Výstrahy zabezpečení – Referenční příručka

Článek
03/17/2024

Tento článek obsahuje seznam výstrah zabezpečení, které můžete získat z programu Microsoft Defender for Cloud, a všech plánů Programu Microsoft Defender, které jste povolili. Výstrahy zobrazené ve vašem prostředí závisí na prostředcích a službách, které chráníte, a na vlastní konfiguraci.

V dolní části této stránky je tabulka popisující řetěz ukončení v programu Microsoft Defender for Cloud zarovnaný s verzí 9 matice MITRE ATT&CK.

Přečtěte si, jak na tato upozornění reagovat.

Zjistěte, jak exportovat upozornění.

Poznámka:

Zobrazení výstrah z různých zdrojů může trvat různě dlouho. Například výstrahy, které vyžadují analýzu síťového provozu, můžou trvat déle, než se zobrazí výstrahy související s podezřelými procesy spuštěnými na virtuálních počítačích.

Upozornění na počítače s Windows

Microsoft Defender for Servers Plan 2 poskytuje kromě těch, které poskytuje Microsoft Defender for Endpoint, jedinečné detekce a výstrahy. Výstrahy poskytované pro počítače s Windows:

Další podrobnosti a poznámky

Bylo zjištěno přihlášení ze škodlivé IP adresy. [viděl jsem to několikrát.

Popis: Úspěšné vzdálené ověřování pro účet [účet] a proces [proces] došlo, ale přihlašovací IP adresa (x.x.x.x) byla dříve hlášena jako škodlivá nebo velmi neobvyklá. Pravděpodobně došlo k úspěšnému útoku. Soubory s příponami .scr jsou soubory spořič obrazovky a obvykle se nacházejí a spouštějí z systémového adresáře Systému Windows.

Taktika MITRE: -

Závažnost: Vysoká

Došlo k auditování porušení zásad adaptivního řízení aplikací.

VM_AdaptiveApplicationControlWindowsViolationAudited

Popis: Následující uživatelé spustili aplikace, které na tomto počítači porušují zásady řízení aplikací vaší organizace. Počítač může potenciálně vystavit ohrožením zabezpečení malwaru nebo aplikace.

Taktika MITRE: Provádění

Závažnost: Informační

Přidání účtu hosta do místní skupiny Správa istrators

Popis: Analýza dat hostitele zjistila přidání integrovaného účtu hosta do místní skupiny Správa istrators na %{Ohrožený hostitel}, který je silně přidružený k aktivitě útočníka.

Taktika MITRE: -

Závažnost: Střední

Protokol událostí byl vymazán.

Popis: Protokoly počítačů označují podezřelou operaci vymazání protokolu událostí podle uživatele: %{uživatelské jméno} v počítači: %{CompromisedEntity}. Protokol %{log} byl vymazán.

Taktika MITRE: -

Závažnost: Informační

Antimalwarová akce selhala

Popis: Microsoft Antimalware zjistil chybu při provádění akce s malwarem nebo jiným potenciálně nežádoucím softwarem.

Taktika MITRE: -

Závažnost: Střední

Přijatá antimalwarová akce

Taktika MITRE: Obranné úniky

Závažnost: Střední

Antimalware je na virtuálním počítači dočasně zakázáno

(VM_AmTemporarilyDisablement)

Popis: Antimalware je na virtuálním počítači dočasně zakázaný. Zjistili jsme to analýzou operací Azure Resource Manageru ve vašem předplatném. Útočníci můžou zakázat antimalware na vašem virtuálním počítači, aby se zabránilo detekci.

Taktika MITRE: -

Závažnost: Střední

Antimalwarové neobvyklé vyloučení souborů ve vašem virtuálním počítači

(VM_UnusualAmFileExclusion)

Popis: Neobvyklé vyloučení souboru z antimalwarového rozšíření bylo zjištěno ve vašem virtuálním počítači analýzou operací Azure Resource Manageru ve vašem předplatném. Útočníci můžou vyloučit soubory z antimalwarové kontroly na vašem virtuálním počítači, aby zabránili detekci při spuštění libovolného kódu nebo infikování počítače malwarem.

Taktika MITRE: Obranné úniky

Závažnost: Střední

Komunikace s podezřelou doménou identifikovanou analýzou hrozeb

Popis: Analýza dat hostitele na %{Ohrožené hostitele} zjistila spuštění příkazu "net.exe stop", který se používá k zastavení důležitých služeb, jako je SharedAccess nebo aplikace Zabezpečení Windows. Zastavení některé z těchto služeb může značit škodlivé chování.

Taktika MITRE: -

Závažnost: Střední

Popis: Analýza dat hostitele na serveru %{Ohrožený hostitel} zjistila provádění procesu nebo příkazu, který je obvykle přidružen k dolování digitální měny.

Taktika MITRE: -

Závažnost: Vysoká

Konstrukce dynamických skriptů PS

Popis: Analýza dat hostitele na %{Ohrožené hostitele} zjistila dynamicky vytvořený skript PowerShellu. Útočníci někdy tento přístup používají k postupnému vytvoření skriptu, aby se zabránilo systémům IDS. Může to být legitimní aktivita nebo označení, že došlo k ohrožení jednoho z vašich počítačů.

Taktika MITRE: -

Závažnost: Střední

Spustitelný soubor spuštěný z podezřelého umístění

Popis: Analýza dat hostitele zjistila spustitelný soubor na %{Ohrožený hostitel}, který běží z umístění, které je běžné se známými podezřelými soubory. Tento spustitelný soubor může být legitimní aktivitou nebo indikací ohroženého hostitele.

Taktika MITRE: -

Závažnost: Vysoká

Zjistilo se chování útoku bez souborů

(VM_FilelessAttackBehavior.Windows)

Popis: Paměť zadaného procesu obsahuje chování běžně používané útoky bez souborů. Mezi konkrétní chování patří:

Shellcode, což je malá část kódu, která se obvykle používá jako datová část při zneužití chyby zabezpečení softwaru.
Aktivní síťová připojení. Podrobnosti najdete v části Network Připojení ions níže.
Volání funkcí do rozhraní operačního systému citlivého na zabezpečení Odkazované možnosti operačního systému najdete níže.
Obsahuje vlákno, které bylo spuštěno v dynamicky přiděleném segmentu kódu. Toto je běžný vzor útoků prostřednictvím injektáže procesů.

Taktika MITRE: Obranné úniky

Závažnost: Nízká

Zjištěná technika útoku bez souborů

(VM_FilelessAttackTechnique.Windows)

Popis: Paměť níže uvedeného procesu obsahuje důkazy o technice útoku bez souborů. Útoky bez souborů používají útočníci ke spouštění kódu při odstraňování detekce bezpečnostním softwarem. Mezi konkrétní chování patří:

Shellcode, což je malá část kódu, která se obvykle používá jako datová část při zneužití chyby zabezpečení softwaru.
Spustitelný obrázek vložený do procesu, například při útoku prostřednictvím injektáže kódu.
Aktivní síťová připojení. Podrobnosti najdete v části Network Připojení ions níže.
Volání funkcí do rozhraní operačního systému citlivého na zabezpečení Odkazované možnosti operačního systému najdete níže.
Vyprázdnění procesu, což je technika používaná malwarem, ve kterém je v systému načten legitimní proces, aby fungoval jako kontejner pro nepřátelský kód.
Obsahuje vlákno, které bylo spuštěno v dynamicky přiděleném segmentu kódu. Toto je běžný vzor útoků prostřednictvím injektáže procesů.

Taktika MITRE: Obrana před únikem, provádění

Závažnost: Vysoká

Zjištěná sada nástrojů pro útoky bez souborů

(VM_FilelessAttackToolkit.Windows)

Popis: Paměť zadaného procesu obsahuje souborovou sadu nástrojů pro útoky bez souborů: [název sady nástrojů]. Sady nástrojů pro útoky bez souborů používají techniky, které minimalizují nebo eliminují trasování malwaru na disku a výrazně snižují riziko detekce řešení pro kontrolu malwaru na základě disku. Mezi konkrétní chování patří:

Známé sady nástrojů a kryptografický software.
Shellcode, což je malá část kódu, která se obvykle používá jako datová část při zneužití chyby zabezpečení softwaru.
Vložený škodlivý spustitelný soubor do paměti procesu.

Popis: Systémový proces SVCHOST byl pozorován spuštění vzácné skupiny služeb. Malware často používá SVCHOST k maskování své škodlivé aktivity.

Taktika MITRE: Obrana před únikem, provádění

Závažnost: Informační

Zjištěný útok pomocí rychlých kláves

Popis: Analýza dat hostitele indikuje, že útočník může převrátit binární soubor přístupnosti (například rychlé klávesy, klávesnice na obrazovce, program Předčítání), aby poskytl přístup backdooru k hostiteli %{Ohrožený hostitel}.

Taktika MITRE: -

Závažnost: Střední

Úspěšný útok hrubou silou

(VM_LoginBruteForceSuccess)

Popis: Ze stejného zdroje bylo zjištěno několik pokusů o přihlášení. Některé se úspěšně ověřily na hostiteli. Vypadá to jako nárazový útok, ve kterém útočník provádí řadu pokusů o ověření, aby našel platné přihlašovací údaje účtu.

Taktika MITRE: Zneužití

Závažnost: Střední/vysoká

Úroveň podezřelé integrity indikující napadení protokolu RDP

Popis: Analýza dat hostitele zjistila, že tscon.exe spuštěná s oprávněními SYSTEM – to může značit, že útočník tento binární soubor zneužívá, aby mohl přepnout kontext na jakéhokoli jiného přihlášeného uživatele na tomto hostiteli. Jedná se o známou techniku útočníka pro ohrožení více uživatelských účtů a pozdější přesun v síti.

Taktika MITRE: -

Závažnost: Střední

Podezřelá instalace služby

Popis: Analýza dat hostitele zjistila instalaci tscon.exe jako služby: tento binární soubor, který se spouští jako služba, potenciálně umožňuje útočníkovi triviálně přepnout na jakéhokoli jiného přihlášeného uživatele na tomto hostiteli tím, že přenese připojení RDP. Jedná se o známou techniku útočníka, jak ohrozit více uživatelských účtů a přesunout se laterálně přes síť.

Taktika MITRE: -

Závažnost: Střední

Podezření, že byly zjištěny parametry útoku Golden Ticket kerberos

Popis: Analýza dat hostitele zjistila parametry příkazového řádku konzistentní s útokem Kerberos Golden Ticket.

Taktika MITRE: -

Závažnost: Střední

Popis: Označuje, že segment kódu byl přidělen pomocí nestandardních metod, jako je reflexní injektáž a dutí procesu. Výstraha poskytuje více charakteristik segmentu kódu, který byl zpracován, aby poskytoval kontext pro možnosti a chování hlášeného segmentu kódu.

Taktika MITRE: -

Závažnost: Střední

Byl proveden podezřelý soubor s dvojitou příponou.

Popis: Analýza dat hostitele označuje spuštění procesu s podezřelým dvojitým rozšířením. Toto rozšíření může uživatele oklamat, že soubory jsou bezpečné otevřít a můžou indikovat přítomnost malwaru v systému.

Taktika MITRE: -

Závažnost: Vysoká

Podezřelé stahování pomocí nástroje Certutil zjistilo [zobrazeno vícekrát]

Popis: Analýza dat hostitele na serveru %{Ohrožený hostitel} zjistila použití certutil.exe, integrovaného nástroje správce pro stahování binárního souboru místo jeho hlavního účelu, který souvisí s manipulací s certifikáty a daty certifikátů. Útočníci znají zneužití funkcí legitimních nástrojů správce k provádění škodlivých akcí, například pomocí certutil.exe ke stažení a dekódování škodlivého spustitelného souboru, který se následně spustí. Toto chování bylo dnes zobrazeno [x] na následujících počítačích: [Názvy počítačů]

Taktika MITRE: -

Závažnost: Střední

Taktika MITRE: -

Závažnost: Vysoká

Byl zjištěn podezřelý název procesu [několikrát zjištěn]

Popis: Analýza dat hostitele na %{Ohrožený hostitel} zjistila proces, jehož název je podezřelý, například odpovídající známému nástroji útočníka nebo pojmenovaný způsobem, který se snaží skrýt v prostém dohledu. Tento proces může být legitimní aktivitou nebo indikací, že došlo k ohrožení jednoho z vašich počítačů. Toto chování bylo dnes zobrazeno [x] na následujících počítačích: [Názvy počítačů]

Taktika MITRE: -

Závažnost: Střední

(VM_SystemProcessInAbnormalContext)

Popis: Systémový proces %{název procesu} byl zjištěn v neobvyklém kontextu. Malware často používá tento název procesu k maskování své škodlivé aktivity.

Taktika MITRE: Obrana před únikem, provádění

Závažnost: Vysoká

Podezřelá aktivita stínové kopie svazku

Popis: Analýza dat hostitele zjistila aktivitu odstranění stínové kopie u prostředku. Stínová kopie svazku je důležitý artefakt, který uchovává snímky dat. Určitý malware a konkrétně Ransomware, cílí VSC na sabotáž strategie zálohování.

Taktika MITRE: -

Závažnost: Vysoká

Byla zjištěna podezřelá hodnota registru WindowPosition.

Popis: Analýza dat hostitele na serveru %{Ohrožený hostitel} zjistila pokus o změnu konfigurace registru WindowPosition, která by mohla indikovat skrytí oken aplikací v nevisitelných částech plochy. Může to být legitimní aktivita nebo označení ohroženého počítače: tento typ aktivity byl dříve přidružený ke známému adwaru (nebo nežádoucímu softwaru), jako je Win32/OneSystemCare a Win32/SystemHealer a malware, jako je Win32/Creprote. Pokud je hodnota WindowPosition nastavená na 201329664 (Šestnáctkový: 0x0c00 0c00, odpovídající ose X=0c00 a Y-axis=0c00), umístí okno konzolové aplikace do neviditelné části obrazovky uživatele v oblasti, která je skrytá v zobrazení pod viditelnou nabídkou Start nebo hlavním panelem. Známá podezřelá hexní hodnota zahrnuje, ale není omezena na c000c0000.

Taktika MITRE: -

Závažnost: Nízká

Byl zjištěn podezřelý pojmenovaný proces.

Popis: Analýza dat hostitele na %{Ohrožený hostitel} zjistila proces, jehož název je velmi podobný, ale liší se od velmi běžně spuštěného procesu (%{Podobný názvu procesu}). I když tento proces může být neškodný útočník, je známo, že se někdy skrývají v prostém dohledu tím, že pojmenovávají své škodlivé nástroje tak, aby se podobaly legitimním názvům procesů.

Taktika MITRE: -

Závažnost: Střední

Neobvyklé resetování konfigurace ve virtuálním počítači

(VM_VMAccessUnusualConfigReset)

Popis: Na virtuálním počítači se zjistilo neobvyklé resetování konfigurace analýzou operací Azure Resource Manageru ve vašem předplatném. I když tato akce může být legitimní, útočníci se můžou pokusit o resetování konfigurace ve virtuálním počítači pomocí rozšíření přístupu k virtuálnímu počítači a ohrozit ho.

Taktika MITRE: Přístup k přihlašovacím údajům

Závažnost: Střední

Zjistilo se neobvyklé spuštění procesu.

Popis: Analýza dat hostitele na serveru %{Ohrožený hostitel} zjistila spuštění procesu uživatelem %{Uživatelské jméno}, které bylo neobvyklé. Účty, jako je %{Uživatelské jméno}, mají tendenci provádět omezenou sadu operací, bylo zjištěno, že toto spuštění není znakové a může být podezřelé.

Taktika MITRE: -

Závažnost: Vysoká

Neobvyklé resetování hesla uživatele ve virtuálním počítači

(VM_VMAccessUnusualPasswordReset)

Popis: Na virtuálním počítači se zjistilo neobvyklé resetování hesla uživatele analýzou operací Azure Resource Manageru ve vašem předplatném. I když tato akce může být legitimní, útočníci můžou zkusit použít rozšíření přístupu k virtuálnímu počítači k resetování přihlašovacích údajů místního uživatele ve vašem virtuálním počítači a ohrozit ho.

Taktika MITRE: Přístup k přihlašovacím údajům

Závažnost: Střední

Neobvyklé resetování klíče SSH uživatele ve virtuálním počítači

(VM_VMAccessUnusualSSHReset)

Popis: Na virtuálním počítači se zjistilo neobvyklé resetování klíče SSH uživatele pomocí analýzy operací Azure Resource Manageru ve vašem předplatném. I když tato akce může být legitimní, útočníci můžou zkusit resetovat klíč SSH uživatelského účtu ve vašem virtuálním počítači pomocí rozšíření přístupu k virtuálnímu počítači a ohrozit ho.

Taktika MITRE: Přístup k přihlašovacím údajům

Závažnost: Střední

Zjistilo se přidělení objektů HTTP jazyka VBScript

Popis: Bylo zjištěno vytvoření souboru VBScript pomocí příkazového řádku. Následující skript obsahuje příkaz přidělení objektů HTTP. Tuto akci lze použít ke stažení škodlivých souborů.

Podezřelá instalace rozšíření GPU ve virtuálním počítači (Preview)

(VM_GPUDriverExtensionUnusualExecution)

Popis: Podezřelá instalace rozšíření GPU byla na virtuálním počítači zjištěna analýzou operací Azure Resource Manageru ve vašem předplatném. Útočníci můžou pomocí rozšíření ovladače GPU nainstalovat ovladače GPU na virtuální počítač prostřednictvím Azure Resource Manageru k provádění kryptografických útoků.

Taktika MITRE: Dopad

Závažnost: Nízká

(VM_AmTempRealtimeProtectionDisablement)

Taktika MITRE: Obranné úniky

Závažnost: Střední

Antimalwarová ochrana v reálném čase byla dočasně zakázána, když byl kód spuštěn ve vašem virtuálním počítači.

(VM_AmRealtimeProtectionDisablementAndCodeExec)

Taktika MITRE: -

Závažnost: Vysoká

Taktika MITRE: -

Závažnost: Nízká

Popis: Analýza dat hostitele na serveru %{Ohrožený hostitel} zjistila provádění procesu nebo příkazu, který je obvykle přidružen k dolování digitální měny.

Taktika MITRE: -

Závažnost: Vysoká

Zakázání auditovaného protokolování [zobrazeno vícekrát]

Popis: Systém auditování Linuxu poskytuje způsob, jak sledovat informace související se zabezpečením v systému. Zaznamenává co nejvíce informací o událostech, které probíhají ve vašem systému. Zakázáním auditovaného protokolování může dojít ke zjištění porušení zásad zabezpečení používaných v systému. Toto chování bylo dnes zobrazeno [x] na následujících počítačích: [Názvy počítačů]

Taktika MITRE: -

Závažnost: Nízká

Zneužití ohrožení zabezpečení Xorg [zobrazeno vícekrát]

Popis: Analýza dat hostitele na %{Ohrožený hostitel} zjistila uživatele Xorg s podezřelými argumenty. Útočníci můžou tuto techniku použít při pokusech o eskalaci oprávnění. Toto chování bylo dnes zobrazeno [x] na následujících počítačích: [Názvy počítačů]

Taktika MITRE: -

Závažnost: Střední

Neúspěšný útok hrubou silou SSH

(VM_SshBruteForceFailed)

Popis: Z následujících útočníků byly zjištěny neúspěšné útoky hrubou silou: %{Útočníci}. Útočníci se pokusili o přístup k hostiteli s následujícími uživatelskými jmény: %{Účty použité při neúspěšném přihlášení k pokusům o hostitele}.

Taktika MITRE: Testování

Závažnost: Střední

Zjistilo se chování útoku bez souborů

(VM_FilelessAttackBehavior.Linux)

Popis: Paměť níže uvedeného procesu obsahuje chování běžně používané útoky bez souborů. Mezi konkrétní chování patří: {seznam pozorovaných chování}

Taktika MITRE: Provádění

Závažnost: Nízká

Zjištěná technika útoku bez souborů

(VM_FilelessAttackTechnique.Linux)

Taktika MITRE: Provádění

Závažnost: Vysoká

Zjištěná sada nástrojů pro útoky bez souborů

(VM_FilelessAttackToolkit.Linux)

Popis: Paměť níže uvedeného procesu obsahuje sadu nástrojů pro útok bez souborů: {ToolKitName}. Souborové sady nástrojů pro útoky bez souborů obvykle nemají přítomnost v systému souborů, což ztěžuje detekci tradičního antivirového softwaru. Mezi konkrétní chování patří: {seznam pozorovaných chování}

Taktika MITRE: Obrana před únikem, provádění

Závažnost: Vysoká

Bylo zjištěno spuštění skrytého souboru.

Popis: Analýza dat hostitele označuje, že skrytý soubor byl proveden uživatelem %{uživatelské jméno}. Tato aktivita může být legitimní aktivitou nebo indikací ohroženého hostitele.

Taktika MITRE: -

Závažnost: Informační

Přidání nového klíče SSH [zobrazeno vícekrát]

(VM_SshKeyAddition)

Popis: Do souboru autorizovaných klíčů se přidal nový klíč SSH. Toto chování bylo dnes zobrazeno [x] na následujících počítačích: [Názvy počítačů]

Taktika MITRE: Trvalost

Závažnost: Nízká

Přidání nového klíče SSH

Popis: Do souboru autorizovaných klíčů se přidal nový klíč SSH.

Taktika MITRE: -

Závažnost: Nízká

Možná zadní vrátka byla zjištěna [viděla se několikrát]

Popis: Analýza dat hostitele zjistila, že se stahuje podezřelý soubor, pak se ve vašem předplatném spustí %{Ohrožený hostitel}. Tato aktivita byla dříve přidružena k instalaci zadního vrátka. Toto chování bylo dnes zobrazeno [x] na následujících počítačích: [Názvy počítačů]

Taktika MITRE: -

Závažnost: Střední

Možné zneužití zjištěného poštovního serveru

(VM_MailserverExploitation )

Popis: Analýza dat hostitele na serveru %{Ohrožený hostitel} zjistila neobvyklé spuštění v rámci účtu poštovního serveru.

Taktika MITRE: Zneužití

Závažnost: Střední

Zjistilo se možné škodlivé webové prostředí

(VM_KubernetesDashboard)

(AzureDNS_ProtocolAnomaly)

Popis: Analýza transakcí DNS z %{CompromisedEntity} zjistila neobvyklé využití protokolu. Takový provoz, i když možná neškodný, může značit zneužití tohoto běžného protokolu k obejití filtrování síťového provozu. Typická aktivita související s útočníkem zahrnuje kopírování nástrojů pro vzdálenou správu do ohroženého hostitele a exfiltrování uživatelských dat z něj.

Taktika MITRE: Exfiltrace

Závažnost: -

Aktivita anonymní sítě

(AzureDNS_DarkWeb)

Popis: Analýza transakcí DNS z %{CompromisedEntity} zjistila aktivitu anonymní sítě. Tato aktivita, i když je možné legitimní chování uživatelů, je často používána útočníky k tomu, aby se vyhnuli sledování a otisku prstu síťové komunikace. Typická související aktivita útočníka pravděpodobně zahrnuje stahování a spouštění škodlivého softwaru nebo nástrojů pro vzdálenou správu.

Taktika MITRE: Exfiltrace

Závažnost: Nízká

Aktivita anonymní sítě pomocí webového proxy serveru

(AzureDNS_DarkWebProxy)

Taktika MITRE: Exfiltrace

Závažnost: Nízká

Pokus o komunikaci s podezřelou doménou s potopenou doménou

(AzureDNS_SinkholedDomain)

Popis: Analýza transakcí DNS z %{CompromisedEntity} zjistila požadavek na doménu s jímkou. Tato aktivita, zatímco pravděpodobně legitimní chování uživatelů, je často indikací stažení nebo spuštění škodlivého softwaru. Typická aktivita související s útočníkem pravděpodobně zahrnuje stažení a spuštění dalšího škodlivého softwaru nebo nástrojů pro vzdálenou správu.

Taktika MITRE: Exfiltrace

Závažnost: Střední

Komunikace s možnou phishingovou doménou

(AzureDNS_PhishingDomain)

Popis: Analýza transakcí DNS z %{CompromisedEntity} zjistila požadavek na možnou phishingovou doménu. Tato aktivita, i když je možná neškodná, často provádí útočníci za účelem získání přihlašovacích údajů ke vzdáleným službám. Typická aktivita související s útočníkem pravděpodobně zahrnuje zneužití jakýchkoli přihlašovacích údajů v legitimní službě.

Taktika MITRE: Exfiltrace

Závažnost: Informační

Komunikace s podezřelou algoritmicky vygenerovanou doménou

(AzureDNS_DomainGenerationAlgorithm)

Popis: Analýza transakcí DNS z %{CompromisedEntity} zjistila možné použití algoritmu generování domény. Tyto aktivity, i když možná neškodné, často provádějí útočníci, aby vyhýbali monitorování a filtrování sítě. Typická související aktivita útočníka pravděpodobně zahrnuje stahování a spouštění škodlivého softwaru nebo nástrojů pro vzdálenou správu.

Taktika MITRE: Exfiltrace

Závažnost: Informační

Komunikace s podezřelou doménou identifikovanou analýzou hrozeb

(AzureDNS_ThreatIntelSuspectDomain)

Taktika MITRE: Počáteční přístup

Závažnost: Střední

Komunikace s podezřelým náhodným názvem domény

(AzureDNS_RandomizedDomain)

Popis: Analýza transakcí DNS z %{CompromisedEntity} zjistila použití podezřelého náhodně generovaného názvu domény. Tyto aktivity, i když možná neškodné, často provádějí útočníci, aby vyhýbali monitorování a filtrování sítě. Typická související aktivita útočníka pravděpodobně zahrnuje stahování a spouštění škodlivého softwaru nebo nástrojů pro vzdálenou správu.

Taktika MITRE: Exfiltrace

Závažnost: Informační

Aktivita dolování digitálních měn

(AzureDNS_CurrencyMining)

Popis: Analýza transakcí DNS z %{CompromisedEntity} zjistila aktivitu dolování digitálních měn. Tato aktivita, i když je to možné legitimní chování uživatelů, se často provádí útočníky po ohrožení prostředků. Typická aktivita související s útočníkem pravděpodobně zahrnuje stažení a spuštění běžných nástrojů pro dolování.

Taktika MITRE: Exfiltrace

Závažnost: Nízká

Aktivace podpisu detekce neoprávněných vniknutí do sítě

(AzureDNS_SuspiciousDomain)

Popis: Analýza transakcí DNS z %{CompromisedEntity} zjistila známý škodlivý síťový podpis. Tato aktivita, zatímco pravděpodobně legitimní chování uživatelů, je často indikací stažení nebo spuštění škodlivého softwaru. Typická aktivita související s útočníkem pravděpodobně zahrnuje stažení a spuštění dalšího škodlivého softwaru nebo nástrojů pro vzdálenou správu.

Taktika MITRE: Exfiltrace

Závažnost: Střední

Možné stahování dat přes tunel DNS

(AzureDNS_DataInfiltration)

Popis: Analýza transakcí DNS z %{CompromisedEntity} zjistila možný tunel DNS. Tato aktivita, i když je možné legitimní chování uživatelů, se často provádí útočníky, aby vyhýbali monitorování a filtrování sítě. Typická související aktivita útočníka pravděpodobně zahrnuje stahování a spouštění škodlivého softwaru nebo nástrojů pro vzdálenou správu.

Taktika MITRE: Exfiltrace

Závažnost: Nízká

Možná exfiltrace dat prostřednictvím tunelu DNS

(AzureDNS_DataExfiltration)

Taktika MITRE: Exfiltrace

Závažnost: Nízká

Možný přenos dat přes tunel DNS

(AzureDNS_DataObfuscation)

Taktika MITRE: Exfiltrace

Závažnost: Nízká

Upozornění pro rozšíření virtuálních počítačů Azure

Tato upozornění se zaměřují na detekci podezřelých aktivit rozšíření virtuálních počítačů Azure a poskytují přehled o pokusech útočníků o ohrožení a provádění škodlivých aktivit na virtuálních počítačích.

Rozšíření virtuálních počítačů Azure jsou malé aplikace, které spouštějí po nasazení na virtuálních počítačích a poskytují funkce, jako je konfigurace, automatizace, monitorování, zabezpečení a další. Rozšíření jsou sice výkonným nástrojem, ale můžou je použít aktéři hrozeb pro různé škodlivé záměry, například:

Shromažďování a monitorování dat
Spouštění kódu a nasazení konfigurace s vysokými oprávněními
Resetování přihlašovacích údajů a vytváření správců
Šifrování disků

Přečtěte si další informace o nejnovější ochraně Defenderu pro cloud před zneužitím rozšíření virtuálních počítačů Azure.

Podezřelá chyba při instalaci rozšíření GPU ve vašem předplatném (Preview)

(VM_GPUExtensionSuspiciousFailure)

Popis: Podezřelý záměr instalace rozšíření GPU na nepodporované virtuální počítače Toto rozšíření by mělo být nainstalováno na virtuálních počítačích vybavených grafickým procesorem a v tomto případě tyto virtuální počítače nejsou vybaveny. Tato selhání se dají vidět, když nežádoucí uživatelé se zlými úmysly spouštějí několik instalací takového rozšíření pro účely kryptografického dolování.

Taktika MITRE: Dopad

Závažnost: Střední

(VM_CustomScriptExtensionSuspiciousPayload)

Popis: Rozšíření vlastních skriptů s datovou částí z podezřelého úložiště GitHub bylo zjištěno ve vašem virtuálním počítači analýzou operací Azure Resource Manageru ve vašem předplatném. Útočníci můžou pomocí rozšíření vlastních skriptů spouštět na virtuálních počítačích škodlivý kód prostřednictvím Azure Resource Manageru.

Taktika MITRE: Provádění

Závažnost: Vysoká

Dekódovaný spustitelný soubor pomocí nástroje certutil

(AppServices_ExecutableDecodedUsingCertutil)

Popis: Analýza hostitelských dat v [ohrožené entitě] zjistila, že certutil.exe, integrovaný nástroj správce, byl používán k dekódování spustitelného souboru místo jeho hlavního účelu, který souvisí s manipulací s certifikáty a daty certifikátů. O útočnících je známo, že zneužívají funkce legitimních nástrojů pro správce k provádění škodlivých akcí, například pomocí nástroje, jako je certutil.exe, dekódují škodlivý spustitelný soubor, který se následně spustí. (Platí pro: App Service ve Windows)

Taktika MITRE: Obrana před únikem, provádění

Závažnost: Vysoká

Zjistilo se chování útoku bez souborů

(AppServices_FilelessAttackBehaviorDetection)

Popis: Paměť níže uvedeného procesu obsahuje chování běžně používané útoky bez souborů. Mezi konkrétní chování patří: {seznam pozorovaných chování} (platí pro: App Service ve Windows a App Service v Linuxu)

Taktika MITRE: Provádění

Závažnost: Střední

Zjištěná technika útoku bez souborů

(AppServices_FilelessAttackTechniqueDetection)

Taktika MITRE: Provádění

Závažnost: Vysoká

Zjištěná sada nástrojů pro útoky bez souborů

(AppServices_FilelessAttackToolkitDetection)

Popis: Paměť níže uvedeného procesu obsahuje sadu nástrojů pro útok bez souborů: {ToolKitName}. Sady nástrojů pro útoky bez souborů obvykle nemají přítomnost v systému souborů, což ztěžuje detekci tradičního antivirového softwaru. Mezi konkrétní chování patří: {seznam pozorovaných chování} (platí pro: App Service ve Windows a App Service v Linuxu)

Taktika MITRE: Obrana před únikem, provádění

Závažnost: Vysoká

Upozornění microsoft Defenderu pro cloudový test služby App Service (ne hrozba)

(AppServices_EICAR)

Popis: Toto je testovací výstraha vygenerovaná programem Microsoft Defender for Cloud. Nevyžaduje se žádná další akce. (Platí pro: App Service ve Windows a App Service v Linuxu)

Taktika MITRE: -

Závažnost: Vysoká

Zjistila se kontrola NMap

(AppServices_Nmap)

Popis: Aplikace Azure protokol aktivit služby označuje možnou aktivitu otisku prstu na webu u vašeho prostředku služby App Service. Zjištěná podezřelá aktivita je přidružená k NMAP. Útočníci často používají tento nástroj ke zjišťování ohrožení zabezpečení webové aplikace. (Platí pro: App Service ve Windows a App Service v Linuxu)

Taktika MITRE: Předběžné připojení

Závažnost: Informační

Phishingový obsah hostovaný ve webových aplikacích Azure

(AppServices_PhishingContent)

Popis: Adresa URL použitá pro útok phishing nalezený na webu Aplikace Azure Services. Tato adresa URL byla součástí útoku phishing odeslaného zákazníkům Microsoftu 365. Obsah obvykle láká návštěvníky k zadávání firemních přihlašovacích údajů nebo finančních informací na legitimní web. (Platí pro: App Service ve Windows a App Service v Linuxu)

Taktika MITRE: Kolekce

Závažnost: Vysoká

Soubor PHP ve složce pro nahrání

(AppServices_PhpInUploadFolder)

Popis: Aplikace Azure Protokol aktivit služby označuje přístup k podezřelé stránce PHP umístěné ve složce pro nahrání. Tento typ složky obvykle neobsahuje soubory PHP. Existence tohoto typu souboru může znamenat zneužití, které využívá ohrožení zabezpečení spočívající v nahrání libovolného souboru. (Platí pro: App Service ve Windows a App Service v Linuxu)

Taktika MITRE: Provádění

Závažnost: Střední

Zjistilo se možné stažení cryptocoinmineru

(AppServices_CryptoCoinMinerDownload)

Popis: Analýza hostitelských dat zjistila stažení souboru, který je obvykle přidružen k dolování digitální měny. (Platí pro: App Service v Linuxu)

Taktika MITRE: Obrana před únikem, velitelství a řízení, zneužití

Závažnost: Střední

Byla zjištěna možná exfiltrace dat.

(AppServices_DataEgressArtifacts)

Popis: Analýza dat hostitele nebo zařízení zjistila možnou podmínku výchozího přenosu dat. Útočníci často zasílají data z počítačů, u kterých došlo k ohrožení zabezpečení. (Platí pro: App Service v Linuxu)

Taktika MITRE: Kolekce, Exfiltrace

Závažnost: Střední

Zjištěný potenciální záznam DNS pro prostředek služby App Service

(AppServices_PotentialDanglingDomain)

Popis: Byl zjištěn záznam DNS, který odkazuje na nedávno odstraněný prostředek služby App Service (označovaný také jako "položka DNS pro dangling DNS"). To může být náchylné k převzetí subdomény. Převzetí subdomény umožňuje škodlivým účastníkům přesměrovat provoz určený pro doménu organizace na web provádějící škodlivou činnost. V tomto případě byl nalezen textový záznam s ID ověření domény. Takové textové záznamy brání převzetí subdomény, ale přesto doporučujeme odebrat dangling doménu. Pokud necháte záznam DNS odkazující na subdoménu, riskujete, pokud někdo z vaší organizace odstraní soubor TXT nebo záznam v budoucnu. (Platí pro: App Service ve Windows a App Service v Linuxu)

Taktika MITRE: -

Závažnost: Nízká

Zjistilo se potenciální zpětné prostředí

(AppServices_ReverseShell)

Popis: Analýza dat hostitele zjistila potenciální reverzní prostředí. Používají se k získání ohroženého počítače, který by útočníkovi volal zpět do počítače. (Platí pro: App Service v Linuxu)

Taktika MITRE: Exfiltrace, zneužití

Závažnost: Střední

Zjistilo se stahování nezpracovaných dat

(AppServices_DownloadCodeFromWebsite)

Popis: Analýza procesů služby App Service zjistila pokus o stažení kódu z nezpracovaných webů, jako je pastebin. Tuto akci spustil proces PHP. Toto chování je spojené s pokusy o stažení webových prostředí nebo jiných škodlivých komponent do služby App Service. (Platí pro: App Service ve Windows)

Taktika MITRE: Provádění

Závažnost: Střední

Zjištění výstupu curl na disk

(AppServices_CurlToDisk)

Popis: Analýza procesů služby App Service zjistila spuštění příkazu curl, ve kterém byl výstup uložen na disk. I když toto chování může být legitimní, ve webových aplikacích se toto chování také vyskytuje ve škodlivých aktivitách, jako jsou pokusy o nakazování webů webovými prostředími. (Platí pro: App Service ve Windows)

Taktika MITRE: -

Závažnost: Nízká

Zjistil se odkazující na složku spamu.

(AppServices_SpamReferrer)

Popis: Aplikace Azure Protokol aktivit služby označuje webovou aktivitu, která byla identifikována jako pocházející z webu přidruženého k spamové aktivitě. K tomu může dojít v případě ohrožení vašeho webu a jeho použití pro aktivitu spamu. (Platí pro: App Service ve Windows a App Service v Linuxu)

Taktika MITRE: -

Závažnost: Nízká

Byl zjištěn podezřelý přístup k potenciálně zranitelné webové stránce.

(AppServices_ScanSensitivePage)

Popis: Aplikace Azure protokol aktivit služby označuje webovou stránku, která se zdá být citlivá, byla přístupná. Tato podezřelá aktivita pochází ze zdrojové IP adresy, jejíž vzor přístupu se podobá vzoru webového skeneru. Tato aktivita je často spojena s pokusem útočníka o kontrolu sítě a pokusu o získání přístupu k citlivým nebo ohroženým webovým stránkám. (Platí pro: App Service ve Windows a App Service v Linuxu)

Taktika MITRE: -

Závažnost: Nízká

Referenční informace o podezřelém názvu domény

(AppServices_CommandlineSuspectDomain)

Popis: Analýza dat hostitele zjistila odkaz na podezřelý název domény. Tato aktivita, zatímco pravděpodobně legitimní chování uživatelů, je často indikací stažení nebo spuštění škodlivého softwaru. Typická aktivita související s útočníkem pravděpodobně zahrnuje stažení a spuštění dalšího škodlivého softwaru nebo nástrojů pro vzdálenou správu. (Platí pro: App Service v Linuxu)

Taktika MITRE: Exfiltrace

Závažnost: Nízká

Podezřelé stahování pomocí nástroje Certutil bylo zjištěno

(AppServices_DownloadUsingCertutil)

Popis: Analýza hostitelských dat na serveru {NAME} zjistila použití certutil.exe, integrovaného nástroje správce pro stahování binárního souboru místo jeho hlavního účelu, který souvisí s manipulací s certifikáty a daty certifikátů. Útočníci znají zneužití funkcí legitimních nástrojů správce k provádění škodlivých akcí, například pomocí certutil.exe ke stažení a dekódování škodlivého spustitelného souboru, který se následně spustí. (Platí pro: App Service ve Windows)

Taktika MITRE: Provádění

Závažnost: Střední

Zjistilo se podezřelé spuštění PHP.

(AppServices_SuspectPhp)

Popis: Protokoly počítačů označují, že je spuštěn podezřelý proces PHP. Akce zahrnovala pokus o spuštění příkazů operačního systému nebo kódu PHP z příkazového řádku pomocí procesu PHP. I když toto chování může být legitimní, může toto chování ve webových aplikacích znamenat škodlivé aktivity, jako jsou pokusy o infikování webů webovými prostředími. (Platí pro: App Service ve Windows a App Service v Linuxu)

Taktika MITRE: Provádění

Závažnost: Střední

Spustily se podezřelé rutiny PowerShellu.

(AppServices_PowerShellPowerSploitScriptExecution)

Popis: Analýza dat hostitele indikuje spuštění známých škodlivých rutin PowerShell PowerSploit. (Platí pro: App Service ve Windows)

Taktika MITRE: Provádění

Závažnost: Střední

Spustil se podezřelý proces.

(AppServices_KnownCredential AccessTools)

Popis: Protokoly počítačů označují, že podezřelý proces: %{cesta procesu} byla spuštěna na počítači, což je často spojeno s pokusy útočníka o přístup k přihlašovacím údajům. (Platí pro: App Service ve Windows)

Taktika MITRE: Přístup k přihlašovacím údajům

Závažnost: Vysoká

Byl zjištěn podezřelý název procesu.

(AppServices_ProcessWithKnownSuspiciousExtension)

Popis: Analýza hostitelských dat v nástroji {NAME} zjistila proces, jehož název je podezřelý, například odpovídající známému nástroji útočníka nebo pojmenovaným způsobem, který naznačuje nástroje útočníka, které se snaží skrýt v prostém dohledu. Tento proces může být legitimní aktivitou nebo indikací, že došlo k ohrožení jednoho z vašich počítačů. (Platí pro: App Service ve Windows)

Taktika MITRE: trvalost, obranná úniky

Závažnost: Střední

Spustil se podezřelý proces SVCHOST.

(AppServices_SVCHostFromInvalidPath)

Popis: Systémový proces SVCHOST byl pozorován spuštěný v neobvyklém kontextu. Malware často používá SVCHOST k maskování škodlivé aktivity. (Platí pro: App Service ve Windows)

Taktika MITRE: Obrana před únikem, provádění

Závažnost: Vysoká

Zjištěn podezřelý uživatelský agent

(AppServices_UserAgentInjection)

Popis: Aplikace Azure protokol aktivit služby indikuje požadavky s podezřelým uživatelským agentem. Toto chování může značit pokusy o zneužití chyby zabezpečení ve vaší aplikaci služby App Service. (Platí pro: App Service ve Windows a App Service v Linuxu)

Taktika MITRE: Počáteční přístup

Závažnost: Informační

Zjištění podezřelého vyvolání motivu WordPressu

(AppServices_WpThemeInjection)

Popis: Aplikace Azure protokol aktivit služby označuje možnou aktivitu injektáže kódu u vašeho prostředku služby App Service. Zjištěná podezřelá aktivita se podobá manipulaci s motivem WordPress, která podporuje provádění kódu na straně serveru, následované přímým webovým požadavkem na vyvolání manipulovaného souboru motivu. Tento typ aktivity byl zobrazen v minulosti jako součást kampaně útoku přes WordPress. Pokud váš prostředek služby App Service není hostitelem webu WordPress, není ohrožený tímto konkrétním zneužitím injektáže kódu a můžete toto upozornění bezpečně potlačit pro daný prostředek. Informace o tom, jak potlačit výstrahy zabezpečení, najdete v tématu Potlačení výstrah z Programu Microsoft Defender pro cloud. (Platí pro: App Service ve Windows a App Service v Linuxu)

Taktika MITRE: Provádění

Závažnost: Vysoká

Zjištěná kontrola ohrožení zabezpečení

(AppServices_DrupalScanner)

Popis: Aplikace Azure protokol aktivit služby indikuje, že se ve vašem prostředku služby App Service použila možná kontrola ohrožení zabezpečení. Zjištěná podezřelá aktivita se podobá nástroji, které cílí na systém správy obsahu (CMS). Pokud váš prostředek služby App Service není hostitelem webu Drupal, není ohrožený tímto konkrétním zneužitím injektáže kódu a můžete toto upozornění bezpečně potlačit pro daný prostředek. Informace o tom, jak potlačit výstrahy zabezpečení, najdete v tématu Potlačení výstrah z Programu Microsoft Defender pro cloud. (Platí pro: App Service ve Windows)

Taktika MITRE: Předběžné připojení

Závažnost: Nízká

Zjištěná kontrola ohrožení zabezpečení

(AppServices_JoomlaScanner)

Popis: Aplikace Azure protokol aktivit služby indikuje, že se ve vašem prostředku služby App Service použila možná kontrola ohrožení zabezpečení. Podezřelá aktivita se zjistila podobně jako nástroje cílené na aplikace Typu. Pokud váš prostředek služby App Service není hostitelem webu Macu, není ohrožený tímto konkrétním zneužitím injektáže kódu a můžete toto upozornění bezpečně potlačit pro daný prostředek. Informace o tom, jak potlačit výstrahy zabezpečení, najdete v tématu Potlačení výstrah z Programu Microsoft Defender pro cloud. (Platí pro: App Service ve Windows a App Service v Linuxu)

Taktika MITRE: Předběžné připojení

Závažnost: Nízká

Zjištěná kontrola ohrožení zabezpečení

(AppServices_WpScanner)

Popis: Aplikace Azure protokol aktivit služby indikuje, že se ve vašem prostředku služby App Service použila možná kontrola ohrožení zabezpečení. Podezřelá aktivita se zjistila podobně jako nástroje, které cílí na aplikace WordPress. Pokud váš prostředek služby App Service není hostitelem webu WordPress, není ohrožený tímto konkrétním zneužitím injektáže kódu a můžete toto upozornění bezpečně potlačit pro daný prostředek. Informace o tom, jak potlačit výstrahy zabezpečení, najdete v tématu Potlačení výstrah z Programu Microsoft Defender pro cloud. (Platí pro: App Service ve Windows a App Service v Linuxu)

Taktika MITRE: Předběžné připojení

Závažnost: Nízká

Byl zjištěn otisk prstu na webu.

(AppServices_WebFingerprinting)

Popis: Aplikace Azure protokol aktivit služby označuje možnou aktivitu otisku prstu na webu u vašeho prostředku služby App Service. Zjištěná podezřelá aktivita je spojena s nástrojem s názvem Slepý slon. Webové servery otisku prstu nástroje a pokusí se rozpoznat nainstalované aplikace a verzi. Útočníci často používají tento nástroj ke zjišťování ohrožení zabezpečení webové aplikace. (Platí pro: App Service ve Windows a App Service v Linuxu)

Taktika MITRE: Předběžné připojení

Závažnost: Střední

Web je označený jako škodlivý v informačním kanálu analýzy hrozeb.

(AppServices_SmartScreen)

Popis: Web, jak je popsáno níže, je označen jako škodlivý web filtrem Windows SmartScreen. Pokud si myslíte, že se jedná o falešně pozitivní, obraťte se na filtr Windows SmartScreen prostřednictvím poskytnutého odkazu na zpětnou vazbu sestavy. (Platí pro: App Service ve Windows a App Service v Linuxu)

Taktika MITRE: Kolekce

Závažnost: Střední

Upozornění pro kontejnery – clustery Kubernetes

¹: Verze Preview pro clustery mimo AKS: Tato výstraha je obecně dostupná pro clustery AKS, ale je ve verzi Preview pro jiná prostředí, jako je Azure Arc, EKS a GKE.

²: Omezení clusterů GKE: GKE používá zásadu auditu Kubernetes, která nepodporuje všechny typy výstrah. V důsledku toho se tato výstraha zabezpečení, která je založená na událostech auditu Kubernetes, nepodporuje u clusterů GKE.

³: Tato výstraha je podporována na uzlech a kontejnerech Windows.

Upozornění pro SLUŽBU SQL Database a Azure Synapse Analytics

Další podrobnosti a poznámky

Možné ohrožení zabezpečení injektáže SQL

(SQL. DB_VulnerabilityToSqlInjection SQL. VM_VulnerabilityToSqlInjection SQL.MI_VulnerabilityToSqlInjection SQL. DW_VulnerabilityToSqlInjection Synapse.SQLPool_VulnerabilityToSqlInjection)

Popis: Aplikace vygenerovala v databázi chybný příkaz SQL. To může značit možné ohrožení zabezpečení útoků prostřednictvím injektáže SQL. Existují dva možné důvody chybného příkazu. Chyba v kódu aplikace mohla vytvořit chybný příkaz SQL. Nebo kód aplikace nebo uložené procedury neukončily uživatelský vstup při vytváření chybného příkazu SQL, který lze zneužít pro injektáž SQL.

Taktika MITRE: Předběžné připojení

Závažnost: Střední

Pokus o přihlášení potenciálně škodlivou aplikací

(SQL. DB_HarmfulApplication SQL. VM_HarmfulApplication SQL.MI_HarmfulApplication SQL. DW_HarmfulApplication Synapse.SQLPool_HarmfulApplication)

Popis: Potenciálně škodlivá aplikace se pokusila o přístup k vašemu prostředku.

Taktika MITRE: Předběžné připojení

Závažnost: Vysoká

Přihlášení z neobvyklého datového centra Azure

(SQL. DB_DataCenterAnomaly SQL. VM_DataCenterAnomaly SQL. DW_DataCenterAnomaly SQL.MI_DataCenterAnomaly Synapse.SQLPool_DataCenterAnomaly)

Popis: Došlo ke změně vzoru přístupu k SQL Serveru, kde se někdo přihlásil k serveru z neobvyklého datacentra Azure. V některých případech výstraha detekuje legitimní akci (novou aplikaci nebo službu Azure). V jiných případech výstraha detekuje škodlivou akci (útočník, který pracuje z porušeného prostředku v Azure).

Taktika MITRE: Testování

Závažnost: Nízká

Přihlášení z neobvyklého umístění

(SQL. DB_GeoAnomaly SQL. VM_GeoAnomaly SQL. DW_GeoAnomaly SQL.MI_GeoAnomaly Synapse.SQLPool_GeoAnomaly)

Popis: Došlo ke změně vzoru přístupu k SQL Serveru, kde se někdo přihlásil k serveru z neobvyklého zeměpisného umístění. V některých případech výstraha detekuje legitimní akci (nová aplikace nebo údržba prováděná vývojářem). V jiných případech výstraha detekuje škodlivou akci (bývalý zaměstnanec nebo externí útočník).

Taktika MITRE: Zneužití

Závažnost: Střední

(SQL. DB_PrincipalAnomaly SQL. VM_PrincipalAnomaly SQL. DW_PrincipalAnomaly SQL.MI_PrincipalAnomaly Synapse.SQLPool_PrincipalAnomaly)

Popis: Hlavní uživatel se během posledních 60 dnů nepřihlásil k vaší databázi. Pokud je tato databáze nová nebo je to očekávané chování způsobené nedávnými změnami uživatelů, kteří k databázi přistupují, program Defender for Cloud identifikuje významné změny vzorů přístupu a pokusí se zabránit budoucím falešně pozitivním výsledkům.

Taktika MITRE: Zneužití

Závažnost: Střední

(SQL. DB_DomainAnomaly SQL. VM_DomainAnomaly SQL. DW_DomainAnomaly SQL.MI_DomainAnomaly Synapse.SQLPool_DomainAnomaly)

Popis: Uživatel se přihlásil k vašemu prostředku z domény, ze které se během posledních 60 dnů nepřipojili jiní uživatelé. Pokud je tento prostředek nový nebo je to očekávané chování způsobené nedávnými změnami uživatelů, kteří k prostředku přistupují, defender for Cloud identifikuje významné změny vzorů přístupu a pokusí se zabránit budoucím falešně pozitivním výsledkům.

Taktika MITRE: Zneužití

Závažnost: Střední

(SQL. VM_PotentialSqlInjection)

Popis: Někdo zahájil novou datovou část s využitím vrstvy v SQL Serveru, která komunikuje s operačním systémem a zároveň skryje příkaz v dotazu SQL. Útočníci obvykle skrývají ovlivněné příkazy, které se často sledují, jako jsou xp_cmdshell, sp_add_job a další. Techniky obfuskace zneužívají legitimní příkazy, jako je zřetězení řetězců, přetypování, změna základu a další, aby se zabránilo detekci regulárních výrazů a poškodit čitelnost protokolů.

(SQL. PostgreSQL_HarmfulApplication SQL. MariaDB_HarmfulApplication SQL. MySQL_HarmfulApplication)

Popis: Potenciálně škodlivá aplikace se pokusila o přístup k vašemu prostředku.

Taktika MITRE: Předběžné připojení

Závažnost: Vysoká

(SQL. PostgreSQL_PrincipalAnomaly SQL. MariaDB_PrincipalAnomaly SQL. MySQL_PrincipalAnomaly)

Taktika MITRE: Zneužití

Závažnost: Střední

(SQL. MariaDB_DomainAnomaly SQL. PostgreSQL_DomainAnomaly SQL. MySQL_DomainAnomaly)

Taktika MITRE: Zneužití

Závažnost: Střední

Přihlášení z neobvyklého datového centra Azure

(SQL. PostgreSQL_DataCenterAnomaly SQL. MariaDB_DataCenterAnomaly SQL. MySQL_DataCenterAnomaly)

(ARM_OperationFromSuspiciousProxyIP)

Popis: Microsoft Defender for Resource Manager zjistil operaci správy prostředků z IP adresy, která je přidružená ke službám proxy, jako je NAPŘÍKLAD TOR. I když toto chování může být legitimní, často se to projevuje ve škodlivých aktivitách, když se aktéři hrozeb pokusí skrýt zdrojovou IP adresu.

Taktika MITRE: Obranné úniky

Závažnost: Střední

MicroBurst exploitation toolkit used to enumerate resources in your subscriptions

(ARM_MicroBurst.AzDomainInfo)

Popis: Ve vašem předplatném se spustil skript PowerShellu a provedl podezřelý vzor spouštění operací shromažďování informací za účelem zjišťování prostředků, oprávnění a síťových struktur. Aktéři hrozeb používají automatizované skripty, jako je MicroBurst, ke shromažďování informací o škodlivých aktivitách. Zjistili jsme to analýzou operací Azure Resource Manageru ve vašem předplatném. Tato operace může znamenat, že došlo k porušení identity ve vaší organizaci a že se herec hrozeb snaží ohrozit vaše prostředí pro škodlivé záměry.

Taktika MITRE: -

Závažnost: Nízká

(Storage.Blob_SuspiciousApp)

Popis: Označuje, že podezřelá aplikace úspěšně získala přístup ke kontejneru účtu úložiště s ověřováním. To může znamenat, že útočník získal přihlašovací údaje potřebné pro přístup k účtu a zneužije ho. Může to být také označení penetračního testu prováděného ve vaší organizaci. Platí pro: Azure Blob Storage, Azure Data Lake Storage Gen2

Taktika MITRE: Počáteční přístup

Závažnost: vysoká/střední

Přístup z podezřelé IP adresy

(Storage.Blob_SuspiciousIp Storage.Files_SuspiciousIp)

Popis: Označuje, že tento účet úložiště byl úspěšně přístupný z IP adresy, která je považována za podezřelou. Toto upozornění využívá Microsoft Threat Intelligence. Přečtěte si další informace o možnostech analýzy hrozeb od Microsoftu. Platí pro: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2

Taktika MITRE: Před útokem

Závažnost: Vysoká/Střední/Nízká

Phishingový obsah hostovaný v účtu úložiště

(Storage.Blob_PhishingContent Storage.Files_PhishingContent)

Popis: Adresa URL použitá v útoku phishing odkazuje na váš účet služby Azure Storage. Tato adresa URL byla součástí útoku phishing ovlivňujícího uživatele Microsoftu 365. Obsah hostovaný na těchto stránkách je obvykle navržený tak, aby oklamal návštěvníky zadáním firemních přihlašovacích údajů nebo finančních informací do webového formuláře, který vypadá legitimní. Toto upozornění využívá Microsoft Threat Intelligence. Přečtěte si další informace o možnostech analýzy hrozeb od Microsoftu. Platí pro: Azure Blob Storage, Soubory Azure

Taktika MITRE: Kolekce

Závažnost: Vysoká

Účet úložiště identifikovaný jako zdroj pro distribuci malwaru

(Storage.Files_WidespreadeAm)

Popis: Antimalwarová upozornění indikují, že infikované soubory jsou uložené ve sdílené složce Azure připojené k více virtuálním počítačům. Pokud útočníci získají přístup k virtuálnímu počítači s připojenou sdílenou složkou Azure, můžou ho použít k šíření malwaru do jiných virtuálních počítačů, které připojují stejnou sdílenou složku. Platí pro: Soubory Azure

Taktika MITRE: Provádění

Závažnost: Střední

Úroveň přístupu potenciálně citlivého kontejneru objektů blob úložiště se změnila tak, aby umožňovala neověřený veřejný přístup.

(Storage.Blob_OpenACL)

Popis: Výstraha indikuje, že někdo změnil úroveň přístupu kontejneru objektů blob v účtu úložiště, který může obsahovat citlivá data, na úroveň Kontejner, aby umožnil neověřený (anonymní) veřejný přístup. Tato změna se provedla prostřednictvím webu Azure Portal. Na základě statistické analýzy se kontejner objektů blob označí příznakem, že obsahuje citlivá data. Tato analýza naznačuje, že kontejnery objektů blob nebo účty úložiště s podobnými názvy se obvykle nezpřístupní veřejnému přístupu. Platí pro: Účty úložiště úložiště Azure Blob (standard pro obecné účely v2, Azure Data Lake Storage Gen2 nebo objekty blob bloku úrovně Premium).

Taktika MITRE: Kolekce

Závažnost: Střední

Ověřený přístup z výstupního uzlu Tor

(Storage.Blob_TorAnomaly Storage.Files_TorAnomaly)

Popis: Jeden nebo více kontejnerů úložiště / sdílených složek ve vašem účtu úložiště se úspěšně přistupovalo z IP adresy, o které je známo, že se jedná o aktivní výstupní uzel Tor (anonymizující proxy server). Aktéři hrozeb používají Tor, aby bylo obtížné sledovat aktivitu zpět k nim. Ověřený přístup z výstupního uzlu Tor pravděpodobně značí, že se objekt actor hrozby pokouší skrýt svou identitu. Platí pro: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2

Taktika MITRE: Počáteční přístup / Před útokem

Závažnost: vysoká/střední

Přístup z neobvyklého umístění k účtu úložiště

(Storage.Blob_GeoAnomaly Storage.Files_GeoAnomaly)

Popis: Označuje, že došlo ke změně vzoru přístupu k účtu Azure Storage. Někdo získal přístup k tomuto účtu z IP adresy, která se v porovnání s nedávnou aktivitou považuje za neznámé. Buď útočník získal přístup k účtu, nebo se legitimní uživatel připojil z nového nebo neobvyklého geografického umístění. Příkladem druhé je vzdálená údržba od nové aplikace nebo vývojáře. Platí pro: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2

Taktika MITRE: Počáteční přístup

Závažnost: Vysoká/Střední/Nízká

Neobvyklý neověřený přístup ke kontejneru úložiště

(Storage.Blob_AnonymousAccessAnomaly)

Popis: Tento účet úložiště byl přístupný bez ověřování, což je změna v modelu běžného přístupu. Přístup pro čtení k tomuto kontejneru se obvykle ověřuje. To může znamenat, že objekt actor hrozby mohl zneužít veřejný přístup pro čtení ke kontejnerům úložiště v těchto účtech úložiště. Platí pro: Azure Blob Storage

Taktika MITRE: Počáteční přístup

Závažnost: Vysoká/Nízká

Potenciální malware nahraný do účtu úložiště

(Storage.Blob_MalwareHashReputation Storage.Files_MalwareHashReputation)

Popis: Označuje, že objekt blob obsahující potenciální malware se nahrál do kontejneru objektů blob nebo sdílené složky v účtu úložiště. Tato výstraha je založená na analýze reputace hash využívající výkon analýzy hrozeb Od Microsoftu, která zahrnuje hodnoty hash pro viry, trojské koně, spyware a ransomware. Potenciální příčiny můžou zahrnovat úmyslné nahrání malwaru útočníkem nebo neúmyslné nahrání potenciálně škodlivého objektu blob legitimním uživatelem. Platí pro: Azure Blob Storage, Azure Files (pouze pro transakce přes rozhraní REST API) Další informace o možnostech analýzy hrozeb od Microsoftu.

Taktika MITRE: Laterální pohyb

Závažnost: Vysoká

Veřejně přístupné kontejnery úložiště byly úspěšně zjištěny.

(Storage.Blob_OpenContainersScanning.SuccessfulDiscovery)

Popis: Úspěšné zjištění veřejně otevřených kontejnerů úložiště ve vašem účtu úložiště proběhlo za poslední hodinu pomocí skenovacího skriptu nebo nástroje.

Obvykle to značí útok na rekognoskaci, kdy se objekt actor hrozby pokusí vypsat objekty blob odhadem názvů kontejnerů v naději, že vyhledá chybně nakonfigurované otevřené kontejnery úložiště s citlivými daty.

Objekt actor hrozby může použít vlastní skript nebo použít známé skenovací nástroje, jako je Microburst, ke kontrole veřejně otevřených kontejnerů.

✔ Azure Blob Storage ✖ Azure Files ✖ Azure Data Lake Storage Gen2

Taktika MITRE: Kolekce

Závažnost: vysoká/střední

Veřejně přístupné kontejnery úložiště, které se nepodařilo zkontrolovat

(Storage.Blob_OpenContainersScanning.FailedAttempt)

Popis: V poslední hodině byla provedena řada neúspěšných pokusů o vyhledání veřejně otevřených kontejnerů úložiště.

Popis: Výstraha indikuje, že se z účtu úložiště stáhl škodlivý objekt blob. Potenciální příčiny můžou zahrnovat malware, který byl nahraný do účtu úložiště, a neodebere se nebo umístí do karantény, a tím umožní herci hrozby stáhnout nebo neúmyslné stažení malwaru legitimními uživateli nebo aplikacemi. Platí pro: Účty úložiště Objektů blob Azure (Standard pro obecné účely v2, Azure Data Lake Storage Gen2 nebo Premium) s novým plánem Defender for Storage s povolenou funkcí Vyhledávání malwaru.

Taktika MITRE: Laterální pohyb

Závažnost: Vysoká, pokud Eicar - nízká

Upozornění pro službu Azure Cosmos DB

Další podrobnosti a poznámky

Přístup z výstupního uzlu Tor

(CosmosDB_TorAnomaly)

Popis: Tento účet služby Azure Cosmos DB byl úspěšně přístupný z IP adresy známé jako aktivní výstupní uzel Tor, anonymizující proxy server. Ověřený přístup z výstupního uzlu Tor pravděpodobně značí, že se objekt actor hrozby pokouší skrýt svou identitu.

Taktika MITRE: Počáteční přístup

Závažnost: vysoká/střední

Přístup z podezřelé IP adresy

(CosmosDB_SuspiciousIp)

Popis: Tento účet služby Azure Cosmos DB byl úspěšně přístupný z IP adresy, která byla identifikovaná jako hrozba službou Microsoft Threat Intelligence.

Taktika MITRE: Počáteční přístup

Závažnost: Střední

Přístup z neobvyklého umístění

(CosmosDB_GeoAnomaly)

Popis: Tento účet služby Azure Cosmos DB byl přístupný z umístění, které se považuje za neznámé, na základě obvyklého vzoru přístupu.

Buď objekt actor hrozby získal přístup k účtu, nebo se legitimní uživatel připojil z nového nebo neobvyklého geografického umístění.

Taktika MITRE: Počáteční přístup

Závažnost: Nízká

Neobvyklý objem extrahovaných dat

(CosmosDB_DataExfiltrationAnomaly)

Popis: Z tohoto účtu služby Azure Cosmos DB se extrahuje neobvykle velký objem dat. To může znamenat, že objekt actor hrozby exfiltroval data.

Taktika MITRE: Exfiltrace

Závažnost: Střední

Extrakce klíčů účtů Služby Azure Cosmos DB prostřednictvím potenciálně škodlivého skriptu

(CosmosDB_SuspiciousListKeys.MaliciousScript)

Popis: Skript PowerShellu se spustil ve vašem předplatném a provedl podezřelý vzor operací výpisu klíčů pro získání klíčů účtů Azure Cosmos DB ve vašem předplatném. Aktéři hrozeb používají automatizované skripty, jako je Microburst, k výpisu klíčů a vyhledání účtů služby Azure Cosmos DB, ke kterým mají přístup.

Tato operace může znamenat, že došlo k porušení identity ve vaší organizaci a že se objekt actor hrozeb snaží ohrozit účty služby Azure Cosmos DB ve vašem prostředí kvůli škodlivým záměrům.

Případně se může škodlivý insider pokusit o přístup k citlivým datům a provést laterální pohyb.

Taktika MITRE: Kolekce

Závažnost: Střední

Podezřelá extrakce klíčů účtu služby Azure Cosmos DB (AzureCosmosDB_SuspiciousListKeys.SuspiciousPrincipal)

Popis: Podezřelý zdroj extrahovaný z vašeho předplatného extrahovaný přístupovými klíči účtu služby Azure Cosmos DB. Pokud tento zdroj není legitimním zdrojem, může to být problém s vysokým dopadem. Extrahovaný přístupový klíč poskytuje úplnou kontrolu nad přidruženými databázemi a daty uloženými v ní. Podívejte se na podrobnosti o jednotlivých upozorněních, abyste pochopili, proč byl zdroj označen jako podezřelý.

Taktika MITRE: Přístup k přihlašovacím údajům

Závažnost: vysoká

Injektáž SQL: Potenciální exfiltrace dat

(CosmosDB_SqlInjection.DataExfiltration)

Popis: K dotazování kontejneru v tomto účtu služby Azure Cosmos DB se použil podezřelý příkaz SQL.

Vložený příkaz mohl být úspěšný při exfiltraci dat, ke kterým objekt actor hrozby nemá oprávnění k přístupu.

Vzhledem ke struktuře a možnostem dotazů Azure Cosmos DB nefunguje mnoho známých útoků prostřednictvím injektáže SQL na účty Azure Cosmos DB. Varianta použitá v tomto útoku ale může fungovat a aktéři hrozeb mohou exfiltrovat data.

Taktika MITRE: Exfiltrace

Závažnost: Střední

Injektáž SQL: přibližný pokus

(CosmosDB_SqlInjection.FailedFuzzingAttempt)

Popis: K dotazování kontejneru v tomto účtu služby Azure Cosmos DB se použil podezřelý příkaz SQL.

Stejně jako jiné dobře známé útoky prostřednictvím injektáže SQL nebude tento útok úspěšný v ohrožení účtu služby Azure Cosmos DB.

Je to však označení, že se aktér hrozby snaží napadnout prostředky v tomto účtu a že by mohla být ohrožena vaše aplikace.

Některé útoky prostřednictvím injektáže SQL můžou proběhnout úspěšně a použít je k exfiltraci dat. To znamená, že pokud útočník pokračuje v provádění pokusů o injektáž SQL, může být schopen ohrozit váš účet služby Azure Cosmos DB a exfiltrovat data.

Tuto hrozbu můžete zabránit pomocí parametrizovaných dotazů.

Závažnost: Střední

Upozornění pro Azure DDoS Protection

Další podrobnosti a poznámky

Zjištěný útok DDoS pro veřejnou IP adresu

(NETWORK_DDOS_DETECTED)

Popis: Útok DDoS zjistil pro veřejnou IP adresu (IP adresu) a byl zmírněný.

Taktika MITRE: Testování

Závažnost: Vysoká

Zmírnění útoku DDoS pro veřejnou IP adresu

(NETWORK_DDOS_MITIGATED)

Následující seznamy zahrnují výstrahy zabezpečení defenderu for Containers, které byly zastaralé.

Zjištěná manipulace s bránou firewall hostitele

(K8S. NODE_FirewallDisabled)

Popis: Analýza procesů spuštěných v kontejneru nebo přímo na uzlu Kubernetes zjistila možnou manipulaci s bránou firewall na hostiteli. Útočníci ho často zakážou, aby data exfiltrují.

Taktika MITRE: DefenseEvasion, Exfiltration

Závažnost: Střední

Podezřelé použití DNS přes HTTPS

(K8S. NODE_SuspiciousDNSOverHttps)

Popis: Analýza procesů spuštěných v kontejneru nebo přímo na uzlu Kubernetes zjistila použití volání DNS přes PROTOKOL HTTPS neobvyklým způsobem. Tuto techniku používají útočníci ke skrytí podezřelých nebo škodlivých webů.

Taktika MITRE: DefenseEvasion, Exfiltration

Závažnost: Střední

Bylo zjištěno možné připojení ke škodlivému umístění.

(K8S. NODE_ThreatIntelCommandLineSuspectDomain)

Popis: Analýza procesů spuštěných v kontejneru nebo přímo na uzlu Kubernetes zjistila připojení k umístění, které bylo hlášeno jako škodlivé nebo neobvyklé. Jedná se o indikátor, že mohlo dojít k ohrožení zabezpečení.

Taktika MITRE: InitialAccess

Závažnost: Střední

Aktivita dolování digitálních měn

(K8S. NODE_CurrencyMining)

Popis: Analýza transakcí DNS zjistila činnost dolování digitální měny. Tato aktivita, i když je to možné legitimní chování uživatelů, se často provádí útočníky po ohrožení prostředků. Typická aktivita související s útočníkem pravděpodobně zahrnuje stažení a spuštění běžných nástrojů pro dolování.

Taktika MITRE: Exfiltrace

Zobrazovaný název upozornění: Zjistilo se možné škodlivé webové prostředí

Zobrazovaný název výstrahy: Zjistilo se zakázání důležitých služeb.

Závažnost: Střední

Podporované záměry kill chainu Defender for Cloud jsou založené na verzi 9 matice MITRE ATT&CK a jsou popsané v následující tabulce.

Taktika	Verze ATT&CK	Popis
Předběžné připojení		Předběžné připojení může být buď pokus o přístup k určitému prostředku bez ohledu na škodlivý záměr, nebo neúspěšný pokus o získání přístupu k cílovému systému za účelem shromáždění informací před zneužitím. Tento krok se obvykle detekuje jako pokus, který pochází z oblasti mimo síť, ke kontrole cílového systému a identifikaci vstupního bodu.
Počáteční přístup	V7, V9	Počáteční přístup je fáze, ve které útočník spravuje získání zápatí napadeného prostředku. Tato fáze je relevantní pro výpočetní hostitele a prostředky, jako jsou uživatelské účty, certifikáty atd. Aktéři hrozeb budou moct po této fázi často řídit prostředek.
Uchování	V7, V9	Trvalost je jakákoli změna přístupu, akce nebo konfigurace v systému, která dává objektu actor hrozby trvalou přítomnost v daném systému. Aktéři hrozeb budou často muset udržovat přístup k systémům prostřednictvím přerušení, jako jsou restartování systému, ztráta přihlašovacích údajů nebo jiná selhání, která by vyžadovala restartování nástroje pro vzdálený přístup nebo poskytnutí alternativního zadního vrátka, aby znovu získali přístup.
Elevace oprávnění	V7, V9	Eskalace oprávnění je výsledkem akcí, které nežádoucímu uživateli umožňují získat vyšší úroveň oprávnění v systému nebo síti. Některé nástroje nebo akce vyžadují vyšší úroveň oprávnění pro práci a jsou pravděpodobně nezbytné v mnoha bodech celé operace. Uživatelské účty s oprávněními pro přístup ke konkrétním systémům nebo provádění konkrétních funkcí nezbytných k dosažení jejich cíle mohou být také považovány za eskalaci oprávnění.
Obrana před únikem	V7, V9	Úniky před obranou se skládají z technik, které může nežádoucí osoba použít k tomu, aby se zabránilo detekci nebo zabránění jiným obranám. Někdy jsou tyto akce stejné jako (nebo varianty) technik v jiných kategoriích, které mají přidanou výhodu převrácení konkrétní obrany nebo zmírnění rizik.
Přístup k přihlašovacím údajům	V7, V9	Přístup k přihlašovacím údajům představuje techniky, které vedou k přístupu k systému, doméně nebo přihlašovacím údajům služby, které se používají v podnikovém prostředí nebo k jejich řízení. Nežádoucí uživatelé se pravděpodobně pokusí získat legitimní přihlašovací údaje od uživatelů nebo účtů správců (místní správce systému nebo uživatelé domény s přístupem správce) pro použití v síti. S dostatečným přístupem v rámci sítě může nežádoucí osoba vytvářet účty pro pozdější použití v rámci prostředí.
Zjišťování	V7, V9	Zjišťování se skládá z technik, které nežádoucímu uživateli umožňují získat znalosti o systému a interní síti. Když nežádoucí osoba získá přístup k novému systému, musí se orientovat na to, co teď mají pod kontrolou a jaké výhody přináší provoz z tohoto systému jejich aktuálnímu cíli nebo celkovým cílům během vniknutí. Operační systém poskytuje mnoho nativních nástrojů, které pomáhají v této fázi shromažďování informací po ohrožení zabezpečení.
LateralMovement	V7, V9	Laterální pohyb se skládá z technik, které nežádoucímu člověku umožňují přistupovat ke vzdáleným systémům v síti a řídit je a nemusí nutně zahrnovat provádění nástrojů ve vzdálených systémech. Techniky laterálního pohybu by mohly nežádoucímu uživateli umožnit shromažďovat informace ze systému, aniž by potřeboval další nástroje, jako je například nástroj pro vzdálený přístup. Nežádoucí osoba může použít laterální pohyb pro mnoho účelů, včetně vzdáleného spuštění nástrojů, otáčení do více systémů, přístupu k určitým informacím nebo souborům, přístupu k více přihlašovacím údajům nebo k ovlivnění.
Spuštění	V7, V9	Taktika spouštění představuje postupy, které vedou ke spuštění kódu ovládaného útočníkem v místním nebo vzdáleném systému. Tato taktika se často používá ve spojení s laterálním pohybem k rozšíření přístupu ke vzdáleným systémům v síti.
Kolekce	V7, V9	Kolekce se skládá z technik používaných k identifikaci a shromažďování informací, jako jsou citlivé soubory, z cílové sítě před exfiltrací. Tato kategorie se zabývá také umístěními v systému nebo síti, kde nežádoucí osoba může hledat informace k exfiltraci.
Příkaz a ovládací prvek	V7, V9	Taktika příkazů a řízení představuje způsob, jakým nežádoucí osoba komunikují se systémy pod jejich kontrolou v rámci cílové sítě.
Exfiltrace	V7, V9	Exfiltrace odkazuje na techniky a atributy, které vedou k nežádoucímu odebrání souborů a informací z cílové sítě nebo pomáhají. Tato kategorie se zabývá také umístěními v systému nebo síti, kde nežádoucí osoba může hledat informace k exfiltraci.
Dopad	V7, V9	Události dopadu se primárně snaží snížit dostupnost nebo integritu systému, služby nebo sítě; včetně manipulace s daty, které mají vliv na obchodní nebo provozní proces. To by často odkazovalo na techniky, jako je ransomware, defacement, manipulace s daty a další.

Poznámka:

Upozornění, která jsou ve verzi Preview: Doplňkové podmínky Azure Preview obsahují další právní podmínky, které se vztahují na funkce Azure, které jsou v beta verzi, preview nebo které ještě nejsou vydány v obecné dostupnosti.

Výstrahy zabezpečení – Referenční příručka

Upozornění na počítače s Windows

Bylo zjištěno přihlášení ze škodlivé IP adresy. [viděl jsem to několikrát.

Došlo k auditování porušení zásad adaptivního řízení aplikací.

Přidání účtu hosta do místní skupiny Správa istrators

Protokol událostí byl vymazán.

Antimalwarová akce selhala

Přijatá antimalwarová akce

Vyloučení antimalwarových širokých souborů ve vašem virtuálním počítači

Antimalware zakázáno a spouštění kódu ve virtuálním počítači

Antimalwarové zakázání ve virtuálním počítači

Vyloučení antimalwarového souboru a spuštění kódu ve virtuálním počítači

Vyloučení antimalwarového souboru a spuštění kódu ve virtuálním počítači

Vyloučení antimalwarového souboru ve virtuálním počítači

Antimalwarová ochrana v reálném čase byla ve vašem virtuálním počítači zakázaná

Antimalwarová ochrana v reálném čase byla na virtuálním počítači dočasně zakázaná.

Antimalwarová ochrana v reálném čase byla dočasně zakázána, když byl kód spuštěn ve vašem virtuálním počítači.

Antimalwarové kontroly blokované pro soubory, které mohou souviset s malwarem kampaní na vašem virtuálním počítači (Preview)

Antimalware je na virtuálním počítači dočasně zakázáno

Antimalwarové neobvyklé vyloučení souborů ve vašem virtuálním počítači

Komunikace s podezřelou doménou identifikovanou analýzou hrozeb

Zjištěné akce indikující zakázání a odstranění souborů protokolu služby IIS

Zjištěná neobvyklá kombinace velkých a malých znaků v příkazovém řádku

Zjištěná změna klíče registru, která může být zneužita k obejití řízení uživatelských účtů

Dekódování spustitelného souboru pomocí integrovaného nástroje certutil.exe

Zjistilo se povolení klíče registru WDigest UseLogonCredential.

Zjištěný spustitelný soubor zakódovaný v datech příkazového řádku

Zjištěný obfuskovaný příkazový řádek

Zjištění možného spuštění spustitelného souboru keygen

Zjistilo se možné spuštění zahozeného malwaru.

Zjištění možné místní rekognoskace aktivity

Zjistilo se potenciálně podezřelé použití nástrojeGraf

Zjištěné potlačení právního oznámení zobrazeného uživatelům při přihlášení

Zjištěná podezřelá kombinace HTA a PowerShellu

Zjištěné podezřelé argumenty příkazového řádku

Zjištěný podezřelý příkazový řádek použitý ke spuštění všech spustitelných souborů v adresáři

Zjištění podezřelých přihlašovacích údajů v příkazovém řádku

Zjištění podezřelých přihlašovacích údajů k dokumentu

Zjištění podezřelého spuštění příkazu VBScript.Encode

Zjištění podezřelého spuštění prostřednictvím rundll32.exe

Zjištěné podezřelé příkazy pro vyčištění souborů

Zjištění podezřelého vytvoření souboru

Zjištěná podezřelá komunikace s pojmenovanými kanály

Zjištěná podezřelá síťová aktivita

Zjištění podezřelého nového pravidla brány firewall

Zjistilo se podezřelé použití cacls ke snížení stavu zabezpečení systému.

Zjištění podezřelého použití přepínače FTP -s

Zjištění podezřelého použití Pcalua.exe ke spuštění spustitelného kódu

Zjistilo se zakázání kritických služeb.

Zjistilo se chování související s dolováním digitálních měn

Konstrukce dynamických skriptů PS

Spustitelný soubor spuštěný z podezřelého umístění

Zjistilo se chování útoku bez souborů

Zjištěná technika útoku bez souborů

Zjištěná sada nástrojů pro útoky bez souborů

Zjištěný software s vysokým rizikem

Členové místní skupiny Správa istrators byli vyčíslováni.

Škodlivé pravidlo firewallu vytvořeného implantátem serveruINK [vidělo se vícekrát]

Škodlivá aktivita SQL

Dotazováno na více doménových účtů

Možné dumpingové přihlašovací údaje se zjistily [několikrát se zobrazily]

Potenciální pokus o obejití zjištěného AppLockeru

Vzácné spuštění skupiny služeb SVCHOST

Zjištěný útok pomocí rychlých kláves

Úspěšný útok hrubou silou

Úroveň podezřelé integrity indikující napadení protokolu RDP

Podezřelá instalace služby

Podezření, že byly zjištěny parametry útoku Golden Ticket kerberos

Zjištění podezřelého vytvoření účtu

Zjištěná podezřelá aktivita

Podezřelá aktivita ověřování

Zjištěný podezřelý segment kódu

Byl proveden podezřelý soubor s dvojitou příponou.

Podezřelé stahování pomocí nástroje Certutil zjistilo [zobrazeno vícekrát]

Podezřelé stahování pomocí nástroje Certutil bylo zjištěno

Zjištěná podezřelá aktivita PowerShellu

Spustily se podezřelé rutiny PowerShellu.

Spustil se podezřelý proces [několikrát se zobrazil]

Spustil se podezřelý proces.

Byl zjištěn podezřelý název procesu [několikrát zjištěn]