذ المحتمل إلى عنوان IP خارجي (VM_SuspectPortForwarding) |
كشف تحليل بيانات المضيف عن بدء إعادة توجيه المنفذ إلى عنوان IP خارجي. | الترشيح والقيادة والتحكم | متوسط |
| اكتشاف قذيفة عكسية محتملة [شوهدت عدة مرات] | كشف تحليل بيانات المضيف على ٪{المضيف المخترق} عن غلاف عكسي محتمل. يتم استخدامها للحصول على جهاز مخترق للاتصال مرة أخرى بجهاز يمتلكه المهاجم. شوهد هذا السلوك [x] مرات اليوم على الأجهزة التالية: [أسماء الأجهزة] | - | متوسط |
| اكتشاف قذيفة عكسية محتملة (VM_ReverseShell) |
كشف تحليل بيانات المضيف على ٪{المضيف المخترق} عن غلاف عكسي محتمل. يتم استخدامها للحصول على جهاز مخترق للاتصال مرة أخرى بجهاز يمتلكه المهاجم. | التسريب والاستغلال | متوسط |
| تشغيل الأمر المميز في حاوية (VM_PrivilegedExecutionInContainer) |
تشير سجلات الجهاز إلى أنه تم تشغيل أمر مميز في حاوية Docker. يحتوي الأمر المميز على امتيازات موسعة على الجهاز المضيف. | زيادة الامتيازات | منخفض |
| تم اكتشاف حاوية مميزة (VM_PrivilegedContainerArtifacts) |
تشير سجلات الجهاز إلى تشغيل حاوية عامل الإرساء المميزة. تتمتع الحاوية المميزة بإمكانية الوصول الكامل إلى موارد المضيف. في حالة اختراقه، يمكن للمهاجم استخدام الحاوية المميزة للوصول إلى الجهاز المضيف. | تصعيد الامتيازات، التنفيذ | منخفض |
| تم اكتشاف العملية المرتبطة بتعدين العملات الرقمية [شوهد عدة مرات] | كشف تحليل بيانات المضيف على ٪{المضيف المخترق} عن تنفيذ عملية ترتبط عادة بتعدين العملات الرقمية. شوهد هذا السلوك أكثر من 100 مرة اليوم على الأجهزة التالية: [اسم الجهاز] | - | متوسط |
| اكتشاف العملية المرتبطة بتعدين العملات الرقمية | كشف تحليل بيانات المضيف عن تنفيذ عملية ترتبط عادة بتعدين العملات الرقمية. | الاستغلال والتنفيذ | متوسط |
| عملية شوهدت الوصول إلى ملف المفاتيح المعتمد SSH بطريقة غير عادية (VM_SshKeyAccess) |
تم الوصول إلى ملف مفاتيح معتمد من SSH بطريقة مشابهة لحملات البرامج الضارة المعروفة. يمكن أن يشير هذا الوصول إلى أن المهاجم يحاول الوصول المستمر إلى الجهاز. | - | منخفض |
| تم اكتشاف أداة تنزيل مشفرة من Python [تمت مشاهدتها عدة مرات] | كشف تحليل بيانات المضيف على ٪{المضيف المخترق} عن تنفيذ Python المشفر الذي يقوم بتنزيل التعليمات البرمجية وتشغيلها من موقع بعيد. قد يكون هذا مؤشرا على نشاط ضار. شوهد هذا السلوك [x] مرات اليوم على الأجهزة التالية: [أسماء الأجهزة] | - | منخفض |
| لقطة شاشة تم التقاطها على المضيف [شوهد عدة مرات] | كشف تحليل بيانات المضيف على ٪{المضيف المخترق} عن مستخدم أداة التقاط الشاشة. قد يستخدم المهاجمون هذه الأدوات للوصول إلى البيانات الخاصة. شوهد هذا السلوك [x] مرات اليوم على الأجهزة التالية: [أسماء الأجهزة] | - | منخفض |
| تم اكتشاف عدم تطابق ملحق البرنامج النصي [شوهد عدة مرات] | كشف تحليل بيانات المضيف على ٪{المضيف المخترق} عن عدم تطابق بين مترجم البرنامج النصي وامتداد ملف البرنامج النصي المقدم كمدخلات. وقد ارتبط هذا في كثير من الأحيان مع عمليات تنفيذ البرنامج النصي للمهاجمين. شوهد هذا السلوك [x] مرات اليوم على الأجهزة التالية: [أسماء الأجهزة] | - | متوسط |
| تم الكشف عن عدم تطابق ملحق البرنامج النصي (VM_MismatchedScriptFeatures) |
كشف تحليل بيانات المضيف على ٪{المضيف المخترق} عن عدم تطابق بين مترجم البرنامج النصي وامتداد ملف البرنامج النصي المقدم كمدخلات. وقد ارتبط هذا في كثير من الأحيان مع عمليات تنفيذ البرنامج النصي للمهاجمين. | التهرب الدفاعي | متوسط |
| تم اكتشاف رمز shell [شوهد عدة مرات] | كشف تحليل بيانات المضيف على ٪{المضيف المخترق} عن رمز shellcode الذي يتم إنشاؤه من سطر الأوامر. قد تكون هذه العملية نشاطا مشروعا، أو مؤشرا على أن أحد أجهزتك قد تم اختراقه. شوهد هذا السلوك [x] مرات اليوم على الأجهزة التالية: [أسماء الأجهزة] | - | متوسط |
| خادم SSH يعمل داخل حاوية (VM_ContainerSSH) |
تشير سجلات الجهاز إلى أن خادم SSH قيد التشغيل داخل حاوية Docker. على الرغم من أن هذا السلوك يمكن أن يكون متعمدا، إلا أنه يشير بشكل متكرر إلى أن حاوية قد تم تكوينها أو اختراقها بشكل خاطئ. | التنفيذ | متوسط |
| هجوم ناجح للقوة الغاشمة SSH (VM_SshBruteForceSuccess) |
كشف تحليل بيانات المضيف عن هجوم ناجح للقوة الغاشمة. شوهد IP ٪{Attacker source IP} وهو يقوم بمحاولات تسجيل دخول متعددة. تم إجراء عمليات تسجيل دخول ناجحة من عنوان IP هذا مع المستخدم (المستخدمين) التاليين: ٪{الحسابات المستخدمة لتسجيل الدخول بنجاح إلى المضيف}. هذا يعني أن المضيف قد يتم اختراقه والتحكم فيه من قبل جهة فاعلة ضارة. | استغلال | درجة عالية |
| الوصول إلى ملف كلمة المرور المشتبه به (VM_SuspectPasswordFileAccess) |
كشف تحليل بيانات المضيف عن وصول مشبوه إلى كلمات مرور المستخدم المشفرة. | الاستمرار | معلوماتي |
| اكتشاف إنشاء حساب مشبوه | كشف تحليل بيانات المضيف على ٪{المضيف المخترق} عن إنشاء أو استخدام حساب محلي ٪{اسم حساب مشبوه} : يشبه اسم الحساب هذا إلى حد كبير اسم حساب Windows أو المجموعة القياسي '٪{مشابه لاسم الحساب}'. من المحتمل أن يكون هذا حسابا مارقا تم إنشاؤه بواسطة مهاجم ، سمي بهذا الاسم لتجنب ملاحظته من قبل مسؤول بشري. | - | متوسط |
| تم اكتشاف تجميع مشبوه [شوهد عدة مرات] | كشف تحليل بيانات المضيف على ٪{المضيف المخترق} عن تجميع مشبوه. غالبا ما يقوم المهاجمون بتجميع عمليات الاستغلال على جهاز قاموا باختراقه لتصعيد الامتيازات. شوهد هذا السلوك [x] مرات اليوم على الأجهزة التالية: [أسماء الأجهزة] | - | متوسط |
| الكشف عن تجميع مشبوه (VM_SuspectCompilation) |
كشف تحليل بيانات المضيف على ٪{المضيف المخترق} عن تجميع مشبوه. غالبا ما يقوم المهاجمون بتجميع عمليات الاستغلال على جهاز قاموا باختراقه لتصعيد الامتيازات. | تصعيد الامتيازات، الاستغلال | متوسط |
| DNS مشبوه عبر https (VM_SuspiciousDNSOverHttps) |
يشير تحليل بيانات المضيف إلى استخدام مكالمة DNS عبر HTTPS بطريقة غير شائعة. يتم استخدام هذه التقنية من قبل المهاجمين لإخفاء المكالمات إلى المواقع المشتبه بها أو الضارة. | الدفاعالتهرب والتسلل | متوسط |
| فشل التنفيذ المشبوه لملحق البرنامج النصي المخصص في جهازك الظاهري (VM_CustomScriptExtensionSuspiciousFailure) |
تم اكتشاف فشل مريب في ملحق برنامج نصي مخصص في جهازك الظاهري عن طريق تحليل عمليات Azure Resource Manager في اشتراكك. قد ترتبط حالات الفشل هذه بالبرامج النصية الضارة التي يتم تشغيلها بواسطة هذا الملحق. |
التنفيذ | متوسط |
| تم اكتشاف وحدة kernel مشبوهة [شوهدت عدة مرات] | كشف تحليل بيانات المضيف على ٪{المضيف المخترق} عن ملف كائن مشترك يتم تحميله كوحدة نواة. قد يكون هذا نشاطا مشروعا، أو مؤشرا على أن أحد أجهزتك قد تم اختراقه. شوهد هذا السلوك [x] مرات اليوم على الأجهزة التالية: [أسماء الأجهزة] | - | متوسط |
| الوصول إلى كلمة المرور المشبوهة [شوهد عدة مرات] | كشف تحليل بيانات المضيف عن وصول مشبوه إلى كلمات مرور المستخدم المشفرة على ٪{المضيف المخترق}. شوهد هذا السلوك [x] مرات اليوم على الأجهزة التالية: [أسماء الأجهزة] | - | معلوماتي |
| الوصول إلى كلمة المرور المشبوهة | كشف تحليل بيانات المضيف عن وصول مشبوه إلى كلمات مرور المستخدم المشفرة على ٪{المضيف المخترق}. | - | معلوماتي |
| تم الكشف عن تنفيذ PHP مشبوه (VM_SuspectPhp) |
تشير سجلات الجهاز إلى تشغيل عملية PHP مشبوهة. تضمن الإجراء محاولة لتشغيل أوامر نظام التشغيل أو رمز PHP من سطر الأوامر باستخدام عملية PHP. على الرغم من أن هذا السلوك يمكن أن يكون شرعيا، إلا أنه في تطبيقات الويب يتم ملاحظة هذا السلوك أيضا في الأنشطة الضارة مثل محاولات إصابة مواقع الويب بأصداف الويب. | التنفيذ | متوسط |
| طلب مشبوه إلى واجهة برمجة تطبيقات Kubernetes (VM_KubernetesAPI) |
تشير سجلات الجهاز إلى أنه تم تقديم طلب مشبوه إلى واجهة برمجة تطبيقات Kubernetes. تم إرسال الطلب من عقدة Kubernetes ، ربما من إحدى الحاويات التي تعمل في العقدة. على الرغم من أن هذا السلوك يمكن أن يكون متعمدا، إلا أنه قد يشير إلى أن العقدة تقوم بتشغيل حاوية مخترقة. | LateralMovement | متوسط |
| طلب مشبوه إلى لوحة معلومات Kubernetes (VM_KubernetesDashboard) |
تشير سجلات الجهاز إلى أنه تم تقديم طلب مشبوه إلى لوحة معلومات Kubernetes. تم إرسال الطلب من عقدة Kubernetes ، ربما من إحدى الحاويات التي تعمل في العقدة. على الرغم من أن هذا السلوك يمكن أن يكون متعمدا، إلا أنه قد يشير إلى أن العقدة تقوم بتشغيل حاوية مخترقة. | LateralMovement | متوسط |
| تهديد إنتل سطر الأوامر المجال المشتبه به (VM_ThreatIntelCommandLineSuspectDomain) |
العملية "PROCESSNAME" على "HOST" متصلة بموقع تم الإبلاغ عنه على أنه ضار أو غير عادي. وهذا مؤشر على احتمال حدوث حل وسط. | الوصول الأولي | متوسط |
| إعادة تعيين التكوين غير العادي في جهازك الظاهري (VM_VMAccessUnusualConfigReset) |
تم اكتشاف إعادة تعيين تكوين غير عادية في جهازك الظاهري عن طريق تحليل عمليات Azure Resource Manager في اشتراكك. على الرغم من أن هذا الإجراء قد يكون مشروعا، إلا أنه يمكن للمهاجمين محاولة استخدام ملحق VM Access لإعادة تعيين التكوين في جهازك الظاهري واختراقه. |
الوصول إلى بيانات تسجيل الدخول | متوسط |
| حذف غير عادي لملحق البرنامج النصي المخصص في جهازك الظاهري (VM_CustomScriptExtensionUnusualDeletion) |
تم اكتشاف حذف غير عادي لملحق برنامج نصي مخصص في جهازك الظاهري من خلال تحليل عمليات Azure Resource Manager في اشتراكك. قد يستخدم المهاجمون ملحقات البرامج النصية المخصصة لتنفيذ تعليمات برمجية ضارة على أجهزتك الظاهرية عبر Azure Resource Manager. |
التنفيذ | متوسط |
| تنفيذ غير عادي لملحق البرنامج النصي المخصص في جهازك الظاهري (VM_CustomScriptExtensionUnusualExecution) |
تم اكتشاف تنفيذ غير عادي لملحق برنامج نصي مخصص في جهازك الظاهري عن طريق تحليل عمليات Azure Resource Manager في اشتراكك. قد يستخدم المهاجمون ملحقات البرامج النصية المخصصة لتنفيذ تعليمات برمجية ضارة على أجهزتك الظاهرية عبر Azure Resource Manager. |
التنفيذ | متوسط |
| إعادة تعيين كلمة مرور المستخدم غير العادية في جهازك الظاهري (VM_VMAccessUnusualPasswordReset) |
تم اكتشاف إعادة تعيين كلمة مرور مستخدم غير عادية في جهازك الظاهري عن طريق تحليل عمليات Azure Resource Manager في اشتراكك. على الرغم من أن هذا الإجراء قد يكون مشروعا، إلا أنه يمكن للمهاجمين محاولة استخدام ملحق VM Access لإعادة تعيين بيانات اعتماد مستخدم محلي في جهازك الظاهري واختراقه. |
الوصول إلى بيانات تسجيل الدخول | متوسط |
| إعادة تعيين مفتاح SSH غير العادي للمستخدم في جهازك الظاهري (VM_VMAccessUnusualSSHReset) |
تم اكتشاف إعادة تعيين مفتاح SSH مستخدم غير عادي في جهازك الظاهري عن طريق تحليل عمليات Azure Resource Manager في اشتراكك. على الرغم من أن هذا الإجراء قد يكون مشروعا، إلا أنه يمكن للمهاجمين محاولة استخدام ملحق VM Access لإعادة تعيين مفتاح SSH لحساب مستخدم في جهازك الظاهري واختراقه. |
الوصول إلى بيانات تسجيل الدخول | متوسط |
تنبيهات لخدمة تطبيقات Azure
| تنبيه (نوع التنبيه) | الوصف | تكتيكات MITRE (تعرف على المزيد) |
الخطورة |
|---|---|---|---|
| محاولة لتشغيل أوامر Linux على خدمة تطبيق Windows (AppServices_LinuxCommandOnWindows) |
كشف تحليل عمليات خدمة التطبيقات عن محاولة لتشغيل أمر Linux على Windows App Service. كان هذا الإجراء قيد التشغيل بواسطة تطبيق ويب. غالبا ما يظهر هذا السلوك أثناء الحملات التي تستغل ثغرة أمنية في تطبيق ويب شائع. (ينطبق على: خدمة التطبيق على Windows) |
- | متوسط |
| تم العثور على عنوان IP متصل بواجهة FTP لخدمة تطبيقات Azure في "معلومات التهديدات" (AppServices_IncomingTiClientIpFtp) |
يشير سجل FTP لخدمة تطبيقات Azure إلى اتصال من عنوان مصدر تم العثور عليه في موجز معلومات التهديدات. أثناء هذا الاتصال، قام مستخدم بالوصول إلى الصفحات المدرجة. (ينطبق على: خدمة التطبيق على Windows وخدمة التطبيقات على Linux) |
الوصول الأولي | متوسط |
| محاولة تشغيل أمر امتياز عالي تم اكتشافه (AppServices_HighPrivilegeCommand) |
كشف تحليل عمليات App Service عن محاولة لتشغيل أمر يتطلب امتيازات عالية. تم تشغيل الأمر في سياق تطبيق الويب. على الرغم من أن هذا السلوك يمكن أن يكون شرعيا، إلا أنه في تطبيقات الويب يتم ملاحظة هذا السلوك أيضا في الأنشطة الضارة. (ينطبق على: خدمة التطبيق على Windows) |
- | متوسط |
| التواصل مع المجال المشبوه الذي تم تحديده بواسطة استخبارات التهديدات (AzureDNS_ThreatIntelSuspectDomain) |
تم اكتشاف الاتصال بالمجال المشبوه من خلال تحليل معاملات DNS من موردك ومقارنتها بالمجالات الضارة المعروفة التي تم تحديدها بواسطة خلاصات معلومات التهديدات. غالبا ما يتم تنفيذ الاتصال بالنطاقات الضارة بواسطة المهاجمين وقد يعني ذلك أن موردك قد تم اختراقه. | الوصول الأولي ، المثابرة ، التنفيذ ، القيادة والسيطرة ، الاستغلال | متوسط |
| تم اكتشاف الاتصال بصفحة الويب من عنوان IP الشاذ (AppServices_AnomalousPageAccess) |
يشير سجل نشاط Azure App Service إلى اتصال شاذ بصفحة ويب حساسة من عنوان IP المصدر المدرج. قد يشير هذا إلى أن شخصا ما يحاول شن هجوم بالقوة الغاشمة على صفحات إدارة تطبيق الويب الخاص بك. قد يكون أيضا نتيجة لعنوان IP جديد يستخدمه مستخدم شرعي. إذا كان عنوان IP المصدر موثوقا به، فيمكنك منع هذا التنبيه لهذا المورد بأمان. لمعرفة كيفية منع تنبيهات الأمان، راجع منع التنبيهات من Microsoft Defender for Cloud. (ينطبق على: خدمة التطبيق على Windows وخدمة التطبيقات على Linux) |
الوصول الأولي | منخفض |
| تم الكشف عن سجل DNS المتدلي لمورد خدمة التطبيق (AppServices_DanglingDomain) |
تم اكتشاف سجل DNS يشير إلى مورد App Service تم حذفه مؤخرا (يعرف أيضا باسم إدخال "DNS المتدلي"). هذا يجعلك عرضة للاستيلاء على نطاق فرعي. تمكن عمليات الاستحواذ على النطاق الفرعي الجهات الفاعلة الضارة من إعادة توجيه حركة المرور المخصصة لنطاق المؤسسة إلى موقع يقوم بنشاط ضار. (ينطبق على: خدمة التطبيق على Windows وخدمة التطبيقات على Linux) |
- | درجة عالية |
| تم الكشف عن ترميز قابل للتنفيذ في بيانات سطر الأوامر (AppServices_Base64EncodedExecutableInCommandLineParams) |
كشف تحليل بيانات المضيف على {المضيف المخترق} عن ملف تنفيذي مشفر من base-64. وقد ارتبط هذا في السابق بالمهاجمين الذين يحاولون إنشاء ملفات تنفيذية أثناء التنقل من خلال سلسلة من الأوامر ، ومحاولة التهرب من أنظمة اكتشاف التسلل من خلال التأكد من عدم قيام أي أمر فردي بتشغيل تنبيه. قد يكون هذا نشاطا مشروعا ، أو مؤشرا على وجود مضيف مخترق. (ينطبق على: خدمة التطبيق على Windows) |
التهرب الدفاعي والإعدام | درجة عالية |
| تنزيل ملف تم اكتشافه من مصدر ضار معروف (AppServices_SuspectDownload) |
كشف تحليل بيانات المضيف عن تنزيل ملف من مصدر برامج ضارة معروف على مضيفك. (ينطبق على: خدمة التطبيق على لينكس) |
تصعيد الامتيازات، التنفيذ، الإخراج، القيادة والتحكم | متوسط |
| تم اكتشاف تنزيل ملف مشبوه (AppServices_SuspectDownloadArtifacts) |
كشف تحليل بيانات المضيف عن تنزيل مشبوه للملف البعيد. (ينطبق على: خدمة التطبيق على لينكس) |
الاستمرار | متوسط |
| الكشف عن السلوك المتعلق بتعدين العملات الرقمية (AppServices_DigitalCurrencyMining) |
كشف تحليل بيانات المضيف على Inn-Flow-WebJobs عن تنفيذ عملية أو أمر يرتبط عادة بتعدين العملات الرقمية. (ينطبق على: خدمة التطبيق على Windows وخدمة التطبيقات على Linux) |
التنفيذ | درجة عالية |
| قابل للتنفيذ فك التشفير باستخدام certutil (AppServices_ExecutableDecodedUsingCertutil) |
كشف تحليل بيانات المضيف على [الكيان المخترق] أن certutil.exe، وهي أداة مساعدة مضمنة للمسؤول، كانت تستخدم لفك تشفير ملف قابل للتنفيذ بدلا من غرضه السائد الذي يتعلق بالتلاعب بالشهادات وبيانات الشهادات. من المعروف أن المهاجمين يسيئون استخدام وظائف أدوات المسؤول الشرعية لتنفيذ إجراءات ضارة، على سبيل المثال باستخدام أداة مثل certutil.exe لفك تشفير ملف تنفيذي ضار سيتم تنفيذه لاحقا. (ينطبق على: خدمة التطبيق على Windows) |
التهرب الدفاعي والإعدام | درجة عالية |
| تم الكشف عن سلوك هجوم بدون ملف (AppServices_FilelessAttackBehaviorDetection) |
تحتوي ذاكرة العملية المحددة أدناه على سلوكيات شائعة الاستخدام من قبل الهجمات بدون ملفات. تتضمن السلوكيات المحددة ما يلي: {قائمة السلوكيات المرصودة} (ينطبق على: خدمة التطبيق على Windows وخدمة التطبيقات على Linux) |
التنفيذ | متوسط |
| تم الكشف عن تقنية الهجوم بدون ملف (AppServices_FilelessAttackTechniqueDetection) |
تحتوي ذاكرة العملية المحددة أدناه على دليل على تقنية هجوم بدون ملف. يتم استخدام الهجمات بدون ملفات من قبل المهاجمين لتنفيذ التعليمات البرمجية أثناء التهرب من الكشف عنها بواسطة برامج الأمان. تتضمن السلوكيات المحددة ما يلي: {قائمة السلوكيات المرصودة} (ينطبق على: خدمة التطبيق على Windows وخدمة التطبيقات على Linux) |
التنفيذ | درجة عالية |
| تم الكشف عن مجموعة أدوات الهجوم بدون ملف (AppServices_FilelessAttackToolkitDetection) |
تحتوي ذاكرة العملية المحددة أدناه على مجموعة أدوات هجوم بدون ملف: {ToolKitName}. عادة ما لا يكون لمجموعات أدوات الهجوم بدون ملفات وجود على نظام الملفات ، مما يجعل اكتشافها بواسطة برامج مكافحة الفيروسات التقليدية أمرا صعبا. تتضمن السلوكيات المحددة ما يلي: {قائمة السلوكيات المرصودة} (ينطبق على: خدمة التطبيق على Windows وخدمة التطبيقات على Linux) |
التهرب الدفاعي والإعدام | درجة عالية |
| تنبيه اختبار Microsoft Defender for Cloud لخدمة التطبيقات (ليس تهديدا) (AppServices_EICAR) |
هذا تنبيه اختبار تم إنشاؤه بواسطة Microsoft Defender for Cloud. ولا حاجة إلى اتخاذ مزيد من الإجراءات. (ينطبق على: خدمة التطبيق على Windows وخدمة التطبيقات على Linux) |
- | درجة عالية |
| الكشف عن المسح الضوئي NMap (AppServices_Nmap) |
يشير سجل نشاط Azure App Service إلى نشاط محتمل لبصمات أصابع الويب على مورد خدمة التطبيقات. يرتبط النشاط المشبوه المكتشف ب NMAP. غالبا ما يستخدم المهاجمون هذه الأداة للتحقيق في تطبيق الويب للعثور على نقاط الضعف. (ينطبق على: خدمة التطبيق على Windows وخدمة التطبيقات على Linux) |
PreAttack | متوسط |
| محتوى التصيد الاحتيالي المستضاف على Azure Webapps (AppServices_PhishingContent) |
تم العثور على عنوان URL المستخدم لهجوم التصيد الاحتيالي على موقع Azure AppServices على الويب. كان عنوان URL هذا جزءا من هجوم تصيد احتيالي تم إرساله إلى عملاء Microsoft 365. عادة ما يجذب المحتوى الزوار إلى إدخال بيانات اعتماد الشركة أو المعلومات المالية الخاصة بهم في موقع ويب ذي مظهر شرعي. (ينطبق على: خدمة التطبيق على Windows وخدمة التطبيقات على Linux) |
المجموعة | درجة عالية |
| ملف PHP في مجلد التحميل (AppServices_PhpInUploadFolder) |
يشير سجل نشاط Azure App Service إلى إمكانية الوصول إلى صفحة PHP مشبوهة موجودة في مجلد التحميل. لا يحتوي هذا النوع من المجلدات عادة على ملفات PHP. قد يشير وجود هذا النوع من الملفات إلى استغلال الاستفادة من الثغرات الأمنية التعسفية في تحميل الملفات. (ينطبق على: خدمة التطبيق على Windows وخدمة التطبيقات على Linux) |
التنفيذ | متوسط |
| ممكن Cryptocoinminer تحميل الكشف عن (AppServices_CryptoCoinMinerDownload) |
كشف تحليل بيانات المضيف عن تنزيل ملف يرتبط عادة بتعدين العملات الرقمية. (ينطبق على: خدمة التطبيق على لينكس) |
التهرب الدفاعي والقيادة والسيطرة والاستغلال | متوسط |
| الكشف عن إمكانية استخراج البيانات (AppServices_DataEgressArtifacts) |
كشف تحليل بيانات المضيف / الجهاز عن حالة خروج محتملة للبيانات. غالبا ما يخرج المهاجمون البيانات من الأجهزة التي قاموا باختراقها. (ينطبق على: خدمة التطبيق على لينكس) |
التحصيل، الإخراج | متوسط |
| تم الكشف عن سجل DNS المتدلي المحتمل لمورد App Service (AppServices_PotentialDanglingDomain) |
تم اكتشاف سجل DNS يشير إلى مورد App Service تم حذفه مؤخرا (يعرف أيضا باسم إدخال "DNS المتدلي"). قد يجعلك هذا عرضة للاستيلاء على نطاق فرعي. تمكن عمليات الاستحواذ على النطاق الفرعي الجهات الفاعلة الضارة من إعادة توجيه حركة المرور المخصصة لنطاق المؤسسة إلى موقع يقوم بنشاط ضار. في هذه الحالة، تم العثور على سجل نصي يحتوي على معرف إثبات ملكية النطاق. تمنع هذه السجلات النصية الاستيلاء على النطاق الفرعي ولكننا لا نزال نوصي بإزالة النطاق المتدلي. إذا تركت سجل DNS يشير إلى النطاق الفرعي فأنت في خطر إذا قام أي شخص في مؤسستك بحذف ملف TXT أو السجل في المستقبل. (ينطبق على: خدمة التطبيق على Windows وخدمة التطبيقات على Linux) |
- | منخفض |
| اكتشاف قذيفة عكسية محتملة (AppServices_ReverseShell) |
كشف تحليل بيانات المضيف عن غلاف عكسي محتمل. يتم استخدامها للحصول على جهاز مخترق للاتصال مرة أخرى بجهاز يمتلكه المهاجم. (ينطبق على: خدمة التطبيق على لينكس) |
التسريب والاستغلال | متوسط |
| تم الكشف عن تنزيل البيانات الخام (AppServices_DownloadCodeFromWebsite) |
كشف تحليل عمليات App Service عن محاولة لتنزيل التعليمات البرمجية من مواقع الويب ذات البيانات الخام مثل Pastebin. تم تشغيل هذا الإجراء بواسطة عملية PHP. يقترن هذا السلوك بمحاولات تنزيل shells ويب أو المكونات الضارة الأخرى إلى خدمة التطبيق. (ينطبق على: خدمة التطبيق على Windows) |
التنفيذ | متوسط |
| حفظ إخراج حليقة إلى القرص المكتشف (AppServices_CurlToDisk) |
كشف تحليل عمليات App Service عن تشغيل أمر curl الذي تم فيه حفظ الإخراج على القرص. على الرغم من أن هذا السلوك يمكن أن يكون شرعيا، إلا أنه في تطبيقات الويب يتم ملاحظة هذا السلوك أيضا في الأنشطة الضارة مثل محاولات إصابة مواقع الويب بأصداف الويب. (ينطبق على: خدمة التطبيق على Windows) |
- | منخفض |
| تم اكتشاف محيل مجلد البريد العشوائي (AppServices_SpamReferrer) |
يشير سجل نشاط Azure App Service إلى نشاط الويب الذي تم تحديده على أنه ناشئ من موقع ويب مقترن بنشاط البريد العشوائي. يمكن أن يحدث هذا إذا تم اختراق موقع الويب الخاص بك واستخدامه لنشاط البريد العشوائي. (ينطبق على: خدمة التطبيق على Windows وخدمة التطبيقات على Linux) |
- | منخفض |
| تم اكتشاف وصول مشبوه إلى صفحة ويب يحتمل أن تكون ضعيفة (AppServices_ScanSensitivePage) |
يشير سجل نشاط Azure App Service إلى أنه تم الوصول إلى صفحة ويب تبدو حساسة. نشأ هذا النشاط المشبوه من عنوان IP مصدر يشبه نمط وصوله نمط الماسح الضوئي على الويب. غالبا ما يرتبط هذا النشاط بمحاولة من مهاجم لفحص شبكتك لمحاولة الوصول إلى صفحات الويب الحساسة أو الضعيفة. (ينطبق على: خدمة التطبيق على Windows وخدمة التطبيقات على Linux) |
- | منخفض |
| مرجع اسم نطاق مشبوه (AppServices_CommandlineSuspectDomain) |
يشير تحليل بيانات المضيف المكتشفة إلى اسم نطاق مشبوه. مثل هذا النشاط ، على الرغم من أنه قد يكون سلوكا مشروعا للمستخدم ، إلا أنه غالبا ما يكون مؤشرا على تنزيل البرامج الضارة أو تنفيذها. من المرجح أن يتضمن نشاط المهاجم النموذجي ذي الصلة تنزيل وتنفيذ المزيد من البرامج الضارة أو أدوات الإدارة عن بعد. (ينطبق على: خدمة التطبيق على لينكس) |
النقل غير المصرَّح به | منخفض |
| تم اكتشاف تنزيل مشبوه باستخدام Certutil (AppServices_DownloadUsingCertutil) |
كشف تحليل بيانات المضيف على {NAME} عن استخدام certutil.exe، وهي أداة مساعدة مضمنة للمسؤولية، لتنزيل ثنائي بدلا من غرضه السائد الذي يتعلق بالتلاعب بالشهادات وبيانات الشهادات. من المعروف أن المهاجمين يسيئون استخدام وظائف أدوات المسؤول الشرعي لتنفيذ إجراءات ضارة ، على سبيل المثال استخدام certutil.exe لتنزيل وفك تشفير ملف تنفيذي ضار سيتم تنفيذه لاحقا. (ينطبق على: خدمة التطبيق على Windows) |
التنفيذ | متوسط |
| تم الكشف عن تنفيذ PHP مشبوه (AppServices_SuspectPhp) |
تشير سجلات الجهاز إلى تشغيل عملية PHP مشبوهة. تضمن الإجراء محاولة لتشغيل أوامر نظام التشغيل أو تعليمات PHP البرمجية من سطر الأوامر، باستخدام عملية PHP. على الرغم من أن هذا السلوك يمكن أن يكون مشروعا، إلا أن هذا السلوك قد يشير في تطبيقات الويب إلى أنشطة ضارة، مثل محاولات إصابة مواقع الويب بأصداف الويب. (ينطبق على: خدمة التطبيق على Windows وخدمة التطبيقات على Linux) |
التنفيذ | متوسط |
| تم تنفيذ أوامر cmdlets PowerShell المشبوهة (AppServices_PowerShellPowerSploitScriptExecution) |
يشير تحليل بيانات المضيف إلى تنفيذ cmdlets PowerShell PowerSploit الضار المعروف. (ينطبق على: خدمة التطبيق على Windows) |
التنفيذ | متوسط |
| تنفيذ عملية مشبوهة (AppServices_KnownCredential أدوات الوصول) |
تشير سجلات الجهاز إلى أن العملية المشبوهة: '٪{مسار العملية}' كانت قيد التشغيل على الجهاز، وغالبا ما ترتبط بمحاولات المهاجم للوصول إلى بيانات الاعتماد. (ينطبق على: خدمة التطبيق على Windows) |
الوصول إلى بيانات تسجيل الدخول | درجة عالية |
| تم اكتشاف اسم عملية مشبوهة (AppServices_ProcessWithKnownSuspiciousExtension) |
كشف تحليل بيانات المضيف على {NAME} عن عملية يكون اسمها مشبوها، على سبيل المثال يتوافق مع أداة مهاجم معروفة أو مسماة بطريقة توحي بأدوات المهاجم التي تحاول الاختباء على مرأى من الجميع. قد تكون هذه العملية نشاطا مشروعا، أو مؤشرا على أن أحد أجهزتك قد تم اختراقه. (ينطبق على: خدمة التطبيق على Windows) |
المثابرة والتهرب الدفاعي | متوسط |
| تنفيذ عملية SVCHOST المشبوهة (AppServices_SVCHostFromInvalidPath) |
لوحظت عملية النظام SVCHOST تعمل في سياق غير طبيعي. غالبا ما تستخدم البرامج الضارة SVCHOST لإخفاء نشاطها الضار. (ينطبق على: خدمة التطبيق على Windows) |
التهرب الدفاعي والإعدام | درجة عالية |
| اكتشاف وكيل مستخدم مشبوه (AppServices_UserAgentInjection) |
يشير سجل نشاط Azure App Service إلى الطلبات التي تحتوي على وكيل مستخدم مريب. يمكن أن يشير هذا السلوك إلى محاولات استغلال ثغرة أمنية في تطبيق App Service. (ينطبق على: خدمة التطبيق على Windows وخدمة التطبيقات على Linux) |
الوصول الأولي | متوسط |
| تم الكشف عن استدعاء موضوع WordPress مشبوه (AppServices_WpThemeInjection) |
يشير سجل نشاط Azure App Service إلى نشاط محتمل لحقن التعليمات البرمجية على مورد خدمة التطبيقات. يشبه النشاط المشبوه المكتشف نشاط التلاعب بموضوع WordPress لدعم تنفيذ التعليمات البرمجية من جانب الخادم ، متبوعا بطلب ويب مباشر لاستدعاء ملف السمة الذي تم التلاعب به. كان ينظر إلى هذا النوع من النشاط في الماضي كجزء من حملة هجوم على WordPress. إذا كان مورد خدمة التطبيقات الخاص بك لا يستضيف موقع WordPress ، فلن يكون عرضة لاستغلال حقن التعليمات البرمجية المحدد هذا ويمكنك قمع هذا التنبيه بأمان للمورد. لمعرفة كيفية منع تنبيهات الأمان، راجع منع التنبيهات من Microsoft Defender for Cloud. (ينطبق على: خدمة التطبيق على Windows وخدمة التطبيقات على Linux) |
التنفيذ | درجة عالية |
| تم اكتشاف ماسح الثغرات الأمنية (AppServices_DrupalScanner) |
يشير سجل نشاط Azure App Service إلى أنه تم استخدام ماسح ضوئي محتمل للثغرات الأمنية في مورد خدمة التطبيقات. يشبه النشاط المشبوه المكتشف نشاط الأدوات التي تستهدف نظام إدارة المحتوى (CMS). إذا كان مورد خدمة التطبيقات الخاص بك لا يستضيف موقع دروبال، فإنه ليس عرضة لاستغلال حقن التعليمات البرمجية المحددة هذه ويمكنك منع هذا التنبيه بأمان للمورد. لمعرفة كيفية منع تنبيهات الأمان، راجع منع التنبيهات من Microsoft Defender for Cloud. (ينطبق على: خدمة التطبيق على Windows) |
PreAttack | متوسط |
| تم اكتشاف ماسح الثغرات الأمنية (AppServices_JoomlaScanner) |
يشير سجل نشاط Azure App Service إلى أنه تم استخدام ماسح ضوئي محتمل للثغرات الأمنية في مورد خدمة التطبيقات. يشبه النشاط المشبوه المكتشف نشاط الأدوات التي تستهدف تطبيقات Joomla. إذا كان مورد خدمة التطبيقات الخاص بك لا يستضيف موقع Joomla ، فلن يكون عرضة لاستغلال حقن التعليمات البرمجية المحددة هذه ويمكنك منع هذا التنبيه بأمان للمورد. لمعرفة كيفية منع تنبيهات الأمان، راجع منع التنبيهات من Microsoft Defender for Cloud. (ينطبق على: خدمة التطبيق على Windows وخدمة التطبيقات على Linux) |
PreAttack | متوسط |
| تم اكتشاف ماسح الثغرات الأمنية (AppServices_WpScanner) |
يشير سجل نشاط Azure App Service إلى أنه تم استخدام ماسح ضوئي محتمل للثغرات الأمنية في مورد خدمة التطبيقات. يشبه النشاط المشبوه المكتشف نشاط الأدوات التي تستهدف تطبيقات WordPress. إذا كان مورد خدمة التطبيقات الخاص بك لا يستضيف موقع WordPress ، فلن يكون عرضة لاستغلال حقن التعليمات البرمجية المحدد هذا ويمكنك قمع هذا التنبيه بأمان للمورد. لمعرفة كيفية منع تنبيهات الأمان، راجع منع التنبيهات من Microsoft Defender for Cloud. (ينطبق على: خدمة التطبيق على Windows وخدمة التطبيقات على Linux) |
PreAttack | متوسط |
| الكشف عن بصمات أصابع الويب (AppServices_WebFingerprinting) |
يشير سجل نشاط Azure App Service إلى نشاط محتمل لبصمات أصابع الويب على مورد خدمة التطبيقات. يرتبط النشاط المشبوه المكتشف بأداة تسمى الفيل الأعمى. تقوم الأداة ببصمة خوادم الويب وتحاول اكتشاف التطبيقات المثبتة والإصدار. غالبا ما يستخدم المهاجمون هذه الأداة للتحقيق في تطبيق الويب للعثور على نقاط الضعف. (ينطبق على: خدمة التطبيق على Windows وخدمة التطبيقات على Linux) |
PreAttack | متوسط |
| تم وضع علامة على موقع الويب على أنه ضار في موجز معلومات التهديدات (AppServices_SmartScreen) |
يتم وضع علامة على موقع الويب الخاص بك كما هو موضح أدناه كموقع ضار من قبل Windows SmartScreen. إذا كنت تعتقد أن هذه نتيجة إيجابية خاطئة ، فاتصل Windows SmartScreen عبر رابط ملاحظات التقرير المقدم. (ينطبق على: خدمة التطبيق على Windows وخدمة التطبيقات على Linux) |
المجموعة | متوسط |
تنبيهات للحاويات - مجموعات Kubernetes
يوفر Microsoft Defender for Containers تنبيهات أمان على مستوى الكتلة وعلى عقد الكتلة الأساسية من خلال مراقبة كل من مستوى التحكم (خادم API) وعبء العمل الحاوية نفسه. يمكن التعرف على تنبيهات أمان مستوى التحكم من خلال بادئة من K8S_ نوع التنبيه. يمكن التعرف على تنبيهات الأمان لعبء عمل وقت التشغيل في المجموعات بواسطة K8S.NODE_ بادئة نوع التنبيه.
| تنبيه (نوع التنبيه) | الوصف | تكتيكات MITRE (تعرف على المزيد) |
الخطورة |
|---|---|---|---|
| محاولة إنشاء مساحة اسم Linux جديدة من حاوية تم اكتشافها (معاينة) (K8S. NODE_NamespaceCreation) |
كشف تحليل العمليات التي تعمل داخل حاوية في مجموعة Kubernetes عن محاولة لإنشاء مساحة اسم Linux جديدة. على الرغم من أن هذا السلوك قد يكون مشروعا، إلا أنه قد يشير إلى أن مهاجما يحاول الهروب من الحاوية إلى العقدة. تستخدم بعض عمليات استغلال CVE-2022-0185 هذه التقنية. | PrivilegeEscalation | متوسط |
| تم تنزيل ملف وتنفيذه (معاينة) (K8S. NODE_LinuxSuspiciousActivity) |
يشير تحليل العمليات التي تعمل داخل حاوية إلى أنه تم تنزيل ملف إلى الحاوية ، مع منح امتيازات التنفيذ ثم تنفيذه. | التنفيذ | متوسط |
| تم مسح ملف محفوظات (معاينة) (K8S. NODE_HistoryFileCleared) |
يشير تحليل العمليات التي تعمل داخل حاوية إلى أنه تم مسح ملف سجل محفوظات الأوامر. قد يقوم المهاجمون بذلك لتغطية مساراتهم. تم تنفيذ العملية بواسطة حساب المستخدم المحدد. | DefenseEvasion | متوسط |
| النشاط غير الطبيعي للهوية المدارة المرتبطة ب Kubernetes (معاينة) (K8S_AbnormalMiAcitivty) |
كشف تحليل عمليات Azure Resource Manager عن سلوك غير طبيعي لهوية مدارة يستخدمها ملحق AKS. لا يتوافق النشاط المكتشف مع سلوك الملحق المقترن. في حين أن هذا النشاط يمكن أن يكون مشروعا، إلا أن مثل هذا السلوك قد يشير إلى أن الهوية قد اكتسبها مهاجم، ربما من حاوية مخترقة في مجموعة Kubernetes. | الحركة الجانبيَة | متوسط |
| تم الكشف عن عملية حساب خدمة Kubernetes غير طبيعية (K8S_ServiceAccountRareOperation) |
كشف تحليل سجل تدقيق Kubernetes عن سلوك غير طبيعي بواسطة حساب خدمة في مجموعة Kubernetes الخاصة بك. تم استخدام حساب الخدمة لعملية غير شائعة لحساب الخدمة هذا. على الرغم من أن هذا النشاط يمكن أن يكون مشروعا، إلا أن هذا السلوك قد يشير إلى أن حساب الخدمة قيد الاستخدام لأغراض ضارة. | الحركة الجانبية، الوصول إلى بيانات الاعتماد | متوسط |
| تم اكتشاف محاولة اتصال غير شائعة (معاينة) (K8S. NODE_SuspectConnection) |
كشف تحليل العمليات التي تعمل داخل حاوية عن محاولة اتصال غير شائعة باستخدام بروتوكول الجوارب. هذا نادر جدا في العمليات العادية ، ولكنه تقنية معروفة للمهاجمين الذين يحاولون تجاوز اكتشافات طبقة الشبكة. | التنفيذ، التهريب، الاستغلال | متوسط |
| نشر جراب شاذ (معاينة) (K8S_AnomalousPodDeployment) 2 |
كشف تحليل سجل تدقيق Kubernetes عن نشر pod وهو أمر شاذ استنادا إلى نشاط نشر pod السابق. يعتبر هذا النشاط شذوذا عند الأخذ في الاعتبار كيفية ارتباط الميزات المختلفة التي شوهدت في عملية النشر ببعضها البعض. تتضمن الميزات التي تتم مراقبتها سجل صورة الحاوية المستخدم ، والحساب الذي يقوم بالنشر ، واليوم من الأسبوع ، وعدد المرات التي يقوم فيها هذا الحساب بتنفيذ عمليات نشر pod ، ووكيل المستخدم المستخدم في العملية ، وما إذا كانت هذه مساحة اسم تحدث إليها عمليات نشر pod غالبا ، وميزات أخرى. يتم تفصيل أهم الأسباب المساهمة في رفع هذا التنبيه كنشاط شاذ تحت الخصائص الموسعة للتنبيه. | التنفيذ | متوسط |
| محاولة إيقاف خدمة apt-daily-upgrade.timer المكتشفة (معاينة) (K8S. NODE_TimerServiceDisabled) |
كشف تحليل بيانات المضيف/الجهاز عن محاولة لإيقاف خدمة apt-daily-upgrade.timer. وقد لوحظ أن المهاجمين يوقفون هذه الخدمة لتنزيل الملفات الضارة ومنح امتيازات التنفيذ لهجماتهم. يمكن أن يحدث هذا النشاط أيضا إذا تم تحديث الخدمة من خلال الإجراءات الإدارية العادية. | DefenseEvasion | معلوماتي |
| سلوك مشابه لروبوتات Linux الشائعة المكتشفة (معاينة) (K8S. NODE_CommonBot) |
كشف تحليل العمليات التي تعمل داخل حاوية عن تنفيذ عملية ترتبط عادة بشبكات روبوتات Linux الشائعة. | التنفيذ والجمع والقيادة والتحكم | متوسط |
| سلوك مشابه لفيروس الفدية المكتشف من Fairware (معاينة) (K8S. NODE_FairwareMalware) |
كشف تحليل العمليات التي تعمل داخل حاوية عن تنفيذ أوامر rm -rf المطبقة على المواقع المشبوهة. نظرا لأن rm -rf سيقوم بحذف الملفات بشكل متكرر ، فإنه يستخدم عادة في المجلدات المنفصلة. في هذه الحالة ، يتم استخدامه في موقع يمكنه إزالة الكثير من البيانات. ومن المعروف عن برنامج الفدية الضارة Fairware انتزاع الفدية لتنفيذ أوامر RM-RF في هذا المجلد. | التنفيذ | متوسط |
| أمر داخل حاوية تعمل بامتيازات عالية (معاينة) (K8S. NODE_PrivilegedExecutionInContainer) |
تشير سجلات الجهاز إلى أنه تم تشغيل أمر مميز في حاوية Docker. يحتوي الأمر المميز على امتيازات موسعة على الجهاز المضيف. | PrivilegeEscalation | منخفض |
| حاوية تعمل في الوضع المميز (معاينة) (K8S. NODE_PrivilegedContainerArtifacts) |
تشير سجلات الجهاز إلى تشغيل حاوية عامل الإرساء المميزة. تتمتع الحاوية المميزة بحق الوصول الكامل إلى موارد المضيف. في حالة اختراقه، يمكن للمهاجم استخدام الحاوية المميزة للوصول إلى الجهاز المضيف. | الامتيازالتصعيد، التنفيذ | منخفض |
| حاوية مزودة بحامل حجم حساس تم اكتشافه (K8S_SensitiveMount) |
كشف تحليل سجل تدقيق Kubernetes عن حاوية جديدة مزودة بحامل وحدة تخزين حساسة. وحدة التخزين التي تم اكتشافها هي نوع hostPath الذي يقوم بتحميل ملف أو مجلد حساس من العقدة إلى الحاوية. إذا تم اختراق الحاوية ، فيمكن للمهاجم استخدام هذا الحامل للوصول إلى العقدة. | زيادة الامتيازات | متوسط |
| تم الكشف عن تعديل CoreDNS في Kubernetes (K8S_CoreDnsModification) 13 |
كشف تحليل سجل تدقيق Kubernetes عن تعديل تكوين CoreDNS. يمكن تعديل تكوين CoreDNS عن طريق تجاوز خريطة التكوين الخاصة به. على الرغم من أن هذا النشاط يمكن أن يكون مشروعا، إلا أنه إذا كان لدى المهاجمين أذونات لتعديل خريطة التكوين، فيمكنهم تغيير سلوك خادم DNS الخاص بالمجموعة وتسميمه. | الحركة الجانبيَة | منخفض |
| تم الكشف عن إنشاء تكوين webhook للقبول (K8S_AdmissionController) 3 |
كشف تحليل سجل تدقيق Kubernetes عن تكوين webhook جديد للقبول. يحتوي Kubernetes على اثنين من وحدات التحكم العامة في القبول المدمجة: MutatingAdmissionWebhook و ValidatingAdmissionWebhook. يتم تحديد سلوك وحدات التحكم في القبول هذه بواسطة webhook القبول الذي يقوم المستخدم بنشره إلى المجموعة. يمكن أن يكون استخدام وحدات التحكم في القبول هذه مشروعا ، ولكن يمكن للمهاجمين استخدام خطافات الويب هذه لتعديل الطلبات (في حالة MutatingAdmissionWebhook) أو فحص الطلبات والحصول على معلومات حساسة (في حالة التحقق من صحة القبولWebhook). | الوصول إلى بيانات الاعتماد، المثابرة | منخفض |
| تنزيل ملف تم اكتشافه من مصدر ضار معروف (معاينة) (K8S. NODE_SuspectDownload) |
كشف تحليل العمليات التي تعمل داخل حاوية عن تنزيل ملف من مصدر يستخدم بشكل متكرر لتوزيع البرامج الضارة. | الامتيازالتصعيد، التنفيذ، الإخراج، القيادة والسيطرة | متوسط |
| محاولة الثبات المكتشفة (معاينة) (K8S. NODE_NewSingleUserModeStartupScript) |
كشف تحليل العمليات التي تعمل داخل حاوية عن تثبيت برنامج نصي لبدء التشغيل لوضع مستخدم واحد. من النادر للغاية أن أي عملية مشروعة تحتاج إلى التنفيذ في هذا الوضع ، لذلك قد تشير إلى أن المهاجم قد أضاف عملية ضارة إلى كل مستوى تشغيل لضمان الاستمرار. | الاستمرار | متوسط |
| تم اكتشاف تنزيل ملف مريب (معاينة) (K8S. NODE_SuspectDownloadArtifacts) |
كشف تحليل العمليات التي تعمل داخل حاوية عن تنزيل مشبوه لملف بعيد. | الاستمرار | منخفض |
| اكتشاف استخدام مشبوه للأمر nohup (معاينة) (K8S. NODE_SuspectNohup) |
كشف تحليل العمليات التي تعمل داخل حاوية عن استخدام مشبوه للأمر nohup. شوهد المهاجمون يستخدمون الأمر nohup لتشغيل الملفات المخفية من دليل مؤقت للسماح بتشغيل الملفات التنفيذية الخاصة بهم في الخلفية. من النادر رؤية هذا الأمر يعمل على الملفات المخفية الموجودة في دليل مؤقت. | المثابرة، الدفاعالتهرب | متوسط |
| اكتشاف استخدام مريب للأمر useradd (معاينة) (K8S. NODE_SuspectUserAddition) |
كشف تحليل العمليات التي تعمل داخل حاوية عن استخدام مشبوه للأمر useradd. | الاستمرار | متوسط |
| الكشف عن حاوية تعدين العملات الرقمية (K8S_MaliciousContainerImage) 2 |
كشف تحليل سجل تدقيق Kubernetes عن حاوية تحتوي على صورة مرتبطة بأداة تعدين العملات الرقمية. | التنفيذ | درجة عالية |
| اكتشاف سلوك متعلق بتعدين العملات الرقمية (معاينة) (K8S. NODE_DigitalCurrencyMining) |
كشف تحليل بيانات المضيف عن تنفيذ عملية أو أمر يرتبط عادة بتعدين العملات الرقمية. | التنفيذ | درجة عالية |
| تم اكتشاف عملية إنشاء Docker على عقدة Kubernetes (معاينة) (K8S. NODE_ImageBuildOnNode) |
يشير تحليل العمليات التي تعمل داخل حاوية إلى عملية بناء لصورة حاوية على عقدة Kubernetes. على الرغم من أن هذا السلوك قد يكون مشروعا، إلا أن المهاجمين قد ينشئون صورهم الضارة محليا لتجنب اكتشافها. | DefenseEvasion | منخفض |
| أذونات الدور الزائدة المعينة في نظام المجموعة Kubernetes (معاينة) (K8S_ServiceAcountPermissionAnomaly) 3 |
كشف تحليل سجلات تدقيق Kubernetes عن تعيين دور أذونات مفرط إلى مجموعتك. الأذونات المدرجة للأدوار المعينة غير شائعة لحساب الخدمة المحدد. يأخذ هذا الكشف في الاعتبار تعيينات الأدوار السابقة لحساب الخدمة نفسه عبر المجموعات التي يراقبها Azure، ووحدة التخزين لكل إذن، وتأثير الإذن المحدد. يأخذ نموذج الكشف عن الحالات الشاذة المستخدم لهذا التنبيه في الاعتبار كيفية استخدام هذا الإذن عبر جميع المجموعات التي يراقبها Microsoft Defender for Cloud. | زيادة الامتيازات | منخفض |
| قابل للتنفيذ تم العثور عليه يعمل من موقع مشبوه (معاينة) (K8S. NODE_SuspectExecutablePath) |
كشف تحليل بيانات المضيف عن ملف قابل للتنفيذ يتم تشغيله من موقع مقترن بملفات مشبوهة معروفة. يمكن أن يكون هذا الملف القابل للتنفيذ إما نشاطا مشروعا أو مؤشرا على وجود مضيف مخترق. | التنفيذ | متوسط |
| تنفيذ ملف مخفي (معاينة) (K8S. NODE_ExecuteHiddenFile) |
يشير تحليل بيانات المضيف إلى أنه تم تنفيذ ملف مخفي بواسطة حساب المستخدم المحدد. | المثابرة، الدفاعالتهرب | معلوماتي |
| برنامج Docker الخفي المكشوف على مقبس TCP (معاينة) (K8S. NODE_ExposedDocker) |
تشير سجلات الجهاز إلى أن الخفي إلى أن عامل الإرساء يكشف عبر مأخذ توصيل بروتوكول تحكم الإرسال. بشكل افتراضي، تكوين عامل الإرساء لا يستخدم التشفير أو المصادقة عند تمكين مأخذ توصيل بروتوكول تحكم الإرسال. يتيح ذلك الوصول الكامل إلى برنامج Docker الخفي ، من قبل أي شخص لديه حق الوصول إلى المنفذ ذي الصلة. | التنفيذ والاستغلال | متوسط |
| تم الكشف عن لوحة معلومات Kubeflow المكشوفة (K8S_ExposedKubeflow) |
كشف تحليل سجل تدقيق Kubernetes عن تعرض Istio Ingress بواسطة موازن تحميل في مجموعة تقوم بتشغيل Kubeflow. قد يعرض هذا الإجراء لوحة معلومات Kubeflow للإنترنت. إذا تعرضت لوحة المعلومات للإنترنت، فيمكن للمهاجمين الوصول إليها وتشغيل حاويات أو تعليمات برمجية ضارة على المجموعة. يمكنك العثور على مزيد من التفاصيل في المقالة التالية: https://aka.ms/exposedkubeflow-blog | الوصول الأولي | متوسط |
| تم الكشف عن لوحة معلومات Kubernetes المكشوفة (K8S_ExposedDashboard) |
كشف تحليل سجل تدقيق Kubernetes عن تعرض لوحة معلومات Kubernetes بواسطة خدمة LoadBalancer. تسمح لوحة المعلومات المكشوفة بالوصول غير المصادق عليه إلى إدارة المجموعة وتشكل تهديدا أمنيا. | الوصول الأولي | درجة عالية |
| تم الكشف عن خدمة Kubernetes المكشوفة (K8S_ExposedService) |
كشف تحليل سجل تدقيق Kubernetes عن تعرض خدمة بواسطة موازن تحميل. ترتبط هذه الخدمة بتطبيق حساس يسمح بعمليات عالية التأثير في المجموعة مثل تشغيل العمليات على العقدة أو إنشاء حاويات جديدة. في بعض الحالات، لا تتطلب هذه الخدمة المصادقة. إذا كانت الخدمة لا تتطلب المصادقة، فإن تعريضها للإنترنت يشكل خطرا أمنيا. | الوصول الأولي | متوسط |
| تم الكشف عن خدمة Redis المكشوفة في AKS (K8S_ExposedRedis) |
كشف تحليل سجل تدقيق Kubernetes عن تعرض خدمة Redis بواسطة موازن تحميل. إذا كانت الخدمة لا تتطلب المصادقة، فإن تعريضها للإنترنت يشكل خطرا أمنيا. | الوصول الأولي | منخفض |
| المؤشرات المرتبطة بمجموعة أدوات DDOS المكتشفة (معاينة) (K8S. NODE_KnownLinuxDDoSToolkit) 2 |
كشف تحليل العمليات التي تعمل داخل حاوية عن أسماء الملفات التي تعد جزءا من مجموعة أدوات مرتبطة ببرامج ضارة قادرة على إطلاق هجمات DDoS وفتح المنافذ والخدمات والتحكم الكامل في النظام المصاب. وقد يكون هذا أيضا نشاطا مشروعا. | المثابرة، الحركة الجانبية، التنفيذ، الاستغلال | متوسط |
| تم اكتشاف طلبات واجهة برمجة تطبيقات K8S من عنوان IP الوكيل (K8S_TI_Proxy) 3 |
كشف تحليل سجل تدقيق Kubernetes عن طلبات واجهة برمجة التطبيقات إلى مجموعتك من عنوان IP مقترن بخدمات الوكيل، مثل TOR. على الرغم من أن هذا السلوك يمكن أن يكون مشروعا، إلا أنه غالبا ما يظهر في الأنشطة الضارة، عندما يحاول المهاجمون إخفاء عنوان IP المصدر الخاص بهم. | التنفيذ | منخفض |
| تم حذف أحداث Kubernetes (K8S_DeleteEvents) 13 |
اكتشف Defender for Cloud أنه تم حذف بعض أحداث Kubernetes. أحداث Kubernetes هي كائنات في Kubernetes تحتوي على معلومات حول التغييرات في المجموعة. قد يحذف المهاجمون هذه الأحداث لإخفاء عملياتهم في المجموعة. | التهرب الدفاعي | منخفض |
| تم الكشف عن أداة اختبار اختراق Kubernetes (K8S_PenTestToolsKubeHunter) |
كشف تحليل سجل تدقيق Kubernetes عن استخدام أداة اختبار اختراق Kubernetes في مجموعة AKS. على الرغم من أن هذا السلوك يمكن أن يكون مشروعا، إلا أن المهاجمين قد يستخدمون هذه الأدوات العامة لأغراض ضارة. | التنفيذ | منخفض |
| اكتشاف استطلاع المضيف المحلي (معاينة) (K8S. NODE_LinuxReconnaissance) |
كشف تحليل العمليات التي تعمل داخل حاوية عن تنفيذ أمر يرتبط عادة باستطلاع روبوت Linux الشائع. | اكتشاف | متوسط |
| اكتشاف التلاعب بجدار حماية المضيف (معاينة) (K8S. NODE_FirewallDisabled) |
كشف تحليل العمليات التي تعمل داخل حاوية عن التلاعب المحتمل بجدار الحماية على المضيف. غالبا ما يقوم المهاجمون بتعطيل هذا لتصفية البيانات. | الدفاعالتهرب والتسلل | متوسط |
| تنبيه اختبار Microsoft Defender for Cloud (ليس تهديدا). معاينة (K8S. NODE_EICAR) |
هذا تنبيه اختبار تم إنشاؤه بواسطة Microsoft Defender for Cloud. ولا حاجة إلى اتخاذ مزيد من الإجراءات. | التنفيذ | درجة عالية |
| الكشف عن عامل MITRE Caldera (معاينة) (K8S. NODE_MitreCalderaTools) |
يشير تحليل العمليات التي تعمل داخل حاوية إلى أن عملية مشبوهة كانت قيد التشغيل. غالبا ما يرتبط هذا بعامل MITRE 54ndc47 الذي يمكن استخدامه بشكل ضار لمهاجمة الآلات الأخرى. | المثابرة، الامتيازالتصعيد، الدفاعالتهرب من الاعتماد، الوصول إلى بيانات الاعتماد، الاكتشاف، الحركة الجانبية، التنفيذ، الجمع، التهريب، القيادة والسيطرة، التحقيق، الاستغلال | متوسط |
| تم الكشف عن حاوية جديدة في مساحة اسم نظام kube (K8S_KubeSystemContainer) 2 |
كشف تحليل سجل تدقيق Kubernetes عن حاوية جديدة في مساحة اسم نظام kube ليست من بين الحاويات التي تعمل عادة في مساحة الاسم هذه. يجب ألا تحتوي مساحات أسماء نظام kube على موارد المستخدم. يمكن للمهاجمين استخدام مساحة الاسم هذه لإخفاء المكونات الضارة. | الاستمرار | منخفض |
| الكشف عن دور امتيازات عالية جديد (K8S_HighPrivilegesRole) 3 |
كشف تحليل سجل التدقيق Kubernetes عن دور جديد يتمتع بامتيازات عالية. يمنح الربط بدور يتمتع بامتيازات عالية المستخدم/المجموعة امتيازات عالية في المجموعة. قد تتسبب الامتيازات غير الضرورية في تصعيد الامتيازات في المجموعة. | الاستمرار | منخفض |
| أداة هجوم محتملة تم اكتشافها (معاينة) (K8S. NODE_KnownLinuxAttackTool) |
يشير تحليل العمليات التي تعمل داخل حاوية إلى تشغيل أداة مشبوهة. غالبا ما ترتبط هذه الأداة بالمستخدمين الضارين الذين يهاجمون الآخرين. | التنفيذ، الجمع، القيادة والسيطرة، التحقيق | متوسط |
| إمكانية اكتشاف الباب الخلفي (معاينة) (K8S. NODE_LinuxBackdoorArtifact) |
كشف تحليل العمليات التي تعمل داخل حاوية عن ملف مشبوه يتم تنزيله وتشغيله. وقد ارتبط هذا النشاط سابقا بتركيب باب خلفي. | المثابرة، الدفاعالتهرب من العمل، التنفيذ، الاستغلال | متوسط |
| محاولة استغلال سطر الأوامر المحتملة (معاينة) (K8S. NODE_ExploitAttempt) |
كشف تحليل العمليات التي تعمل داخل حاوية عن محاولة استغلال محتملة ضد ثغرة أمنية معروفة. | استغلال | متوسط |
| أداة الوصول إلى بيانات الاعتماد المحتملة التي تم اكتشافها (معاينة) (K8S. NODE_KnownLinuxCredentialAccessTool) |
يشير تحليل العمليات التي تعمل داخل حاوية إلى وجود أداة وصول إلى بيانات الاعتماد معروفة محتملة قيد التشغيل على الحاوية، كما هو محدد بواسطة العملية المحددة وعنصر محفوظات سطر الأوامر. غالبا ما ترتبط هذه الأداة بمحاولات المهاجم للوصول إلى بيانات الاعتماد. | CredentialAccess | متوسط |
| ممكن Cryptocoinminer تحميل الكشف عن (معاينة) (K8S. NODE_CryptoCoinMinerDownload) |
كشف تحليل العمليات التي تعمل داخل حاوية عن تنزيل ملف يرتبط عادة بتعدين العملات الرقمية. | الدفاعالتهرب والقيادة والسيطرة والاستغلال | متوسط |
| الكشف عن إمكانية استخراج البيانات (معاينة) (K8S. NODE_DataEgressArtifacts) |
كشف تحليل بيانات المضيف / الجهاز عن حالة خروج محتملة للبيانات. غالبا ما يخرج المهاجمون البيانات من الأجهزة التي قاموا باختراقها. | التحصيل، الإخراج | متوسط |
| تم اكتشاف نشاط محتمل للتلاعب بالسجل (معاينة) (K8S. NODE_SystemLogRemoval) |
كشف تحليل العمليات التي تعمل داخل حاوية عن إمكانية إزالة الملفات التي تتعقب نشاط المستخدم أثناء تشغيلها. غالبا ما يحاول المهاجمون التهرب من الكشف وعدم ترك أي أثر للأنشطة الضارة عن طريق حذف ملفات السجل هذه. | DefenseEvasion | متوسط |
| تغيير محتمل لكلمة المرور باستخدام طريقة التشفير المكتشفة (معاينة) (K8S. NODE_SuspectPasswordChange) |
كشف تحليل العمليات التي تعمل داخل حاوية عن تغيير كلمة المرور باستخدام طريقة السرد. يمكن للمهاجمين إجراء هذا التغيير لمواصلة الوصول والحصول على المثابرة بعد التوصل إلى حل وسط. | CredentialAccess | متوسط |
| التجاوز المحتمل للملفات الشائعة (معاينة) (K8S. NODE_OverridingCommonFiles) |
كشف تحليل العمليات التي تعمل داخل حاوية عن الملفات الشائعة كوسيلة للتعتيم على أفعالها أو للاستمرار. | الاستمرار | متوسط |
| إعادة توجيه المنفذ المحتمل إلى عنوان IP خارجي (معاينة) (K8S. NODE_SuspectPortForwarding) |
كشف تحليل العمليات التي تعمل داخل حاوية عن بدء إعادة توجيه الميناء إلى عنوان IP خارجي. | الترشيح والقيادة والتحكم | متوسط |
| اكتشاف غلاف عكسي محتمل (معاينة) (K8S. NODE_ReverseShell) |
كشف تحليل العمليات التي تعمل داخل حاوية عن غلاف عكسي محتمل. يتم استخدامها للحصول على جهاز مخترق للاتصال مرة أخرى بجهاز يمتلكه المهاجم. | التسريب والاستغلال | متوسط |
| الكشف عن حاوية مميزة (K8S_PrivilegedContainer) |
كشف تحليل سجل التدقيق Kubernetes عن حاوية مميزة جديدة. يمكن للحاوية المميزة الوصول إلى موارد العقدة وتكسر العزلة بين الحاويات. في حالة اختراقه، يمكن للمهاجم استخدام الحاوية المميزة للوصول إلى العقدة. | زيادة الامتيازات | منخفض |
| العملية المرتبطة بتعدين العملات الرقمية المكتشفة (معاينة) (K8S. NODE_CryptoCoinMinerArtifacts) |
كشف تحليل العمليات التي تعمل داخل حاوية عن تنفيذ عملية ترتبط عادة بتعدين العملات الرقمية. | التنفيذ والاستغلال | متوسط |
| عملية الوصول إلى ملف المفاتيح المعتمد من SSH بطريقة غير عادية (معاينة) (K8S. NODE_SshKeyAccess) |
تم الوصول إلى ملف SSH authorized_keys بطريقة مشابهة لحملات البرامج الضارة المعروفة. يمكن أن يشير هذا الوصول إلى أن أحد الممثلين يحاول الوصول المستمر إلى الجهاز. | غير معروف | منخفض |
| تم الكشف عن ربط الدور بدور مسؤول نظام المجموعة (K8S_ClusterAdminBinding) |
كشف تحليل سجل تدقيق Kubernetes عن ارتباط جديد بدور مسؤول الكتلة الذي يمنح امتيازات المسؤول. قد تتسبب امتيازات المسؤول غير الضرورية في تصعيد الامتيازات في نظام المجموعة. | الاستمرار | منخفض |
| لقطة شاشة تم التقاطها على المضيف (معاينة) (K8S. NODE_KnownLinuxScreenshotTool) |
كشف تحليل بيانات المضيف / الجهاز عن استخدام أداة التقاط الشاشة. قد يستخدم المهاجمون هذه الأدوات للوصول إلى البيانات الخاصة. | المجموعة | منخفض |
| تم اكتشاف عدم تطابق ملحق البرنامج النصي (معاينة) (K8S. NODE_MismatchedScriptFeatures) |
كشف تحليل العمليات التي تعمل داخل حاوية عن عدم تطابق بين مترجم البرنامج النصي وامتداد ملف البرنامج النصي المقدم كمدخلات. وقد ارتبط هذا في كثير من الأحيان مع عمليات تنفيذ البرنامج النصي للمهاجمين. | DefenseEvasion | متوسط |
| تم اكتشاف إنهاء العملية المتعلقة بالأمان (معاينة) (K8S. NODE_SuspectProcessTermination) |
يحاول تحليل العمليات التي تعمل داخل حاوية تم اكتشافها إنهاء العمليات المتعلقة بمراقبة الأمان على الحاوية. غالبا ما يحاول المهاجمون إنهاء مثل هذه العمليات باستخدام البرامج النصية المحددة مسبقا بعد الاختراق. | الاستمرار | منخفض |
| خادم SSH قيد التشغيل داخل حاوية (معاينة) (معاينة) (K8S. NODE_ContainerSSH) |
كشف تحليل العمليات التي تعمل داخل حاوية عن خادم SSH يعمل داخل الحاوية. | التنفيذ | متوسط |
| تم اكتشاف تجميع مشبوه (معاينة) (K8S. NODE_SuspectCompilation) |
كشف تحليل العمليات التي تعمل داخل حاوية عن تجميع مشبوه. غالبا ما يقوم المهاجمون بتجميع عمليات الاستغلال لتصعيد الامتيازات. | الامتيازالتصعيد، الاستغلال | متوسط |
| تعديل الطابع الزمني للملف المشبوه (معاينة) (K8S. NODE_TimestampTampering) |
كشف تحليل بيانات المضيف / الجهاز عن تعديل طابع زمني مريب. غالبا ما يقوم المهاجمون بنسخ الطوابع الزمنية من الملفات الشرعية الموجودة إلى أدوات جديدة لتجنب اكتشاف هذه الملفات التي تم إسقاطها حديثا. | المثابرة، الدفاعالتهرب | منخفض |
| طلب مشبوه إلى واجهة برمجة تطبيقات Kubernetes (معاينة) (K8S. NODE_KubernetesAPI) |
يشير تحليل العمليات التي تعمل داخل حاوية إلى أنه تم تقديم طلب مشبوه إلى واجهة برمجة تطبيقات Kubernetes. تم إرسال الطلب من حاوية في المجموعة. على الرغم من أن هذا السلوك يمكن أن يكون متعمدا، إلا أنه قد يشير إلى تشغيل حاوية مخترقة في نظام المجموعة. | LateralMovement | متوسط |
| طلب مشبوه إلى لوحة معلومات Kubernetes (معاينة) (K8S. NODE_KubernetesDashboard) |
يشير تحليل العمليات التي تعمل داخل حاوية إلى أنه تم تقديم طلب مشبوه إلى لوحة معلومات Kubernetes. تم إرسال الطلب من حاوية في المجموعة. على الرغم من أن هذا السلوك يمكن أن يكون متعمدا، إلا أنه قد يشير إلى تشغيل حاوية مخترقة في نظام المجموعة. | التنفيذ | متوسط |
| بدأ منجم عملة التشفير المحتمل (معاينة) (K8S. NODE_CryptoCoinMinerExecution) |
كشف تحليل العمليات التي تعمل داخل حاوية عن عملية يتم بدؤها بطريقة ترتبط عادة بتعدين العملات الرقمية. | التنفيذ | متوسط |
| الوصول إلى كلمة المرور المشبوهة (معاينة) (K8S. NODE_SuspectPasswordFileAccess) |
كشف تحليل العمليات التي تعمل داخل حاوية عن وصول مشبوه إلى كلمات مرور المستخدم المشفرة. | الاستمرار | معلوماتي |
| الاستخدام المشبوه لنظام أسماء النطاقات عبر HTTPS (معاينة) (K8S. NODE_SuspiciousDNSOverHttps) |
يشير تحليل العمليات التي تعمل داخل حاوية إلى استخدام استدعاء DNS عبر HTTPS بطريقة غير شائعة. يتم استخدام هذه التقنية من قبل المهاجمين لإخفاء المكالمات إلى المواقع المشتبه بها أو الضارة. | الدفاعالتهرب والتسلل | متوسط |
| تم اكتشاف اتصال محتمل بموقع ضار. معاينة (K8S. NODE_ThreatIntelCommandLineSuspectDomain) |
كشف تحليل العمليات التي تعمل داخل حاوية عن اتصال بموقع تم الإبلاغ عنه على أنه ضار أو غير عادي. وهذا مؤشر على احتمال حدوث حل وسط. | InitialAccess | متوسط |
1: القيود المفروضة على مجموعات GKE: تستخدم GKE سياسة تدقيق Kuberenetes التي لا تدعم جميع أنواع التنبيهات. ونتيجة لذلك، لا يتم دعم تنبيه الأمان هذا، الذي يستند إلى أحداث تدقيق Kubernetes، لمجموعات GKE.
2: يتم دعم هذا التنبيه على العقد / الحاويات Windows.
3: تنبيه طائرة التحكم (نظام التشغيل اللاأدري).
تنبيهات لقاعدة بيانات SQL وAzure Synapse Analytics
| التنبيه | الوصف | تكتيكات MITRE (تعرف على المزيد) |
الخطورة |
|---|---|---|---|
| ثغرة أمنية محتملة للحقن SQL (SQL. VM_VulnerabilityToSqlInjection SQL. DB_VulnerabilityToSqlInjection SQL.MI_VulnerabilityToSqlInjection SQL. DW_VulnerabilityToSqlInjection) |
قام أحد التطبيقات بإنشاء عبارة SQL خاطئة في قاعدة البيانات. يمكن أن يشير هذا إلى وجود ثغرة أمنية محتملة لهجمات حقن SQL. هناك سببان محتملان لبيان خاطئ. قد يكون هناك عيب في التعليمات البرمجية للتطبيق قد أنشأ بيان SQL الخاطئ. أو أن رمز التطبيق أو الإجراءات المخزنة لم تعقم مدخلات المستخدم عند إنشاء بيان SQL الخاطئ ، والذي يمكن استغلاله للحقن SQL. | PreAttack | متوسط |
| محاولة تسجيل الدخول بواسطة تطبيق يحتمل أن يكون ضارا (SQL. DB_HarmfulApplication SQL. VM_HarmfulApplication SQL.MI_HarmfulApplication SQL. DW_HarmfulApplication) |
حاول تطبيق يحتمل أن يكون ضارا الوصول إلى خادم SQL '{name}'. | PreAttack | درجة عالية |
| تسجيل الدخول من مركز بيانات Azure غير عادي (SQL. DB_DataCenterAnomaly SQL. VM_DataCenterAnomaly SQL. DW_DataCenterAnomaly SQL.MI_DataCenterAnomaly) |
حدث تغيير في نمط الوصول إلى SQL Server، حيث قام شخص ما بتسجيل الدخول إلى الخادم من مركز بيانات Azure غير عادي. في بعض الحالات، يكتشف التنبيه إجراء مشروعا (تطبيق جديد أو خدمة Azure). في حالات أخرى، يكتشف التنبيه إجراء ضارا (مهاجم يعمل من مورد تم اختراقه في Azure). | التحقيق | منخفض |
| تسجيل الدخول من موقع غير عادي (SQL. DB_GeoAnomaly SQL. VM_GeoAnomaly SQL. DW_GeoAnomaly SQL.MI_GeoAnomaly) |
حدث تغيير في نمط الوصول إلى SQL Server، حيث قام شخص ما بتسجيل الدخول إلى الخادم من موقع جغرافي غير عادي. في بعض الحالات، التنبيه بالكشف عن إجراء شرعي (تطبيق جديد أو صيانة المطور). وفي حالات أخرى، يكتشف التنبيه إجراء ضارا (موظف سابق أو مهاجم خارجي). | استغلال | متوسط |
| تسجيل الدخول من مستخدم رئيسي لم يشاهد منذ 60 يوما (SQL. DB_PrincipalAnomaly SQL. VM_PrincipalAnomaly SQL. DW_PrincipalAnomaly SQL.MI_PrincipalAnomaly) |
قام مستخدم رئيسي لم يشاهد في آخر 60 يوما بتسجيل الدخول إلى قاعدة البيانات الخاصة بك. إذا كانت قاعدة البيانات هذه جديدة أو كان هذا السلوك متوقعا بسبب التغييرات الأخيرة في المستخدمين الذين يصلون إلى قاعدة البيانات، فسيحدد Defender for Cloud التغييرات المهمة في أنماط الوصول ويحاول منع الإيجابيات الخاطئة في المستقبل. | استغلال | متوسط |
| تسجيل الدخول من عنوان IP مشبوه (SQL. VM_SuspiciousIpAnomaly) |
تم الوصول إلى المورد الخاص بك بنجاح من عنوان IP الذي ربطته Microsoft Threat Intelligence بنشاط مشبوه. | PreAttack | متوسط |
| محاولة محتملة SQL القوة الغاشمة | حدث عدد كبير بشكل غير طبيعي من محاولات تسجيل الدخول الفاشلة ببيانات اعتماد مختلفة. في بعض الحالات، يكتشف التنبيه اختبار الاختراق في العمل. في حالات أخرى ، يكتشف التنبيه هجوما بالقوة الغاشمة. | التحقيق | درجة عالية |
| حقن SQL محتمل (SQL. DB_PotentialSqlInjection SQL. VM_PotentialSqlInjection SQL.MI_PotentialSqlInjection SQL. DW_PotentialSqlInjection Synapse.SQLPool_PotentialSqlInjection) |
حدث استغلال نشط ضد تطبيق محدد عرضة للحقن SQL. وهذا يعني أن المهاجم يحاول حقن عبارات SQL ضارة باستخدام رمز التطبيق الضعيف أو الإجراءات المخزنة. | PreAttack | درجة عالية |
| إجراء يحتمل أن يكون غير آمن (SQL. DB_UnsafeCommands SQL.MI_UnsafeCommands SQL. DW_UnsafeCommands) |
تمت محاولة إجراء يحتمل أن يكون غير آمن على قاعدة البيانات الخاصة بك '{name}' على الخادم '{name}'. | - | درجة عالية |
| هجوم مشتبه به بالقوة الغاشمة باستخدام مستخدم صالح | تم اكتشاف هجوم محتمل بالقوة الغاشمة على المورد الخاص بك. يستخدم المهاجم SA المستخدم الصالح ، والذي لديه أذونات لتسجيل الدخول. | PreAttack | درجة عالية |
| هجوم مشتبه به بالقوة الغاشمة | تم اكتشاف هجوم محتمل بالقوة الغاشمة على خادم SQL '{name}'. | PreAttack | درجة عالية |
| هجوم يشتبه في نجاحه بالقوة الغاشمة (SQL. DB_BruteForce SQL. VM_BruteForce SQL. DW_BruteForce SQL.MI_BruteForce) |
حدث تسجيل دخول ناجح بعد هجوم قوة غاشمة واضح على موردك | PreAttack | درجة عالية |
| موقع تصدير غير عادي | قام شخص ما باستخراج كمية هائلة من البيانات من SQL Server "{name}" إلى موقع غير عادي. | النقل غير المصرَّح به | درجة عالية |
تنبيهات لقواعد البيانات العلائقية مفتوحة المصدر
| تنبيه (نوع التنبيه) | الوصف | تكتيكات MITRE (تعرف على المزيد) |
الخطورة |
|---|---|---|---|
| هجوم مشتبه به بالقوة الغاشمة باستخدام مستخدم صالح (SQL. PostgreSQL_BruteForce SQL. MariaDB_BruteForce SQL. MySQL_BruteForce) |
تم اكتشاف هجوم محتمل بالقوة الغاشمة على المورد الخاص بك. يستخدم المهاجم المستخدم الصالح (اسم المستخدم)، الذي لديه أذونات لتسجيل الدخول. | PreAttack | درجة عالية |
| هجوم يشتبه في نجاحه بالقوة الغاشمة (SQL. PostgreSQL_BruteForce SQL. MySQL_BruteForce SQL. MariaDB_BruteForce) |
حدث تسجيل دخول ناجح بعد هجوم قوة غاشمة واضح على موردك. | PreAttack | درجة عالية |
| هجوم مشتبه به بالقوة الغاشمة ("SQL. MySQL_BruteForce") |
تم اكتشاف هجوم محتمل بالقوة الغاشمة على خادم SQL '{name}'. | PreAttack | درجة عالية |
| محاولة تسجيل الدخول بواسطة تطبيق يحتمل أن يكون ضارا (SQL. PostgreSQL_HarmfulApplication SQL. MariaDB_HarmfulApplication SQL. MySQL_HarmfulApplication) |
حاول تطبيق يحتمل أن يكون ضارا الوصول إلى المورد الخاص بك. | PreAttack | درجة عالية |
| تسجيل الدخول من مستخدم رئيسي لم يشاهد منذ 60 يوما (SQL. PostgreSQL_PrincipalAnomaly SQL. MariaDB_PrincipalAnomaly SQL. MySQL_PrincipalAnomaly) |
قام مستخدم رئيسي لم يشاهد في آخر 60 يوما بتسجيل الدخول إلى قاعدة البيانات الخاصة بك. إذا كانت قاعدة البيانات هذه جديدة أو كان هذا السلوك متوقعا بسبب التغييرات الأخيرة في المستخدمين الذين يصلون إلى قاعدة البيانات، فسيحدد Defender for Cloud التغييرات المهمة في أنماط الوصول ويحاول منع الإيجابيات الخاطئة في المستقبل. | استغلال | متوسط |
| تسجيل الدخول من نطاق لم يظهر منذ 60 يوما (SQL. MariaDB_DomainAnomaly SQL. PostgreSQL_DomainAnomaly SQL. MySQL_DomainAnomaly) |
قام مستخدم بتسجيل الدخول إلى المورد الخاص بك من نطاق لم يتصل به أي مستخدمين آخرين في آخر 60 يوما. إذا كان هذا المورد جديدا أو كان هذا السلوك متوقعا بسبب التغييرات الأخيرة في المستخدمين الذين يصلون إلى المورد، فسيحدد Defender for Cloud التغييرات المهمة في أنماط الوصول ويحاول منع الإيجابيات الخاطئة المستقبلية. | استغلال | متوسط |
| تسجيل الدخول من مركز بيانات Azure غير عادي (SQL. PostgreSQL_DataCenterAnomaly SQL. MariaDB_DataCenterAnomaly SQL. MySQL_DataCenterAnomaly) |
قام شخص ما بتسجيل الدخول إلى المورد الخاص بك من مركز بيانات Azure غير عادي. | التحقيق | منخفض |
| تسجيل الدخول من موفر سحابة غير عادي (SQL. PostgreSQL_CloudProviderAnomaly SQL. MariaDB_CloudProviderAnomaly SQL. MySQL_CloudProviderAnomaly) |
قام شخص ما بتسجيل الدخول إلى المورد الخاص بك من موفر سحابة لم يتم رؤيته في آخر 60 يوما. من السهل والسريع على الجهات الفاعلة المهددة الحصول على طاقة حوسبة يمكن التخلص منها لاستخدامها في حملاتها. إذا كان هذا السلوك متوقعا بسبب التبني الأخير لمزود سحابة جديد ، فسوف تتعلم Defender for Cloud بمرور الوقت وتحاول منع الإيجابيات الخاطئة في المستقبل. | استغلال | متوسط |
| تسجيل الدخول من موقع غير عادي (SQL. MariaDB_GeoAnomaly SQL. PostgreSQL_GeoAnomaly SQL. MySQL_GeoAnomaly) |
قام شخص ما بتسجيل الدخول إلى المورد الخاص بك من مركز بيانات Azure غير عادي. | استغلال | متوسط |
| تسجيل الدخول من عنوان IP مشبوه (SQL. PostgreSQL_SuspiciousIpAnomaly SQL. MariaDB_SuspiciousIpAnomaly SQL. MySQL_SuspiciousIpAnomaly) |
تم الوصول إلى المورد الخاص بك بنجاح من عنوان IP الذي ربطته Microsoft Threat Intelligence بنشاط مشبوه. | PreAttack | متوسط |
تنبيهات Resource Manager
| تنبيه (نوع التنبيه) | الوصف | تكتيكات MITRE (تعرف على المزيد) |
الخطورة |
|---|---|---|---|
| Azure Resource Manager العملية من عنوان IP مشبوه (ARM_OperationFromSuspiciousIP) |
اكتشف Microsoft Defender for Resource Manager عملية من عنوان IP تم وضع علامة عليها على أنها مشبوهة في موجزات معلومات التهديدات. | التنفيذ | متوسط |
| Azure Resource Manager العملية من عنوان IP الوكيل المشبوه (ARM_OperationFromSuspiciousProxyIP) |
اكتشف Microsoft Defender for Resource Manager عملية إدارة موارد من عنوان IP مقترن بخدمات الوكيل، مثل TOR. على الرغم من أن هذا السلوك يمكن أن يكون شرعيا ، إلا أنه غالبا ما يظهر في الأنشطة الضارة ، عندما تحاول الجهات الفاعلة المهددة إخفاء عنوان IP المصدر الخاص بها. | التهرب الدفاعي | متوسط |
| مجموعة أدوات استغلال MicroBurst المستخدمة لتعداد الموارد في اشتراكاتك (ARM_MicroBurst.AzDomainInfo) |
تم تشغيل وحدة جمع المعلومات في MicroBurst على اشتراكك. يمكن استخدام هذه الأداة لاكتشاف الموارد والأذونات وهياكل الشبكة. تم اكتشاف ذلك من خلال تحليل سجلات نشاط Azure وعمليات إدارة الموارد في اشتراكك | - | درجة عالية |
| مجموعة أدوات استغلال MicroBurst المستخدمة لتعداد الموارد في اشتراكاتك (ARM_MicroBurst.AzureDomainInfo) |
تم تشغيل وحدة جمع المعلومات في MicroBurst على اشتراكك. يمكن استخدام هذه الأداة لاكتشاف الموارد والأذونات وهياكل الشبكة. تم اكتشاف ذلك من خلال تحليل سجلات نشاط Azure وعمليات إدارة الموارد في اشتراكك | - | درجة عالية |
| مجموعة أدوات استغلال MicroBurst المستخدمة لتنفيذ التعليمات البرمجية على جهازك الظاهري (ARM_MicroBurst.AzVMBulkCMD) |
تم استخدام مجموعة أدوات استغلال MicroBurst لتنفيذ التعليمات البرمجية على أجهزتك الافتراضية. تم اكتشاف ذلك من خلال تحليل عمليات Azure Resource Manager في اشتراكك. | التنفيذ | درجة عالية |
| مجموعة أدوات استغلال MicroBurst المستخدمة لتنفيذ التعليمات البرمجية على جهازك الظاهري (RM_MicroBurst.AzureRmVMBulkCMD) |
تم استخدام مجموعة أدوات استغلال MicroBurst لتنفيذ التعليمات البرمجية على أجهزتك الافتراضية. تم اكتشاف ذلك من خلال تحليل عمليات Azure Resource Manager في اشتراكك. | - | درجة عالية |
| مجموعة أدوات استغلال MicroBurst المستخدمة لاستخراج المفاتيح من خزائن مفاتيح Azure (ARM_MicroBurst.AzKeyVaultKeysREST) |
تم استخدام مجموعة أدوات استغلال MicroBurst لاستخراج المفاتيح من خزائن مفاتيح Azure الخاصة بك. تم اكتشاف ذلك من خلال تحليل سجلات نشاط Azure وعمليات إدارة الموارد في اشتراكك. | - | درجة عالية |
| مجموعة أدوات استغلال MicroBurst المستخدمة لاستخراج مفاتيح حسابات التخزين الخاصة بك (ARM_MicroBurst.AZStorageKeysREST) |
تم استخدام مجموعة أدوات استغلال MicroBurst لاستخراج مفاتيح حسابات التخزين الخاصة بك. تم اكتشاف ذلك من خلال تحليل سجلات نشاط Azure وعمليات إدارة الموارد في اشتراكك. | المجموعة | درجة عالية |
| مجموعة أدوات استغلال MicroBurst المستخدمة لاستخراج الأسرار من خزائن مفاتيح Azure الخاصة بك (ARM_MicroBurst.AzKeyVaultSecretsREST) |
تم استخدام مجموعة أدوات استغلال MicroBurst لاستخراج الأسرار من خزائن مفاتيح Azure الخاصة بك. تم اكتشاف ذلك من خلال تحليل سجلات نشاط Azure وعمليات إدارة الموارد في اشتراكك. | - | درجة عالية |
| الأذونات الممنوحة لدور RBAC بطريقة غير عادية لبيئة Azure (معاينة) (ARM_AnomalousRBACRoleAssignment) |
اكتشف Microsoft Defender for Resource Manager تعيين دور RBAC غير عادي عند مقارنته بالمهام الأخرى التي يقوم بها نفس المحيل / الذي تم تنفيذه لنفس المحال إليه / في المستأجر الخاص بك بسبب الحالات الشاذة التالية: وقت التعيين ، وموقع المحيل ، والمحيل ، وطريقة المصادقة ، والكيانات المعينة ، وبرامج العميل المستخدمة ، ومدى التعيين. ربما تم تنفيذ هذه العملية بواسطة مستخدم شرعي في مؤسستك. وبدلا من ذلك، قد يشير ذلك إلى أنه تم اختراق حساب في مؤسستك، وأن جهة التهديد تحاول منح أذونات لحساب مستخدم إضافي يمتلكه. | الحركة الجانبية، التهرب الدفاعي | متوسط |
| مجموعة أدوات استغلال PowerZure المستخدمة لرفع مستوى الوصول من Azure AD إلى Azure (ARM_PowerZure.AzureElevatedPrivileges) |
تم استخدام مجموعة أدوات استغلال PowerZure لرفع مستوى الوصول من AzureAD إلى Azure. تم اكتشاف ذلك من خلال تحليل عمليات Azure Resource Manager في المستأجر. | - | درجة عالية |
| مجموعة أدوات استغلال PowerZure المستخدمة لتعداد الموارد (ARM_PowerZure.GetAzureTargets) |
تم استخدام مجموعة أدوات استغلال PowerZure لتعداد الموارد نيابة عن حساب مستخدم شرعي في مؤسستك. تم اكتشاف ذلك من خلال تحليل عمليات Azure Resource Manager في اشتراكك. | المجموعة | درجة عالية |
| مجموعة أدوات استغلال PowerZure المستخدمة لتعداد حاويات التخزين والمشاركات والجداول (ARM_PowerZure.ShowStorageContent) |
تم استخدام مجموعة أدوات استغلال PowerZure لتعداد مشاركات التخزين والجداول والحاويات. تم اكتشاف ذلك من خلال تحليل عمليات Azure Resource Manager في اشتراكك. | - | درجة عالية |
| مجموعة أدوات استغلال PowerZure المستخدمة لتنفيذ Runbook في اشتراكك (ARM_PowerZure.StartRunbook) |
تم استخدام مجموعة أدوات استغلال PowerZure لتنفيذ Runbook. تم اكتشاف ذلك من خلال تحليل عمليات Azure Resource Manager في اشتراكك. | - | درجة عالية |
| مجموعة أدوات استغلال PowerZure المستخدمة لاستخراج محتوى Runbooks (ARM_PowerZure.AzureRunbookContent) |
تم استخدام مجموعة أدوات استغلال PowerZure لاستخراج محتوى Runbook. تم اكتشاف ذلك من خلال تحليل عمليات Azure Resource Manager في اشتراكك. | المجموعة | درجة عالية |
| معاينة - نشاط من عنوان IP محفوف بالمخاطر (ARM.MCAS_ActivityFromAnonymousIPAddresses) |
تم الكشف عن نشاط المستخدمين من عنوان IP تم تعريفه كعنوان IP وكيل مجهول. يتم استخدام هذه الخوادم الوكيلة من قِبَل الأشخاص الذين يرغبون في إخفاء عنوان IP الخاص بجهازهم، ويمكن استخدامها للنية الضارة. يستخدم هذا الكشف خوارزمية التعلم الآلي الذي تقلل من الإيجابيات الخاطئة، مثل عناوين IP غير الموسومة التي يستخدمها المستخدمون على نطاق واسع في المؤسسة. يتطلب ترخيص Microsoft Defender for Cloud Apps نشط. |
- | متوسط |
| معاينة - نشاط من بلد نادر (ذراع. MCAS_ActivityFromInfrequentCountry) |
حدث نشاط من موقع جغرافي لم يقم أي مستخدم في المؤسسة بزيارته مؤخرا أو من قبل. هذا الكشف يأخذ في الإعتبار مواقع النشاط السابقة لتحديد مواقع جديدة ونادرة. يخزن محرك الكشف عن الشذوذ معلومات حول المواقع السابقة التي يستخدمها المستخدمون في المؤسسة. يتطلب ترخيص Microsoft Defender for Cloud Apps نشط. |
- | متوسط |
| PREVIEW - تم الكشف عن تشغيل مجموعة أدوات Azurite (ARM_Azurite) |
تم اكتشاف مجموعة أدوات استطلاع معروفة للبيئة السحابية في بيئتك. يمكن استخدام أداة Azurite من قبل مهاجم (أو اختبار اختراق) لتعيين موارد اشتراكاتك وتحديد التكوينات غير الآمنة. | المجموعة | درجة عالية |
| معاينة - نشاط السفر المستحيل (ذراع. MCAS_ImpossibleTravelActivity) |
وقد حدث نشاطان للمستخدم (في جلسة واحدة أو عدة جلسات)، ينحدران من مواقع بعيدة جغرافيا. يحدث هذا في غضون فترة زمنية أقصر من الوقت الذي كان سيستغرقه المستخدم للسفر من الموقع الأول إلى الثاني. يشير هذا إلى أن مستخدما مختلفا يستخدم نفس بيانات الاعتماد. يستخدم هذا الكشف خوارزمية تعلم آلي تتجاهل الإيجابيات الخاطئة الواضحة التي تساهم في ظروف السفر المستحيلة، مثل الشبكات الافتراضية الخاصة والمواقع التي يستخدمها المستخدمون الآخرون بانتظام في المؤسسة. يحتوي الاكتشاف على فترة تعلم أولية مدتها سبعة أيام ، يتعلم خلالها نمط نشاط مستخدم جديد. يتطلب ترخيص Microsoft Defender for Cloud Apps نشط. |
- | متوسط |
| PREVIEW - جلسة إدارة مشبوهة باستخدام حساب غير نشط تم اكتشافه (ARM_UnusedAccountPersistence) |
كشف تحليل سجلات نشاط الاشتراك عن سلوك مريب. المبدأ غير المستخدم لفترة طويلة من الزمن هو الآن تنفيذ الإجراءات التي يمكن أن تضمن المثابرة للمهاجم. | الاستمرار | متوسط |
| معاينة - تم اكتشاف جلسة إدارة مشبوهة باستخدام PowerShell (ARM_UnusedAppPowershellPersistence) |
كشف تحليل سجلات نشاط الاشتراك عن سلوك مريب. يستخدم المدير الذي لا يستخدم PowerShell بانتظام لإدارة بيئة الاشتراك الآن PowerShell ، وينفذ إجراءات يمكنها تأمين المثابرة للمهاجم. | الاستمرار | متوسط |
| PREVIEW - تم اكتشاف جلسة إدارة مشبوهة باستخدام مدخل Azure (ARM_UnusedAppIbizaPersistence) |
كشف تحليل سجلات نشاط الاشتراك عن سلوك مريب. المدير الذي لا يستخدم مدخل Azure (Ibiza) بانتظام لإدارة بيئة الاشتراك (لم يستخدم مدخل Azure للإدارة خلال آخر 45 يوما، أو اشتراكا يديره بنشاط)، يستخدم الآن مدخل Azure وينفذ إجراءات يمكنها تأمين المثابرة لمهاجم. | الاستمرار | متوسط |
| دور مخصص مميز تم إنشاؤه لاشتراكك بطريقة مريبة (معاينة) (ARM_PrivilegedRoleDefinitionCreation) |
اكتشف Microsoft Defender for Resource Manager إنشاء مشبوه لتعريف دور مخصص متميز في اشتراكك. ربما تم تنفيذ هذه العملية بواسطة مستخدم شرعي في مؤسستك. وبدلا من ذلك، قد يشير ذلك إلى أنه تم اختراق حساب في مؤسستك، وأن جهة التهديد تحاول إنشاء دور متميز لاستخدامه في المستقبل للتهرب من الكشف. | تصعيد الامتيازات، التهرب الدفاعي | منخفض |
| اكتشاف استدعاء مشبوه لعملية "الوصول إلى بيانات الاعتماد" عالية الخطورة (معاينة) (ARM_AnomalousOperation.CredentialAccess) |
حدد Microsoft Defender for Resource Manager استدعاء مشبوها لعملية عالية الخطورة في اشتراكك والتي قد تشير إلى محاولة للوصول إلى بيانات الاعتماد. تم تصميم العمليات المحددة للسماح للمسؤولين بالوصول إلى بيئاتهم بكفاءة. على الرغم من أن هذا النشاط قد يكون مشروعا، إلا أن جهة التهديد قد تستخدم مثل هذه العمليات للوصول إلى بيانات الاعتماد المقيدة واختراق الموارد في بيئتك. يمكن أن يشير هذا إلى أن الحساب مخترق ويتم استخدامه بنية ضارة. | الوصول إلى بيانات تسجيل الدخول | متوسط |
| تم اكتشاف استدعاء مشبوه لعملية "جمع بيانات" عالية الخطورة (معاينة) (ARM_AnomalousOperation.المجموعة) |
حدد Microsoft Defender for Resource Manager استدعاء مشبوها لعملية عالية الخطورة في اشتراكك والتي قد تشير إلى محاولة لجمع البيانات. تم تصميم العمليات المحددة للسماح للمسؤولين بإدارة بيئاتهم بكفاءة. على الرغم من أن هذا النشاط قد يكون مشروعا، إلا أن جهة التهديد قد تستخدم مثل هذه العمليات لجمع بيانات حساسة عن الموارد في بيئتك. يمكن أن يشير هذا إلى أن الحساب مخترق ويتم استخدامه بنية ضارة. | المجموعة | متوسط |
| اكتشاف استدعاء مشبوه لعملية "تهرب دفاعي" عالية الخطورة (معاينة) (ARM_AnomalousOperation.DefenseEvasion) |
حدد Microsoft Defender for Resource Manager استدعاء مشبوها لعملية عالية الخطورة في اشتراكك والتي قد تشير إلى محاولة للتهرب من الدفاعات. تم تصميم العمليات المحددة للسماح للمسؤولين بإدارة الوضع الأمني لبيئاتهم بكفاءة. على الرغم من أن هذا النشاط قد يكون مشروعا ، إلا أن جهة التهديد قد تستخدم مثل هذه العمليات لتجنب اكتشافها مع المساس بالموارد في بيئتك. يمكن أن يشير هذا إلى أن الحساب مخترق ويتم استخدامه بنية ضارة. | التهرب الدفاعي | متوسط |
| اكتشاف استدعاء مشبوه لعملية "تنفيذ" عالية الخطورة (معاينة) (ARM_AnomalousOperation.التنفيذ) |
حدد Microsoft Defender for Resource Manager استدعاء مشبوها لعملية عالية الخطورة على جهاز في اشتراكك مما قد يشير إلى محاولة تنفيذ التعليمات البرمجية. تم تصميم العمليات المحددة للسماح للمسؤولين بإدارة بيئاتهم بكفاءة. على الرغم من أن هذا النشاط قد يكون مشروعا، إلا أن جهة التهديد قد تستخدم مثل هذه العمليات للوصول إلى بيانات الاعتماد المقيدة واختراق الموارد في بيئتك. يمكن أن يشير هذا إلى أن الحساب مخترق ويتم استخدامه بنية ضارة. | التنفيذ | متوسط |
| اكتشاف استدعاء مشبوه لعملية "تأثير" عالية الخطورة (معاينة) (ARM_AnomalousOperation.التأثير) |
حدد Microsoft Defender for Resource Manager استدعاء مشبوها لعملية عالية الخطورة في اشتراكك والتي قد تشير إلى محاولة تغيير التكوين. تم تصميم العمليات المحددة للسماح للمسؤولين بإدارة بيئاتهم بكفاءة. على الرغم من أن هذا النشاط قد يكون مشروعا، إلا أن جهة التهديد قد تستخدم مثل هذه العمليات للوصول إلى بيانات الاعتماد المقيدة واختراق الموارد في بيئتك. يمكن أن يشير هذا إلى أن الحساب مخترق ويتم استخدامه بنية ضارة. | التأثير | متوسط |
| تم اكتشاف استدعاء مشبوه لعملية "الوصول الأولي" عالية الخطورة (معاينة) (ARM_AnomalousOperation.InitialAccess) |
حدد Microsoft Defender for Resource Manager استدعاء مشبوه لعملية عالية الخطورة في اشتراكك والتي قد تشير إلى محاولة للوصول إلى الموارد المقيدة. تم تصميم العمليات المحددة للسماح للمسؤولين بالوصول إلى بيئاتهم بكفاءة. على الرغم من أن هذا النشاط قد يكون مشروعا، إلا أن جهة التهديد قد تستخدم مثل هذه العمليات للوصول الأولي إلى الموارد المقيدة في بيئتك. يمكن أن يشير هذا إلى أن الحساب مخترق ويتم استخدامه بنية ضارة. | الوصول الأولي | متوسط |
| اكتشاف استدعاء مشبوه لعملية "حركة جانبية" عالية الخطورة (معاينة) (ARM_AnomalousOperation.الحركة الجانبية) |
حدد Microsoft Defender for Resource Manager استدعاء مشبوها لعملية عالية الخطورة في اشتراكك والتي قد تشير إلى محاولة لتنفيذ حركة جانبية. تم تصميم العمليات المحددة للسماح للمسؤولين بإدارة بيئاتهم بكفاءة. على الرغم من أن هذا النشاط قد يكون مشروعا، إلا أن جهة التهديد قد تستخدم مثل هذه العمليات لاختراق موارد إضافية في بيئتك. يمكن أن يشير هذا إلى أن الحساب مخترق ويتم استخدامه بنية ضارة. | الحركة الجانبيَة | متوسط |
| تم اكتشاف استدعاء مشبوه لعملية "استمرار" عالية الخطورة (معاينة) (ARM_AnomalousOperation.المثابرة) |
حدد Microsoft Defender for Resource Manager استدعاء مشبوها لعملية عالية الخطورة في اشتراكك والتي قد تشير إلى محاولة لإثبات الاستمرار. تم تصميم العمليات المحددة للسماح للمسؤولين بإدارة بيئاتهم بكفاءة. على الرغم من أن هذا النشاط قد يكون مشروعا ، إلا أن جهة التهديد قد تستخدم مثل هذه العمليات لإثبات الثبات في بيئتك. يمكن أن يشير هذا إلى أن الحساب مخترق ويتم استخدامه بنية ضارة. | الاستمرار | متوسط |
| اكتشاف استدعاء مشبوه لعملية "تصعيد الامتيازات" عالية الخطورة (معاينة) (ARM_AnomalousOperation.PrivilegeEscalation) |
حدد Microsoft Defender for Resource Manager استدعاء مشبوها لعملية عالية الخطورة في اشتراكك مما قد يشير إلى محاولة لتصعيد الامتيازات. تم تصميم العمليات المحددة للسماح للمسؤولين بإدارة بيئاتهم بكفاءة. على الرغم من أن هذا النشاط قد يكون مشروعا، إلا أن جهة التهديد قد تستخدم مثل هذه العمليات لتصعيد الامتيازات مع المساس بالموارد في بيئتك. يمكن أن يشير هذا إلى أن الحساب مخترق ويتم استخدامه بنية ضارة. | زيادة الامتيازات | متوسط |
| استخدام مجموعة أدوات استغلال MicroBurst لتشغيل تعليمات برمجية عشوائية أو استخراج بيانات اعتماد حساب Azure Automation (ARM_MicroBurst.RunCodeOnBehalf) |
استخدام مجموعة أدوات استغلال MicroBurst لتشغيل تعليمات برمجية عشوائية أو استخراج بيانات اعتماد حساب Azure Automat. تم اكتشاف ذلك من خلال تحليل عمليات Azure Resource Manager في اشتراكك. | المثابرة، الوصول إلى بيانات الاعتماد | درجة عالية |
| استخدام تقنيات NetSPI للحفاظ على الثبات في بيئة Azure الخاصة بك (ARM_NetSPI.الحفاظ على المثابرة) |
استخدام تقنية ثبات NetSPI لإنشاء باب خلفي لخطاف الويب والحفاظ على الثبات في بيئة Azure الخاصة بك. تم اكتشاف ذلك من خلال تحليل عمليات Azure Resource Manager في اشتراكك. | - | درجة عالية |
| استخدام مجموعة أدوات استغلال PowerZure لتشغيل تعليمات برمجية عشوائية أو استخراج بيانات اعتماد حساب Azure Automation (ARM_PowerZure.RunCodeOnBehalf) |
تم اكتشاف مجموعة أدوات استغلال PowerZure أثناء محاولة تشغيل التعليمات البرمجية أو exfiltrate بيانات اعتماد حساب Azure Automat. تم اكتشاف ذلك من خلال تحليل عمليات Azure Resource Manager في اشتراكك. | - | درجة عالية |
| استخدام وظيفة PowerZure للحفاظ على الثبات في بيئة Azure الخاصة بك (ARM_PowerZure.الحفاظ على المثابرة) |
اكتشفت مجموعة أدوات استغلال PowerZure إنشاء باب خلفي لخطاف الويب للحفاظ على الثبات في بيئة Azure الخاصة بك. تم اكتشاف ذلك من خلال تحليل عمليات Azure Resource Manager في اشتراكك. | - | درجة عالية |
تنبيهات لنظام أسماء النطاقات
| تنبيه (نوع التنبيه) | الوصف | تكتيكات MITRE (تعرف على المزيد) |
الخطورة |
|---|---|---|---|
| الاستخدام الشاذ لبروتوكول الشبكة (AzureDNS_ProtocolAnomaly) |
كشف تحليل معاملات DNS من ٪{CompromisedEntity} عن استخدام بروتوكول شاذ. قد تشير حركة المرور هذه ، على الرغم من أنها قد تكون حميدة ، إلى إساءة استخدام هذا البروتوكول المشترك لتجاوز تصفية حركة مرور الشبكة. يتضمن نشاط المهاجم النموذجي ذي الصلة نسخ أدوات الإدارة عن بعد إلى مضيف مخترق وإخراج بيانات المستخدم منه. | النقل غير المصرَّح به | - |
| نشاط شبكة إخفاء الهوية (AzureDNS_DarkWeb) |
كشف تحليل معاملات DNS من ٪{CompromisedEntity} عن نشاط شبكة إخفاء الهوية. وكثيرا ما يستخدم المهاجمون مثل هذا النشاط، على الرغم من أنه قد يكون سلوكا مشروعا للمستخدم، للتهرب من تتبع اتصالات الشبكة وأخذ بصماتها. من المرجح أن يتضمن نشاط المهاجم النموذجي ذي الصلة تنزيل وتنفيذ برامج ضارة أو أدوات الإدارة عن بعد. | النقل غير المصرَّح به | - |
| نشاط شبكة إخفاء الهوية باستخدام وكيل الويب (AzureDNS_DarkWebProxy) |
كشف تحليل معاملات DNS من ٪{CompromisedEntity} عن نشاط شبكة إخفاء الهوية. وكثيرا ما يستخدم المهاجمون مثل هذا النشاط، على الرغم من أنه قد يكون سلوكا مشروعا للمستخدم، للتهرب من تتبع اتصالات الشبكة وأخذ بصماتها. من المرجح أن يتضمن نشاط المهاجم النموذجي ذي الصلة تنزيل وتنفيذ برامج ضارة أو أدوات الإدارة عن بعد. | النقل غير المصرَّح به | - |
| محاولة الاتصال بنطاق مغرق مشبوه (AzureDNS_SinkholedDomain) |
كشف تحليل حركات DNS من ٪{CompromisedEntity} عن طلب المجال الغارق. مثل هذا النشاط ، على الرغم من أنه قد يكون سلوكا مشروعا للمستخدم ، إلا أنه غالبا ما يكون مؤشرا على تنزيل البرامج الضارة أو تنفيذها. من المرجح أن يتضمن نشاط المهاجم النموذجي ذي الصلة تنزيل وتنفيذ المزيد من البرامج الضارة أو أدوات الإدارة عن بعد. | النقل غير المصرَّح به | - |
| التواصل مع نطاق التصيد الاحتيالي المحتمل (AzureDNS_PhishingDomain) |
كشف تحليل معاملات DNS من ٪{CompromisedEntity} عن طلب للحصول على مجال تصيد احتيالي محتمل. وكثيرا ما يقوم المهاجمون بمثل هذا النشاط، وإن كان حميدا، لحصاد بيانات الاعتماد إلى الخدمات البعيدة. من المرجح أن يتضمن نشاط المهاجم النموذجي ذي الصلة استغلال أي بيانات اعتماد على الخدمة المشروعة. | النقل غير المصرَّح به | - |
| التواصل مع المجال المشبوه الذي تم إنشاؤه خوارزميا (AzureDNS_DomainGenerationAlgorithm) |
كشف تحليل معاملات DNS من ٪{CompromisedEntity} عن الاستخدام المحتمل لخوارزمية إنشاء المجال. مثل هذا النشاط ، على الرغم من أنه قد يكون حميدا ، يتم تنفيذه بشكل متكرر من قبل المهاجمين للتهرب من مراقبة الشبكة وتصفيتها. من المرجح أن يتضمن نشاط المهاجم النموذجي ذي الصلة تنزيل وتنفيذ برامج ضارة أو أدوات الإدارة عن بعد. | النقل غير المصرَّح به | - |
| التواصل مع المجال المشبوه الذي تم تحديده بواسطة استخبارات التهديدات (AzureDNS_ThreatIntelSuspectDomain) |
تم اكتشاف الاتصال بالمجال المشبوه من خلال تحليل معاملات DNS من موردك ومقارنتها بالمجالات الضارة المعروفة التي تم تحديدها بواسطة خلاصات معلومات التهديدات. غالبا ما يتم تنفيذ الاتصال بالنطاقات الضارة بواسطة المهاجمين وقد يعني ذلك أن موردك قد تم اختراقه. | الوصول الأولي | متوسط |
| التواصل مع اسم نطاق عشوائي مشبوه (AzureDNS_RandomizedDomain) |
كشف تحليل حركات DNS من ٪{CompromisedEntity} عن استخدام اسم نطاق مشبوه تم إنشاؤه عشوائيا. مثل هذا النشاط ، على الرغم من أنه قد يكون حميدا ، يتم تنفيذه بشكل متكرر من قبل المهاجمين للتهرب من مراقبة الشبكة وتصفيتها. من المرجح أن يتضمن نشاط المهاجم النموذجي ذي الصلة تنزيل وتنفيذ برامج ضارة أو أدوات الإدارة عن بعد. | النقل غير المصرَّح به | - |
| نشاط تعدين العملات الرقمية (AzureDNS_CurrencyMining) |
كشف تحليل معاملات DNS من ٪{CompromisedEntity} عن نشاط تعدين العملات الرقمية. مثل هذا النشاط ، على الرغم من أنه قد يكون سلوكا مشروعا للمستخدم ، يتم تنفيذه بشكل متكرر من قبل المهاجمين بعد اختراق الموارد. من المرجح أن يتضمن نشاط المهاجم النموذجي ذي الصلة تنزيل أدوات التعدين الشائعة وتنفيذها. | النقل غير المصرَّح به | - |
| تنشيط توقيع الكشف عن اختراق الشبكة (AzureDNS_SuspiciousDomain) |
كشف تحليل معاملات DNS من ٪{CompromisedEntity} عن توقيع شبكة ضار معروف. مثل هذا النشاط ، على الرغم من أنه قد يكون سلوكا مشروعا للمستخدم ، إلا أنه غالبا ما يكون مؤشرا على تنزيل البرامج الضارة أو تنفيذها. من المرجح أن يتضمن نشاط المهاجم النموذجي ذي الصلة تنزيل وتنفيذ المزيد من البرامج الضارة أو أدوات الإدارة عن بعد. | النقل غير المصرَّح به | - |
| إمكانية تنزيل البيانات عبر نفق DNS (AzureDNS_DataInfiltration) |
كشف تحليل معاملات DNS من ٪{CompromisedEntity} عن نفق DNS محتمل. مثل هذا النشاط ، على الرغم من أنه قد يكون سلوكا مشروعا للمستخدم ، يتم تنفيذه بشكل متكرر من قبل المهاجمين للتهرب من مراقبة الشبكة وتصفيتها. من المرجح أن يتضمن نشاط المهاجم النموذجي ذي الصلة تنزيل وتنفيذ برامج ضارة أو أدوات الإدارة عن بعد. | النقل غير المصرَّح به | - |
| إمكانية استخراج البيانات عبر نفق DNS (AzureDNS_DataExfiltration) |
كشف تحليل معاملات DNS من ٪{CompromisedEntity} عن نفق DNS محتمل. مثل هذا النشاط ، على الرغم من أنه قد يكون سلوكا مشروعا للمستخدم ، يتم تنفيذه بشكل متكرر من قبل المهاجمين للتهرب من مراقبة الشبكة وتصفيتها. من المرجح أن يتضمن نشاط المهاجم النموذجي ذي الصلة تنزيل وتنفيذ برامج ضارة أو أدوات الإدارة عن بعد. | النقل غير المصرَّح به | - |
| نقل البيانات المحتمل عبر نفق DNS (AzureDNS_DataObfuscation) |
كشف تحليل معاملات DNS من ٪{CompromisedEntity} عن نفق DNS محتمل. مثل هذا النشاط ، على الرغم من أنه قد يكون سلوكا مشروعا للمستخدم ، يتم تنفيذه بشكل متكرر من قبل المهاجمين للتهرب من مراقبة الشبكة وتصفيتها. من المرجح أن يتضمن نشاط المهاجم النموذجي ذي الصلة تنزيل وتنفيذ برامج ضارة أو أدوات الإدارة عن بعد. | النقل غير المصرَّح به | - |
تنبيهات ل Azure Storage
| تنبيه (نوع التنبيه) | الوصف | تكتيكات MITRE (تعرف على المزيد) |
الخطورة |
|---|---|---|---|
| معاينة - الوصول من تطبيق مشبوه (Storage.Blob_SuspiciousApp) |
يشير إلى أن تطبيقا مشبوها قد نجح في الوصول إلى حاوية حساب تخزين مع المصادقة. قد يشير هذا إلى أن المهاجم قد حصل على بيانات الاعتماد اللازمة للوصول إلى الحساب ويقوم باستغلاله. قد يكون هذا أيضا مؤشرا على اختبار اختراق تم إجراؤه في مؤسستك. ينطبق على: Azure Blob Storage, Azure Data Lake Storage Gen2 |
الوصول الأولي | متوسط |
| الوصول من عنوان IP مريب (Storage.Blob_SuspiciousIp Storage.Files_SuspiciousIp) |
يشير إلى أنه تم الوصول إلى حساب التخزين هذا بنجاح من عنوان IP يعتبر مشبوها. يتم تشغيل هذا التنبيه بواسطة Microsoft Threat Intelligence. تعرف على المزيد حول إمكانات ذكاء التهديدات من Microsoft. ينطبق على: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2 |
الوصول الأولي | متوسط |
| معاينة - محتوى التصيد الاحتيالي المستضاف على حساب تخزين (Storage.Blob_PhishingContent Storage.Files_PhishingContent) |
يشير عنوان URL المستخدم في هجوم تصيد احتيالي إلى حسابك في Azure Storage. كان عنوان URL هذا جزءا من هجوم تصيد احتيالي يؤثر على مستخدمي Microsoft 365. عادة ما يتم تصميم المحتوى المستضاف على هذه الصفحات لخداع الزوار لإدخال بيانات اعتماد الشركة أو المعلومات المالية الخاصة بهم في نموذج ويب يبدو شرعيا. يتم تشغيل هذا التنبيه بواسطة Microsoft Threat Intelligence. تعرف على المزيد حول إمكانات ذكاء التهديدات من Microsoft. ينطبق على: Azure Blob Storage, Azure Files |
المجموعة | درجة عالية |
| PREVIEW - حساب التخزين الذي تم تحديده كمصدر لتوزيع البرامج الضارة (Storage.Files_WidespreadeAm) |
تشير تنبيهات مكافحة البرامج الضارة إلى تخزين ملف (ملفات) مصاب في مشاركة ملف Azure مثبتة على أجهزة ظاهرية متعددة. إذا تمكن المهاجمون من الوصول إلى جهاز ظاهري باستخدام مشاركة ملفات Azure مثبتة، فيمكنهم استخدامها لنشر البرامج الضارة إلى الأجهزة الظاهرية الأخرى التي تقوم بتحميل نفس المشاركة. ينطبق على: ملفات Azure |
الحركة الجانبية، التنفيذ | درجة عالية |
| معاينة - تم اكتشاف حساب تخزين يحتوي على بيانات يحتمل أن تكون حساسة باستخدام حاوية مكشوفة للجمهور (Storage.Blob_OpenACL) |
تم تعديل سياسة الوصول الخاصة بحاوية في حساب التخزين الخاص بك للسماح بالوصول المجهول. قد يؤدي ذلك إلى خرق البيانات إذا كانت الحاوية تحتوي على أي بيانات حساسة. يستند هذا التنبيه إلى تحليل سجل نشاط Azure. ينطبق على: Azure Blob Storage, Azure Data Lake Storage Gen2 |
زيادة الامتيازات | متوسط |
| الوصول المصادق عليه من عقدة خروج Tor (Storage.Blob_TorAnomaly Storage.Files_TorAnomaly) |
تم الوصول بنجاح إلى حاوية (حاويات) تخزين واحدة أو أكثر / مشاركة (مشاركات) الملفات في حساب التخزين الخاص بك من عنوان IP معروف بأنه عقدة خروج نشطة من Tor (وكيل مجهول الهوية). تستخدم الجهات الفاعلة المهددة Tor لجعل من الصعب تتبع النشاط مرة أخرى إليهم. يعد الوصول المصادق عليه من عقدة خروج Tor مؤشرا محتملا على أن جهة التهديد تحاول إخفاء هويتها. ينطبق على: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2 |
الوصول الأولي | عالية/ متوسطة |
| الوصول من موقع غير عادي إلى حساب تخزين (Storage.Blob_GeoAnomaly Storage.Files_GeoAnomaly) |
يشير إلى حدوث تغيير في نمط الوصول إلى حساب Azure Storage. قام شخص ما بالوصول إلى هذا الحساب من عنوان IP يعتبر غير مألوف عند مقارنته بالنشاط الأخير. إما أن يكون المهاجم قد تمكن من الوصول إلى الحساب، أو أن مستخدما شرعيا قد اتصل من موقع جغرافي جديد أو غير عادي. مثال على هذا الأخير هو الصيانة عن بعد من تطبيق أو مطور جديد. ينطبق على: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2 |
استغلال | منخفض |
| وصول غير عادي غير موثق إلى حاوية تخزين (Storage.Blob_AnonymousAccessAnomaly) |
تم الوصول إلى حساب التخزين هذا بدون مصادقة، وهو تغيير في نمط الوصول الشائع. عادة ما تتم مصادقة الوصول إلى هذه الحاوية للقراءة. قد يشير هذا إلى أن جهة فاعلة تهديد تمكنت من استغلال وصول القراءة العامة إلى حاوية (حاويات) التخزين في حساب (حسابات) التخزين هذا. ينطبق على: Azure Blob Storage |
المجموعة | منخفض |
| البرامج الضارة المحتملة التي تم تحميلها إلى حساب تخزين (Storage.Blob_MalwareHashReputation Storage.Files_MalwareHashReputation) |
يشير إلى أنه تم تحميل نقطة تحتوي على برامج ضارة محتملة إلى حاوية blob أو مشاركة ملف في حساب تخزين. يعتمد هذا التنبيه على تحليل سمعة التجزئة الذي يستفيد من قوة ذكاء التهديدات من Microsoft ، والذي يتضمن تجزئات للفيروسات وأحصنة طروادة وبرامج التجسس وبرامج الفدية. قد تتضمن الأسباب المحتملة تحميلا متعمدا للبرامج الضارة بواسطة مهاجم، أو تحميلا غير مقصود لنقطة يحتمل أن تكون ضارة من قبل مستخدم شرعي. ينطبق على: Azure Blob Storage, Azure Files (فقط للمعاملات عبر واجهة برمجة تطبيقات REST) تعرف على المزيد حول تحليل سمعة التجزئة في Azure للبرامج الضارة. تعرف على المزيد حول إمكانات ذكاء التهديدات من Microsoft. |
الحركة الجانبيَة | درجة عالية |
| تم اكتشاف حاويات التخزين المتاحة للجمهور بنجاح (Storage.Blob_OpenContainersScanning.SuccessfulDiscovery) |
تم إجراء اكتشاف ناجح لحاوية (حاويات) التخزين المفتوحة بشكل عام في حساب التخزين الخاص بك في الساعة الأخيرة بواسطة برنامج نصي أو أداة مسح ضوئي. يشير هذا عادة إلى هجوم استطلاعي ، حيث يحاول ممثل التهديد سرد النقاط عن طريق تخمين أسماء الحاويات ، على أمل العثور على حاويات تخزين مفتوحة تم تكوينها بشكل خاطئ مع بيانات حساسة فيها. قد يستخدم ممثل التهديد نصه الخاص أو يستخدم أدوات مسح معروفة مثل Microburst للبحث عن حاويات مفتوحة علنا. ✔ Azure Blob Storage ✖ Azure Files ✖ Azure Data Lake Storage Gen2 |
المجموعة | متوسط |
| حاويات التخزين التي يمكن الوصول إليها بشكل عام والتي تم مسحها ضوئيا دون جدوى (Storage.Blob_OpenContainersScanning.FailedAttempt) |
تم إجراء سلسلة من المحاولات الفاشلة للبحث عن حاويات التخزين المفتوحة علنا في الساعة الأخيرة. يشير هذا عادة إلى هجوم استطلاعي ، حيث يحاول ممثل التهديد سرد النقاط عن طريق تخمين أسماء الحاويات ، على أمل العثور على حاويات تخزين مفتوحة تم تكوينها بشكل خاطئ مع بيانات حساسة فيها. قد يستخدم ممثل التهديد نصه الخاص أو يستخدم أدوات مسح معروفة مثل Microburst للبحث عن حاويات مفتوحة علنا. ✔ Azure Blob Storage ✖ Azure Files ✖ Azure Data Lake Storage Gen2 |
المجموعة | منخفض |
| فحص الوصول غير العادي في حساب التخزين (Storage.Blob_AccessInspectionAnomaly Storage.Files_AccessInspectionAnomaly) |
يشير إلى أنه تم فحص أذونات الوصول لحساب التخزين بطريقة غير عادية، مقارنة بالنشاط الأخير على هذا الحساب. السبب المحتمل هو أن المهاجم قد أجرى استطلاعا لهجوم مستقبلي. ينطبق على: Azure Blob Storage, Azure Files |
المجموعة | متوسط |
| كمية غير عادية من البيانات المستخرجة من حساب التخزين (Storage.Blob_DataExfiltration.AmountOfDataAnomaly Storage.Blob_DataExfiltration.NumberOfBlobsAnomaly Storage.Files_DataExfiltration.AmountOfDataAnomaly Storage.Files_DataExfiltration.NumberOfFilesAnomaly) |
يشير إلى أنه تم استخراج كمية كبيرة بشكل غير عادي من البيانات مقارنة بالنشاط الأخير على حاوية التخزين هذه. السبب المحتمل هو أن المهاجم قد استخرج كمية كبيرة من البيانات من حاوية تحتوي على مساحة تخزين blob. ينطبق على: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2 |
النقل غير المصرَّح به | متوسط |
| تطبيق غير عادي وصل إلى حساب تخزين (Storage.Blob_ApplicationAnomaly Storage.Files_ApplicationAnomaly) |
يشير إلى أن تطبيقا غير عادي قد وصل إلى حساب التخزين هذا. السبب المحتمل هو أن أحد المهاجمين قد وصل إلى حساب التخزين الخاص بك باستخدام تطبيق جديد. ينطبق على: Azure Blob Storage, Azure Files |
استغلال | متوسط |
| تغيير غير عادي في أذونات الوصول في حساب تخزين (Storage.Blob_PermissionsChangeAnomaly Storage.Files_PermissionsChangeAnomaly) |
يشير إلى أنه تم تغيير أذونات الوصول الخاصة بحاوية التخزين هذه بطريقة غير عادية. السبب المحتمل هو أن المهاجم قد غير أذونات الحاوية لإضعاف وضعه الأمني أو للحصول على المثابرة. ينطبق على: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2 |
الاستمرار | متوسط |
| استكشاف بيانات غير عادي في حساب تخزين (Storage.Blob_DataExplorationAnomaly Storage.Files_DataExplorationAnomaly) |
يشير إلى أنه تم تعداد النقط أو الحاويات في حساب التخزين بطريقة غير طبيعية، مقارنة بالنشاط الأخير على هذا الحساب. السبب المحتمل هو أن المهاجم قد أجرى استطلاعا لهجوم مستقبلي. ينطبق على: Azure Blob Storage, Azure Files |
المجموعة | متوسط |
| حذف غير عادي في حساب تخزين (Storage.Blob_DeletionAnomaly Storage.Files_DeletionAnomaly) |
يشير إلى حدوث عملية حذف غير متوقعة واحدة أو أكثر في حساب تخزين، مقارنة بالنشاط الأخير على هذا الحساب. أحد الأسباب المحتملة هو أن أحد المهاجمين قد حذف بيانات من حساب التخزين الخاص بك. ينطبق على: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2 |
النقل غير المصرَّح به | متوسط |
| تحميل غير عادي ل .cspkg إلى حساب تخزين (Storage.Blob_CspkgUploadAnomaly) |
يشير إلى أنه تم تحميل حزمة خدمات Azure Cloud Services (ملف .cspkg) إلى حساب تخزين بطريقة غير عادية، مقارنة بالنشاط الأخير على هذا الحساب. السبب المحتمل هو أن أحد المهاجمين كان يستعد لنشر تعليمات برمجية ضارة من حساب التخزين الخاص بك إلى خدمة سحابة Azure. ينطبق على: Azure Blob Storage, Azure Data Lake Storage Gen2 |
الحركة الجانبية، التنفيذ | متوسط |
| تحميل غير عادي .exe إلى حساب تخزين (Storage.Blob_ExeUploadAnomaly Storage.Files_ExeUploadAnomaly) |
يشير إلى أنه تم تحميل ملف .exe إلى حساب تخزين بطريقة غير عادية، مقارنة بالنشاط الأخير على هذا الحساب. السبب المحتمل هو أن المهاجم قد قام بتحميل ملف قابل للتنفيذ ضار إلى حساب التخزين الخاص بك، أو أن مستخدما شرعيا قد قام بتحميل ملف قابل للتنفيذ. ينطبق على: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2 |
الحركة الجانبية، التنفيذ | متوسط |
تنبيهات ل Azure Cosmos DB (معاينة)
| تنبيه (نوع التنبيه) | الوصف | تكتيكات MITRE (تعرف على المزيد) |
الخطورة |
|---|---|---|---|
| معاينة - الوصول من عقدة خروج Tor (CosmosDB_TorAnomaly) |
تم الوصول بنجاح إلى حساب Azure Cosmos DB هذا من عنوان IP معروف بأنه عقدة خروج نشطة من Tor، وهو وكيل مجهول الهوية. يعد الوصول المصادق عليه من عقدة خروج Tor مؤشرا محتملا على أن جهة التهديد تحاول إخفاء هويتها. | الوصول الأولي | عالية/ متوسطة |
| معاينة - الوصول من عنوان IP مشبوه (CosmosDB_SuspiciousIp) |
تم الوصول بنجاح إلى حساب قاعدة بيانات Azure Cosmos هذا من عنوان IP تم تحديده كتهديد بواسطة Microsoft Threat Intelligence. | الوصول الأولي | متوسط |
| معاينة - الوصول من موقع غير عادي (CosmosDB_GeoAnomaly) |
تم الوصول إلى حساب Azure Cosmos DB هذا من موقع يعتبر غير مألوف، استنادا إلى نمط الوصول المعتاد. إما أن يكون الفاعل المهدد قد تمكن من الوصول إلى الحساب، أو أن مستخدما شرعيا قد اتصل من موقع جغرافي جديد أو غير عادي |
الوصول الأولي | منخفض |
| معاينة - حجم غير عادي من البيانات المستخرجة (CosmosDB_DataExfiltrationAnomaly) |
تم استخراج كمية كبيرة بشكل غير عادي من البيانات من حساب قاعدة بيانات Azure Cosmos هذا. قد يشير هذا إلى أن جهة فاعلة مهددة قامت باستخراج البيانات. | النقل غير المصرَّح به | متوسط |
| PREVIEW - استخراج مفاتيح حسابات Azure Cosmos DB عبر برنامج نصي يحتمل أن يكون ضارا (CosmosDB_SuspiciousListKeys.خبيثةنص) |
تم تشغيل برنامج نصي PowerShell في اشتراكك وأجرى نمطا مشبوها من عمليات قائمة المفاتيح للحصول على مفاتيح حسابات Azure Cosmos DB في اشتراكك. تستخدم الجهات الفاعلة في مجال التهديدات البرامج النصية التلقائية، مثل Microburst، لسرد المفاتيح والعثور على حسابات Azure Cosmos DB التي يمكنهم الوصول إليها. قد تشير هذه العملية إلى أنه تم اختراق هوية في مؤسستك، وأن جهة التهديد تحاول اختراق حسابات Azure Cosmos DB في بيئتك بسبب نوايا ضارة. بدلا من ذلك ، يمكن أن يحاول أحد المطلعين الضارين الوصول إلى البيانات الحساسة وأداء حركة جانبية. |
المجموعة | درجة عالية |
| معاينة - حقن SQL: استخراج البيانات المحتملة (CosmosDB_SqlInjection.DataExfiltration) |
تم استخدام عبارة SQL مشبوهة للاستعلام عن حاوية في حساب قاعدة بيانات Azure Cosmos هذا. ربما نجح البيان الذي تم حقنه في استخراج البيانات التي لا يسمح لجهة التهديد بالوصول إليها. نظرا لبنية استعلامات قاعدة بيانات Azure Cosmos وقدراتها، لا يمكن للعديد من هجمات حقن SQL المعروفة على حسابات قاعدة بيانات Azure Cosmos العمل. ومع ذلك ، قد يعمل الاختلاف المستخدم في هذا الهجوم ويمكن للجهات الفاعلة المهددة استخراج البيانات. |
النقل غير المصرَّح به | متوسط |
| معاينة - حقن SQL: محاولة ضبابية (CosmosDB_SqlInjection.FailedFuzzingAttempt) |
تم استخدام عبارة SQL مشبوهة للاستعلام عن حاوية في حساب قاعدة بيانات Azure Cosmos هذا. مثل هجمات حقن SQL المعروفة الأخرى، لن ينجح هذا الهجوم في المساس بحساب Azure Cosmos DB. ومع ذلك ، فهو مؤشر على أن جهة فاعلة تهديد تحاول مهاجمة الموارد الموجودة في هذا الحساب ، وقد يتم اختراق تطبيقك. يمكن أن تنجح بعض هجمات الحقن SQL ويمكن استخدامها لاستخراج البيانات. وهذا يعني أنه إذا استمر المهاجم في تنفيذ محاولات حقن SQL، فقد يتمكن من اختراق حساب قاعدة بيانات Azure Cosmos الخاص بك وتصفية البيانات. يمكنك منع هذا التهديد باستخدام الاستعلامات ذات المعلمات. |
ما قبل الهجوم | منخفض |
تنبيهات لطبقة شبكة Azure
| تنبيه (نوع التنبيه) | الوصف | تكتيكات MITRE (تعرف على المزيد) |
الخطورة |
|---|---|---|---|
| اكتشاف اتصال الشبكة بجهاز ضار (Network_CommunicationWithC2) |
يشير تحليل حركة مرور الشبكة إلى أن جهازك (IP ٪{Victim IP}) قد تواصل مع ما يمكن أن يكون مركز القيادة والتحكم. عندما يكون المورد المخترق موازن تحميل أو بوابة تطبيق، قد يشير النشاط المشتبه به إلى أن واحدا أو أكثر من الموارد الموجودة في تجمع الواجهة الخلفية (لموازن التحميل أو بوابة التطبيق) قد اتصل بما قد يكون مركز القيادة والتحكم. | الأوامر والتحكم | متوسط |
| اكتشاف آلة مخترقة محتملة (Network_ResourceIpIndicatedAsMalicious) |
تشير معلومات التهديدات إلى أن جهازك (عند IP ٪{Machine IP}) ربما تم اختراقه بواسطة برنامج ضار من النوع Conficker. كان Conficker دودة كمبيوتر تستهدف نظام التشغيل Microsoft Windows وتم اكتشافه لأول مرة في نوفمبر 2008. أصاب Conficker ملايين أجهزة الكمبيوتر بما في ذلك أجهزة الكمبيوتر الحكومية والتجارية والمنزلية في أكثر من 200 دولة / منطقة ، مما يجعلها أكبر إصابة معروفة بدودة الكمبيوتر منذ دودة Welchia عام 2003. | الأوامر والتحكم | متوسط |
| احتمال اكتشاف محاولات القوة الغاشمة الواردة ٪{اسم الخدمة} (Generic_Incoming_BF_OneToOne) |
كشف تحليل حركة مرور الشبكة عن اتصال ٪{اسم الخدمة} الوارد إلى ٪{عنوان IP الضحية}، المقترن بموردك ٪{المضيف المخترق} من ٪{Attacker IP}. عندما يكون المورد المخترق موازن تحميل أو بوابة تطبيق، تتم إعادة توجيه حركة المرور الواردة المشتبه بها إلى واحد أو أكثر من الموارد الموجودة في تجمع الواجهة الخلفية (لموازن التحميل أو بوابة التطبيق). وعلى وجه التحديد، تعرض بيانات الشبكة التي تم أخذ عينات منها نشاطا مشبوها بين ٪{وقت البدء} و٪{وقت الانتهاء} على المنفذ ٪{منفذ الضحية}. يتوافق هذا النشاط مع محاولات القوة الغاشمة ضد خوادم ٪{اسم الخدمة}. | PreAttack | متوسط |
| اكتشاف محاولات محتملة للقوة الغاشمة الواردة SQL (SQL_Incoming_BF_OneToOne) |
كشف تحليل حركة مرور الشبكة عن اتصال SQL وارد إلى ٪{Victim IP}، مقترن بموردك ٪{المضيف المخترق}، من ٪{Attacker IP}. عندما يكون المورد المخترق موازن تحميل أو بوابة تطبيق، تتم إعادة توجيه حركة المرور الواردة المشتبه بها إلى واحد أو أكثر من الموارد الموجودة في تجمع الواجهة الخلفية (لموازن التحميل أو بوابة التطبيق). وعلى وجه التحديد، تعرض بيانات الشبكة التي تم أخذ عينات منها نشاطا مشبوها بين ٪{وقت البدء} و٪{وقت الانتهاء} على المنفذ ٪{رقم المنفذ} (٪{SQL نوع الخدمة}). يتوافق هذا النشاط مع محاولات القوة الغاشمة ضد خوادم SQL. | PreAttack | متوسط |
| اكتشاف هجوم محتمل لرفض الخدمة الصادر (DDOS) |
كشف تحليل حركة مرور الشبكة عن نشاط صادر شاذ ينشأ من ٪{المضيف المخترق}، وهو مورد في عملية النشر. قد يشير هذا النشاط إلى أن المورد الخاص بك قد تم اختراقه وأنه يشارك الآن في هجمات رفض الخدمة ضد نقاط النهاية الخارجية. عندما يكون المورد المخترق موازن تحميل أو بوابة تطبيق، قد يشير النشاط المشتبه به إلى أن واحدا أو أكثر من الموارد الموجودة في تجمع الواجهة الخلفية (لموازن التحميل أو بوابة التطبيق) قد تم اختراقه. استنادا إلى حجم الاتصالات ، نعتقد أن عناوين IP التالية ربما تكون أهدافا لهجوم DOS: ٪{الضحايا المحتملون}. لاحظ أنه من الممكن أن يكون الاتصال ببعض عناوين IP هذه مشروعا. | التأثير | متوسط |
| نشاط شبكة RDP وارد ومريب من مصادر متعددة (RDP_Incoming_BF_ManyToOne) |
كشف تحليل حركة مرور الشبكة عن اتصال بروتوكول سطح المكتب البعيد (RDP) الوارد الشاذ إلى ٪{Victim IP}، المقترن بموردك ٪{المضيف المخترق}، من مصادر متعددة. عندما يكون المورد المخترق موازن تحميل أو بوابة تطبيق، تتم إعادة توجيه حركة المرور الواردة المشتبه بها إلى واحد أو أكثر من الموارد الموجودة في تجمع الواجهة الخلفية (لموازن التحميل أو بوابة التطبيق). على وجه التحديد، تظهر بيانات الشبكة التي تم أخذ عينات منها عناوين IP الفريدة ٪{عدد عناوين IP المهاجمة} المتصلة بالمورد الخاص بك، وهو ما يعتبر غير طبيعي لهذه البيئة. قد يشير هذا النشاط إلى محاولة لفرض نقطة نهاية RDP من مضيفين متعددين (Botnet) | PreAttack | متوسط |
| نشاط شبكة RDP وارد ومريب (RDP_Incoming_BF_OneToOne) |
كشف تحليل حركة مرور الشبكة عن اتصال بروتوكول سطح المكتب البعيد (RDP) الوارد الشاذ إلى ٪{Victim IP}، المقترن بالمورد ٪{المضيف المخترق}، من ٪{Attacker IP}. عندما يكون المورد المخترق موازن تحميل أو بوابة تطبيق، تتم إعادة توجيه حركة المرور الواردة المشتبه بها إلى واحد أو أكثر من الموارد الموجودة في تجمع الواجهة الخلفية (لموازن التحميل أو بوابة التطبيق). وعلى وجه التحديد، تعرض بيانات الشبكة التي تم أخذ عينات منها ٪{عدد الاتصالات} الاتصالات الواردة إلى المورد الخاص بك، وهو ما يعتبر غير طبيعي لهذه البيئة. قد يشير هذا النشاط إلى محاولة لفرض نقطة نهاية RDP بالقوة الغاشمة | PreAttack | متوسط |
| نشاط شبكة SSH وارد ومشبوه من مصادر متعددة (SSH_Incoming_BF_ManyToOne) |
كشف تحليل حركة مرور الشبكة عن اتصال SSH غير طبيعي وارد إلى ٪{Victim IP}، مقترن بموردك ٪{المضيف المخترق}، من مصادر متعددة. عندما يكون المورد المخترق موازن تحميل أو بوابة تطبيق، تتم إعادة توجيه حركة المرور الواردة المشتبه بها إلى واحد أو أكثر من الموارد الموجودة في تجمع الواجهة الخلفية (لموازن التحميل أو بوابة التطبيق). على وجه التحديد، تظهر بيانات الشبكة التي تم أخذ عينات منها عناوين IP الفريدة ٪{عدد عناوين IP المهاجمة} المتصلة بالمورد الخاص بك، وهو ما يعتبر غير طبيعي لهذه البيئة. قد يشير هذا النشاط إلى محاولة لفرض نقطة نهاية SSH الخاصة بك من مضيفين متعددين (Botnet) | PreAttack | متوسط |
| نشاط شبكة SSH وارد ومشبوه (SSH_Incoming_BF_OneToOne) |
كشف تحليل حركة مرور الشبكة عن اتصال SSH وارد شاذ إلى ٪{Victim IP}، مقترن بموردك ٪{المضيف المخترق}، من ٪{Attacker IP}. عندما يكون المورد المخترق موازن تحميل أو بوابة تطبيق، تتم إعادة توجيه حركة المرور الواردة المشتبه بها إلى واحد أو أكثر من الموارد الموجودة في تجمع الواجهة الخلفية (لموازن التحميل أو بوابة التطبيق). وعلى وجه التحديد، تعرض بيانات الشبكة التي تم أخذ عينات منها ٪{عدد الاتصالات} الاتصالات الواردة إلى المورد الخاص بك، وهو ما يعتبر غير طبيعي لهذه البيئة. قد يشير هذا النشاط إلى محاولة لفرض نقطة نهاية SSH الخاصة بك | PreAttack | متوسط |
| تم اكتشاف حركة مرور مشبوهة صادرة ٪{بروتوكول مهاجم} (بورتسكانينغ) |
كشف تحليل حركة مرور الشبكة عن حركة مرور صادرة مشبوهة من ٪{المضيف المخترق} إلى منفذ الوجهة ٪{المنفذ الأكثر شيوعا}. عندما يكون المورد المخترق موازن تحميل أو بوابة تطبيق، تكون حركة المرور الصادرة المشتبه بها قد نشأت من واحد أو أكثر من الموارد الموجودة في تجمع الواجهة الخلفية (لموازن التحميل أو بوابة التطبيق). قد يشير هذا السلوك إلى أن المورد الخاص بك يشارك في ٪{بروتوكول مهاجم} محاولات القوة الغاشمة أو هجمات كنس المنفذ. | اكتشاف | متوسط |
| نشاط مشبوه لشبكة RDP الصادرة إلى وجهات متعددة (RDP_Outgoing_BF_OneToMany) |
كشف تحليل حركة مرور الشبكة عن اتصالات صادرة غير مشروعة ببروتوكول سطح المكتب البعيد (RDP) إلى وجهات متعددة تنشأ من ٪{المضيف المخترق} (٪{Attacker IP})، وهو مورد في عملية النشر. عندما يكون المورد المخترق موازن تحميل أو بوابة تطبيق، تكون حركة المرور الصادرة المشتبه بها قد نشأت من واحد أو أكثر من الموارد الموجودة في تجمع الواجهة الخلفية (لموازن التحميل أو بوابة التطبيق). على وجه التحديد، تظهر بيانات الشبكة التي تم أخذ عينات منها جهازك متصلا بعناوين IP الفريدة ٪{عدد عناوين IP المهاجمة}، والتي تعتبر غير طبيعية لهذه البيئة. قد يشير هذا النشاط إلى أن المورد الخاص بك قد تم اختراقه ويستخدم الآن لفرض نقاط نهاية RDP خارجية بالقوة. لاحظ أن هذا النوع من النشاط قد يتسبب في وضع علامة على عنوان IP الخاص بك على أنه ضار من قبل كيانات خارجية. | اكتشاف | درجة عالية |
| نشاط شبكة RDP الصادر المشبوه (RDP_Outgoing_BF_OneToOne) |
كشف تحليل حركة مرور الشبكة عن اتصال صادر ببروتوكول سطح المكتب البعيد (RDP) إلى ٪{Victim IP} ناشئ من ٪{المضيف المخترق} (٪{Attacker IP})، وهو مورد في عملية النشر. عندما يكون المورد المخترق موازن تحميل أو بوابة تطبيق، تكون حركة المرور الصادرة المشتبه بها قد نشأت من واحد أو أكثر من الموارد الموجودة في تجمع الواجهة الخلفية (لموازن التحميل أو بوابة التطبيق). وعلى وجه التحديد، تعرض بيانات الشبكة التي تم أخذ عينات منها ٪{عدد الاتصالات} الاتصالات الصادرة من المورد الخاص بك، والتي تعتبر غير طبيعية لهذه البيئة. قد يشير هذا النشاط إلى أن جهازك قد تعرض للاختراق وأنه يستخدم الآن لفرض نقاط نهاية RDP خارجية بالقوة. لاحظ أن هذا النوع من النشاط قد يتسبب في وضع علامة على عنوان IP الخاص بك على أنه ضار من قبل كيانات خارجية. | الحركة الجانبيَة | درجة عالية |
| نشاط مشبوه لشبكة SSH الصادرة إلى وجهات متعددة (SSH_Outgoing_BF_OneToMany) |
كشف تحليل حركة مرور الشبكة عن اتصالات SSH الصادرة الشاذة إلى وجهات متعددة والتي تنشأ من ٪{المضيف المخترق} (٪{Attacker IP})، وهو مورد في عملية النشر. عندما يكون المورد المخترق موازن تحميل أو بوابة تطبيق، تكون حركة المرور الصادرة المشتبه بها قد نشأت من واحد أو أكثر من الموارد الموجودة في تجمع الواجهة الخلفية (لموازن التحميل أو بوابة التطبيق). على وجه التحديد، تظهر عينات من بيانات الشبكة موردك متصلا بعناوين IP الفريدة ٪{عدد عناوين IP المهاجمة}، والتي تعتبر غير طبيعية لهذه البيئة. قد يشير هذا النشاط إلى أن المورد الخاص بك قد تم اختراقه ويستخدم الآن لفرض نقاط نهاية SSH خارجية بالقوة. لاحظ أن هذا النوع من النشاط قد يتسبب في وضع علامة على عنوان IP الخاص بك على أنه ضار من قبل كيانات خارجية. | اكتشاف | متوسط |
| نشاط شبكة SSH الصادر المشبوه (SSH_Outgoing_BF_OneToOne) |
كشف تحليل حركة مرور الشبكة عن اتصال SSH صادر شاذ إلى ٪{Victim IP} ناشئ من ٪{المضيف المخترق} (٪{Attacker IP})، وهو مورد في عملية النشر. عندما يكون المورد المخترق موازن تحميل أو بوابة تطبيق، تكون حركة المرور الصادرة المشتبه بها قد نشأت من واحد أو أكثر من الموارد الموجودة في تجمع الواجهة الخلفية (لموازن التحميل أو بوابة التطبيق). وعلى وجه التحديد، تعرض بيانات الشبكة التي تم أخذ عينات منها ٪{عدد الاتصالات} الاتصالات الصادرة من المورد الخاص بك، والتي تعتبر غير طبيعية لهذه البيئة. قد يشير هذا النشاط إلى أن المورد الخاص بك قد تم اختراقه ويستخدم الآن لفرض نقاط نهاية SSH خارجية بالقوة. لاحظ أن هذا النوع من النشاط قد يتسبب في وضع علامة على عنوان IP الخاص بك على أنه ضار من قبل كيانات خارجية. | الحركة الجانبيَة | متوسط |
| حركة المرور المكتشفة من عناوين IP الموصى بها للحظر | اكتشف Microsoft Defender for Cloud حركة المرور الواردة من عناوين IP التي يوصى بحظرها. يحدث هذا عادة عندما لا يتصل عنوان IP هذا بانتظام بهذا المورد. بدلا من ذلك ، تم وضع علامة على عنوان IP على أنه ضار من قبل Defender لمصادر استخبارات التهديدات في Cloud. | التحقيق | منخفض |
تنبيهات ل Azure Key Vault
| تنبيه (نوع التنبيه) | الوصف | تكتيكات MITRE (تعرف على المزيد) |
الخطورة |
|---|---|---|---|
| الوصول من عنوان IP مريب إلى مخزن مفاتيح (KV_SuspiciousIPAccess) |
تم الوصول إلى مخزن رئيسي بنجاح بواسطة عنوان IP تم تحديده بواسطة Microsoft Threat Intelligence كعنوان IP مشبوه. قد يشير هذا إلى أن البنية الأساسية الخاصة بك قد تم اختراقها. نوصي بإجراء مزيد من التحقيقات. تعرف على المزيد حول إمكانات ذكاء التهديدات من Microsoft. | الوصول إلى بيانات تسجيل الدخول | متوسط |
| الوصول من عقدة خروج TOR إلى مخزن مفاتيح (KV_TORAccess) |
تم الوصول إلى قبو رئيسي من عقدة خروج TOR معروفة. قد يكون هذا مؤشرا على أن جهة فاعلة مهددة قد وصلت إلى قبو المفاتيح وتستخدم شبكة TOR لإخفاء موقع مصدرها. نوصي بإجراء مزيد من التحقيقات. | الوصول إلى بيانات تسجيل الدخول | متوسط |
| حجم كبير من العمليات في قبو رئيسي (KV_OperationVolumeAnomaly) |
تم تنفيذ عدد شاذ من عمليات المخزن الرئيسي بواسطة مستخدم و/أو مدير خدمة و/أو مخزن مفاتيح محدد. قد يكون نمط النشاط الشاذ هذا مشروعا ، لكنه قد يكون مؤشرا على أن جهة فاعلة مهددة قد تمكنت من الوصول إلى قبو المفاتيح والأسرار الموجودة فيه. نوصي بإجراء مزيد من التحقيقات. | الوصول إلى بيانات تسجيل الدخول | متوسط |
| تغيير سياسة مريب واستعلام سري في مخزن مفاتيح (KV_PutGetAnomaly) |
قام مستخدم أو مدير خدمة بإجراء عملية تغيير سياسة Vault Put غير طبيعية متبوعة بعملية واحدة أو أكثر من عمليات Secret Get . لا يتم تنفيذ هذا النمط عادة من قبل المستخدم المحدد أو مدير الخدمة المحدد. قد يكون هذا نشاطا مشروعا، ولكنه قد يكون مؤشرا على أن جهة فاعلة مهددة قد قامت بتحديث سياسة المخزن الرئيسي للوصول إلى الأسرار التي كان يتعذر الوصول إليها سابقا. نوصي بإجراء مزيد من التحقيقات. | الوصول إلى بيانات تسجيل الدخول | متوسط |
| قائمة سرية مشبوهة واستعلام في مخزن مفاتيح (KV_ListGetAnomaly) |
قام مستخدم أو مدير خدمة بإجراء عملية قائمة سرية شاذة متبوعة بعملية واحدة أو أكثر من عمليات Secret Get . لا يتم تنفيذ هذا النمط عادة من قبل المستخدم المحدد أو مدير الخدمة المحدد ويرتبط عادة بالإغراق السري. قد يكون هذا نشاطا مشروعا ، ولكنه قد يكون مؤشرا على أن جهة فاعلة مهددة قد تمكنت من الوصول إلى قبو المفاتيح وتحاول اكتشاف أسرار يمكن استخدامها للتنقل أفقيا عبر شبكتك و / أو الوصول إلى الموارد الحساسة. نوصي بإجراء مزيد من التحقيقات. | الوصول إلى بيانات تسجيل الدخول | متوسط |
| تطبيق غير عادي الوصول إلى قبو رئيسي (KV_AppAnomaly) |
تم الوصول إلى قبو رئيسي بواسطة مدير خدمة لا يصل إليه عادة. قد يكون نمط الوصول الشاذ هذا نشاطا مشروعا ، ولكنه قد يكون مؤشرا على أن جهة فاعلة مهددة قد تمكنت من الوصول إلى قبو المفاتيح في محاولة للوصول إلى الأسرار الواردة فيه. نوصي بإجراء مزيد من التحقيقات. | الوصول إلى بيانات تسجيل الدخول | متوسط |
| نمط تشغيل غير عادي في قبو رئيسي KV_OperationPatternAnomaly) |
تم تنفيذ نمط شاذ لعمليات المخزن الرئيسي بواسطة مستخدم و/أو مدير خدمة و/أو مخزن مفاتيح معين. قد يكون نمط النشاط الشاذ هذا مشروعا ، لكنه قد يكون مؤشرا على أن جهة فاعلة مهددة قد تمكنت من الوصول إلى قبو المفاتيح والأسرار الموجودة فيه. نوصي بإجراء مزيد من التحقيقات. | الوصول إلى بيانات تسجيل الدخول | متوسط |
| مستخدم غير عادي يصل إلى قبو رئيسي (KV_UserAnomaly) |
تم الوصول إلى قبو المفاتيح من قبل مستخدم لا يصل إليه عادة. قد يكون نمط الوصول الشاذ هذا نشاطا مشروعا ، ولكنه قد يكون مؤشرا على أن جهة فاعلة مهددة قد تمكنت من الوصول إلى قبو المفاتيح في محاولة للوصول إلى الأسرار الواردة فيه. نوصي بإجراء مزيد من التحقيقات. | الوصول إلى بيانات تسجيل الدخول | متوسط |
| زوج غير عادي من تطبيقات المستخدمين وصل إلى قبو رئيسي (KV_UserAppAnomaly) |
تم الوصول إلى قبو المفاتيح بواسطة زوج رئيسي لخدمة المستخدم لا يصل إليه عادة. قد يكون نمط الوصول الشاذ هذا نشاطا مشروعا ، ولكنه قد يكون مؤشرا على أن جهة فاعلة مهددة قد تمكنت من الوصول إلى قبو المفاتيح في محاولة للوصول إلى الأسرار الواردة فيه. نوصي بإجراء مزيد من التحقيقات. | الوصول إلى بيانات تسجيل الدخول | متوسط |
| وصول المستخدم إلى حجم كبير من الخزائن الرئيسية (KV_AccountVolumeAnomaly) |
قام المستخدم أو مدير الخدمة بالوصول إلى حجم كبير بشكل غير طبيعي من الخزائن الرئيسية. قد يكون نمط الوصول الشاذ هذا نشاطا مشروعا ، ولكنه قد يكون مؤشرا على أن جهة فاعلة مهددة قد تمكنت من الوصول إلى خزائن رئيسية متعددة في محاولة للوصول إلى الأسرار الموجودة فيها. نوصي بإجراء مزيد من التحقيقات. | الوصول إلى بيانات تسجيل الدخول | متوسط |
تنبيهات لحماية Azure DDoS
| التنبيه | الوصف | تكتيكات MITRE (تعرف على المزيد) |
الخطورة |
|---|---|---|---|
| تم اكتشاف هجوم DDoS لعنوان IP العام | تم اكتشاف هجوم DDoS لعنوان IP العام (عنوان IP) ويتم تخفيفه. | التحقيق | درجة عالية |
| تخفيف هجوم DDoS للملكية الفكرية العامة | تم تخفيف هجوم DDoS لعنوان IP العام (عنوان IP). | التحقيق | منخفض |
تنبيهات الحوادث الأمنية
| التنبيه | الوصف | تكتيكات MITRE (تعرف على المزيد) |
الخطورة |
|---|---|---|---|
| حادث أمني مع اكتشاف عملية مشتركة | يشير الحادث الذي بدأ في {وقت البدء (UTC)} وتم اكتشافه مؤخرا في {الوقت المكتشف (UTC)} إلى أن المهاجم قد {تم اتخاذ إجراء} المورد الخاص بك {المضيف} | - | درجة عالية |
| اكتشاف حادث أمني على موارد متعددة | يشير الحادث الذي بدأ في {وقت البدء (UTC)} وتم اكتشافه مؤخرا في {الوقت المكتشف (UTC)} إلى أنه تم تنفيذ طرق هجوم مماثلة على مواردك السحابية {Host} | - | متوسط |
| تم اكتشاف حادث أمني من نفس المصدر | يشير الحادث الذي بدأ في {وقت البدء (UTC)} وتم اكتشافه مؤخرا في {الوقت المكتشف (UTC)} إلى أن المهاجم قد {تم اتخاذ إجراء} المورد الخاص بك {المضيف} | - | درجة عالية |
| اكتشاف حادث أمني على أجهزة متعددة | يشير الحادث الذي بدأ في {وقت البدء (UTC)} وتم اكتشافه مؤخرا في {الوقت المكتشف (UTC)} إلى أن المهاجم قد {اتخذ إجراء} بمواردك {المضيف} | - | متوسط |
تكتيكات MITRE ATTCK&
يمكن أن يساعدك فهم القصد من الهجوم على التحقيق في الحدث والإبلاغ عنه بسهولة أكبر. للمساعدة في هذه الجهود، تتضمن تنبيهات Microsoft Defender for Cloud تكتيكات MITRE مع العديد من التنبيهات.
وغالبًا ما يشار إلى سلسلة الخطوات التي تصف تطور الهجوم الإلكتروني من الاستطلاع إلى تصفية البيانات باسم "سلسلة القتل".
تستند نوايا سلسلة القتل المدعومة من Defender for Cloud إلى الإصدار 9 من مصفوفة MITRE ATTCK& والموضحة في الجدول أدناه.
| التكتيك | الوصف |
|---|---|
| PreAttack | يمكن أن يكون ما قبل الهجوم إما محاولة للوصول إلى مورد معين بغض النظر عن نية خبيثة ، أو محاولة فاشلة للوصول إلى نظام مستهدف لجمع المعلومات قبل الاستغلال. عادة ما يتم الكشف عن هذه الخطوة كمحاولة، من خارج الشبكة، لمسح النظام المستهدف وتحديد نقطة دخول. |
| الوصول الأولي | الوصول الأولي هو المرحلة التي يتمكن فيها المهاجم من الحصول على موطئ قدم على المورد الذي تمت مهاجمته. هذه المرحلة ذات صلة بحساب المضيفين والموارد مثل حسابات المستخدمين والشهادات وما إلى ذلك. غالبا ما تكون الجهات الفاعلة المهددة قادرة على التحكم في المورد بعد هذه المرحلة. |
| الثبات | الثبات هو أي وصول أو إجراء أو تغيير تكوين في نظام يعطي الجهة الفاعلة في التهديد وجودًا مستمرًا على هذا النظام. غالبًا ما تحتاج الجهات الفاعلة في التهديد إلى الحفاظ على الوصول إلى الأنظمة من خلال عمليات الإيقاف مثل إعادة تشغيل النظام أو فقدان بيانات الاعتماد أو حالات فشل أخرى تتطلب أداة وصول عن بُعد لإعادة التشغيل أو توفير باب خلفي بديل لهم لاستعادة الوصول. |
| زيادة الامتيازات | تصعيد الامتيازات هو نتيجة الإجراءات التي تسمح للخصم بالحصول على مستوى أعلى من الأذونات على نظام أو شبكة اتصال. تتطلب بعض الأدوات أو الإجراءات مستوى أعلى من الامتياز للعمل، ومن المرجح أن تكون ضرورية في العديد من النقاط خلال العملية. ويمكن أيضًا اعتبار حسابات المستخدمين التي لها أذونات الوصول إلى أنظمة محددة أو أداء وظائف محددة ضرورية للخصوم لتحقيق هدفهم تصعيدًا في الامتيازات. |
| التهرب الدفاعي | يتكون تجنب الدفاع من تقنيات قد يستخدمها الخصم للتهرب من الكشف أو تجنب الدفاعات الأخرى. في بعض الأحيان تكون هذه الإجراءات هي نفس (أو أشكال مختلفة من) التقنيات في فئات أخرى لها فائدة إضافية من تخريب دفاع معين أو التخفيف من شدته. |
| الوصول إلى بيانات تسجيل الدخول | يمثل الوصول إلى بيانات الاعتماد التقنيات التي تؤدي إلى الوصول إلى بيانات اعتماد النظام أو المجال أو الخدمة المستخدمة داخل بيئة المؤسسة أو التحكم فيها. سيحاول الخصوم على الأرجح الحصول على بيانات اعتماد شرعية من حسابات المستخدمين أو المسؤول (مسؤول النظام المحلي أو مستخدمي المجال الذين يملكون حق وصول المسؤول) لاستخدامها داخل الشبكة. مع وصول كاف داخل الشبكة، يمكن للخصم إنشاء حسابات لاستخدامها في وقت لاحق داخل البيئة. |
| الاكتشاف | يتكون الاكتشاف من التقنيات التي تسمح للخصم باكتساب المعرفة حول النظام والشبكة الداخلية. عندما يتمكن الخصوم من الوصول إلى نظام جديد ، يجب عليهم توجيه أنفسهم إلى ما لديهم الآن السيطرة عليه وما هي الفوائد التي يوفرها العمل من هذا النظام لأهدافهم الحالية أو الأهداف العامة أثناء الاختراق. يوفر نظام التشغيل العديد من الأدوات الأصلية التي تساعد في مرحلة جمع المعلومات بعد التسوية. |
| LateralMovement | تتألف الحركة الجانبيـة من تقنيات تمكّن الخصم من الوصول إلى النظم عن بُعد والتحكم فيها على الشبكة، ويمكن أن تشمل، ولكنها لا تشمل بالضرورة، تنفيذ أدوات على النظم البعيدة. يمكن أن تسمح تقنيات الحركة الجانبية للخصم بجمع المعلومات من نظام دون الحاجة إلى أدوات إضافية ، مثل أداة الوصول عن بعد. يمكن للخصم استخدام الحركة الجانبية لأغراض عديدة ، بما في ذلك التنفيذ عن بعد للأدوات ، أو التمحور حول أنظمة إضافية ، أو الوصول إلى معلومات أو ملفات محددة ، أو الوصول إلى بيانات اعتماد إضافية ، أو لإحداث تأثير. |
| تنفيذ | يمثل تكتيك التنفيذ التقنيات التي تؤدي إلى تنفيذ التعليمات البرمجية التي يتحكم فيها الخصم على نظام محلي أو بعيد. وغالبًا ما يستخدم هذا التكتيك بالاقتران مع الحركة الجانبية لتوسيع نطاق الوصول إلى الأنظمة البعيدة على الشبكة. |
| المجموعة | تتألف المجموعة من تقنيات تستخدم في تحديد وجمع المعلومات، مثل الملفات الحساسة، من الشبكة المستهدفة قبل التسلل. وتغطي هذه الفئة أيضًا مواقع على نظام أو شبكة يمكن أن يبحث فيها الخصم عن معلومات للتسلل. |
| التسلل | يشير التسلل إلى التقنيات والسمات التي تنتج أو تساعد في إزالة الخصم للملفات والمعلومات من الشبكة المستهدفة. وتغطي هذه الفئة أيضًا مواقع على نظام أو شبكة يمكن أن يبحث فيها الخصم عن معلومات للتسلل. |
| الأوامر والتحكم | يمثل تكتيك القيادة والتحكم كيفية تواصل الخصوم مع الأنظمة الخاضعة لسيطرتهم داخل شبكة مستهدفة. |
| التأثير | تحاول أحداث التأثير في المقام الأول تقليل توفر أو سلامة نظام أو خدمة أو شبكة بشكل مباشر. بما في ذلك التلاعب بالبيانات للتأثير على عملية تجارية أو تشغيلية. وغالبًا ما يشير ذلك إلى تقنيات مثل برامج الفدية، التشويه، التلاعب بالبيانات، وغيرها. |
ملاحظة
بالنسبة للتنبيهات قيد المعاينة: تتضمن الشروط التكميلية لمعاينة Azure شروطا قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو التي لم يتم إصدارها بعد في التوفر العام.
الخطوات التالية
لمعرفة المزيد حول تنبيهات أمان Microsoft Defender for Cloud، راجع ما يلي: