Alertas de seguridad: una guía de referencia

En este artículo se enumeran las alertas de seguridad que puede obtener de Microsoft Defender for Cloud y de los planes de Microsoft Defender habilitados. Las alertas que se muestran en el entorno dependen de los recursos y servicios que va a proteger, y de la configuración personalizada.

En la parte inferior de esta página, hay una tabla que describe la cadena de eliminación de Microsoft Defender for Cloud alineada con la versión 9 de la matriz MITRE ATT&CK.

Aprenda a responder a estas alertas.

Aprenda a exportar alertas.

Nota

Las alertas de orígenes diferentes pueden tardar un tiempo distinto en aparecer. Por ejemplo, las alertas que requieren un análisis del tráfico de red pueden tardar más en aparecer que las alertas relacionadas con procesos sospechosos que se ejecutan en máquinas virtuales.

Alertas de máquinas Windows

El plan 2 de Microsoft Defender para servidores proporciona detecciones y alertas únicas, además de las que proporciona Microsoft Defender para punto de conexión. Las alertas proporcionadas para las máquinas Windows son:

Más detalles y notas

Se ha detectado un inicio de sesión desde una dirección IP malintencionada. [observado varias veces]

Descripción: se produjo una autenticación remota correcta para la cuenta [cuenta] y el proceso [proceso], pero la dirección IP de inicio de sesión (x.x.x.x.x) se ha notificado previamente como malintencionada o muy inusual. Es probable que se haya producido un ataque correcto. Los archivos con las extensiones .src son archivos del protector de pantalla y suelen residir en el directorio del sistema de Windows, así como ejecutarse desde este.

Tácticas de MITRE: -

Gravedad: alta

Se auditó la infracción de la directiva de control de aplicaciones adaptable

VM_AdaptiveApplicationControlWindowsViolationAudited

Descripción: los siguientes usuarios ejecutaron aplicaciones que infringen la directiva de control de aplicaciones de su organización en esta máquina. Posiblemente puede exponer la máquina a malware o vulnerabilidades de aplicaciones.

Tácticas de MITRE: Ejecución

Gravedad: informativo

Adición de una cuenta de invitado al grupo de administradores locales

Descripción: el análisis de los datos del host ha detectado la adición de la cuenta de invitado integrada al grupo Local Administración istrators en %{Compromised Host}, que está fuertemente asociado a la actividad del atacante.

Tácticas de MITRE: -

Gravedad: media

Se ha borrado un registro de eventos

Descripción: Los registros de la máquina indican una operación sospechosa de borrado del registro de eventos por el usuario: '%{nombre de usuario}' en la máquina: '%{CompromisedEntity}'. Se borró el registro %{log channel}.

Tácticas de MITRE: -

Gravedad: informativo

Error en la acción antimalware

Descripción: Microsoft Antimalware ha encontrado un error al realizar una acción en malware u otro software potencialmente no deseado.

Tácticas de MITRE: -

Gravedad: media

Acción antimalware realizada

Descripción: Microsoft Antimalware para Azure ha realizado una acción para proteger este equipo frente a malware u otro software potencialmente no deseado.

Tácticas de MITRE: -

Gravedad: media

Exclusión amplia de archivos antimalware en la máquina virtual

(VM_AmBroadFilesExclusion)

Descripción: se detectó la exclusión de archivos de la extensión antimalware con una regla de exclusión amplia en la máquina virtual mediante el análisis de las operaciones de Azure Resource Manager en la suscripción. Esta exclusión deshabilita prácticamente la protección antimalware. Los atacantes podrían excluir archivos del análisis antimalware en la máquina virtual para evitar la detección mientras ejecutan código arbitrario o infectan la máquina con malware.

Tácticas de MITRE: -

Gravedad: media

Antimalware deshabilitado y ejecución de código en la máquina virtual

(VM_AmDisablementAndCodeExecution)

Descripción: Antimalware deshabilitado al mismo tiempo que la ejecución de código en la máquina virtual. Esto se ha detectado al analizar las operaciones de Azure Resource Manager de su suscripción. Los atacantes deshabilitan los escáneres antimalware para evitar la detección mientras ejecutan herramientas no autorizadas o infectan la máquina con malware.

Tácticas de MITRE: -

Gravedad: alta

Antimalware deshabilitado en la máquina virtual

(VM_AmDisablement)

Descripción: Antimalware deshabilitado en la máquina virtual. Esto se ha detectado al analizar las operaciones de Azure Resource Manager de su suscripción. Los atacantes podrían deshabilitar el antimalware en la máquina virtual para evitar la detección.

Tácticas de MITRE: Evasión de defensa

Gravedad: media

Exclusión de archivos antimalware y ejecución de código en la máquina virtual

(VM_AmFileExclusionAndCodeExecution)

Descripción: archivo excluido del analizador antimalware al mismo tiempo que el código se ejecutó a través de una extensión de script personalizado en la máquina virtual. Esto se ha detectado al analizar las operaciones de Azure Resource Manager de su suscripción. Los atacantes podrían excluir archivos del análisis antimalware en la máquina virtual para evitar la detección mientras ejecutan herramientas no autorizadas o infectan la máquina con malware.

Tácticas de MITRE: Evasión de defensa, Ejecución

Gravedad: alta

Exclusión de archivos antimalware y ejecución de código en la máquina virtual

(VM_AmTempFileExclusionAndCodeExecution)

Descripción: se detectó la exclusión temporal de archivos de la extensión antimalware en paralelo a la ejecución del código a través de la extensión de script personalizada en la máquina virtual mediante el análisis de las operaciones de Azure Resource Manager en la suscripción. Los atacantes podrían excluir archivos del análisis antimalware en la máquina virtual para evitar la detección mientras ejecutan código arbitrario o infectan la máquina con malware.

Tácticas de MITRE: Evasión de defensa, Ejecución

Gravedad: alta

Exclusión de archivos antimalware en la máquina virtual

(VM_AmTempFileExclusion)

Descripción: archivo excluido del analizador antimalware en la máquina virtual. Esto se ha detectado al analizar las operaciones de Azure Resource Manager de su suscripción. Los atacantes podrían excluir archivos del análisis antimalware en la máquina virtual para evitar la detección mientras ejecutan herramientas no autorizadas o infectan la máquina con malware.

Tácticas de MITRE: Evasión de defensa

Gravedad: media

Protección antimalware en tiempo real deshabilitada en la máquina virtual

(VM_AmRealtimeProtectionDisabled)

Descripción: la deshabilitación de la protección en tiempo real de la extensión antimalware se detectó en la máquina virtual mediante el análisis de las operaciones de Azure Resource Manager en la suscripción. Los atacantes podrían deshabilitar la protección en tiempo real del análisis antimalware en la máquina virtual para evitar la detección mientras ejecutan código arbitrario o infectan la máquina con malware.

Tácticas de MITRE: Evasión de defensa

Gravedad: media

Protección antimalware en tiempo real deshabilitada temporalmente en la máquina virtual

(VM_AmTempRealtimeProtectionDisablement)

Descripción: la deshabilitación temporal de protección en tiempo real de la extensión antimalware se detectó en la máquina virtual mediante el análisis de las operaciones de Azure Resource Manager en la suscripción. Los atacantes podrían deshabilitar la protección en tiempo real del análisis antimalware en la máquina virtual para evitar la detección mientras ejecutan código arbitrario o infectan la máquina con malware.

Tácticas de MITRE: Evasión de defensa

Gravedad: media

Protección antimalware en tiempo real deshabilitada temporalmente mientras se ejecuta código en la máquina virtual

(VM_AmRealtimeProtectionDisablementAndCodeExec)

Descripción: la deshabilitación temporal de protección en tiempo real de la extensión antimalware en paralelo a la ejecución de código a través de la extensión de script personalizada se detectó en la máquina virtual mediante el análisis de las operaciones de Azure Resource Manager en la suscripción. Los atacantes podrían deshabilitar la protección en tiempo real del análisis antimalware en la máquina virtual para evitar la detección mientras ejecutan código arbitrario o infectan la máquina con malware.

Tácticas de MITRE: -

Gravedad: alta

(VM_AmMalwareCampaignRelatedExclusion)

Descripción: se detectó una regla de exclusión en la máquina virtual para evitar que la extensión antimalware examinara determinados archivos sospechosos de estar relacionados con una campaña de malware. La regla se ha detectado al analizar las operaciones de Azure Resource Manager de su suscripción. Los atacantes podrían excluir archivos de análisis antimalware para evitar la detección mientras ejecutan código arbitrario o infectan la máquina con malware.

Tácticas de MITRE: Evasión de defensa

Gravedad: media

Antimalware deshabilitado temporalmente en la máquina virtual

(VM_AmTemporarilyDisablement)

Descripción: Antimalware deshabilitado temporalmente en la máquina virtual. Esto se ha detectado al analizar las operaciones de Azure Resource Manager de su suscripción. Los atacantes podrían deshabilitar el antimalware en la máquina virtual para evitar la detección.

Tácticas de MITRE: -

Gravedad: media

Exclusión de archivos antimalware inusual en la máquina virtual

(VM_UnusualAmFileExclusion)

Descripción: se detectó una exclusión inusual de archivos de la extensión antimalware en la máquina virtual mediante el análisis de las operaciones de Azure Resource Manager en la suscripción. Los atacantes podrían excluir archivos del análisis antimalware en la máquina virtual para evitar la detección mientras ejecutan código arbitrario o infectan la máquina con malware.

Tácticas de MITRE: Evasión de defensa

Gravedad: media

Comunicación con un dominio sospechoso identificado por inteligencia sobre amenazas

(AzureDNS_ThreatIntelSuspectDomain)

Descripción: la comunicación con un dominio sospechoso se detectó mediante el análisis de transacciones DNS desde el recurso y la comparación con dominios malintencionados conocidos identificados por fuentes de inteligencia sobre amenazas. A menudo, los atacantes realizan comunicación con dominios malintencionados y pueden implicar que el recurso se ve comprometido.

Tácticas de MITRE: acceso inicial, persistencia, ejecución, comando y control, explotación

Gravedad: media

Se detectaron acciones que indican la deshabilitación y eliminación de archivos de registro de IIS

Descripción: el análisis de las acciones detectadas de datos de host que muestran que los archivos de registro de IIS se deshabilitan o eliminan.

Tácticas de MITRE: -

Gravedad: media

Se detectó una combinación anómala de caracteres en mayúsculas y minúsculas en la línea de comandos.

Descripción: el análisis de datos de host en %{Compromised Host} detectó una línea de comandos con una combinación anómala de caracteres mayúsculas y minúsculas. Aunque posiblemente este tipo de patrón es benigno, también es típico de los atacantes que intentan ocultarse de la regla basada en hash o que distingue mayúsculas de minúsculas al realizar tareas administrativas en un host en peligro.

Tácticas de MITRE: -

Gravedad: media

Se detectó un cambio en una clave del Registro que se puede usar para omitir UAC.

Descripción: el análisis de datos de host en %{Compromised Host} detectó que se cambió una clave del Registro que se puede abusar para omitir UAC (Control de cuentas de usuario). Aunque posiblemente este tipo de configuración es benigno, también es típico de la actividad de los atacantes cuando intentan pasar de la obtención de acceso sin privilegios (usuario estándar) a un acceso con privilegios (por ejemplo, administrador) en un host en peligro.

Tácticas de MITRE: -

Gravedad: media

Se detectó la descodificación de un archivo ejecutable mediante la herramienta integrada certutil.exe.

Descripción: el análisis de datos de host en %{Compromised Host} detectó que certutil.exe, una utilidad de administrador integrada, se usaba para descodificar un archivo ejecutable en lugar de su propósito estándar relacionado con la manipulación de certificados y datos de certificados. Se sabe que los atacantes abusan de la funcionalidad de herramientas de administrador legítimas para realizar acciones malintencionadas; por ejemplo, utilizan una herramienta como certutil.exe para descodificar un ejecutable malintencionado que se ejecutará posteriormente.

Tácticas de MITRE: -

Gravedad: alta

Se detectó la habilitación de la clave del Registro UseLogonCredential de WDigest.

Descripción: el análisis de los datos del host detectó un cambio en la clave del Registro HKLM\SYSTEM\ CurrentControlSet\Control\SecurityProviders\WDigest\ "UseLogonCredential". Concretamente, esta clave se ha actualizado para permitir que las credenciales de inicio de sesión se almacenen en texto no cifrado en la memoria LSA. Una vez se habilita, un atacante puede volcar contraseñas de texto no cifrado de la memoria LSA con herramientas de recopilación de credenciales como Mimikatz.

Tácticas de MITRE: -

Gravedad: media

Se detectó un archivo ejecutable codificado en los datos de la línea de comandos.

Descripción: el análisis de datos de host en %{Compromised Host} detectó un ejecutable codificado en base 64. Esto se ha asociado previamente con atacantes que intentan crear archivos ejecutables sobre la marcha mediante una secuencia de comandos e intentan eludir los sistemas de detección de intrusiones al asegurarse de que ningún comando individual desencadena una alerta. Esto podría indicar una actividad legítima o que un host se encuentra en peligro.

Tácticas de MITRE: -

Gravedad: alta

Se detectó una línea de comandos ofuscada

Descripción: los atacantes usan técnicas de ofuscación cada vez más complejas para eludir las detecciones que se ejecutan en los datos subyacentes. El análisis de datos del host en %{Compromised Host} detectó indicadores sospechosos de ofuscación en la línea de comandos.

Tácticas de MITRE: -

Gravedad: informativo

Se detectó una posible ejecución del archivo ejecutable keygen.

Descripción: el análisis de datos de host en %{Compromised Host} detectó la ejecución de un proceso cuyo nombre es indicativo de una herramienta keygen; estas herramientas se usan normalmente para derrotar los mecanismos de licencia de software, pero su descarga a menudo se incluye con otro software malintencionado. Se sabe que el grupo de actividad GOLD usa archivos keygen para obtener acceso de manera encubierta por la puerta trasera a los hosts a los que pone en peligro.

Tácticas de MITRE: -

Gravedad: media

Se detectó una posible ejecución de un instalador de malware.

Descripción: el análisis de datos de host en %{Compromised Host} detectó un nombre de archivo que se ha asociado anteriormente a uno de los métodos del grupo de actividad GOLD para instalar malware en un host víctima.

Tácticas de MITRE: -

Gravedad: alta

Se detectó una posible actividad de reconocimiento local.

Descripción: el análisis de datos de host en %{Compromised Host} detectó una combinación de comandos systeminfo que se han asociado previamente a uno de los métodos del grupo de actividad GOLD para realizar la actividad de reconocimiento. Aunque "systeminfo.exe" es una herramienta de Windows legítima, su ejecución dos veces seguidas de la forma en que se ha producido aquí es poco frecuente.

Tácticas de MITRE: -

Gravedad: baja

Se detectó un uso potencialmente sospechoso de la herramienta Telegram.

Descripción: El análisis de datos de host muestra la instalación de Telegram, un servicio gratuito de mensajería instantánea basada en la nube que existe tanto para el sistema móvil como para el escritorio. Se sabe que los atacantes usan este servicio para transferir archivos binarios malintencionados a cualquier otro equipo, teléfono o tableta.

Tácticas de MITRE: -

Gravedad: media

Descripción: el análisis de datos de host en %{Compromised Host} detectó cambios en la clave del Registro que controla si se muestra un aviso legal a los usuarios cuando inician sesión. El análisis de seguridad de Microsoft ha determinado que se trata de una actividad que habitualmente llevan a cabo los atacantes después de poner en peligro un host.

Tácticas de MITRE: -

Gravedad: baja

Se detectó una combinación sospechosa de HTA y PowerShell.

Descripción: mshta.exe (host de aplicación HTML de Microsoft), que es un binario de Microsoft firmado que usan los atacantes para iniciar comandos malintencionados de PowerShell. A menudo, los atacantes recurren a tener un archivo HTA con VBScript alineado. Cuando una víctima navega hasta el archivo HTA y elige ejecutarlo, se ejecutan los comandos y los scripts de PowerShell que contiene. El análisis de datos del host en %{Compromised Host} detectó que mshta.exe inicia comandos de PowerShell.

Tácticas de MITRE: -

Gravedad: media

Se detectaron argumentos de la línea de comandos sospechosos.

Descripción: el análisis de datos de host en %{Compromised Host} detectó argumentos sospechosos de línea de comandos que se han usado junto con un shell inverso utilizado por el grupo de actividad HYDROGEN.

Tácticas de MITRE: -

Gravedad: alta

Se detectó una línea de comandos sospechosa que se usa para iniciar todos los archivos ejecutables en un directorio.

Descripción: el análisis de datos de host ha detectado un proceso sospechoso que se ejecuta en %{Compromised Host}. La línea de comandos indica un intento de iniciar todos los ejecutables (*.exe) que podrían residir en un directorio. Esto podría indicar que un host se encuentra en peligro.

Tácticas de MITRE: -

Gravedad: media

Se detectaron credenciales sospechosas en la línea de comandos.

Descripción: el análisis de datos de host en %{Compromised Host} detectó una contraseña sospechosa que se usa para ejecutar un archivo por el grupo de actividad BORON. Se sabe que este grupo de actividad utiliza esta contraseña para ejecutar malware de Pirpi en el host de las víctimas.

Tácticas de MITRE: -

Gravedad: alta

Se detectaron credenciales de documentos sospechosas.

Descripción: el análisis de los datos del host en %{Compromised Host} detectó un hash de contraseña sospechoso y común precalificado usado por malware para ejecutar un archivo. Se sabe que el grupo de actividad HYDROGEN utiliza esta contraseña para ejecutar malware en el host de las víctimas.

Tácticas de MITRE: -

Gravedad: alta

Se detectó la ejecución sospechosa del comando VBScript.Encode.

Descripción: el análisis de datos de host en %{Compromised Host} detectó la ejecución del comando VBScript.Encode. Este codifica los scripts en texto ilegible, lo que dificulta que los usuarios examinen el código. La investigación de amenazas de Microsoft muestra que los atacantes suelen usar archivos VBscript codificados como parte de su ataque para eludir los sistemas de detección. Esto podría indicar una actividad legítima o que un host se encuentra en peligro.

Tácticas de MITRE: -

Gravedad: media

Se detectó una ejecución sospechosa mediante el archivo rundll32.exe.

Descripción: el análisis de los datos del host en %{Compromised Host} detectó rundll32.exe usarse para ejecutar un proceso con un nombre poco común, coherente con el esquema de nomenclatura de procesos visto anteriormente por el grupo de actividad GOLD al instalar su primer implante de fase en un host en peligro.

Tácticas de MITRE: -

Gravedad: alta

Se detectaron comandos de limpieza de archivos sospechosos.

Descripción: el análisis de datos de host en %{Compromised Host} detectó una combinación de comandos systeminfo que se han asociado previamente a uno de los métodos del grupo de actividad GOLD para realizar la actividad de autoconvenido posterior al compromiso. Aunque "systeminfo.exe" es una herramienta legítima de Windows, ejecutarla dos veces consecutivas, seguida de un comando de eliminación en la forma en que se ha producido aquí es poco frecuente.

Tácticas de MITRE: -

Gravedad: alta

Se detectó la creación de un archivo sospechoso.

Descripción: el análisis de los datos del host en %{Compromised Host} detectó la creación o ejecución de un proceso que ha indicado previamente la acción posterior al compromiso realizada en un host de víctima por el grupo de actividad BARIUM. Se ha sabido que este grupo de actividad usa esta técnica para descargar malware adicional en un host en peligro después de abrir un archivo adjunto en un documento de suplantación de identidad (phishing).

Tácticas de MITRE: -

Gravedad: alta

Se detectaron comunicaciones de canalización con nombre sospechosas.

Descripción: el análisis de datos de host en %{Compromised Host} detectó que los datos se escriben en una canalización con nombre local desde un comando de consola de Windows. Se sabe que los atacantes utilizan canalizaciones con nombre a fin de realizar tareas y comunicarse con un implante malintencionado. Esto podría indicar una actividad legítima o que un host se encuentra en peligro.

Tácticas de MITRE: -

Gravedad: alta

Se detectó una actividad de red sospechosa.

Descripción: el análisis del tráfico de red de %{Compromised Host} detectó actividad de red sospechosa. Aunque posiblemente este tráfico es benigno, suele utilizarlo un atacante para comunicarse con servidores malintencionados para la descarga de herramientas, el comando y control y la filtración de datos. La actividad de atacante relacionada típica incluye la copia de herramientas de administración remota en un host en peligro y la extracción de los datos del usuario a partir de dicha copia.

Tácticas de MITRE: -

Gravedad: baja

Se detectó una nueva regla de firewall sospechosa.

Descripción: el análisis de los datos de host detectó que se ha agregado una nueva regla de firewall a través de netsh.exe para permitir el tráfico desde un archivo ejecutable en una ubicación sospechosa.

Tácticas de MITRE: -

Gravedad: media

Se detectó un uso sospechoso de Cacls para reducir el estado de seguridad del sistema

Descripción: los atacantes usan miles de formas como la fuerza bruta, la suplantación de identidad de lanza, etc. para lograr el compromiso inicial y obtener un punto de vista en la red. Una vez que se consigue la vulneración inicial, a menudo se llevan a cabo pasos para reducir la configuración de seguridad de un sistema. Cacls:"short for change access control list is Microsoft Windows native command-line utility often used for modifying the security permission on folders and files. En muchas ocasiones, los atacantes usan el archivo binario para reducir la configuración de seguridad de un sistema. Para ello, se concede a todos los usuarios acceso completo a algunos de los archivos binarios del sistema, como ftp.exe, net.exe, wscript.exe, etc. El análisis de datos del host en %{Compromised Host} detectó un uso sospechoso de Cacls para reducir la seguridad de un sistema.

Tácticas de MITRE: -

Gravedad: media

Se detectó un uso sospechoso del modificador -s de FTP.

Descripción: el análisis de los datos de creación de procesos del %{Compromised Host} detectó el uso del modificador ftp "-s:filename". Este modificador se usa para especificar un archivo de script FTP para que lo ejecute el cliente. Se sabe que el malware o los procesos malintencionados usan este conmutador FTP (-s:filename) para apuntar a un archivo de script que está configurado para conectarse a un servidor FTP remoto y descargar archivos binarios malintencionados adicionales.

Tácticas de MITRE: -

Gravedad: media

Se detectó un uso sospechoso del archivo Pcalua. exe para iniciar código ejecutable.

Descripción: el análisis de datos de host en %{Compromised Host} detectó el uso de pcalua.exe para iniciar código ejecutable. El archivo Pcalua.exe es un componente del "Asistente para la compatibilidad de programas" de Microsoft Windows que detecta problemas de compatibilidad durante la instalación o la ejecución de un programa. Se sabe que los atacantes usan la funcionalidad de las herramientas del sistema Windows legítimas para realizar acciones malintencionadas, por ejemplo, usan el archivo pcalua.exe con el modificador -a para iniciar archivos ejecutables malintencionados localmente o desde recursos compartidos remotos.

Tácticas de MITRE: -

Gravedad: media

Se detectó la deshabilitación de servicios críticos.

Descripción: el análisis de datos de host en %{Compromised Host} detectó la ejecución del comando "net.exe stop" que se usa para detener servicios críticos como SharedAccess o la aplicación de Seguridad de Windows. La detención de cualquiera de estos servicios puede ser una indicación de un comportamiento malintencionado.

Tácticas de MITRE: -

Gravedad: media

Descripción: el análisis de datos de host en %{Compromised Host} detectó la ejecución de un proceso o comando normalmente asociado a la minería de monedas digitales.

Tácticas de MITRE: -

Gravedad: alta

Construcción dinámica del script de PS

Descripción: el análisis de datos de host en %{Compromised Host} detectó que un script de PowerShell se construye dinámicamente. A veces, los atacantes usan esta técnica para generar progresivamente un script con el fin de eludir los sistemas IDS. Podría tratarse de una actividad legítima o de una señal de que una de las máquinas se ha puesto en peligro.

Tácticas de MITRE: -

Gravedad: media

Se encontró un archivo ejecutable que se ejecuta desde una ubicación sospechosa.

Descripción: el análisis de los datos del host detectó un archivo ejecutable en %{Compromised Host} que se ejecuta desde una ubicación en común con archivos sospechosos conocidos. Este archivo ejecutable podría indicar una actividad legítima o que un host se encuentra en peligro.

Tácticas de MITRE: -

Gravedad: alta

Comportamiento de ataque sin archivos detectado

(VM_FilelessAttackBehavior.Windows)

Descripción: la memoria del proceso especificado contiene comportamientos que suelen usar los ataques sin archivos. Entre sus comportamientos específicos se incluyen los siguientes:

  1. Shellcode, que es un pequeño fragmento de código que se usa normalmente como carga útil para aprovechar una vulnerabilidad de software.
  2. Conexiones de red activas. Consulte NetworkConnections a continuación para más información.
  3. Llamadas de función a interfaces de sistema operativo confidenciales de seguridad. Consulte Funcionalidades a continuación para ver las funcionalidades del sistema operativo a las que se hace referencia.
  4. Contiene un subproceso que se inició en un segmento de código asignado dinámicamente. Se trata de un patrón común de los ataques por inyección de procesos.

Tácticas de MITRE: Evasión de defensa

Gravedad: baja

Se detectó una técnica de ataque sin archivos

(VM_FilelessAttackTechnique.Windows)

Descripción: la memoria del proceso especificado a continuación contiene evidencias de una técnica de ataque sin archivos. Los atacantes usan los ataques sin archivos para ejecutar código y evitar ser detectados por el software de seguridad. Entre sus comportamientos específicos se incluyen los siguientes:

  1. Shellcode, que es un pequeño fragmento de código que se usa normalmente como carga útil para aprovechar una vulnerabilidad de software.
  2. Imagen ejecutable insertada en el proceso, como en un ataque de inyección de código.
  3. Conexiones de red activas. Consulte NetworkConnections a continuación para más información.
  4. Llamadas de función a interfaces de sistema operativo confidenciales de seguridad. Consulte Funcionalidades a continuación para ver las funcionalidades del sistema operativo a las que se hace referencia.
  5. Proceso hueco, que es una técnica utilizada por malware en la que se carga un proceso legítimo en el sistema para actuar como contenedor para código hostil.
  6. Contiene un subproceso que se inició en un segmento de código asignado dinámicamente. Se trata de un patrón común de los ataques por inyección de procesos.

Tácticas de MITRE: Evasión de defensa, Ejecución

Gravedad: alta

Kit de herramientas de ataques sin archivos detectado

(VM_FilelessAttackToolkit.Windows)

Descripción: la memoria del proceso especificado contiene un kit de herramientas de ataques sin archivos: [nombre del kit de herramientas]. Los kits de herramientas de ataques sin archivos usan técnicas que minimizan o eliminan el rastro de malware en el disco y reducen considerablemente las posibilidades de detección mediante soluciones de análisis de malware basadas en disco. Entre sus comportamientos específicos se incluyen los siguientes:

  1. Kits de herramientas conocidos y software de minería de datos criptográficas.
  2. Shellcode, que es un pequeño fragmento de código que se usa normalmente como carga útil para aprovechar una vulnerabilidad de software.
  3. Ejecutable malintencionado insertado en la memoria del proceso.

Tácticas de MITRE: Evasión de defensa, Ejecución

Gravedad: media

Se detectó un software de alto riesgo.

Descripción: el análisis de datos de host de %{Compromised Host} detectó el uso de software asociado a la instalación de malware en el pasado. Una técnica común que se emplea en la distribución de software malintencionado consiste en empaquetarlo con otras herramientas benignas, como la que se ha detectado en esta alerta. Al usar estas herramientas, el malware se puede instalar de forma silenciosa en segundo plano.

Tácticas de MITRE: -

Gravedad: media

Se enumeraron miembros del grupo de administradores locales.

Descripción: los registros de la máquina indican una enumeración correcta en el grupo %{Nombre de dominio del grupo enumerado}%{Nombre de grupo enumerado}. En concreto, el elemento %{Enumerating User Domain Name}%{Enumerating User Name} enumeraba de forma remota los miembros del grupo %{Enumerated Group Domain Name}%{Enumerated Group Name}. Esta actividad puede ser una actividad legítima o puede indicar que una máquina de la organización se ha puesto en peligro y se ha usado para el reconocimiento de la máquina virtual %{vmname}.

Tácticas de MITRE: -

Gravedad: informativo

El implante del servidor ZINC creó una regla de firewall malintencionada [Se detectó varias veces].

Descripción: se creó una regla de firewall mediante técnicas que coinciden con un actor conocido, ZINC. Es posible que la regla se usara para abrir un puerto en el host %{Compromised Host} a fin de permitir las comunicaciones del comando y control. Este comportamiento se ha detectado [x] veces en la actualidad en las siguientes máquinas: [nombres de las máquinas].

Tácticas de MITRE: -

Gravedad: alta

Actividad SQL malintencionada

Descripción: los registros de la máquina indican que la cuenta ejecutó '%{nombre de proceso}': %{nombre de usuario}. Esta actividad se considera malintencionada.

Tácticas de MITRE: -

Gravedad: alta

Se consultaron varias cuentas de dominio.

Descripción: el análisis de los datos de host ha determinado que se está consultando un número inusual de cuentas de dominio distintas en un breve período de tiempo desde %{Compromised Host}. Este tipo de actividad podría ser legítimo, pero también puede ser una indicación de un riesgo.

Tácticas de MITRE: -

Gravedad: media

Se detectó un posible volcado de credenciales [Se ha detectado varias veces].

Descripción: el análisis de los datos de host ha detectado el uso de la herramienta windows nativa (por ejemplo, sqldumper.exe) que se usa de una manera que permite extraer credenciales de la memoria. A menudo, los atacantes usan estas técnicas para extraer las credenciales que posteriormente usan para el movimiento lateral y la escalación de privilegios. Este comportamiento se ha detectado [x] veces en la actualidad en las siguientes máquinas: [nombres de las máquinas].

Tácticas de MITRE: -

Gravedad: media

Se detectó un posible intento de omitir AppLocker.

Descripción: el análisis de datos de host en %{Compromised Host} detectó un posible intento de omitir restricciones de AppLocker. AppLocker se puede configurar para implementar una directiva que limite los archivos ejecutables que se pueden ejecutar en un sistema Windows. El patrón de la línea de comandos similar al identificado en esta alerta se ha asociado anteriormente con intentos por parte del atacante de eludir la directiva de AppLocker mediante el uso de archivos ejecutables de confianza (permitidos por la directiva de AppLocker) para ejecutar código que no es de confianza. Esto podría indicar una actividad legítima o que un host se encuentra en peligro.

Tácticas de MITRE: -

Gravedad: alta

Se ejecutó un grupo de servicio SVCHOST inusual.

(VM_SvcHostRunInRareServiceGroup)

Descripción: el proceso del sistema SVCHOST se observó ejecutando un grupo de servicios poco frecuente. A menudo, el malware usa SVCHOST para enmascarar su actividad malintencionada.

Tácticas de MITRE: Evasión de defensa, Ejecución

Gravedad: informativo

Se detectó un ataque de teclas especiales.

Descripción: el análisis de datos del host indica que un atacante podría estar subvirtiendo un binario de accesibilidad (por ejemplo, teclas permanentes, teclado en pantalla, narrador) para proporcionar acceso de puerta trasera al host %{Compromised Host}.

Tácticas de MITRE: -

Gravedad: media

Ataque por fuerza bruta correcto

(VM_LoginBruteForceSuccess)

Descripción: se detectaron varios intentos de inicio de sesión desde el mismo origen. Algunos se autenticaron correctamente en el host. Esto se parece a un ataque por ráfagas, en el que un atacante realiza numerosos intentos de autenticación para buscar las credenciales de cuenta válidas.

Tácticas de MITRE: Explotación

Gravedad: Media/Alta

Nivel de integridad sospechoso que indica un secuestro de RDP

Descripción: el análisis de los datos del host ha detectado el tscon.exe que se ejecuta con privilegios SYSTEM: esto puede indicar que un atacante está abusando de este binario para cambiar el contexto a cualquier otro usuario que haya iniciado sesión en este host; es una técnica de atacante conocida para poner en peligro más cuentas de usuario y moverse lateralmente a través de una red.

Tácticas de MITRE: -

Gravedad: media

Instalación sospechosa de un servicio

Descripción: el análisis de los datos del host ha detectado la instalación de tscon.exe como servicio: este binario que se inicia como servicio potencialmente permite a un atacante cambiar trivialmente a cualquier otro usuario que haya iniciado sesión en este host secuestrando las conexiones RDP; es una técnica de atacante conocida para poner en peligro más cuentas de usuario y moverse lateralmente a través de una red.

Tácticas de MITRE: -

Gravedad: media

Se observó una sospecha de parámetros de ataque golden ticket de Kerberos.

Descripción: análisis de los parámetros de línea de comandos detectados de datos de host coherentes con un ataque de Golden Ticket de Kerberos.

Tácticas de MITRE: -

Gravedad: media

Se detectó la creación de una cuenta sospechosa.

Descripción: el análisis de datos de host en %{Compromised Host} detectó la creación o el uso de una cuenta local %{Nombre de cuenta sospechoso} : este nombre de cuenta se parece mucho a un nombre de grupo o cuenta de Windows estándar '%{Similar a nombre de cuenta}'. Esto significa que es posible que se trate de una cuenta no autorizada creada por un atacante, que la denomina de esta forma a fin de evitar que la detecte un administrador humano.

Tácticas de MITRE: -

Gravedad: media

Se detectó una actividad sospechosa.

(VM_SuspiciousActivity)

Descripción: el análisis de datos de host ha detectado una secuencia de uno o varios procesos que se ejecutan en %{nombre de equipo} que históricamente se han asociado a actividades malintencionadas. Aunque los comandos individuales pueden parecer benignos, la alerta se puntua en función de una agregación de estos comandos. Esto podría indicar una actividad legítima o que un host se encuentra en peligro.

Tácticas de MITRE: Ejecución

Gravedad: media

Actividad de autenticación sospechosa

(VM_LoginBruteForceValidUserFailed)

Descripción: aunque ninguno de ellos se realizó correctamente, el host reconoció algunas de ellas cuentas usadas. Esto es parecido a un ataque por diccionario, en el que un atacante realiza numerosos intentos de autenticación mediante un diccionario de nombres y contraseñas de cuentas predefinidos a fin de encontrar credenciales válidas para acceder al host. Indica que algunos de los nombres de cuentas de su host pueden existir en un diccionario de nombres de cuentas conocido.

Tácticas de MITRE: sondeo

Gravedad: media

Se detectó un segmento de código sospechoso.

Descripción: indica que se ha asignado un segmento de código mediante métodos no estándar, como la inserción reflectante y el hueco del proceso. La alerta ofrece características adicionales del segmento de código que se han procesado para proporcionar un contexto para las funcionalidades y los comportamientos del segmento de código notificado.

Tácticas de MITRE: -

Gravedad: media

Se ejecutó un archivo de extensión doble sospechoso.

Descripción: el análisis de datos de host indica una ejecución de un proceso con una extensión doble sospechosa. Esta extensión podría engañar a los usuarios para pensar que los archivos son seguros para abrirse y podría indicar la presencia de malware en el sistema.

Tácticas de MITRE: -

Gravedad: alta

Se detectó una descarga sospechosa mediante CertUtil. [Se ha detectado varias veces].

Descripción: el análisis de datos de host en %{Compromised Host} detectó el uso de certutil.exe, una utilidad de administrador integrada, para la descarga de un archivo binario en lugar de su propósito estándar relacionado con la manipulación de certificados y datos de certificados. Se sabe que los atacantes usan la funcionalidad de herramientas de administrador legítimas para realizar acciones malintencionadas. Por ejemplo, utilizan certutil.exe para descargar y descodificar un archivo ejecutable malintencionado que se ejecutará posteriormente. Este comportamiento se ha detectado [x] veces en la actualidad en las siguientes máquinas: [nombres de las máquinas].

Tácticas de MITRE: -

Gravedad: media

Se detectó una descarga sospechosa mediante CertUtil.

Descripción: el análisis de datos de host en %{Compromised Host} detectó el uso de certutil.exe, una utilidad de administrador integrada, para la descarga de un archivo binario en lugar de su propósito estándar relacionado con la manipulación de certificados y datos de certificados. Se sabe que los atacantes usan la funcionalidad de herramientas de administrador legítimas para realizar acciones malintencionadas. Por ejemplo, utilizan certutil.exe para descargar y descodificar un archivo ejecutable malintencionado que se ejecutará posteriormente.

Tácticas de MITRE: -

Gravedad: media

Se detectó una actividad de PowerShell sospechosa.

Descripción: el análisis de los datos de host detectó un script de PowerShell que se ejecuta en %{Compromised Host} que tiene características comunes con scripts sospechosos conocidos. Este script podría indicar una actividad legítima o que un host se encuentra en peligro.

Tácticas de MITRE: -

Gravedad: alta

SE ejecutaron cmdlets de PowerShell sospechosos.

Descripción: el análisis de datos de host indica la ejecución de cmdlets conocidos malintencionados de PowerShell PowerSploit.

Tácticas de MITRE: -

Gravedad: media

Se ejecutó un proceso sospechoso. [Se ha detectado varias veces].

Descripción: los registros de la máquina indican que el proceso sospechoso: '%{Proceso sospechoso}' se estaba ejecutando en la máquina, a menudo asociado con los intentos de atacante de acceder a las credenciales. Este comportamiento se ha detectado [x] veces en la actualidad en las siguientes máquinas: [nombres de las máquinas].

Tácticas de MITRE: -

Gravedad: alta

Se ejecutó un proceso sospechoso.

Descripción: los registros de la máquina indican que el proceso sospechoso: '%{Proceso sospechoso}' se estaba ejecutando en la máquina, a menudo asociado con los intentos de atacante de acceder a las credenciales.

Tácticas de MITRE: -

Gravedad: alta

Se ejecutó un proceso con un nombre sospechoso. [Se ha detectado varias veces].

Descripción: el análisis de los datos de host en %{Compromised Host} detectó un proceso cuyo nombre es sospechoso, por ejemplo, correspondiente a una herramienta de atacante conocida o denominada de una manera que es sugerente de herramientas de atacante que intentan ocultarse a simple vista. Este proceso podría indicar una actividad legítima o que una de sus máquinas se ha puesto en peligro. Este comportamiento se ha detectado [x] veces en la actualidad en las siguientes máquinas: [nombres de las máquinas].

Tácticas de MITRE: -

Gravedad: media

Se detectó un nombre de proceso sospechoso.

Descripción: el análisis de los datos de host en %{Compromised Host} detectó un proceso cuyo nombre es sospechoso, por ejemplo, correspondiente a una herramienta de atacante conocida o denominada de una manera que es sugerente de herramientas de atacante que intentan ocultarse a simple vista. Este proceso podría indicar una actividad legítima o que una de sus máquinas se ha puesto en peligro.

Tácticas de MITRE: -

Gravedad: media

Actividad de SQL sospechosa

Descripción: los registros de la máquina indican que la cuenta ejecutó '%{nombre de proceso}': %{nombre de usuario}. Esta actividad no es habitual en esta cuenta.

Tácticas de MITRE: -

Gravedad: media

Se ejecutó el proceso SVCHOST sospechoso.

Descripción: el proceso del sistema SVCHOST se observó en ejecución en un contexto anómalo. A menudo, el malware usa SVCHOST para enmascarar su actividad malintencionada.

Tácticas de MITRE: -

Gravedad: alta

Se ejecutó un proceso del sistema sospechoso.

(VM_SystemProcessInAbnormalContext)

Descripción: se observó que el proceso del sistema %{nombre del proceso} se ejecutaba en un contexto anómalo. A menudo, el malware usa este nombre de proceso para enmascarar su actividad malintencionada.

Tácticas de MITRE: Evasión de defensa, Ejecución

Gravedad: alta

Actividad de instantánea de volumen sospechosa

Descripción: el análisis de los datos del host ha detectado una actividad de eliminación de instantáneas en el recurso. Instantáneas de volumen (VSC) es un artefacto importante que almacena instantáneas de datos. Cierto malware y, en concreto, el ransomware, dirige el VSC a las estrategias de copia de seguridad de sabotaje.

Tácticas de MITRE: -

Gravedad: alta

Se detectó un valor de registro de WindowPosition sospechoso.

Descripción: el análisis de los datos del host en %{Compromised Host} detectó un cambio de configuración del Registro WindowPosition que podría ser indicativo de ocultar ventanas de aplicación en secciones novisibles del escritorio. Esto podría indicar una actividad legítima o que una máquina se ha puesto en peligro. Este tipo de actividad se ha asociado previamente con adware conocido (o software no deseado) como Win32/OneSystemCare y Win32/SystemHealer, y malware como Win32/Creprote. Cuando el valor de WindowPosition se establece en 201329664, (hexadecimal: 0x0c00 0c00, correspondiente al eje X = 0c00 y al eje Y = 0c00), la ventana de la aplicación de consola se coloca en una sección que no es visible de la pantalla del usuario de un área que está oculta en la vista de la barra de tareas o el menú Inicio visible. El valor hexadecimal conocido incluye, pero no limitado a c000c0000.

Tácticas de MITRE: -

Gravedad: baja

Se detectó un proceso con nombre sospechoso.

Descripción: el análisis de datos de host en %{Compromised Host} detectó un proceso cuyo nombre es muy similar a pero diferente de un proceso de ejecución muy común (%{Similar al nombre del proceso}). Aunque este proceso podría ser benigno, se sabe que los atacantes a veces asignan nombres a sus herramientas malintencionadas para que se parezcan a otros del proceso legítimo y no se puedan detectar a simple vista.

Tácticas de MITRE: -

Gravedad: media

Restablecimiento de configuración inusual en la máquina virtual

(VM_VMAccessUnusualConfigReset)

Descripción: se detectó un restablecimiento de configuración inusual en la máquina virtual mediante el análisis de las operaciones de Azure Resource Manager en la suscripción. Aunque esta acción puede ser legítima, los atacantes pueden intentar usar la extensión de acceso a la máquina virtual para restablecer la configuración en la máquina virtual y ponerla en peligro.

Tácticas de MITRE: Acceso a credenciales

Gravedad: media

Se detectó una ejecución de procesos poco frecuente.

Descripción: el análisis de datos de host en %{Compromised Host} detectó la ejecución de un proceso por %{Nombre de usuario} que era inusual. Las cuentas como %{Nombre de usuario} tienden a realizar un conjunto limitado de operaciones, esta ejecución se determinó que estaba fuera de carácter y podría ser sospechosa.

Tácticas de MITRE: -

Gravedad: alta

Restablecimiento de contraseña de usuario inusual en la máquina virtual

(VM_VMAccessUnusualPasswordReset)

Descripción: se detectó un restablecimiento de contraseña de usuario inusual en la máquina virtual mediante el análisis de las operaciones de Azure Resource Manager en la suscripción. Aunque esta acción puede ser legítima, los atacantes pueden intentar usar la extensión de acceso a la máquina virtual para restablecer las credenciales de un usuario local en la máquina virtual y ponerla en peligro.

Tácticas de MITRE: Acceso a credenciales

Gravedad: media

Restablecimiento de clave SSH de usuario inusual en la máquina virtual

(VM_VMAccessUnusualSSHReset)

Descripción: se detectó un restablecimiento de clave SSH de usuario inusual en la máquina virtual mediante el análisis de las operaciones de Azure Resource Manager en la suscripción. Aunque esta acción puede ser legítima, los atacantes pueden intentar usar la extensión de acceso a la máquina virtual para restablecer la clave SSH de una cuenta de usuario en la máquina virtual y ponerla en peligro.

Tácticas de MITRE: Acceso a credenciales

Gravedad: media

Se detectó la asignación de un objeto HTTP de VBScript.

Descripción: se ha detectado la creación de un archivo VBScript mediante el símbolo del sistema. El siguiente script contiene el comando de asignación de objetos HTTP. Esta acción se puede usar para descargar archivos malintencionados.

Instalación sospechosa de una extensión de GPU en su máquina virtual (versión preliminar)

(VM_GPUDriverExtensionUnusualExecution)

Descripción: se detectó una instalación sospechosa de una extensión de GPU en la máquina virtual mediante el análisis de las operaciones de Azure Resource Manager en la suscripción. Los atacantes podrían utilizar la extensión de controlador de GPU para instalar controladores de GPU en su máquina virtual a través del Azure Resource Manager para realizar cryptojacking.

Tácticas de MITRE: Impacto

Gravedad: baja

Alertas de máquinas Linux

El plan 2 de Microsoft Defender para servidores proporciona detecciones y alertas únicas, además de las que proporciona Microsoft Defender para punto de conexión. Las alertas proporcionadas para las máquinas Linux son:

Más detalles y notas

Se ha borrado un archivo del historial

Descripción: el análisis de datos de host indica que se ha borrado el archivo de registro del historial de comandos. Los atacantes podrían hacerlo para cubrir sus seguimientos. El usuario "%{user name}" realizó la operación.

Tácticas de MITRE: -

Gravedad: media

Se auditó la infracción de la directiva de control de aplicaciones adaptable

(VM_AdaptiveApplicationControlLinuxViolationAudited)

Descripción: los siguientes usuarios ejecutaron aplicaciones que infringen la directiva de control de aplicaciones de su organización en esta máquina. Posiblemente puede exponer la máquina a malware o vulnerabilidades de aplicaciones.

Tácticas de MITRE: Ejecución

Gravedad: informativo

Exclusión amplia de archivos antimalware en la máquina virtual

(VM_AmBroadFilesExclusion)

Descripción: se detectó la exclusión de archivos de la extensión antimalware con una regla de exclusión amplia en la máquina virtual mediante el análisis de las operaciones de Azure Resource Manager en la suscripción. Esta exclusión deshabilita prácticamente la protección antimalware. Los atacantes podrían excluir archivos del análisis antimalware en la máquina virtual para evitar la detección mientras ejecutan código arbitrario o infectan la máquina con malware.

Tácticas de MITRE: -

Gravedad: media

Antimalware deshabilitado y ejecución de código en la máquina virtual

(VM_AmDisablementAndCodeExecution)

Descripción: Antimalware deshabilitado al mismo tiempo que la ejecución de código en la máquina virtual. Esto se ha detectado al analizar las operaciones de Azure Resource Manager de su suscripción. Los atacantes deshabilitan los escáneres antimalware para evitar la detección mientras ejecutan herramientas no autorizadas o infectan la máquina con malware.

Tácticas de MITRE: -

Gravedad: alta

Antimalware deshabilitado en la máquina virtual

(VM_AmDisablement)

Descripción: Antimalware deshabilitado en la máquina virtual. Esto se ha detectado al analizar las operaciones de Azure Resource Manager de su suscripción. Los atacantes podrían deshabilitar el antimalware en la máquina virtual para evitar la detección.

Tácticas de MITRE: Evasión de defensa

Gravedad: media

Exclusión de archivos antimalware y ejecución de código en la máquina virtual

(VM_AmFileExclusionAndCodeExecution)

Descripción: archivo excluido del analizador antimalware al mismo tiempo que el código se ejecutó a través de una extensión de script personalizado en la máquina virtual. Esto se ha detectado al analizar las operaciones de Azure Resource Manager de su suscripción. Los atacantes podrían excluir archivos del análisis antimalware en la máquina virtual para evitar la detección mientras ejecutan herramientas no autorizadas o infectan la máquina con malware.

Tácticas de MITRE: Evasión de defensa, Ejecución

Gravedad: alta

Exclusión de archivos antimalware y ejecución de código en la máquina virtual

(VM_AmTempFileExclusionAndCodeExecution)

Descripción: se detectó la exclusión temporal de archivos de la extensión antimalware en paralelo a la ejecución del código a través de la extensión de script personalizada en la máquina virtual mediante el análisis de las operaciones de Azure Resource Manager en la suscripción. Los atacantes podrían excluir archivos del análisis antimalware en la máquina virtual para evitar la detección mientras ejecutan código arbitrario o infectan la máquina con malware.

Tácticas de MITRE: Evasión de defensa, Ejecución

Gravedad: alta

Exclusión de archivos antimalware en la máquina virtual

(VM_AmTempFileExclusion)

Descripción: archivo excluido del analizador antimalware en la máquina virtual. Esto se ha detectado al analizar las operaciones de Azure Resource Manager de su suscripción. Los atacantes podrían excluir archivos del análisis antimalware en la máquina virtual para evitar la detección mientras ejecutan herramientas no autorizadas o infectan la máquina con malware.

Tácticas de MITRE: Evasión de defensa

Gravedad: media

Protección antimalware en tiempo real deshabilitada en la máquina virtual

(VM_AmRealtimeProtectionDisabled)

Descripción: la deshabilitación de la protección en tiempo real de la extensión antimalware se detectó en la máquina virtual mediante el análisis de las operaciones de Azure Resource Manager en la suscripción. Los atacantes podrían deshabilitar la protección en tiempo real del análisis antimalware en la máquina virtual para evitar la detección mientras ejecutan código arbitrario o infectan la máquina con malware.

Tácticas de MITRE: Evasión de defensa

Gravedad: media

Protección antimalware en tiempo real deshabilitada temporalmente en la máquina virtual

(VM_AmTempRealtimeProtectionDisablement)

Descripción: la deshabilitación temporal de protección en tiempo real de la extensión antimalware se detectó en la máquina virtual mediante el análisis de las operaciones de Azure Resource Manager en la suscripción. Los atacantes podrían deshabilitar la protección en tiempo real del análisis antimalware en la máquina virtual para evitar la detección mientras ejecutan código arbitrario o infectan la máquina con malware.

Tácticas de MITRE: Evasión de defensa

Gravedad: media

Protección antimalware en tiempo real deshabilitada temporalmente mientras se ejecuta código en la máquina virtual

(VM_AmRealtimeProtectionDisablementAndCodeExec)

Descripción: la deshabilitación temporal de protección en tiempo real de la extensión antimalware en paralelo a la ejecución de código a través de la extensión de script personalizada se detectó en la máquina virtual mediante el análisis de las operaciones de Azure Resource Manager en la suscripción. Los atacantes podrían deshabilitar la protección en tiempo real del análisis antimalware en la máquina virtual para evitar la detección mientras ejecutan código arbitrario o infectan la máquina con malware.

Tácticas de MITRE: -

Gravedad: alta

(VM_AmMalwareCampaignRelatedExclusion)

Descripción: se detectó una regla de exclusión en la máquina virtual para evitar que la extensión antimalware examinara determinados archivos sospechosos de estar relacionados con una campaña de malware. La regla se ha detectado al analizar las operaciones de Azure Resource Manager de su suscripción. Los atacantes podrían excluir archivos de análisis antimalware para evitar la detección mientras ejecutan código arbitrario o infectan la máquina con malware.

Tácticas de MITRE: Evasión de defensa

Gravedad: media

Antimalware deshabilitado temporalmente en la máquina virtual

(VM_AmTemporarilyDisablement)

Descripción: Antimalware deshabilitado temporalmente en la máquina virtual. Esto se ha detectado al analizar las operaciones de Azure Resource Manager de su suscripción. Los atacantes podrían deshabilitar el antimalware en la máquina virtual para evitar la detección.

Tácticas de MITRE: -

Gravedad: media

Exclusión de archivos antimalware inusual en la máquina virtual

(VM_UnusualAmFileExclusion)

Descripción: se detectó una exclusión inusual de archivos de la extensión antimalware en la máquina virtual mediante el análisis de las operaciones de Azure Resource Manager en la suscripción. Los atacantes podrían excluir archivos del análisis antimalware en la máquina virtual para evitar la detección mientras ejecutan código arbitrario o infectan la máquina con malware.

Tácticas de MITRE: Evasión de defensa

Gravedad: media

Se detectó un comportamiento similar al del ransomware. [Se ha detectado varias veces].

Descripción: El análisis de datos de host en %{Compromised Host} detectó la ejecución de archivos que tienen similitud con el ransomware conocido que puede impedir que los usuarios accedan a sus archivos personales o del sistema, y exigen el pago de rescate para recuperar el acceso. Este comportamiento se ha detectado [x] veces en la actualidad en las siguientes máquinas: [nombres de las máquinas].

Tácticas de MITRE: -

Gravedad: alta

Comunicación con un dominio sospechoso identificado por inteligencia sobre amenazas

(AzureDNS_ThreatIntelSuspectDomain)

Descripción: la comunicación con un dominio sospechoso se detectó mediante el análisis de transacciones DNS desde el recurso y la comparación con dominios malintencionados conocidos identificados por fuentes de inteligencia sobre amenazas. A menudo, los atacantes realizan comunicación con dominios malintencionados y pueden implicar que el recurso se ve comprometido.

Tácticas de MITRE: acceso inicial, persistencia, ejecución, comando y control, explotación

Gravedad: media

Se ha detectado un contenedor con la imagen de un extractor

(VM_MinerInContainerImage)

Descripción: los registros de la máquina indican la ejecución de un contenedor de Docker que ejecuta una imagen asociada a una minería de moneda digital.

Tácticas de MITRE: Ejecución

Gravedad: alta

Se detectó una combinación anómala de caracteres en mayúsculas y minúsculas en la línea de comandos.

Descripción: el análisis de datos de host en %{Compromised Host} detectó una línea de comandos con una combinación anómala de caracteres mayúsculas y minúsculas. Aunque posiblemente este tipo de patrón es benigno, también es típico de los atacantes que intentan ocultarse de la regla basada en hash o que distingue mayúsculas de minúsculas al realizar tareas administrativas en un host en peligro.

Tácticas de MITRE: -

Gravedad: media

Se detectó una descarga de archivos desde un origen malintencionado conocido.

Descripción: el análisis de los datos del host ha detectado la descarga de un archivo de un origen de malware conocido en %{Compromised Host}.

Tácticas de MITRE: -

Gravedad: media

Se detectó una actividad de red sospechosa.

Descripción: el análisis del tráfico de red de %{Compromised Host} detectó actividad de red sospechosa. Aunque posiblemente este tráfico es benigno, suele utilizarlo un atacante para comunicarse con servidores malintencionados para la descarga de herramientas, el comando y control y la filtración de datos. La actividad de atacante relacionada típica incluye la copia de herramientas de administración remota en un host en peligro y la extracción de los datos del usuario a partir de dicha copia.

Tácticas de MITRE: -

Gravedad: baja

Descripción: el análisis de datos de host en %{Compromised Host} detectó la ejecución de un proceso o comando normalmente asociado a la minería de monedas digitales.

Tácticas de MITRE: -

Gravedad: alta

Deshabilitación de los registros de auditd [se ha detectado varias veces].

Descripción: el sistema de auditoría de Linux proporciona una manera de realizar un seguimiento de la información relevante para la seguridad en el sistema. Registra tanta información como sea posible sobre los eventos que se producen en el sistema. Deshabilitar los registros de auditd puede interrumpir la detección de infracciones de las directivas de seguridad usadas en el sistema. Este comportamiento se ha detectado [x] veces en la actualidad en las siguientes máquinas: [nombres de las máquinas].

Tácticas de MITRE: -

Gravedad: baja

Aprovechamiento de la vulnerabilidad de Xorg [se ha detectado varias veces].

Descripción: el análisis de datos de host en %{Compromised Host} detectó el usuario de Xorg con argumentos sospechosos. Los atacantes pueden usar esta técnica en intentos de escalación de privilegios. Este comportamiento se ha detectado [x] veces en la actualidad en las siguientes máquinas: [nombres de las máquinas].

Tácticas de MITRE: -

Gravedad: media

Error en el ataque por fuerza bruta de SSH

(VM_SshBruteForceFailed)

Descripción: se detectaron ataques por fuerza bruta con errores de los siguientes atacantes: %{Atacantes}. Los atacantes intentaban acceder al host con los siguientes nombres de usuario: %{Accounts used on failed sign in to host attempts}.

Tácticas de MITRE: sondeo

Gravedad: media

Se detectó un comportamiento de ataque sin archivos

(VM_FilelessAttackBehavior.Linux)

Descripción: la memoria del proceso especificado a continuación contiene comportamientos que suelen usar los ataques sin archivos. Los comportamientos específicos incluyen: {list of observed behaviors}

Tácticas de MITRE: Ejecución

Gravedad: baja

Se detectó una técnica de ataque sin archivos

(VM_FilelessAttackTechnique.Linux)

Descripción: la memoria del proceso especificado a continuación contiene evidencias de una técnica de ataque sin archivos. Los atacantes usan los ataques sin archivos para ejecutar código y evitar ser detectados por el software de seguridad. Los comportamientos específicos incluyen: {list of observed behaviors}

Tácticas de MITRE: Ejecución

Gravedad: alta

Se ha detectado un kit de herramientas de ataque sin archivos

(VM_FilelessAttackToolkit.Linux)

Descripción: la memoria del proceso especificado a continuación contiene un kit de herramientas de ataques sin archivos: {ToolKitName}. Los kits de herramientas de ataque sin archivos no tienen presencia en el sistema de archivos, lo que dificulta la detección mediante el software antivirus tradicional. Los comportamientos específicos incluyen: {list of observed behaviors}

Tácticas de MITRE: Evasión de defensa, Ejecución

Gravedad: alta

Se detectó una ejecución de archivos oculta.

Descripción: el análisis de datos de host indica que %{nombre de usuario}ejecutó un archivo oculto. Esta actividad podría indicar una actividad legítima o que un host se encuentra en peligro.

Tácticas de MITRE: -

Gravedad: informativo

Se agregó una nueva clave SSH. [Se ha detectado varias veces].

(VM_SshKeyAddition)

Descripción: se agregó una nueva clave SSH al archivo de claves autorizadas. Este comportamiento se ha detectado [x] veces en la actualidad en las siguientes máquinas: [nombres de las máquinas].

Tácticas de MITRE: Persistencia

Gravedad: baja

Se agregó una nueva clave SSH.

Descripción: se agregó una nueva clave SSH al archivo de claves autorizadas.

Tácticas de MITRE: -

Gravedad: baja

Se detectó una posible puerta trasera. [Se ha detectado varias veces].

Descripción: el análisis de datos de host ha detectado que se descarga un archivo sospechoso y, a continuación, se ejecuta en %{Compromised Host} en la suscripción. Anteriormente, esta actividad se ha asociado con la instalación de una puerta trasera. Este comportamiento se ha detectado [x] veces en la actualidad en las siguientes máquinas: [nombres de las máquinas].

Tácticas de MITRE: -

Gravedad: media

Se ha detectado una posible vulnerabilidad de seguridad del servidor de correo

(VM_MailserverExploitation )

Descripción: el análisis de datos de host en %{Compromised Host} detectó una ejecución inusual en la cuenta del servidor de correo.

Tácticas de MITRE: Explotación

Gravedad: media

Se detectó un posible shell web malintencionado.

Descripción: el análisis de datos de host en %{Compromised Host} detectó un posible shell web. A menudo, los atacantes cargan un shell web en una máquina que han puesto en peligro para obtener persistencia o para conseguir un mayor aprovechamiento.

Tácticas de MITRE: -

Gravedad: media

Se detectó un posible cambio de contraseña mediante el método de cifrado. [Se ha detectado varias veces].

Descripción: el análisis de datos de host en %{Compromised Host} detectó el cambio de contraseña mediante el método crypt. Los atacantes pueden realizar este cambio para seguir accediendo y obteniendo persistencia después de la vulneración. Este comportamiento se ha detectado [x] veces en la actualidad en las siguientes máquinas: [nombres de las máquinas].

Tácticas de MITRE: -

Gravedad: media

Se detectó un proceso asociado con la minería de moneda digital. [Se ha detectado varias veces].

Descripción: el análisis de datos de host en %{Compromised Host} detectó la ejecución de un proceso normalmente asociado a la minería de monedas digitales. Este comportamiento se ha detectado más de 100 veces en la actualidad en las siguientes máquinas: [nombre de la máquina].

Tácticas de MITRE: -

Gravedad: media

Se ha detectado un proceso relacionado con la minería de datos de moneda digital

Descripción: el análisis de datos del host detectó la ejecución de un proceso que normalmente está asociado a la minería de moneda digital.

Tácticas de MITRE: Explotación, Ejecución

Gravedad: media

Se detectó una aplicación de descarga codificada con Python. [Se ha detectado varias veces].

Descripción: el análisis de datos de host en %{Compromised Host} detectó la ejecución de Python codificado que descarga y ejecuta código desde una ubicación remota. Esto puede ser una indicación de actividad malintencionada. Este comportamiento se ha detectado [x] veces en la actualidad en las siguientes máquinas: [nombres de las máquinas].

Tácticas de MITRE: -

Gravedad: baja

Captura de pantalla tomada en el host [se ha detectado varias veces].

Descripción: el análisis de datos de host en %{Compromised Host} detectó el usuario de una herramienta de captura de pantalla. Los atacantes pueden usar estas herramientas para acceder a datos privados. Este comportamiento se ha detectado [x] veces en la actualidad en las siguientes máquinas: [nombres de las máquinas].

Tácticas de MITRE: -

Gravedad: baja

Se detectó shellcode. [Se ha detectado varias veces].

Descripción: el análisis de datos de host en %{Compromised Host} detectó que el código de shell se genera desde la línea de comandos. Este proceso podría indicar una actividad legítima o que una de sus máquinas se ha puesto en peligro. Este comportamiento se ha detectado [x] veces en la actualidad en las siguientes máquinas: [nombres de las máquinas].

Tácticas de MITRE: -

Gravedad: media

Ataque por fuerza bruta de SSH correcto

(VM_SshBruteForceSuccess)

Descripción: el análisis de los datos del host ha detectado un ataque de fuerza bruta correcta. Se detectó que la IP %{Attacker source IP} realizaba varios intentos de inicio de sesión. Se realizaron inicios de sesión correctos desde esa IP con los siguientes usuarios: %{Accounts used to successfully sign in to host}. Esto significa que el host podría estar en peligro y controlado por un actor malintencionado.

Tácticas de MITRE: Explotación

Gravedad: alta

Se detectó la creación de una cuenta sospechosa.

Descripción: el análisis de datos de host en %{Compromised Host} detectó la creación o el uso de una cuenta local %{Nombre de cuenta sospechoso} : este nombre de cuenta se parece mucho a un nombre de grupo o cuenta de Windows estándar '%{Similar a nombre de cuenta}'. Esto significa que es posible que se trate de una cuenta no autorizada creada por un atacante, que la denomina de esta forma a fin de evitar que la detecte un administrador humano.

Tácticas de MITRE: -

Gravedad: media

Se detectó un módulo de kernel sospechoso. [Se ha detectado varias veces].

Descripción: el análisis de datos de host en %{Compromised Host} detectó que se cargaba un archivo de objeto compartido como módulo de kernel. Podría tratarse de una actividad legítima o de una señal de que una de las máquinas se ha puesto en peligro. Este comportamiento se ha detectado [x] veces en la actualidad en las siguientes máquinas: [nombres de las máquinas].

Tácticas de MITRE: -

Gravedad: media

Acceso a contraseñas sospechoso [se ha detectado varias veces].

Descripción: el análisis de los datos del host ha detectado acceso sospechoso a contraseñas de usuario cifradas en %{Compromised Host}. Este comportamiento se ha detectado [x] veces en la actualidad en las siguientes máquinas: [nombres de las máquinas].

Tácticas de MITRE: -

Gravedad: informativo

Acceso a contraseñas sospechoso

Descripción: el análisis de los datos del host ha detectado acceso sospechoso a contraseñas de usuario cifradas en %{Compromised Host}.

Tácticas de MITRE: -

Gravedad: informativo

Solicitud sospechosa al panel de Kubernetes

(VM_KubernetesDashboard)

Descripción: los registros de la máquina indican que se realizó una solicitud sospechosa en el panel de Kubernetes. La solicitud se envió desde un nodo Kubernetes, posiblemente desde uno de los contenedores que se ejecutan en el nodo. Aunque este comportamiento puede ser intencionado, podría indicar que el nodo ejecuta un contenedor en peligro.

Tácticas de MITRE: LateralMovement

Gravedad: media

Restablecimiento de configuración inusual en la máquina virtual

(VM_VMAccessUnusualConfigReset)

Descripción: se detectó un restablecimiento de configuración inusual en la máquina virtual mediante el análisis de las operaciones de Azure Resource Manager en la suscripción. Aunque esta acción puede ser legítima, los atacantes pueden intentar usar la extensión de acceso a la máquina virtual para restablecer la configuración en la máquina virtual y ponerla en peligro.

Tácticas de MITRE: Acceso a credenciales

Gravedad: media

Restablecimiento de contraseña de usuario inusual en la máquina virtual

(VM_VMAccessUnusualPasswordReset)

Descripción: se detectó un restablecimiento de contraseña de usuario inusual en la máquina virtual mediante el análisis de las operaciones de Azure Resource Manager en la suscripción. Aunque esta acción puede ser legítima, los atacantes pueden intentar usar la extensión de acceso a la máquina virtual para restablecer las credenciales de un usuario local en la máquina virtual y ponerla en peligro.

Tácticas de MITRE: Acceso a credenciales

Gravedad: media

Restablecimiento de clave SSH de usuario inusual en la máquina virtual

(VM_VMAccessUnusualSSHReset)

Descripción: se detectó un restablecimiento de clave SSH de usuario inusual en la máquina virtual mediante el análisis de las operaciones de Azure Resource Manager en la suscripción. Aunque esta acción puede ser legítima, los atacantes pueden intentar usar la extensión de acceso a la máquina virtual para restablecer la clave SSH de una cuenta de usuario en la máquina virtual y ponerla en peligro.

Tácticas de MITRE: Acceso a credenciales

Gravedad: media

Instalación sospechosa de una extensión de GPU en su máquina virtual (versión preliminar)

(VM_GPUDriverExtensionUnusualExecution)

Descripción: se detectó una instalación sospechosa de una extensión de GPU en la máquina virtual mediante el análisis de las operaciones de Azure Resource Manager en la suscripción. Los atacantes podrían utilizar la extensión de controlador de GPU para instalar controladores de GPU en su máquina virtual a través del Azure Resource Manager para realizar cryptojacking.

Tácticas de MITRE: Impacto

Gravedad: baja

Alertas de DNS

Importante

A partir del 1 de agosto, los clientes con una suscripción existente a Defender para DNS pueden seguir usando el servicio, pero los nuevos suscriptores recibirán alertas sobre la actividad DNS sospechosa como parte de Defender para servidores P2.

Más detalles y notas

Uso de protocolo de red anómalo

(AzureDNS_ProtocolAnomaly)

Descripción: el análisis de transacciones DNS de %{CompromisedEntity} detectó un uso anómalo del protocolo. Este tráfico, aunque posiblemente benigno, podría indicar el abuso de este protocolo común para omitir el filtrado del tráfico de red. La actividad de atacante relacionada típica incluye la copia de herramientas de administración remota en un host en peligro y la extracción de los datos del usuario a partir de dicha copia.

Tácticas de MITRE: Filtración

Gravedad: -

Actividad de red de anonimato

(AzureDNS_DarkWeb)

Descripción: el análisis de transacciones DNS de %{CompromisedEntity} detectó actividad de red de anonimato. Esta actividad, aunque posiblemente sea un comportamiento legítimo del usuario, suele ser utilizada por los atacantes para eludir el seguimiento y la huella digital de las comunicaciones de red. Entre las actividades típicas de los atacantes suelen incluirse la descarga y la ejecución de software malintencionado o herramientas de administración remota.

Tácticas de MITRE: Filtración

Gravedad: baja

Actividad de red de anonimato mediante proxy web

(AzureDNS_DarkWebProxy)

Descripción: el análisis de transacciones DNS de %{CompromisedEntity} detectó actividad de red de anonimato. Esta actividad, aunque posiblemente sea un comportamiento legítimo del usuario, suele ser utilizada por los atacantes para eludir el seguimiento y la huella digital de las comunicaciones de red. Entre las actividades típicas de los atacantes suelen incluirse la descarga y la ejecución de software malintencionado o herramientas de administración remota.

Tácticas de MITRE: Filtración

Gravedad: baja

Intento de comunicación con dominio de sinkhole sospechoso

(AzureDNS_SinkholedDomain)

Descripción: se detectó un análisis de transacciones DNS de %{CompromisedEntity} para el dominio receptor. Esta actividad, aunque posiblemente se trate de un comportamiento legítimo del usuario, a menudo indica la descarga o ejecución de software malintencionado. Entre las actividades típicas de los atacantes suelen incluirse la descarga y la ejecución de software malintencionado o herramientas de administración remota adicionales.

Tácticas de MITRE: Filtración

Gravedad: media

Comunicación con posible dominio de suplantación de identidad

(AzureDNS_PhishingDomain)

Descripción: el análisis de transacciones DNS de %{CompromisedEntity} detectó una solicitud para un posible dominio de suplantación de identidad (phishing). Esta actividad, aunque posiblemente benigna, suele ser realizada por los atacantes para obtener credenciales en servicios remotos. Entre las actividades típicas de los atacantes suele incluirse la explotación de credenciales en el servicio legítimo.

Tácticas de MITRE: Filtración

Gravedad: informativo

Comunicación con un dominio generado por algoritmo sospechoso

(AzureDNS_DomainGenerationAlgorithm)

Descripción: el análisis de transacciones DNS de %{CompromisedEntity} detectó el posible uso de un algoritmo de generación de dominio. Esta actividad, aunque posiblemente benigna, suelen realizarla los atacantes para eludir la supervisión y el filtrado de red. Entre las actividades típicas de los atacantes suelen incluirse la descarga y la ejecución de software malintencionado o herramientas de administración remota.

Tácticas de MITRE: Filtración

Gravedad: informativo

Comunicación con un dominio sospechoso identificado por inteligencia sobre amenazas

(AzureDNS_ThreatIntelSuspectDomain)

Descripción: la comunicación con un dominio sospechoso se detectó mediante el análisis de transacciones DNS desde el recurso y la comparación con dominios malintencionados conocidos identificados por fuentes de inteligencia sobre amenazas. A menudo, los atacantes realizan comunicación con dominios malintencionados y pueden implicar que el recurso se ve comprometido.

Tácticas de MITRE: acceso inicial

Gravedad: media

Comunicación con un nombre de dominio aleatorio sospechoso

(AzureDNS_RandomizedDomain)

Descripción: el análisis de transacciones DNS de %{CompromisedEntity} detectó el uso de un nombre de dominio generado aleatoriamente sospechoso. Esta actividad, aunque posiblemente benigna, suelen realizarla los atacantes para eludir la supervisión y el filtrado de red. Entre las actividades típicas de los atacantes suelen incluirse la descarga y la ejecución de software malintencionado o herramientas de administración remota.

Tácticas de MITRE: Filtración

Gravedad: informativo

Actividad de minería de datos de moneda digital

(AzureDNS_CurrencyMining)

Descripción: el análisis de transacciones DNS de %{CompromisedEntity} detectó actividad de minería de moneda digital. Esta actividad, aunque posiblemente se trate de un comportamiento legítimo del usuario, suelen realizarla los atacantes tras poner en peligro los recursos. Entre las actividades típicas de los atacantes suelen incluirse la descarga y la ejecución de herramientas de minería de datos comunes.

Tácticas de MITRE: Filtración

Gravedad: baja

Activación de la firma de detección de intrusiones de red

(AzureDNS_SuspiciousDomain)

Descripción: el análisis de transacciones DNS de %{CompromisedEntity} detectó una firma de red malintencionada conocida. Esta actividad, aunque posiblemente se trate de un comportamiento legítimo del usuario, a menudo indica la descarga o ejecución de software malintencionado. Entre las actividades típicas de los atacantes suelen incluirse la descarga y la ejecución de software malintencionado o herramientas de administración remota adicionales.

Tácticas de MITRE: Filtración

Gravedad: media

Posible descarga de datos a través de un túnel DNS

(AzureDNS_DataInfiltration)

Descripción: el análisis de transacciones DNS de %{CompromisedEntity} detectó un posible túnel DNS. Esta actividad, aunque posiblemente se trate de un comportamiento legítimo del usuario, suelen realizarla los atacantes para eludir la supervisión y el filtrado de red. Entre las actividades típicas de los atacantes suelen incluirse la descarga y la ejecución de software malintencionado o herramientas de administración remota.

Tácticas de MITRE: Filtración

Gravedad: baja

Posible filtración de datos a través de un túnel DNS

(AzureDNS_DataExfiltration)

Descripción: el análisis de transacciones DNS de %{CompromisedEntity} detectó un posible túnel DNS. Esta actividad, aunque posiblemente se trate de un comportamiento legítimo del usuario, suelen realizarla los atacantes para eludir la supervisión y el filtrado de red. Entre las actividades típicas de los atacantes suelen incluirse la descarga y la ejecución de software malintencionado o herramientas de administración remota.

Tácticas de MITRE: Filtración

Gravedad: baja

Posible transferencia de datos a través de un túnel DNS

(AzureDNS_DataObfuscation)

Descripción: el análisis de transacciones DNS de %{CompromisedEntity} detectó un posible túnel DNS. Esta actividad, aunque posiblemente se trate de un comportamiento legítimo del usuario, suelen realizarla los atacantes para eludir la supervisión y el filtrado de red. Entre las actividades típicas de los atacantes suelen incluirse la descarga y la ejecución de software malintencionado o herramientas de administración remota.

Tácticas de MITRE: Filtración

Gravedad: baja

Alertas de extensiones de máquina virtual de Azure

Estas alertas se centran en detectar actividades sospechosas de extensiones de máquina virtual de Azure y proporcionan información sobre los intentos de los atacantes de poner en peligro y realizar actividades malintencionadas en las máquinas virtuales.

Las extensiones de máquina virtual de Azure son pequeñas aplicaciones que se ejecutan después de la implementación en máquinas virtuales y proporcionan funcionalidades de configuración, automatización, supervisión, seguridad, etc. Aunque las extensiones son una herramienta eficaz, los actores de amenazas pueden usarlas con fines malintencionados :

  • Supervisión y recopilación de datos

  • Implementación de configuración y ejecución de código con privilegios elevados

  • Restablecimiento de credenciales y creación de usuarios administrativos

  • Cifrado de discos

Obtenga más información sobre las protecciones más recientes de Defender for Cloud contra el abuso de extensiones de máquina virtual de Azure.

Error sospechoso al instalar la extensión de GPU en la suscripción (versión preliminar)

(VM_GPUExtensionSuspiciousFailure)

Descripción: intención sospechosa de instalar una extensión de GPU en máquinas virtuales no admitidas. Esta extensión debe instalarse en máquinas virtuales equipadas con un procesador gráfico y, en este caso, las máquinas virtuales no están equipadas con este. Estos errores se pueden ver cuando los adversarios malintencionados ejecutan varias instalaciones de dicha extensión con fines criptográficos.

Tácticas de MITRE: Impacto

Gravedad: media

Se detectó una instalación sospechosa de una extensión de GPU en su máquina virtual (versión preliminar)

(VM_GPUDriverExtensionUnusualExecution)

Descripción: se detectó una instalación sospechosa de una extensión de GPU en la máquina virtual mediante el análisis de las operaciones de Azure Resource Manager en la suscripción. Los atacantes podrían utilizar la extensión de controlador de GPU para instalar controladores de GPU en su máquina virtual a través del Azure Resource Manager para realizar cryptojacking. Esta actividad se considera sospechosa, ya que el comportamiento de la entidad de seguridad sale de sus patrones habituales.

Tácticas de MITRE: Impacto

Gravedad: baja

Se detectó una instancia de Ejecutar comando con un script sospechoso en la máquina virtual (versión preliminar)

(VM_RunCommandSuspiciousScript)

Descripción: se detectó un comando de ejecución con un script sospechoso en la máquina virtual mediante el análisis de las operaciones de Azure Resource Manager en la suscripción. Los atacantes podrían usar Ejecutar comando para ejecutar código malintencionado con privilegios elevados en la máquina virtual mediante Azure Resource Manager. El script se considera sospechoso, ya que ciertas partes se han identificado como potencialmente malintencionadas.

Tácticas de MITRE: Ejecución

Gravedad: alta

Se detectó un uso sospechoso de Ejecutar comando no autorizado en la máquina virtual (versión preliminar)

(VM_RunCommandSuspiciousFailure)

Descripción: Se ha producido un error en el uso no autorizado sospechoso del comando de ejecución y se detectó en la máquina virtual mediante el análisis de las operaciones de Azure Resource Manager en la suscripción. Los atacantes podrían intentar usar Ejecutar comando para ejecutar código malintencionado con privilegios elevados en la máquina virtual mediante Azure Resource Manager. Esta actividad se considera sospechosa, ya que normalmente no se ha visto antes.

Tácticas de MITRE: Ejecución

Gravedad: media

Se detectó un uso sospechoso de Ejecutar comando en la máquina virtual (versión preliminar)

(VM_RunCommandSuspiciousUsage)

Descripción: se detectó un uso sospechoso del comando de ejecución en la máquina virtual mediante el análisis de las operaciones de Azure Resource Manager en la suscripción. Los atacantes podrían usar Ejecutar comando para ejecutar código malintencionado con privilegios elevados en las máquinas virtuales mediante Azure Resource Manager. Esta actividad se considera sospechosa, ya que normalmente no se ha visto antes.

Tácticas de MITRE: Ejecución

Gravedad: baja

Se detectó un uso sospechoso de varias extensiones de recopilación de datos o supervisión en las máquinas virtuales (versión preliminar)

(VM_SuspiciousMultiExtensionUsage)

Descripción: se detectó un uso sospechoso de varias extensiones de supervisión o recopilación de datos en las máquinas virtuales mediante el análisis de las operaciones de Azure Resource Manager en la suscripción. Los atacantes podrían abusar de estas extensiones para la recopilación de datos, la supervisión del tráfico de red, etc., en la suscripción. Este uso se considera sospechoso, ya que normalmente no se ha visto antes.

Tácticas de MITRE: Reconocimiento

Gravedad: media

Se detectó una instalación sospechosa de extensiones de cifrado de disco en las máquinas virtuales (versión preliminar)

(VM_DiskEncryptionSuspiciousUsage)

Descripción: se detectó una instalación sospechosa de extensiones de cifrado de disco en las máquinas virtuales mediante el análisis de las operaciones de Azure Resource Manager en la suscripción. Los atacantes podrían abusar de la extensión de cifrado de disco para implementar cifrados de disco completos en las máquinas virtuales a través de Azure Resource Manager en un intento de realizar actividad ransomware. Esta actividad se considera sospechosa, ya que no se ha visto normalmente antes y debido al alto número de instalaciones de extensiones.

Tácticas de MITRE: Impacto

Gravedad: media

Se detectó un uso sospechoso de la extensión VMAccess en las máquinas virtuales (versión preliminar)

(VM_VMAccessSuspiciousUsage)

Descripción: se detectó un uso sospechoso de la extensión VMAccess en las máquinas virtuales. Los atacantes podrían abusar de la extensión VMAccess para obtener acceso y poner en peligro las máquinas virtuales con privilegios elevados mediante el restablecimiento del acceso o la administración de usuarios administrativos. Esta actividad se considera sospechosa, ya que el comportamiento de la entidad de seguridad sale de sus patrones habituales y debido al gran número de instalaciones de extensiones.

Tácticas de MITRE: Persistencia

Gravedad: media

Se detectó una extensión Desired State Configuration (DSC) con un script sospechoso en la máquina virtual (versión preliminar)

(VM_DSCExtensionSuspiciousScript)

Descripción: la extensión Desired State Configuration (DSC) con un script sospechoso se detectó en la máquina virtual mediante el análisis de las operaciones de Azure Resource Manager en la suscripción. Los atacantes podrían usar la extensión Desired State Configuration (DSC) para implementar configuraciones malintencionadas, como mecanismos de persistencia, scripts malintencionados, etc., con privilegios elevados, en las máquinas virtuales. El script se considera sospechoso, ya que ciertas partes se han identificado como potencialmente malintencionadas.

Tácticas de MITRE: Ejecución

Gravedad: alta

Se detectó un uso sospechoso de una extensión Desired State Configuration (DSC) en las máquinas virtuales (versión preliminar)

(VM_DSCExtensionSuspiciousUsage)

Descripción: se detectó un uso sospechoso de una extensión Desired State Configuration (DSC) en las máquinas virtuales mediante el análisis de las operaciones de Azure Resource Manager en la suscripción. Los atacantes podrían usar la extensión Desired State Configuration (DSC) para implementar configuraciones malintencionadas, como mecanismos de persistencia, scripts malintencionados, etc., con privilegios elevados, en las máquinas virtuales. Esta actividad se considera sospechosa, ya que el comportamiento de la entidad de seguridad sale de sus patrones habituales y debido al gran número de instalaciones de extensiones.

Tácticas de MITRE: Ejecución

Gravedad: baja

Se detectó una extensión de script personalizado con un script sospechoso en la máquina virtual (versión preliminar)

(VM_CustomScriptExtensionSuspiciousCmd)

Descripción: se detectó una extensión de script personalizada con un script sospechoso en la máquina virtual mediante el análisis de las operaciones de Azure Resource Manager en la suscripción. Los atacantes podrían usar la extensión de Script personalizado para ejecutar un código malintencionado con permisos elevados en la máquina virtual mediante Azure Resource Manager. El script se considera sospechoso, ya que ciertas partes se han identificado como potencialmente malintencionadas.

Tácticas de MITRE: Ejecución

Gravedad: alta

Error de ejecución sospechoso de extensión de script personalizado en la máquina virtual

(VM_CustomScriptExtensionSuspiciousFailure)

Descripción: se detectó un error sospechoso de una extensión de script personalizado en la máquina virtual mediante el análisis de las operaciones de Azure Resource Manager en la suscripción. Estos errores pueden estar asociados a scripts malintencionados ejecutados por esta extensión.

Tácticas de MITRE: Ejecución

Gravedad: media

Eliminación inusual de extensión de script personalizado en la máquina virtual

(VM_CustomScriptExtensionUnusualDeletion)

Descripción: se detectó una eliminación inusual de una extensión de script personalizada en la máquina virtual mediante el análisis de las operaciones de Azure Resource Manager en la suscripción. Los atacantes pueden usar extensiones de script personalizadas para ejecutar código malintencionado en las máquinas virtuales a través de Azure Resource Manager.

Tácticas de MITRE: Ejecución

Gravedad: media

Ejecución inusual de extensión de script personalizado en la máquina virtual

(VM_CustomScriptExtensionUnusualExecution)

Descripción: se detectó una ejecución inusual de una extensión de script personalizada en la máquina virtual mediante el análisis de las operaciones de Azure Resource Manager en la suscripción. Los atacantes pueden usar extensiones de script personalizadas para ejecutar código malintencionado en las máquinas virtuales a través de Azure Resource Manager.

Tácticas de MITRE: Ejecución

Gravedad: media

Extensión de script personalizado con un punto de entrada sospechoso en la máquina virtual

(VM_CustomScriptExtensionSuspiciousEntryPoint)

Descripción: se detectó una extensión de script personalizada con un punto de entrada sospechoso en la máquina virtual mediante el análisis de las operaciones de Azure Resource Manager en la suscripción. El punto de entrada hace referencia a un repositorio de GitHub sospechoso. Los atacantes pueden usar extensiones de script personalizadas para ejecutar código malintencionado en las máquinas virtuales a través de Azure Resource Manager.

Tácticas de MITRE: Ejecución

Gravedad: media

Extensión de script personalizado con una carga útil sospechosa en la máquina virtual

(VM_CustomScriptExtensionSuspiciousPayload)

Descripción: la extensión de script personalizado con una carga de un repositorio sospechoso de GitHub se detectó en la máquina virtual mediante el análisis de las operaciones de Azure Resource Manager en la suscripción. Los atacantes pueden usar extensiones de script personalizadas para ejecutar código malintencionado en las máquinas virtuales a través de Azure Resource Manager.

Tácticas de MITRE: Ejecución

Gravedad: media

Alertas de Azure App Service

Más detalles y notas

Intento de ejecución de comandos de Linux en una instancia de App Service de Windows

(AppServices_LinuxCommandOnWindows)

Descripción: el análisis de los procesos de App Service detectó un intento de ejecutar un comando de Linux en un servicio de aplicaciones de Windows. La aplicación web estaba ejecutando esta acción. Este comportamiento se ve a menudo en campañas que aprovechan una vulnerabilidad en una aplicación web común (se aplica a: App Service en Windows)

Tácticas de MITRE: -

Gravedad: media

Se ha encontrado en Información sobre amenazas una dirección IP que se ha conectado a la interfaz de FTP de Azure App Service

(AppServices_IncomingTiClientIpFtp)

Descripción: App de Azure registro FTP del servicio indica una conexión desde una dirección de origen que se encontró en la fuente de inteligencia sobre amenazas. Durante esta conexión, un usuario ha accedido a las páginas que aquí se indican. (se aplica a: App Service en Windows y App Service en Linux)

Tácticas de MITRE: acceso inicial

Gravedad: media

Intento de ejecución de comando con privilegios elevados detectado

(AppServices_HighPrivilegeCommand)

Descripción: el análisis de los procesos de App Service detectó un intento de ejecutar un comando que requiere privilegios elevados. El comando se ejecutó en el contexto de la aplicación web. Aunque este comportamiento puede ser legítimo, en aplicaciones web también se observa en actividades malintencionadas. (se aplica a: App Service en Windows)

Tácticas de MITRE: -

Gravedad: media

Comunicación con un dominio sospechoso identificado por inteligencia sobre amenazas

(AzureDNS_ThreatIntelSuspectDomain)

Descripción: la comunicación con un dominio sospechoso se detectó mediante el análisis de transacciones DNS desde el recurso y la comparación con dominios malintencionados conocidos identificados por fuentes de inteligencia sobre amenazas. A menudo, los atacantes realizan comunicación con dominios malintencionados y pueden implicar que el recurso se ve comprometido.

Tácticas de MITRE: acceso inicial, persistencia, ejecución, comando y control, explotación

Gravedad: media

Conexión a página web desde una dirección IP anómala detectada

(AppServices_AnomalousPageAccess)

Descripción: App de Azure registro de actividad del servicio indica una conexión anómala a una página web confidencial desde la dirección IP de origen indicada. Esto podría indicar que alguien está intentando realizar un ataque por fuerza bruta en las páginas de administración de la aplicación web. También puede deberse a que un usuario legítimo esté utilizando una nueva dirección IP. Si la dirección IP de origen es de confianza, puede suprimir de forma segura esta alerta para este recurso. Para obtener información sobre cómo suprimir las alertas de seguridad, consulte Supresión de alertas de Microsoft Defender for Cloud. (se aplica a: App Service en Windows y App Service en Linux)

Tácticas de MITRE: acceso inicial

Gravedad: baja

Registro de DNS pendiente para un recurso de App Service detectado

(AppServices_DanglingDomain)

Descripción: se ha detectado un registro DNS que apunta a un recurso de App Service eliminado recientemente (también conocido como entrada "DNS pendiente". Esto permite que puedan realizar una adquisición de un subdominio. Las adquisiciones de subdominios permiten a los actores malintencionados redirigir el tráfico destinado al dominio de una organización a un sitio que realiza una actividad malintencionada. (se aplica a: App Service en Windows y App Service en Linux)

Tácticas de MITRE: -

Gravedad: alta

Se detectó un archivo ejecutable codificado en los datos de la línea de comandos.

(AppServices_Base64EncodedExecutableInCommandLineParams)

Descripción: el análisis de datos de host en {Compromised host} detectó un ejecutable codificado en base 64. Esto se ha asociado previamente con atacantes que intentan crear archivos ejecutables sobre la marcha mediante una secuencia de comandos e intentan eludir los sistemas de detección de intrusiones al asegurarse de que ningún comando individual desencadena una alerta. Esto podría indicar una actividad legítima o que un host se encuentra en peligro. (se aplica a: App Service en Windows)

Tácticas de MITRE: Evasión de defensa, Ejecución

Gravedad: alta

Se detectó una descarga de archivos desde un origen malintencionado conocido.

(AppServices_SuspectDownload)

Descripción: el análisis de los datos del host ha detectado la descarga de un archivo de un origen de malware conocido en el host. (se aplica a: App Service en Linux)

Tácticas de MITRE: Elevación de privilegios, Ejecución, Filtración, Comando y Control

Gravedad: media

Se detectó una descarga de archivos sospechosa.

(AppServices_SuspectDownloadArtifacts)

Descripción: el análisis de los datos del host ha detectado una descarga sospechosa del archivo remoto. (se aplica a: App Service en Linux)

Tácticas de MITRE: Persistencia

Gravedad: media

(AppServices_DigitalCurrencyMining)

Descripción: el análisis de datos de host en Inn-Flow-WebJobs detectó la ejecución de un proceso o comando normalmente asociado a la minería de moneda digital. (se aplica a: App Service en Windows y App Service en Linux)

Tácticas de MITRE: Ejecución

Gravedad: alta

Archivo ejecutable descodificado mediante certutil

(AppServices_ExecutableDecodedUsingCertutil)

Descripción: el análisis de datos de host en [Entidad en peligro] detectó que certutil.exe, una utilidad de administrador integrada, se usaba para descodificar un archivo ejecutable en lugar de su propósito estándar relacionado con la manipulación de certificados y datos de certificado. Se sabe que los atacantes abusan de la funcionalidad de herramientas de administrador legítimas para realizar acciones malintencionadas; por ejemplo, utilizan una herramienta como certutil.exe para descodificar un ejecutable malintencionado que se ejecutará posteriormente. (se aplica a: App Service en Windows)

Tácticas de MITRE: Evasión de defensa, Ejecución

Gravedad: alta

Se detectó un comportamiento de ataque sin archivos

(AppServices_FilelessAttackBehaviorDetection)

Descripción: la memoria del proceso especificado a continuación contiene comportamientos que suelen usar los ataques sin archivos. Entre los comportamientos específicos se incluyen: {lista de comportamientos observados} (se aplica a: App Service en Windows y App Service en Linux)

Tácticas de MITRE: Ejecución

Gravedad: media

Se detectó una técnica de ataque sin archivos

(AppServices_FilelessAttackTechniqueDetection)

Descripción: la memoria del proceso especificado a continuación contiene evidencias de una técnica de ataque sin archivos. Los atacantes usan los ataques sin archivos para ejecutar código y evitar ser detectados por el software de seguridad. Entre los comportamientos específicos se incluyen: {lista de comportamientos observados} (se aplica a: App Service en Windows y App Service en Linux)

Tácticas de MITRE: Ejecución

Gravedad: alta

Se ha detectado un kit de herramientas de ataque sin archivos

(AppServices_FilelessAttackToolkitDetection)

Descripción: la memoria del proceso especificado a continuación contiene un kit de herramientas de ataques sin archivos: {ToolKitName}. Los kits de herramientas de ataque sin archivos no tienen presencia en el sistema de archivos, lo que dificulta la detección mediante el software antivirus tradicional. Entre los comportamientos específicos se incluyen: {lista de comportamientos observados} (se aplica a: App Service en Windows y App Service en Linux)

Tácticas de MITRE: Evasión de defensa, Ejecución

Gravedad: alta

Alerta de prueba de Microsoft Defender for Cloud para App Service (no una amenaza)

(AppServices_EICAR)

Descripción: se trata de una alerta de prueba generada por Microsoft Defender for Cloud. No es necesario realizar ninguna acción adicional. (se aplica a: App Service en Windows y App Service en Linux)

Tácticas de MITRE: -

Gravedad: alta

Exploración de NMap detectada

(AppServices_Nmap)

Descripción: App de Azure registro de actividad del servicio indica una posible actividad de huella digital web en el recurso de App Service. La actividad sospechosa detectada está asociada a NMAP. Los atacantes utilizan a menudo esta herramienta para sondear la aplicación web en busca de vulnerabilidades. (se aplica a: App Service en Windows y App Service en Linux)

Tácticas de MITRE: PreAttack

Gravedad: informativo

Contenido de suplantación de identidad hospedado en Azure Web Apps

(AppServices_PhishingContent)

Descripción: dirección URL usada para el ataque de suplantación de identidad que se encuentra en el sitio web de App de Azure Services. Esta dirección URL formaba parte de un ataque de suplantación de identidad enviado a clientes de Microsoft 365. Normalmente, el contenido empuja a los visitantes a introducir sus credenciales corporativas o información financiera en un sitio web de aspecto legítimo. (se aplica a: App Service en Windows y App Service en Linux)

Tácticas de MITRE: Colección

Gravedad: alta

Archivo PHP en la carpeta de carga

(AppServices_PhpInUploadFolder)

Descripción: App de Azure registro de actividad del servicio indica un acceso a una página PHP sospechosa ubicada en la carpeta de carga. Este tipo de carpeta no suele contener archivos PHP. La existencia de este tipo de archivo podría indicar un ataque que aprovecha vulnerabilidades de carga de archivos arbitrarias. (se aplica a: App Service en Windows y App Service en Linux)

Tácticas de MITRE: Ejecución

Gravedad: media

Se ha detectado la posible descarga de Cryptocoinminer

(AppServices_CryptoCoinMinerDownload)

Descripción: el análisis de los datos del host ha detectado la descarga de un archivo normalmente asociado a la minería de moneda digital. (se aplica a: App Service en Linux)

Tácticas de MITRE: Evasión de defensa, Comando y Control, Explotación

Gravedad: media

Posible filtración de datos detectada

(AppServices_DataEgressArtifacts)

Descripción: el análisis de los datos de host o dispositivo detectó una posible condición de salida de datos. A menudo, los atacantes extraen datos de las máquinas que han puesto en peligro. (se aplica a: App Service en Linux)

Tácticas de MITRE: Colección, Filtración

Gravedad: media

Se ha detectado un potencial registro de DNS pendiente para un recurso de App Service detectado

(AppServices_PotentialDanglingDomain)

Descripción: se ha detectado un registro DNS que apunta a un recurso de App Service eliminado recientemente (también conocido como entrada "DNS pendiente". Esto permite que puedan realizar una adquisición de un subdominio. Las adquisiciones de subdominios permiten a los actores malintencionados redirigir el tráfico destinado al dominio de una organización a un sitio que realiza una actividad malintencionada. En este caso, se encontró un registro de texto con el identificador de comprobación de dominio. Estos registros de texto impiden la adquisición de subdominios, pero aun así, se recomienda quitar el dominio pendiente. Si deja el registro de DNS apuntando al subdominio, correrá peligro si cualquiera de su organización elimina el archivo TXT o el registro en el futuro. (se aplica a: App Service en Windows y App Service en Linux)

Tácticas de MITRE: -

Gravedad: baja

Se detectó un posible shell inverso.

(AppServices_ReverseShell)

Descripción: el análisis de los datos del host detectó un posible shell inverso. Se usan para hacer que una máquina en peligro devuelva una llamada a una máquina de un atacante. (se aplica a: App Service en Linux)

Tácticas de MITRE: Filtración, Explotación

Gravedad: media

Se detectó una descarga de datos sin procesar.

(AppServices_DownloadCodeFromWebsite)

Descripción: el análisis de los procesos de App Service detectó un intento de descargar código de sitios web de datos sin procesar, como Pastebin. Esta acción la ejecutó un proceso de PHP. Este comportamiento está asociado a intentos de descargar shells web u otros componentes malintencionados en App Service. (se aplica a: App Service en Windows)

Tácticas de MITRE: Ejecución

Gravedad: media

Se detectó el almacenamiento de la salida de cURL en el disco.

(AppServices_CurlToDisk)

Descripción: el análisis de los procesos de App Service detectó la ejecución de un comando curl en el que la salida se guardó en el disco. Aunque este comportamiento puede ser legítimo, en aplicaciones web también se observa en actividades malintencionadas, como intentos de infectar sitios web con shells web. (se aplica a: App Service en Windows)

Tácticas de MITRE: -

Gravedad: baja

Se detectó un origen de referencia de la carpeta de correo no deseado.

(AppServices_SpamReferrer)

Descripción: App de Azure registro de actividad del servicio indica la actividad web que se identificó como originada en un sitio web asociado a la actividad de correo no deseado. Esto puede ocurrir si el sitio web está en peligro y se usa para una actividad de spam. (se aplica a: App Service en Windows y App Service en Linux)

Tácticas de MITRE: -

Gravedad: baja

Acceso sospechoso a página web posiblemente vulnerable detectado

(AppServices_ScanSensitivePage)

Descripción: App de Azure registro de actividad del servicio indica una página web a la que parece que se ha accedido con información confidencial. Esta actividad sospechosa se ha originado en una dirección IP de origen cuyo patrón de acceso es similar al de un escáner web. Esta actividad suele estar asociada a un intento de un atacante de examinar la red para intentar obtener acceso a páginas web confidenciales o vulnerables. (se aplica a: App Service en Windows y App Service en Linux)

Tácticas de MITRE: -

Gravedad: baja

Referencia de nombre de dominio sospechoso

(AppServices_CommandlineSuspectDomain)

Descripción: el análisis de los datos de host detectó una referencia a un nombre de dominio sospechoso. Esta actividad, aunque posiblemente se trate de un comportamiento legítimo del usuario, a menudo indica la descarga o ejecución de software malintencionado. Entre las actividades típicas de los atacantes suelen incluirse la descarga y la ejecución de software malintencionado o herramientas de administración remota adicionales. (se aplica a: App Service en Linux)

Tácticas de MITRE: Filtración

Gravedad: baja

Se detectó una descarga sospechosa mediante CertUtil.

(AppServices_DownloadUsingCertutil)

Descripción: el análisis de datos de host en {NAME} detectó el uso de certutil.exe, una utilidad de administrador integrada, para la descarga de un archivo binario en lugar de su propósito estándar relacionado con la manipulación de certificados y datos de certificados. Se sabe que los atacantes usan la funcionalidad de herramientas de administrador legítimas para realizar acciones malintencionadas. Por ejemplo, utilizan certutil.exe para descargar y descodificar un archivo ejecutable malintencionado que se ejecutará posteriormente. (se aplica a: App Service en Windows)

Tácticas de MITRE: Ejecución

Gravedad: media

Ejecución de PHP sospechoso detectada

(AppServices_SuspectPhp)

Descripción: los registros de la máquina indican que se está ejecutando un proceso PHP sospechoso. La acción incluye un intento de ejecutar comandos del sistema operativo o código PHP desde la línea de comandos mediante el proceso PHP. Aunque este comportamiento puede ser legítimo, en aplicaciones web podría indicar actividades malintencionadas, como intentos de infectar sitios web con shells web. (se aplica a: App Service en Windows y App Service en Linux)

Tácticas de MITRE: Ejecución

Gravedad: media

SE ejecutaron cmdlets de PowerShell sospechosos.

(AppServices_PowerShellPowerSploitScriptExecution)

Descripción: el análisis de datos de host indica la ejecución de cmdlets conocidos malintencionados de PowerShell PowerSploit. (se aplica a: App Service en Windows)

Tácticas de MITRE: Ejecución

Gravedad: media

Se ejecutó un proceso sospechoso.

(AppServices_KnownCredential AccessTools)

Descripción: los registros de la máquina indican que el proceso sospechoso: '%{ruta de acceso del proceso}' se estaba ejecutando en la máquina, a menudo asociado a los intentos de atacantes de acceder a las credenciales. (se aplica a: App Service en Windows)

Tácticas de MITRE: Acceso a credenciales

Gravedad: alta

Se detectó un nombre de proceso sospechoso.

(AppServices_ProcessWithKnownSuspiciousExtension)

Descripción: el análisis de datos de host en {NAME} detectó un proceso cuyo nombre es sospechoso, por ejemplo, correspondiente a una herramienta de atacante conocida o denominada de una manera que es sugerente de herramientas de atacante que intentan ocultarse a simple vista. Este proceso podría indicar una actividad legítima o que una de sus máquinas se ha puesto en peligro. (se aplica a: App Service en Windows)

Tácticas de MITRE: persistencia, evasión de defensa

Gravedad: media

Se ejecutó el proceso SVCHOST sospechoso.

(AppServices_SVCHostFromInvalidPath)

Descripción: el proceso del sistema SVCHOST se observó en ejecución en un contexto anómalo. El malware suele usar SVCHOST para enmascarar su actividad malintencionada. (se aplica a: App Service en Windows)

Tácticas de MITRE: Evasión de defensa, Ejecución

Gravedad: alta

Se detectó un agente de usuario sospechoso.

(AppServices_UserAgentInjection)

Descripción: App de Azure registro de actividad del servicio indica las solicitudes con un agente de usuario sospechoso. Este comportamiento puede indicar que se realizaron intentos para aprovechar una vulnerabilidad en la aplicación de App Service. (se aplica a: App Service en Windows y App Service en Linux)

Tácticas de MITRE: acceso inicial

Gravedad: informativo

Invocación de tema de WordPress sospechoso detectada

(AppServices_WpThemeInjection)

Descripción: App de Azure registro de actividad del servicio indica una posible actividad de inyección de código en el recurso de App Service. La actividad sospechosa detectada se parece a la de una manipulación de un tema de WordPress para permitir la ejecución de código en el servidor, seguida de una solicitud web directa para invocar el archivo con el tema manipulado. En el pasado, este tipo de actividad se ha observado como parte de una campaña de ataques a través de WordPress. Si el recurso de App Service no hospeda un sitio de WordPress, no es vulnerable a esta vulnerabilidad de inyección de código específica y puede suprimir esta alerta de forma segura para el recurso. Para obtener información sobre cómo suprimir las alertas de seguridad, consulte Supresión de alertas de Microsoft Defender for Cloud. (se aplica a: App Service en Windows y App Service en Linux)

Tácticas de MITRE: Ejecución

Gravedad: alta

Se detectó un detector de vulnerabilidades.

(AppServices_DrupalScanner)

Descripción: App de Azure registro de actividad del servicio indica que se usó un posible analizador de vulnerabilidades en el recurso de App Service. La actividad sospechosa detectada es similar a la de las herramientas que tienen como destino un sistema de administración de contenido (CMS). Si el recurso de App Service no hospeda un sitio de Drupal, no es vulnerable a esta vulnerabilidad de inyección de código específica y puede suprimir esta alerta de forma segura para el recurso. Para obtener información sobre cómo suprimir las alertas de seguridad, consulte Supresión de alertas de Microsoft Defender for Cloud. (se aplica a: App Service en Windows)

Tácticas de MITRE: PreAttack

Gravedad: baja

Se detectó un detector de vulnerabilidades.

(AppServices_JoomlaScanner)

Descripción: App de Azure registro de actividad del servicio indica que se usó un posible analizador de vulnerabilidades en el recurso de App Service. La actividad sospechosa detectada es similar a la de las herramientas que tienen como destino aplicaciones de Joomla. Si el recurso de App Service no hospeda un sitio de Joomla, no es vulnerable a esta vulnerabilidad de inyección de código específica y puede suprimir esta alerta de forma segura para el recurso. Para obtener información sobre cómo suprimir las alertas de seguridad, consulte Supresión de alertas de Microsoft Defender for Cloud. (se aplica a: App Service en Windows y App Service en Linux)

Tácticas de MITRE: PreAttack

Gravedad: baja

Se detectó un detector de vulnerabilidades.

(AppServices_WpScanner)

Descripción: App de Azure registro de actividad del servicio indica que se usó un posible analizador de vulnerabilidades en el recurso de App Service. La actividad sospechosa detectada es similar a la de las herramientas que tienen como destino aplicaciones de WordPress. Si el recurso de App Service no hospeda un sitio de WordPress, no es vulnerable a esta vulnerabilidad de inyección de código específica y puede suprimir esta alerta de forma segura para el recurso. Para obtener información sobre cómo suprimir las alertas de seguridad, consulte Supresión de alertas de Microsoft Defender for Cloud. (se aplica a: App Service en Windows y App Service en Linux)

Tácticas de MITRE: PreAttack

Gravedad: baja

Huella digital web detectada

(AppServices_WebFingerprinting)

Descripción: App de Azure registro de actividad del servicio indica una posible actividad de huella digital web en el recurso de App Service. La actividad sospechosa detectada está asociada con una herramienta llamada Blind Elephant. La herramienta crea una huella digital de servidores web e intenta detectar las aplicaciones instaladas y su versión. Los atacantes utilizan a menudo esta herramienta para sondear la aplicación web en busca de vulnerabilidades. (se aplica a: App Service en Windows y App Service en Linux)

Tácticas de MITRE: PreAttack

Gravedad: media

El sitio web se etiqueta como malintencionado en una fuente de inteligencia sobre amenazas

(AppServices_SmartScreen)

Descripción: el sitio web como se describe a continuación se marca como un sitio malintencionado de Windows SmartScreen. Si cree que se trata de un falso positivo, póngase en contacto con Windows SmartScreen mediante el vínculo de comentarios de informe proporcionado. (se aplica a: App Service en Windows y App Service en Linux)

Tácticas de MITRE: Colección

Gravedad: media

Alertas para contenedores: clústeres de Kubernetes

Microsoft Defender para contenedores proporciona alertas de seguridad en el nivel de clúster y en los nodos de clúster subyacentes mediante la supervisión del plano de control (servidor de API) y la propia carga de trabajo contenedorizada. Las alertas de seguridad del plano de control se pueden reconocer mediante el prefijo K8S_ del tipo de alerta. Las alertas de seguridad para la carga de trabajo en tiempo de ejecución en los clústeres se pueden reconocer mediante el prefijo K8S.NODE_ del tipo de alerta. Las alertas solo se admiten en Linux, a menos que se indique lo contrario.

Más detalles y notas

Servicio de Postgres expuesto con la configuración de autenticación de confianza en Kubernetes detectado (versión preliminar)

(K8S_ExposedPostgresTrustAuth)

Descripción: el análisis de configuración del clúster de Kubernetes detectó la exposición de un servicio postgres mediante un equilibrador de carga. El servicio se configura con el método de autenticación de confianza, que no requiere credenciales.

Tácticas de MITRE: InitialAccess

Gravedad: media

Servicio de Postgres expuesto con configuración de riesgo en Kubernetes detectado (versión preliminar)

(K8S_ExposedPostgresBroadIPRange)

Descripción: el análisis de configuración del clúster de Kubernetes detectó la exposición de un servicio postgres mediante un equilibrador de carga con una configuración de riesgo. Exponer el servicio a un intervalo amplio de direcciones IP supone un riesgo de seguridad.

Tácticas de MITRE: InitialAccess

Gravedad: media

Intento de creación de un nuevo espacio de nombres de Linux a partir de un contenedor detectado

(K8S.NODE_NamespaceCreation) 1

Descripción: el análisis de los procesos que se ejecutan dentro de un contenedor en el clúster de Kubernetes detectó un intento de crear un nuevo espacio de nombres de Linux. Aunque este comportamiento podría ser legítimo, es posible que indique que un atacante intenta escapar del contenedor al nodo. Algunas vulnerabilidades CVE-2022-0185 usan esta técnica.

Tácticas de MITRE: PrivilegeEscalation

Gravedad: informativo

Se ha borrado un archivo del historial

(K8S.NODE_HistoryFileCleared) 1

Descripción: el análisis de los procesos que se ejecutan dentro de un contenedor o directamente en un nodo de Kubernetes ha detectado que se ha borrado el archivo de registro del historial de comandos. Los atacantes podrían hacerlo para cubrir sus pistas. La operación la realizó la cuenta de usuario especificada.

Tácticas de MITRE: DefenseEvasion

Gravedad: media

Actividad anómala de la identidad administrada asociada a Kubernetes (versión preliminar)

(K8S_AbnormalMiActivity)

Descripción: el análisis de las operaciones de Azure Resource Manager detectó un comportamiento anómalo de una identidad administrada usada por un complemento de AKS. La actividad detectada no es coherente con el comportamiento del complemento asociado. Aunque esta actividad puede ser legítima, este comportamiento podría indicar que la identidad la adquirió un atacante, posiblemente de un contenedor en peligro en el clúster de Kubernetes.

Tácticas de MITRE: Movimiento lateral

Gravedad: media

Se detectó una operación anómala de la cuenta de servicio de Kubernetes

(K8S_ServiceAccountRareOperation)

Descripción: el análisis del registro de auditoría de Kubernetes detectó un comportamiento anómalo por una cuenta de servicio en el clúster de Kubernetes. La cuenta de servicio se usó para una operación que no es común para esta cuenta de servicio. Aunque esta actividad puede ser legítima, este comportamiento podría indicar que la cuenta de servicio se está utilizando con fines malintencionados.

Tácticas de MITRE: Movimiento lateral, Acceso a credenciales

Gravedad: media

Se ha detectado un intento de conexión poco común

(K8S.NODE_SuspectConnection) 1

Descripción: el análisis de procesos que se ejecutan dentro de un contenedor o directamente en un nodo de Kubernetes ha detectado un intento de conexión poco común mediante un protocolo de calcetines. Esto es muy poco común en operaciones normales, pero es una técnica conocida de los atacantes que intentan omitir las detecciones de nivel de red.

Tácticas de MITRE: Ejecución, Filtración, Explotación

Gravedad: media

Se detectó un intento de detener el servicio apt-daily-upgrade.timer.

(K8S.NODE_TimerServiceDisabled) 1

Descripción: el análisis de los procesos que se ejecutan dentro de un contenedor o directamente en un nodo de Kubernetes ha detectado un intento de detener el servicio apt-daily-upgrade.timer. Se ha observado que los atacantes detienen este servicio para descargar archivos malintencionados y conceder privilegios de ejecución para sus ataques. Esta actividad también puede producirse si el servicio se actualiza mediante acciones administrativas normales.

Tácticas de MITRE: DefenseEvasion

Gravedad: informativo

Se ha detectado un comportamiento parecido a los bots comunes de Linux (versión preliminar)

(K8S.NODE_CommonBot)

Descripción: el análisis de los procesos que se ejecutan dentro de un contenedor o directamente en un nodo de Kubernetes ha detectado la ejecución de un proceso normalmente asociado a las redes de botnet comunes de Linux.

Tácticas de MITRE: ejecución, recopilación, comando y control

Gravedad: media

Comando dentro de un contenedor que se ejecuta con privilegios elevados

(K8S.NODE_PrivilegedExecutionInContainer) 1

Descripción: los registros de la máquina indican que se ejecutó un comando con privilegios en un contenedor de Docker. Un comando con privilegios ha extendido sus privilegios a la máquina host.

Tácticas de MITRE: PrivilegeEscalation

Gravedad: informativo

Contenedor que se ejecuta en modo con privilegios

(K8S.NODE_PrivilegedContainerArtifacts) 1

Descripción: el análisis de procesos que se ejecutan dentro de un contenedor o directamente en un nodo de Kubernetes ha detectado la ejecución de un comando de Docker que ejecuta un contenedor con privilegios. El contenedor con privilegios tiene acceso completo al pod de hospedaje o al recurso de host. Si está en peligro, un atacante podría usar el contenedor con privilegios para obtener acceso al pod o host de hospedaje.

Tácticas de MITRE: PrivilegeEscalation, Execution

Gravedad: informativo

Se detectó un contenedor con un volumen confidencial montado.

(K8S_SensitiveMount)

Descripción: el análisis del registro de auditoría de Kubernetes detectó un nuevo contenedor con un montaje de volumen confidencial. El volumen detectado es del tipo hostPath, que monta una carpeta o un archivo confidenciales del nodo en el contenedor. Si el contenedor se ve en peligro, el atacante puede usar este montaje para obtener acceso al nodo.

Tácticas de MITRE: Elevación de privilegios

Gravedad: informativo

Se detectó una modificación de CoreDNS en Kubernetes.

(K8S_CoreDnsModification) 23

Descripción: el análisis del registro de auditoría de Kubernetes detectó una modificación de la configuración de CoreDNS. La configuración de CoreDNS se puede modificar mediante la sustitución de su archivo configmap. Aunque esta actividad puede ser legítima, si los atacantes tienen permisos para modificar el archivo configmap, pueden cambiar el comportamiento del servidor DNS del clúster y manipularlo.

Tácticas de MITRE: Movimiento lateral

Gravedad: baja

Se ha detectado la creación de una configuración del webhook de admisión.

(K8S_AdmissionController) 3

Descripción: el análisis del registro de auditoría de Kubernetes detectó una nueva configuración de webhook de admisión. Kubernetes tiene dos controladores de admisión genéricos integrados: MutatingAdmissionWebhook y ValidatingAdmissionWebhook. El comportamiento de estos controladores de admisión viene determinado por un webhook de admisión que el usuario implementa en el clúster. El uso de estos controladores de admisión puede ser legítimo, sin embargo, los atacantes pueden usar estos webhooks para modificar las solicitudes (en el caso de MutatingAdmissionWebhook) o inspeccionar las solicitudes y obtener información confidencial (en el caso de ValidatingAdmissionWebhook).

Tácticas de MITRE: acceso a credenciales, persistencia

Gravedad: informativo

Se detectó una descarga de archivos desde un origen malintencionado conocido.

(K8S.NODE_SuspectDownload) 1

Descripción: el análisis de los procesos que se ejecutan dentro de un contenedor o directamente en un nodo de Kubernetes ha detectado una descarga de un archivo de un origen que se usa con frecuencia para distribuir malware.

Tácticas de MITRE: PrivilegeEscalation, Execution, Exfiltration, Command And Control

Gravedad: media

Se detectó una descarga de archivos sospechosa.

(K8S.NODE_SuspectDownloadArtifacts) 1

Descripción: el análisis de procesos que se ejecutan dentro de un contenedor o directamente en un nodo de Kubernetes ha detectado una descarga sospechosa de un archivo remoto.

Tácticas de MITRE: Persistencia

Gravedad: informativo

Se detectó un uso sospechoso del comando nohup.

(K8S.NODE_SuspectNohup) 1

Descripción: el análisis de procesos que se ejecutan dentro de un contenedor o directamente en un nodo de Kubernetes ha detectado un uso sospechoso del comando nohup. Se han observado atacantes que usan el comando nohup para ejecutar archivos ocultos desde un directorio temporal para permitir que sus archivos ejecutables se ejecuten en segundo plano. No es habitual ver que este comando se ejecute en archivos ocultos ubicados en un directorio temporal.

Tácticas de MITRE: Persistencia, DefenseEvasion

Gravedad: media

Se detectó un uso sospechoso del comando useradd.

(K8S.NODE_SuspectUserAddition) 1

Descripción: el análisis de los procesos que se ejecutan dentro de un contenedor o directamente en un nodo de Kubernetes ha detectado un uso sospechoso del comando useradd.

Tácticas de MITRE: Persistencia

Gravedad: media

Se detectó un contenedor de minería de datos de moneda digital.

(K8S_MaliciousContainerImage) 3

Descripción: el análisis del registro de auditoría de Kubernetes detectó un contenedor que tiene una imagen asociada a una herramienta de minería de moneda digital.

Tácticas de MITRE: Ejecución

Gravedad: alta

(K8S.NODE_DigitalCurrencyMining) 1

Descripción: el análisis de procesos que se ejecutan dentro de un contenedor o directamente en un nodo de Kubernetes, ha detectado una ejecución de un proceso o comando normalmente asociado a la minería de moneda digital.

Tácticas de MITRE: Ejecución

Gravedad: alta

Se ha detectado una operación de creación de Docker en un nodo de Kubernetes.

(K8S.NODE_ImageBuildOnNode) 1

Descripción: el análisis de procesos que se ejecutan dentro de un contenedor o directamente en un nodo de Kubernetes ha detectado una operación de compilación de una imagen de contenedor en un nodo de Kubernetes. Aunque este comportamiento podría ser legítimo, los atacantes podrían crear sus imágenes malintencionadas localmente para evitar la detección.

Tácticas de MITRE: DefenseEvasion

Gravedad: informativo

Panel de Kubeflow expuesto detectado

(K8S_ExposedKubeflow)

Descripción: el análisis del registro de auditoría de Kubernetes detectó la exposición de la entrada de Istio mediante un equilibrador de carga en un clúster que ejecuta Kubeflow. Esta acción podría exponer el panel de Kubeflow a Internet. Si el panel se expone a Internet, los atacantes pueden acceder a él y ejecutar código o contenedores malintencionados en el clúster. Encontrará más detalles en el siguiente artículo: https://aka.ms/exposedkubeflow-blog

Tácticas de MITRE: acceso inicial

Gravedad: media

Se detectó un panel de Kubernetes expuesto.

(K8S_ExposedDashboard)

Descripción: el análisis de registros de auditoría de Kubernetes detectó la exposición del panel de Kubernetes mediante un servicio LoadBalancer. Un panel expuesto permite el acceso sin autenticación a la administración del clúster, lo que supone una amenaza para la seguridad.

Tácticas de MITRE: acceso inicial

Gravedad: alta

Se detectó el servicio de Kubernetes expuesto

(K8S_ExposedService)

Descripción: el análisis del registro de auditoría de Kubernetes detectó la exposición de un servicio mediante un equilibrador de carga. Este servicio está relacionado con una aplicación confidencial que permite operaciones de alto impacto en el clúster, como la ejecución de procesos en el nodo o la creación de contenedores. En algunos casos, este servicio no requiere autenticación. Si el servicio no requiere autenticación, su exposición a Internet supone un riesgo de seguridad.

Tácticas de MITRE: acceso inicial

Gravedad: media

Se detectó el servicio de Redis expuesto en AKS

(K8S_ExposedRedis)

Descripción: el análisis de registros de auditoría de Kubernetes detectó la exposición de un servicio de Redis mediante un equilibrador de carga. Si el servicio no requiere autenticación, su exposición a Internet supone un riesgo de seguridad.

Tácticas de MITRE: acceso inicial

Gravedad: baja

Se detectaron indicadores asociados al kit de herramientas de DDOS.

(K8S.NODE_KnownLinuxDDoSToolkit) 1

Descripción: el análisis de procesos que se ejecutan dentro de un contenedor o directamente en un nodo de Kubernetes, ha detectado nombres de archivo que forman parte de un kit de herramientas asociado con malware capaz de iniciar ataques DDoS, abrir puertos y servicios y tomar el control total sobre el sistema infectado. También se podría tratar de una actividad legítima.

Tácticas de MITRE: Persistencia, LateralMovement, Ejecución, Explotación

Gravedad: media

Se han detectado solicitudes de la API K8S desde direcciones IP de proxy.

(K8S_TI_Proxy) 3

Descripción: el análisis de registros de auditoría de Kubernetes detectó solicitudes de API al clúster desde una dirección IP asociada a los servicios proxy, como TOR. Aunque este comportamiento puede ser legítimo, a menudo se consideran como actividades malintencionadas, cuando los atacantes intentan ocultar su dirección IP de origen.

Tácticas de MITRE: Ejecución

Gravedad: baja

Se han eliminado eventos de Kubernetes.

(K8S_DeleteEvents) 23

Descripción: Defender for Cloud detectó que se han eliminado algunos eventos de Kubernetes. Los eventos de Kubernetes son objetos de Kubernetes que contienen información sobre los cambios en el clúster. Los atacantes podrían eliminar esos eventos para ocultar sus operaciones en el clúster.

Tácticas de MITRE: Evasión de defensa

Gravedad: baja

Se ha detectado la herramienta de pruebas de penetración de Kubernetes.

(K8S_PenTestToolsKubeHunter)

Descripción: el análisis de registros de auditoría de Kubernetes detectó el uso de la herramienta de pruebas de penetración de Kubernetes en el clúster de AKS. Aunque este comportamiento puede ser legítimo, los atacantes podrían usar estas herramientas públicas con fines malintencionados.

Tácticas de MITRE: Ejecución

Gravedad: baja

Alerta de prueba de Microsoft Defender for Cloud (no una amenaza).

(K8S.NODE_EICAR) 1

Descripción: se trata de una alerta de prueba generada por Microsoft Defender for Cloud. No es necesario realizar ninguna acción adicional.

Tácticas de MITRE: Ejecución

Gravedad: alta

Se detectó un contenedor nuevo en el espacio de nombres kube-system.

(K8S_KubeSystemContainer) 3

Descripción: el análisis del registro de auditoría de Kubernetes detectó un nuevo contenedor en el espacio de nombres kube-system que no está entre los contenedores que normalmente se ejecutan en este espacio de nombres. Los espacios de nombres kube-system no deben contener recursos de usuario. Los atacantes pueden usar este espacio de nombres para ocultar componentes malintencionados.

Tácticas de MITRE: Persistencia

Gravedad: informativo

Se detectó un nuevo rol con privilegios elevados.

(K8S_HighPrivilegesRole) 3

Descripción: el análisis de registros de auditoría de Kubernetes detectó un nuevo rol con privilegios elevados. Un enlace a un rol con privilegios elevados concede al usuario o grupo privilegios elevados en el clúster. Los privilegios innecesarios pueden dar lugar a una elevación de privilegios en el clúster.

Tácticas de MITRE: Persistencia

Gravedad: informativo

Se detectó una posible herramienta de ataque.

(K8S.NODE_KnownLinuxAttackTool) 1

Descripción: el análisis de los procesos que se ejecutan dentro de un contenedor o directamente en un nodo de Kubernetes ha detectado una invocación de herramienta sospechosa. A menudo, esta herramienta se asocia a usuarios malintencionados que atacan a otros.

Tácticas de MITRE: ejecución, recopilación, comando y control, sondeo

Gravedad: media

Possible backdoor detected (Detección de posible puerta trasera)

(K8S.NODE_LinuxBackdoorArtifact) 1

Descripción: el análisis de los procesos que se ejecutan dentro de un contenedor o directamente en un nodo de Kubernetes ha detectado que se descarga y se ejecuta un archivo sospechoso. Anteriormente, esta actividad se ha asociado con la instalación de una puerta trasera.

Tácticas de MITRE: Persistencia, DefenseEvasion, Ejecución, Explotación

Gravedad: media

Posible intento de explotación de una vulnerabilidad de seguridad de la línea de comandos

(K8S.NODE_ExploitAttempt) 1

Descripción: el análisis de los procesos que se ejecutan dentro de un contenedor o directamente en un nodo de Kubernetes ha detectado un posible intento de explotación contra una vulnerabilidad conocida.

Tácticas de MITRE: Explotación

Gravedad: media

Se detectó una posible herramienta de acceso a credenciales.

(K8S.NODE_KnownLinuxCredentialAccessTool) 1

Descripción: el análisis de procesos que se ejecutan dentro de un contenedor o directamente en un nodo de Kubernetes, ha detectado que se estaba ejecutando una posible herramienta de acceso a credenciales conocida en el contenedor, tal como se identifica en el elemento de historial de proceso y línea de comandos especificados. A menudo, esta herramienta está asociada a intentos de los atacantes para acceder a las credenciales.

Tácticas de MITRE: CredentialAccess

Gravedad: media

Se ha detectado la posible descarga de Cryptocoinminer

(K8S.NODE_CryptoCoinMinerDownload) 1

Descripción: el análisis de los procesos que se ejecutan dentro de un contenedor o directamente en un nodo de Kubernetes ha detectado la descarga de un archivo normalmente asociado a la minería de monedas digitales.

Tácticas de MITRE: DefenseEvasion, Comando y Control, Explotación

Gravedad: media

Se detectó una posible actividad de manipulación de registros.

(K8S.NODE_SystemLogRemoval) 1

Descripción: el análisis de los procesos que se ejecutan dentro de un contenedor o directamente en un nodo de Kubernetes ha detectado una posible eliminación de archivos que realiza un seguimiento de la actividad del usuario durante el transcurso de su funcionamiento. A menudo, los atacantes intentan evitar ser detectados y eliminan estos archivos de registro a fin de no dejar ningún rastro de las actividades malintencionadas.

Tácticas de MITRE: DefenseEvasion

Gravedad: media

Se detectó un posible cambio de contraseña mediante el método de cifrado

(K8S.NODE_SuspectPasswordChange) 1

Descripción: el análisis de los procesos que se ejecutan dentro de un contenedor o directamente en un nodo de Kubernetes ha detectado un cambio de contraseña mediante el método crypt. Los atacantes pueden realizar este cambio para seguir accediendo y obteniendo persistencia después de la vulneración.

Tácticas de MITRE: CredentialAccess

Gravedad: media

Posible reenvío de puertos a la dirección IP externa

(K8S.NODE_SuspectPortForwarding) 1

Descripción: el análisis de los procesos que se ejecutan dentro de un contenedor o directamente en un nodo de Kubernetes ha detectado un inicio de reenvío de puertos a una dirección IP externa.

Tácticas de MITRE: filtración, comando y control

Gravedad: media

Se detectó un posible shell inverso.

(K8S.NODE_ReverseShell) 1

Descripción: el análisis de procesos que se ejecutan dentro de un contenedor o directamente en un nodo de Kubernetes ha detectado un posible shell inverso. Se usan para hacer que una máquina en peligro devuelva una llamada a una máquina de un atacante.

Tácticas de MITRE: Filtración, Explotación

Gravedad: media

Se detectó un contenedor con privilegios

(K8S_PrivilegedContainer)

Descripción: el análisis del registro de auditoría de Kubernetes detectó un nuevo contenedor con privilegios. Un contenedor con privilegios tiene acceso a los recursos del nodo y rompe el aislamiento entre contenedores. Si se pone en peligro, un atacante puede usar el contenedor con privilegios para acceder al nodo.

Tácticas de MITRE: Elevación de privilegios

Gravedad: informativo

Se ha detectado un proceso relacionado con la minería de datos de moneda digital

(K8S.NODE_CryptoCoinMinerArtifacts) 1

Descripción: el análisis de los procesos que se ejecutan dentro de un contenedor detectó la ejecución de un proceso normalmente asociado a la minería de moneda digital.

Tácticas de MITRE: Ejecución, Explotación

Gravedad: media

Se ha observado un proceso accediendo al archivo de claves autorizadas SSH de manera inusual

(K8S.NODE_SshKeyAccess) 1

Descripción: se ha accedido a un archivo de authorized_keys SSH en un método similar a las campañas de malware conocidas. Este acceso podría indicar que un actor está intentando conseguir acceso persistente a una máquina.

Tácticas de MITRE: Desconocida

Gravedad: informativo

Se detectó un enlace de rol al rol de administrador de clústeres.

(K8S_ClusterAdminBinding)

Descripción: el análisis del registro de auditoría de Kubernetes detectó un nuevo enlace al rol de administrador del clúster que proporciona privilegios de administrador. Los privilegios de administrador innecesarios pueden provocar una elevación de privilegios en el clúster.

Tácticas de MITRE: Persistencia

Gravedad: informativo

(K8S.NODE_SuspectProcessTermination) 1

Descripción: el análisis de los procesos que se ejecutan dentro de un contenedor o directamente en un nodo de Kubernetes ha detectado un intento de finalizar los procesos relacionados con la supervisión de seguridad en el contenedor. A menudo, los atacantes intentarán terminar estos procesos mediante scripts predefinidos después de estar en peligro.

Tácticas de MITRE: Persistencia

Gravedad: baja

Se ejecuta un servidor SSH dentro de un contenedor

(K8S.NODE_ContainerSSH) 1

Descripción: el análisis de los procesos que se ejecutan dentro de un contenedor detectó un servidor SSH que se ejecuta dentro del contenedor.

Tácticas de MITRE: Ejecución

Gravedad: informativo

Modificación sospechosa de la marca de tiempo de los archivos

(K8S.NODE_TimestampTampering) 1

Descripción: el análisis de los procesos que se ejecutan dentro de un contenedor o directamente en un nodo de Kubernetes ha detectado una modificación sospechosa de marca de tiempo. Los atacantes suelen copiar las marcas de tiempo de archivos legítimos existentes en nuevas herramientas para evitar la detección de estos archivos recién quitados.

Tácticas de MITRE: Persistencia, DefenseEvasion

Gravedad: baja

Solicitud sospechosa a la API de Kubernetes

(K8S.NODE_KubernetesAPI) 1

Descripción: el análisis de procesos que se ejecutan en un contenedor indica que se realizó una solicitud sospechosa a la API de Kubernetes. La solicitud se envió desde un contenedor del clúster. Aunque este comportamiento puede ser intencionado, podría indicar que se está ejecutando un contenedor en peligro en el clúster.

Tácticas de MITRE: LateralMovement

Gravedad: media

Solicitud sospechosa al panel de Kubernetes

(K8S.NODE_KubernetesDashboard) 1

Descripción: el análisis de procesos que se ejecutan dentro de un contenedor indica que se realizó una solicitud sospechosa en el panel de Kubernetes. La solicitud se envió desde un contenedor del clúster. Aunque este comportamiento puede ser intencionado, podría indicar que se está ejecutando un contenedor en peligro en el clúster.

Tácticas de MITRE: LateralMovement

Gravedad: media

Se ha iniciado una posible minería de criptomonedas

(K8S.NODE_CryptoCoinMinerExecution) 1

Descripción: el análisis de los procesos que se ejecutan dentro de un contenedor o directamente en un nodo de Kubernetes, ha detectado que se inicia un proceso de forma normal asociada a la minería de moneda digital.

Tácticas de MITRE: Ejecución

Gravedad: media

Acceso a contraseñas sospechoso

(K8S.NODE_SuspectPasswordFileAccess) 1

Descripción: el análisis de los procesos que se ejecutan dentro de un contenedor o directamente en un nodo de Kubernetes ha detectado un intento sospechoso de acceder a las contraseñas de usuario cifradas.

Tácticas de MITRE: Persistencia

Gravedad: informativo

Se detectó un posible shell web malintencionado.

(K8S.NODE_Webshell) 1

Descripción: el análisis de los procesos que se ejecutan dentro de un contenedor detectó un posible shell web. A menudo, los atacantes cargan un shell web en un recurso de proceso que han puesto en peligro para obtener persistencia o para realizar un mayor aprovechamiento.

Tácticas de MITRE: Persistencia, Explotación

Gravedad: media

La ráfaga de varios comandos de reconocimiento podría indicar la actividad inicial después de un peligro

(K8S.NODE_ReconnaissanceArtifactsBurst) 1

Descripción: el análisis de los datos de host o dispositivo detectó la ejecución de varios comandos de reconocimiento relacionados con la recopilación de detalles del sistema o host realizados por atacantes después del riesgo inicial.

Tácticas de MITRE: detección, colección

Gravedad: baja

Actividad de descarga y ejecución sospechosa

(K8S.NODE_DownloadAndRunCombo) 1

Descripción: el análisis de los procesos que se ejecutan dentro de un contenedor o directamente en un nodo de Kubernetes, ha detectado que se descarga un archivo que se está descargando y, a continuación, se ejecuta en el mismo comando. Aunque esta técnica no siempre es malintencionada, es muy común que los atacantes la usen para obtener archivos malintencionados de las máquinas víctimas.

Tácticas de MITRE: Ejecución, CommandAndControl, Explotación

Gravedad: media

Se detectó el acceso al archivo kubeconfig kubelet

(K8S.NODE_KubeConfigAccess) 1

Descripción: el análisis de los procesos que se ejecutan en un nodo de clúster de Kubernetes detectó acceso al archivo kubeconfig en el host. El archivo kubeconfig, que normalmente usa el proceso de Kubelet, contiene credenciales para el servidor de API del clúster de Kubernetes. El acceso a este archivo suele estar asociado a que los atacantes intenten acceder a esas credenciales o a herramientas de análisis de seguridad que comprueban si se puede acceder al archivo.

Tácticas de MITRE: CredentialAccess

Gravedad: media

Se detectó acceso al servicio de metadatos en la nube

(K8S.NODE_ImdsCall) 1

Descripción: el análisis de los procesos que se ejecutan dentro de un contenedor detectó acceso al servicio de metadatos en la nube para adquirir el token de identidad. Normalmente, el contenedor no realiza esa operación. Aunque este comportamiento puede ser legítimo, los atacantes pueden usar esta técnica para acceder a los recursos en la nube después de obtener acceso inicial a un contenedor en ejecución.

Tácticas de MITRE: CredentialAccess

Gravedad: media

Se ha detectado un agente de MITRE Caldera

(K8S.NODE_MitreCalderaTools) 1

Descripción: el análisis de los procesos que se ejecutan dentro de un contenedor o directamente en un nodo de Kubernetes ha detectado un proceso sospechoso. Esto suele asociarse con el agente MITRE 54ndc47, que podría usarse malintencionadamente para atacar otras máquinas.

Tácticas de MITRE: Persistencia, PrivilegeEscalation, DefenseEvasion, CredentialAccess, Discovery, LateralMovement, Execution, Collection, Exfiltration, Command And Control, Probing, Exploitation

Gravedad: media

1: Versión preliminar de los clústeres que no son de AKS: esta alerta está disponible con carácter general para los clústeres de AKS, pero está en versión preliminar para otros entornos, como Azure Arc, EKS y GKE.

2: Limitaciones de los clústeres de GKE: GKE usa una directiva de auditoría de Kubernetes que no admite todos los tipos de alertas. Como resultado, esta alerta de seguridad, que se basa en eventos de auditoría de Kubernetes, no se admite para los clústeres de GKE.

3: esta alerta la admiten los nodos o contenedores de Windows.

Alertas de SQL Database y Azure Synapse Analytics

Más detalles y notas

Una posible vulnerabilidad a la inyección de código SQL

(SQL. DB_VulnerabilityToSqlInjection SQL. VM_VulnerabilityToSqlInjection SQL.MI_VulnerabilityToSqlInjection SQL. DW_VulnerabilityToSqlInjection Synapse.SQLPool_VulnerabilityToSqlInjection)

Descripción: una aplicación ha generado una instrucción SQL errónea en la base de datos. Esto puede indicar una posible vulnerabilidad ante ataques por inyección de código SQL. Hay dos razones posibles para una instrucción errónea. Es posible que haya un defecto en el código de la aplicación que esté creando la instrucción SQL errónea. O bien, el código de la aplicación o los procedimientos almacenados no corrigen los datos que proporciona el usuario al construir la instrucción SQL errónea, lo que se puede aprovechar para ataques por inyección de código SQL.

Tácticas de MITRE: PreAttack

Gravedad: media

Intento de inicio de sesión desde una aplicación potencialmente dañina

(SQL. DB_HarmfulApplication SQL. VM_HarmfulApplication SQL.MI_HarmfulApplication SQL. DW_HarmfulApplication Synapse.SQLPool_HarmfulApplication)

Descripción: una aplicación potencialmente dañina intentó acceder al recurso.

Tácticas de MITRE: PreAttack

Gravedad: alta

Inicio de sesión desde un centro de datos de Azure inusual

(SQL. DB_DataCenterAnomaly SQL. VM_DataCenterAnomaly SQL. DW_DataCenterAnomaly SQL.MI_DataCenterAnomaly Synapse.SQLPool_DataCenterAnomaly)

Descripción: se ha producido un cambio en el patrón de acceso a sql Server, donde alguien ha iniciado sesión en el servidor desde un centro de datos de Azure inusual. En algunos casos, la alerta detecta que se trata de una acción legítima (una nueva aplicación o un servicio de Azure). En otros casos, la alerta detecta que la acción es malintencionada (el atacante realizó la acción desde un recurso vulnerado de Azure).

Tácticas de MITRE: sondeo

Gravedad: baja

Inicio de sesión desde una ubicación inusual

(SQL. DB_GeoAnomaly SQL. VM_GeoAnomaly SQL. DW_GeoAnomaly SQL.MI_GeoAnomaly Synapse.SQLPool_GeoAnomaly)

Descripción: se ha producido un cambio en el patrón de acceso a SQL Server, donde alguien ha iniciado sesión en el servidor desde una ubicación geográfica inusual. En algunos casos, la alerta detecta una acción legítima (una nueva aplicación o el mantenimiento de un desarrollador). En otros casos, la alerta detecta una acción malintencionada (un antiguo empleado o un atacante externo).

Tácticas de MITRE: Explotación

Gravedad: media

Inicio de sesión de un usuario principal que no se ha visto en 60 días

(SQL. DB_PrincipalAnomaly SQL. VM_PrincipalAnomaly SQL. DW_PrincipalAnomaly SQL.MI_PrincipalAnomaly Synapse.SQLPool_PrincipalAnomaly)

Descripción: un usuario principal no visto en los últimos 60 días ha iniciado sesión en la base de datos. Si esta base de datos es nueva o este es el comportamiento esperado causado por cambios recientes en los usuarios que acceden a la base de datos, Defender for Cloud identificará los cambios significativos en los patrones de acceso e intentará evitar futuros falsos positivos.

Tácticas de MITRE: Explotación

Gravedad: media

Inicio de sesión desde un dominio no visto en 60 días

(SQL. DB_DomainAnomaly SQL. VM_DomainAnomaly SQL. DW_DomainAnomaly SQL.MI_DomainAnomaly Synapse.SQLPool_DomainAnomaly)

Descripción: un usuario ha iniciado sesión en el recurso desde un dominio desde el que ningún otro usuario se ha conectado en los últimos 60 días. Si este recurso es nuevo o este es el comportamiento esperado causado por cambios recientes en los usuarios que acceden al recurso, Defender for Cloud identificará los cambios significativos en los patrones de acceso e intentará evitar futuros falsos positivos.

Tácticas de MITRE: Explotación

Gravedad: media

Inicio de sesión desde una dirección IP sospechosa

(SQL. DB_SuspiciousIpAnomaly SQL. VM_SuspiciousIpAnomaly SQL. DW_SuspiciousIpAnomaly SQL.MI_SuspiciousIpAnomaly Synapse.SQLPool_SuspiciousIpAnomaly)

Descripción: se ha accedido correctamente al recurso desde una dirección IP asociada a la actividad sospechosa de Microsoft Threat Intelligence.

Tácticas de MITRE: PreAttack

Gravedad: media

Posible ataque por inyección de código SQL

(SQL. DB_PotentialSqlInjection SQL. VM_PotentialSqlInjection SQL.MI_PotentialSqlInjection SQL. DW_PotentialSqlInjection Synapse.SQLPool_PotentialSqlInjection)

Descripción: se ha producido una vulnerabilidad de seguridad activa en una aplicación identificada vulnerable a la inyección de CÓDIGO SQL. Esto significa que un atacante está intentando inyectar instrucciones SQL malintencionadas mediante el código de la aplicación vulnerable o procedimientos almacenados.

Tácticas de MITRE: PreAttack

Gravedad: alta

Posible ataque por fuerza bruta mediante un usuario válido

(SQL. DB_BruteForce SQL. VM_BruteForce SQL. DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)

Descripción: se ha detectado un posible ataque por fuerza bruta en el recurso. El atacante usa el usuario válido (nombre de usuario), que tiene permisos para iniciar sesión.

Tácticas de MITRE: PreAttack

Gravedad: alta

Sospecha de ataque por fuerza bruta

(SQL. DB_BruteForce SQL. VM_BruteForce SQL. DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)

Descripción: se ha detectado un posible ataque por fuerza bruta en el recurso.

Tácticas de MITRE: PreAttack

Gravedad: alta

Sospecha de ataque por fuerza bruta con éxito

(SQL. DB_BruteForce SQL. VM_BruteForce SQL. DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)

Descripción: se produjo un inicio de sesión correcto después de un ataque aparente por fuerza bruta en el recurso.

Tácticas de MITRE: PreAttack

Gravedad: alta

SQL Server potencialmente generó un shell de comandos de Windows y accedió a un origen externo anómalo.

(SQL. DB_ShellExternalSourceAnomaly SQL. VM_ShellExternalSourceAnomaly SQL. DW_ShellExternalSourceAnomaly SQL.MI_ShellExternalSourceAnomaly Synapse.SQLPool_ShellExternalSourceAnomaly)

Descripción: una instrucción SQL sospechosa podría generar un shell de comandos de Windows con un origen externo que no se ha visto antes. La ejecución de un shell que accede a un origen externo es un método que usan los atacantes para descargar la carga malintencionada y, a continuación, ejecutarlo en el equipo y ponerlo en peligro. Esto permite a un atacante realizar tareas malintencionadas en dirección remota. Como alternativa, el acceso a un origen externo se puede usar para filtrar datos a un destino externo.

Tácticas de MITRE: Ejecución

Gravedad: alta

La carga inusual con piezas ofuscadas ha sido iniciada por SQL Server

(SQL.VM_PotentialSqlInjection)

Descripción: alguien ha iniciado una nueva carga utilizando la capa de SQL Server que se comunica con el sistema operativo mientras oculta el comando en la consulta SQL. Los atacantes suelen ocultar comandos impactantes que se supervisan popularmente como xp_cmdshell, sp_add_job y otros. Las técnicas de ofuscación abusan de comandos legítimos como la concatenación de cadenas, la conversión, el cambio base y otros, para evitar la detección de expresiones regulares y dañar la legibilidad de los registros.

Tácticas de MITRE: Ejecución

Gravedad: alta

Alertas para bases de datos relacionales de código abierto

Más detalles y notas

Posible ataque por fuerza bruta mediante un usuario válido

(SQL. PostgreSQL_BruteForce SQL. MariaDB_BruteForce SQL. MySQL_BruteForce)

Descripción: se ha detectado un posible ataque por fuerza bruta en el recurso. El atacante usa el usuario válido (nombre de usuario), que tiene permisos para iniciar sesión.

Tácticas de MITRE: PreAttack

Gravedad: alta

Sospecha de ataque por fuerza bruta con éxito

(SQL. PostgreSQL_BruteForce SQL. MySQL_BruteForce SQL. MariaDB_BruteForce)

Descripción: se produjo un inicio de sesión correcto después de un ataque aparente por fuerza bruta en el recurso.

Tácticas de MITRE: PreAttack

Gravedad: alta

Sospecha de ataque por fuerza bruta

(SQL. PostgreSQL_BruteForce SQL. MySQL_BruteForce SQL. MariaDB_BruteForce)

Descripción: se ha detectado un posible ataque por fuerza bruta en el recurso.

Tácticas de MITRE: PreAttack

Gravedad: alta

Intento de inicio de sesión desde una aplicación potencialmente dañina

(SQL. PostgreSQL_HarmfulApplication SQL. MariaDB_HarmfulApplication SQL. MySQL_HarmfulApplication)

Descripción: una aplicación potencialmente dañina intentó acceder al recurso.

Tácticas de MITRE: PreAttack

Gravedad: alta

Inicio de sesión de un usuario principal que no se ha visto en 60 días

(SQL. PostgreSQL_PrincipalAnomaly SQL. MariaDB_PrincipalAnomaly SQL. MySQL_PrincipalAnomaly)

Descripción: un usuario principal no visto en los últimos 60 días ha iniciado sesión en la base de datos. Si esta base de datos es nueva o este es el comportamiento esperado causado por cambios recientes en los usuarios que acceden a la base de datos, Defender for Cloud identificará los cambios significativos en los patrones de acceso e intentará evitar futuros falsos positivos.

Tácticas de MITRE: Explotación

Gravedad: media

Inicio de sesión desde un dominio no visto en 60 días

(SQL. MariaDB_DomainAnomaly SQL. PostgreSQL_DomainAnomaly SQL. MySQL_DomainAnomaly)

Descripción: un usuario ha iniciado sesión en el recurso desde un dominio desde el que ningún otro usuario se ha conectado en los últimos 60 días. Si este recurso es nuevo o este es el comportamiento esperado causado por cambios recientes en los usuarios que acceden al recurso, Defender for Cloud identificará los cambios significativos en los patrones de acceso e intentará evitar futuros falsos positivos.

Tácticas de MITRE: Explotación

Gravedad: media

Inicio de sesión desde un centro de datos de Azure inusual

(SQL. PostgreSQL_DataCenterAnomaly SQL. MariaDB_DataCenterAnomaly SQL. MySQL_DataCenterAnomaly)

Descripción: alguien que inició sesión en el recurso desde un centro de datos de Azure inusual.

Tácticas de MITRE: sondeo

Gravedad: baja

Inicio de sesión desde un proveedor de nube inusual

(SQL. PostgreSQL_CloudProviderAnomaly SQL. MariaDB_CloudProviderAnomaly SQL. MySQL_CloudProviderAnomaly)

Descripción: alguien que inició sesión en el recurso desde un proveedor de nube no visto en los últimos 60 días. Es rápido y fácil que los agentes de amenazas obtengan potencia de proceso descartable para utilizarla en sus campañas. Si este es el comportamiento esperado causado por la reciente adopción de un nuevo proveedor de nube, Defender for Cloud aprenderá con el tiempo e intentará evitar futuros falsos positivos.

Tácticas de MITRE: Explotación

Gravedad: media

Inicio de sesión desde una ubicación inusual

(SQL. MariaDB_GeoAnomaly SQL. PostgreSQL_GeoAnomaly SQL. MySQL_GeoAnomaly)

Descripción: alguien que inició sesión en el recurso desde un centro de datos de Azure inusual.

Tácticas de MITRE: Explotación

Gravedad: media

Inicio de sesión desde una dirección IP sospechosa

(SQL. PostgreSQL_SuspiciousIpAnomaly SQL. MariaDB_SuspiciousIpAnomaly SQL. MySQL_SuspiciousIpAnomaly)

Descripción: se ha accedido correctamente al recurso desde una dirección IP asociada a la actividad sospechosa de Microsoft Threat Intelligence.

Tácticas de MITRE: PreAttack

Gravedad: media

Alertas para Resource Manager

Nota

Las alertas con una indicación de acceso delegado se desencadenan debido a la actividad de proveedores de servicios de terceros. obtenga más información sobre las indicaciones de actividad de los proveedores de servicios.

Más detalles y notas

Operación de Azure Resource Manager desde una dirección IP sospechosa

(ARM_OperationFromSuspiciousIP)

Descripción: Microsoft Defender para Resource Manager detectó una operación de una dirección IP marcada como sospechosa en fuentes de inteligencia sobre amenazas.

Tácticas de MITRE: Ejecución

Gravedad: media

Operación de Azure Resource Manager desde una dirección IP de proxy sospechosa

(ARM_OperationFromSuspiciousProxyIP)

Descripción: Microsoft Defender para Resource Manager detectó una operación de administración de recursos desde una dirección IP asociada a servicios proxy, como TOR. Aunque este comportamiento puede ser legítimo, a menudo se considera como actividades malintencionadas, cuando los actores de las amenazas intentan ocultar su dirección IP de origen.

Tácticas de MITRE: Evasión de defensa

Gravedad: media

Kit de herramientas de explotación MicroBurst usado para enumerar los recursos de las suscripciones

(ARM_MicroBurst.AzDomainInfo)

Descripción: se ejecutó un script de PowerShell en la suscripción y realizó un patrón sospechoso de ejecutar operaciones de recopilación de información para detectar recursos, permisos y estructuras de red. Los actores de amenazas usan scripts automatizados, como MicroBurst, para recopilar información de actividades malintencionadas. Esto se ha detectado al analizar las operaciones de Azure Resource Manager de su suscripción. Esta operación puede indicar que se ha infringido una identidad de la organización y que se está intentando atacar su entorno con intenciones malintencionadas.

Tácticas de MITRE: -

Gravedad: baja

Kit de herramientas de explotación MicroBurst usado para enumerar los recursos de las suscripciones

(ARM_MicroBurst.AzureDomainInfo)

Descripción: se ejecutó un script de PowerShell en la suscripción y realizó un patrón sospechoso de ejecutar operaciones de recopilación de información para detectar recursos, permisos y estructuras de red. Los actores de amenazas usan scripts automatizados, como MicroBurst, para recopilar información de actividades malintencionadas. Esto se ha detectado al analizar las operaciones de Azure Resource Manager de su suscripción. Esta operación puede indicar que se ha infringido una identidad de la organización y que se está intentando atacar su entorno con intenciones malintencionadas.

Tácticas de MITRE: -

Gravedad: baja

Kit de herramientas de explotación MicroBurst usado para ejecutar código en la máquina virtual

(ARM_MicroBurst.AzVMBulkCMD)

Descripción: se ejecutó un script de PowerShell en la suscripción y realizó un patrón sospechoso de ejecutar código en una máquina virtual o una lista de máquinas virtuales. Los actores de amenazas usan scripts automatizados, como MicroBurst, para ejecutar un script en una máquina virtual para actividades malintencionadas. Esto se ha detectado al analizar las operaciones de Azure Resource Manager de su suscripción. Esta operación puede indicar que se ha infringido una identidad de la organización y que se está intentando atacar su entorno con intenciones malintencionadas.

Tácticas de MITRE: Ejecución

Gravedad: alta

Kit de herramientas de explotación MicroBurst usado para ejecutar código en la máquina virtual

(RM_MicroBurst.AzureRmVMBulkCMD)

Descripción: el kit de herramientas de explotación de MicroBurst se usó para ejecutar código en las máquinas virtuales. Esto se ha detectado al analizar las operaciones de Azure Resource Manager de su suscripción.

Tácticas de MITRE: -

Gravedad: alta

Kit de herramientas de explotación MicroBurst usado para extraer claves de los almacenes de claves de Azure

(ARM_MicroBurst.AzKeyVaultKeysREST)

Descripción: se ejecutó un script de PowerShell en la suscripción y realizó un patrón sospechoso de extraer claves de una instancia de Azure Key Vault. Los actores de amenazas usan scripts automatizados, como MicroBurst, para enumerar claves y usarlas para acceder a datos confidenciales o realizar un movimiento lateral. Esto se ha detectado al analizar las operaciones de Azure Resource Manager de su suscripción. Esta operación puede indicar que se ha infringido una identidad de la organización y que se está intentando atacar su entorno con intenciones malintencionadas.

Tácticas de MITRE: -

Gravedad: alta

Kit de herramientas de explotación MicroBurst usado para extraer claves de las cuentas de almacenamiento

(ARM_MicroBurst.AZStorageKeysREST)

Descripción: se ejecutó un script de PowerShell en la suscripción y realizó un patrón sospechoso de extraer claves en las cuentas de almacenamiento. Los actores de amenazas usan scripts automatizados, como MicroBurst, para enumerar claves y usarlas para acceder a datos confidenciales en las cuentas de almacenamiento. Esto se ha detectado al analizar las operaciones de Azure Resource Manager de su suscripción. Esta operación puede indicar que se ha infringido una identidad de la organización y que se está intentando atacar su entorno con intenciones malintencionadas.

Tácticas de MITRE: Colección

Gravedad: alta

Kit de herramientas de explotación MicroBurst usado para extraer secretos de los almacenes de claves de Azure

(ARM_MicroBurst.AzKeyVaultSecretsREST)

Descripción: se ejecutó un script de PowerShell en la suscripción y realizó un patrón sospechoso de extraer secretos de una instancia de Azure Key Vault. Los actores de amenazas usan scripts automatizados, como MicroBurst, para enumerar secretos y usarlos para acceder a datos confidenciales o realizar un movimiento lateral. Esto se ha detectado al analizar las operaciones de Azure Resource Manager de su suscripción. Esta operación puede indicar que se ha infringido una identidad de la organización y que se está intentando atacar su entorno con intenciones malintencionadas.

Tácticas de MITRE: -

Gravedad: alta

Kit de herramientas de explotación PowerZure usado para elevar los privilegios de acceso de Azure AD a Azure

(ARM_PowerZure.AzureElevatedPrivileges)

Descripción: el kit de herramientas de explotación de PowerZure se usó para elevar el acceso de AzureAD a Azure. Esto se ha detectado al analizar las operaciones de Azure Resource Manager de su inquilino.

Tácticas de MITRE: -

Gravedad: alta

Kit de herramientas de explotación PowerZure usado para enumerar recursos

(ARM_PowerZure.GetAzureTargets)

Descripción: el kit de herramientas de explotación de PowerZure se usó para enumerar recursos en nombre de una cuenta de usuario legítima en su organización. Esto se ha detectado al analizar las operaciones de Azure Resource Manager de su suscripción.

Tácticas de MITRE: Colección

Gravedad: alta

Kit de herramientas de explotación PowerZure usado para enumerar recursos compartidos, tablas y contenedores de almacenamiento

(ARM_PowerZure.ShowStorageContent)

Descripción: el kit de herramientas de explotación de PowerZure se usó para enumerar los recursos compartidos de almacenamiento, las tablas y los contenedores. Esto se ha detectado al analizar las operaciones de Azure Resource Manager de su suscripción.

Tácticas de MITRE: -

Gravedad: alta

Kit de herramientas de explotación PowerZure usado para ejecutar un runbook en su suscripción

(ARM_PowerZure.StartRunbook)

Descripción: el kit de herramientas de explotación de PowerZure se usó para ejecutar un Runbook. Esto se ha detectado al analizar las operaciones de Azure Resource Manager de su suscripción.

Tácticas de MITRE: -

Gravedad: alta

Kit de herramientas de explotación PowerZure usado para extraer el contenido de runbooks

(ARM_PowerZure.AzureRunbookContent)

Descripción: el kit de herramientas de explotación de PowerZure se usó para extraer contenido de Runbook. Esto se ha detectado al analizar las operaciones de Azure Resource Manager de su suscripción.

Tácticas de MITRE: Colección

Gravedad: alta

VERSIÓN PRELIMINAR: se detectó la ejecución del kit de herramientas de Azurite.

(ARM_Azurite)

Descripción: se ha detectado una ejecución conocida del kit de herramientas de reconocimiento del entorno en la nube en su entorno. Un atacante (o evaluador de penetración) puede usar la herramienta Azurite para asignar recursos de sus suscripciones e identificar configuraciones poco seguras.

Tácticas de MITRE: Colección

Gravedad: alta

VERSIÓN PRELIMINAR: se detectó la creación sospechosa de recursos de proceso

(ARM_SuspiciousComputeCreation)

Descripción: Microsoft Defender para Resource Manager identificó una creación sospechosa de recursos de proceso en la suscripción mediante máquinas virtuales o conjuntos de escalado de Azure. Las operaciones identificadas están diseñadas para permitir que los administradores gestionen los entornos de manera eficaz mediante la implementación de nuevos recursos cuando sea necesario. Si bien es posible que se trate de una actividad legítima, un actor de amenazas podría usar estas operaciones para efectuar criptominería. La actividad se considera sospechosa, ya que la escala de recursos de proceso es superior a la observada anteriormente en la suscripción. Esto puede indicar que la entidad de seguridad está en peligro y se está utilizando de manera malintencionada.

Tácticas de MITRE: Impacto

Gravedad: media

VERSIÓN PRELIMINAR: se detectó una recuperación sospechosa del almacén de claves

(Arm_Suspicious_Vault_Recovering)

Descripción: Microsoft Defender para Resource Manager detectó una operación de recuperación sospechosa para un recurso de almacén de claves eliminado temporalmente. El usuario que recupera el recurso no es el que lo eliminó. Esto es muy sospechoso, ya que el usuario casi nunca invoca dicha operación. Además, el usuario inició sesión sin autenticación multifactor (MFA). lo que puede indicar que el usuario corre peligro y está intentando detectar secretos y claves para obtener acceso a recursos confidenciales, o bien realizar un movimiento lateral a través de la red.

Tácticas de MITRE: Movimiento lateral

Gravedad: media/alta

VERSIÓN PRELIMINAR: se detectó una sesión de administración sospechosa con una cuenta inactiva.

(ARM_UnusedAccountPersistence)

Descripción: el análisis de registros de actividad de suscripción ha detectado un comportamiento sospechoso. Una entidad de seguridad que no se ha usado durante un largo período de tiempo ahora está realizando acciones que pueden garantizar la persistencia de un atacante.

Tácticas de MITRE: Persistencia

Gravedad: media

VERSIÓN PRELIMINAR: invocación sospechosa de una operación de "acceso a credenciales" de alto riesgo por parte de una entidad de servicio detectada

(ARM_AnomalousServiceOperation.CredentialAccess)

Descripción: Microsoft Defender para Resource Manager identificó una invocación sospechosa de una operación de alto riesgo en la suscripción, lo que podría indicar un intento de acceder a las credenciales. Las operaciones identificadas están diseñadas para permitir que los administradores administren los entornos de manera eficaz. Aunque esta actividad podría ser legítima, un actor de amenazas podría usar estas operaciones para acceder a credenciales restringidas y poner en peligro los recursos en su entorno. Esto puede indicar que la entidad de servicio está en peligro y se está utilizando de manera malintencionada.

Tácticas de MITRE: acceso a credenciales

Gravedad: media

VERSIÓN PRELIMINAR: invocación sospechosa de una operación de "recopilación de datos" de alto riesgo por parte de una entidad de servicio detectada

(ARM_AnomalousServiceOperation.Collection)

Descripción: Microsoft Defender para Resource Manager identificó una invocación sospechosa de una operación de alto riesgo en la suscripción, lo que podría indicar un intento de recopilar datos. Las operaciones identificadas están diseñadas para permitir que los administradores administren los entornos de manera eficaz. Aunque esta actividad podría ser legítima, un actor de amenazas podría usar estas operaciones para recopilar información confidencial sobre los recursos de su entorno. Esto puede indicar que la entidad de servicio está en peligro y se está utilizando de manera malintencionada.

Tácticas de MITRE: Colección

Gravedad: media

VERSIÓN PRELIMINAR: invocación sospechosa de una operación de "evasión de defensa" de alto riesgo por parte de una entidad de servicio detectada

(ARM_AnomalousServiceOperation.DefenseEvasion)

Descripción: Microsoft Defender para Resource Manager identificó una invocación sospechosa de una operación de alto riesgo en su suscripción, lo que podría indicar un intento de eludir las defensas. Las operaciones identificadas están diseñadas para permitir que los administradores administren la posición de seguridad de los entornos. Aunque esta actividad puede ser legítima, un actor de amenazas podría usar estas operaciones para evitar detectarse al poner en peligro los recursos del entorno. Esto puede indicar que la entidad de servicio está en peligro y se está utilizando de manera malintencionada.

Tácticas de MITRE: Evasión de defensa

Gravedad: media

VERSIÓN PRELIMINAR: invocación sospechosa de una operación de "ejecución" de alto riesgo por parte de una entidad de servicio detectada

(ARM_AnomalousServiceOperation.Execution)

Descripción: Microsoft Defender para Resource Manager identificó una invocación sospechosa de una operación de alto riesgo en una máquina de la suscripción, lo que podría indicar un intento de ejecutar código. Las operaciones identificadas están diseñadas para permitir que los administradores administren los entornos de manera eficaz. Aunque esta actividad podría ser legítima, un actor de amenazas podría usar estas operaciones para acceder a credenciales restringidas y poner en peligro los recursos en su entorno. Esto puede indicar que la entidad de servicio está en peligro y se está utilizando de manera malintencionada.

Tácticas de MITRE: Ejecución de defensa

Gravedad: media

VERSIÓN PRELIMINAR: invocación sospechosa de una operación de "impacto" de alto riesgo por parte de una entidad de servicio detectada

(ARM_AnomalousServiceOperation.Impact)

Descripción: Microsoft Defender para Resource Manager identificó una invocación sospechosa de una operación de alto riesgo en la suscripción, lo que podría indicar un cambio de configuración intentado. Las operaciones identificadas están diseñadas para permitir que los administradores administren los entornos de manera eficaz. Aunque esta actividad podría ser legítima, un actor de amenazas podría usar estas operaciones para acceder a credenciales restringidas y poner en peligro los recursos en su entorno. Esto puede indicar que la entidad de servicio está en peligro y se está utilizando de manera malintencionada.

Tácticas de MITRE: Impacto

Gravedad: media

VERSIÓN PRELIMINAR: invocación sospechosa de una operación de "acceso inicial" de alto riesgo por parte de una entidad de servicio detectada

(ARM_AnomalousServiceOperation.InitialAccess)

Descripción: Microsoft Defender para Resource Manager identificó una invocación sospechosa de una operación de alto riesgo en la suscripción, lo que podría indicar un intento de acceder a los recursos restringidos. Las operaciones identificadas están diseñadas para permitir que los administradores accedan a los entornos de manera eficaz. Aunque esta actividad podría ser legítima, un actor de amenazas podría usar estas operaciones para obtener acceso inicial a recursos restringidos en su entorno. Esto puede indicar que la entidad de servicio está en peligro y se está utilizando de manera malintencionada.

Tácticas de MITRE: acceso inicial

Gravedad: media

VERSIÓN PRELIMINAR: invocación sospechosa de una operación de "acceso de desplazamiento lateral" de alto riesgo por parte de una entidad de servicio detectada

(ARM_AnomalousServiceOperation.LateralMovement)

Descripción: Microsoft Defender para Resource Manager identificó una invocación sospechosa de una operación de alto riesgo en la suscripción, lo que podría indicar un intento de realizar un movimiento lateral. Las operaciones identificadas están diseñadas para permitir que los administradores administren los entornos de manera eficaz. Aunque esta actividad podría ser legítima, un actor de amenazas podría usar estas operaciones para poner en peligro más recursos en su entorno. Esto puede indicar que la entidad de servicio está en peligro y se está utilizando de manera malintencionada.

Tácticas de MITRE: Movimiento lateral

Gravedad: media

VERSIÓN PRELIMINAR: invocación sospechosa de una operación de "persistencia" de alto riesgo por parte de una entidad de servicio detectada

(ARM_AnomalousServiceOperation.Persistence)

Descripción: Microsoft Defender para Resource Manager identificó una invocación sospechosa de una operación de alto riesgo en la suscripción, lo que podría indicar un intento de establecer la persistencia. Las operaciones identificadas están diseñadas para permitir que los administradores administren los entornos de manera eficaz. Aunque esta actividad puede ser legítima, un actor de amenazas podría usar estas operaciones para establecer la persistencia en su entorno. Esto puede indicar que la entidad de servicio está en peligro y se está utilizando de manera malintencionada.

Tácticas de MITRE: Persistencia

Gravedad: media

VERSIÓN PRELIMINAR: invocación sospechosa de una operación de "elevación de privilegios" de alto riesgo por parte de una entidad de servicio detectada

(ARM_AnomalousServiceOperation.PrivilegeEscalation)

Descripción: Microsoft Defender para Resource Manager identificó una invocación sospechosa de una operación de alto riesgo en la suscripción, lo que podría indicar un intento de escalar privilegios. Las operaciones identificadas están diseñadas para permitir que los administradores administren los entornos de manera eficaz. Aunque esta actividad puede ser legítima, un actor de amenazas podría usar estas operaciones para escalar privilegios al tiempo que pone en peligro los recursos en su entorno. Esto puede indicar que la entidad de servicio está en peligro y se está utilizando de manera malintencionada.

Tácticas de MITRE: escalación de privilegios

Gravedad: media

VERSIÓN PRELIMINAR: se detectó una sesión de administración sospechosa con una cuenta inactiva.

(ARM_UnusedAccountPersistence)

Descripción: el análisis de registros de actividad de suscripción ha detectado un comportamiento sospechoso. Una entidad de seguridad que no se ha usado durante un largo período de tiempo ahora está realizando acciones que pueden garantizar la persistencia de un atacante.

Tácticas de MITRE: Persistencia

Gravedad: media

VERSIÓN PRELIMINAR: se detectó una sesión de administración sospechosa que usa PowerShell.

(ARM_UnusedAppPowershellPersistence)

Descripción: el análisis de registros de actividad de suscripción ha detectado un comportamiento sospechoso. Una entidad de seguridad que no usa con frecuencia PowerShell para administrar el entorno de suscripción ahora usa PowerShell y realiza acciones que pueden garantizar la persistencia de un atacante.

Tácticas de MITRE: Persistencia

Gravedad: media

VERSIÓN PRELIMINAR: sesión de administración sospechosa mediante Azure Portal detectada

(ARM_UnusedAppIbizaPersistence)

Descripción: el análisis de los registros de actividad de suscripción ha detectado un comportamiento sospechoso. Una entidad de seguridad que normalmente no usa Azure Portal (Ibiza) para administrar el entorno de la suscripción (no ha usado Azure Portal para la administración durante los últimos 45 días, ni una suscripción que administra de manera activa), ahora usa Azure Portal y realiza acciones que pueden garantizar la persistencia de un atacante.

Tácticas de MITRE: Persistencia

Gravedad: media

Rol personalizado con privilegios creado para la suscripción de forma sospechosa (versión preliminar)

(ARM_PrivilegedRoleDefinitionCreation)

Descripción: Microsoft Defender para Resource Manager detectó una creación sospechosa de la definición de roles personalizados con privilegios en la suscripción. Es posible que un usuario legítimo de su organización haya realizado esta operación. Como alternativa, podría indicar que se ha vulnerado una cuenta de la organización y que el actor de la amenaza intenta crear un rol con privilegios para usarlo en el futuro para eludir la detección.

Tácticas de MITRE: Elevación de privilegios, evasión de defensa

Gravedad: informativo

Se detectó una asignación de roles de Azure sospechosa (versión preliminar)

(ARM_AnomalousRBACRoleAssignment)

Descripción: Microsoft Defender para Resource Manager identificó una asignación de roles de Azure sospechosa o realizada mediante PIM (Privileged Identity Management) en el inquilino, lo que podría indicar que una cuenta de la organización estaba en peligro. Las operaciones identificadas están diseñadas para que los administradores concedan a las entidades de seguridad acceso a los recursos de Azure. Aunque esta actividad podría ser legítima, un actor de amenazas podría usar la asignación de roles para escalar sus permisos, lo que les permite avanzar en su ataque.

Tácticas de MITRE: Movimiento lateral, Evasión de defensa

Gravedad: Baja (PIM) / Alta

Se detectó la invocación sospechosa de una operación de "acceso a credenciales" de alto riesgo (versión preliminar)

(ARM_AnomalousOperation.CredentialAccess)

Descripción: Microsoft Defender para Resource Manager identificó una invocación sospechosa de una operación de alto riesgo en la suscripción, lo que podría indicar un intento de acceder a las credenciales. Las operaciones identificadas están diseñadas para permitir que los administradores accedan a los entornos de manera eficaz. Aunque esta actividad podría ser legítima, un actor de amenazas podría usar estas operaciones para acceder a credenciales restringidas y poner en peligro los recursos en su entorno. Esto puede indicar que la cuenta está en peligro y se está utilizando de manera malintencionada.

Tácticas de MITRE: Acceso a credenciales

Gravedad: media

Se detectó la invocación sospechosa de una operación de "colección de datos" de alto riesgo (versión preliminar)

(ARM_AnomalousOperation.Collection)

Descripción: Microsoft Defender para Resource Manager identificó una invocación sospechosa de una operación de alto riesgo en la suscripción, lo que podría indicar un intento de recopilar datos. Las operaciones identificadas están diseñadas para permitir que los administradores administren los entornos de manera eficaz. Aunque esta actividad podría ser legítima, un actor de amenazas podría usar estas operaciones para recopilar información confidencial sobre los recursos de su entorno. Esto puede indicar que la cuenta está en peligro y se está utilizando de manera malintencionada.

Tácticas de MITRE: Colección

Gravedad: media

Se detectó la invocación sospechosa de una operación de "evasión defensiva" de alto riesgo (versión preliminar)

(ARM_AnomalousOperation.DefenseEvasion)

Descripción: Microsoft Defender para Resource Manager identificó una invocación sospechosa de una operación de alto riesgo en su suscripción, lo que podría indicar un intento de eludir las defensas. Las operaciones identificadas están diseñadas para permitir que los administradores administren la posición de seguridad de los entornos. Aunque esta actividad puede ser legítima, un actor de amenazas podría usar estas operaciones para evitar detectarse al poner en peligro los recursos del entorno. Esto puede indicar que la cuenta está en peligro y se está utilizando de manera malintencionada.

Tácticas de MITRE: Evasión de defensa

Gravedad: media

Se detectó la invocación sospechosa de una operación de "ejecución" de alto riesgo (versión preliminar)

(ARM_AnomalousOperation.Execution)

Descripción: Microsoft Defender para Resource Manager identificó una invocación sospechosa de una operación de alto riesgo en una máquina de la suscripción, lo que podría indicar un intento de ejecutar código. Las operaciones identificadas están diseñadas para permitir que los administradores administren los entornos de manera eficaz. Aunque esta actividad podría ser legítima, un actor de amenazas podría usar estas operaciones para acceder a credenciales restringidas y poner en peligro los recursos en su entorno. Esto puede indicar que la cuenta está en peligro y se está utilizando de manera malintencionada.

Tácticas de MITRE: Ejecución

Gravedad: media

Se detectó la invocación sospechosa de una operación de "impacto" de alto riesgo (versión preliminar)

(ARM_AnomalousOperation.Impact)

Descripción: Microsoft Defender para Resource Manager identificó una invocación sospechosa de una operación de alto riesgo en la suscripción, lo que podría indicar un cambio de configuración intentado. Las operaciones identificadas están diseñadas para permitir que los administradores administren los entornos de manera eficaz. Aunque esta actividad podría ser legítima, un actor de amenazas podría usar estas operaciones para acceder a credenciales restringidas y poner en peligro los recursos en su entorno. Esto puede indicar que la cuenta está en peligro y se está utilizando de manera malintencionada.

Tácticas de MITRE: Impacto

Gravedad: media

Se detectó la invocación sospechosa de una operación de "acceso inicial" de alto riesgo (versión preliminar)

(ARM_AnomalousOperation.InitialAccess)

Descripción: Microsoft Defender para Resource Manager identificó una invocación sospechosa de una operación de alto riesgo en la suscripción, lo que podría indicar un intento de acceder a los recursos restringidos. Las operaciones identificadas están diseñadas para permitir que los administradores accedan a los entornos de manera eficaz. Aunque esta actividad podría ser legítima, un actor de amenazas podría usar estas operaciones para obtener acceso inicial a recursos restringidos en su entorno. Esto puede indicar que la cuenta está en peligro y se está utilizando de manera malintencionada.

Tácticas de MITRE: acceso inicial

Gravedad: media

Se detectó la invocación sospechosa de una operación de "desplazamiento lateral" de alto riesgo (versión preliminar)

(ARM_AnomalousOperation.LateralMovement)

Descripción: Microsoft Defender para Resource Manager identificó una invocación sospechosa de una operación de alto riesgo en la suscripción, lo que podría indicar un intento de realizar un movimiento lateral. Las operaciones identificadas están diseñadas para permitir que los administradores administren los entornos de manera eficaz. Aunque esta actividad podría ser legítima, un actor de amenazas podría usar estas operaciones para poner en peligro más recursos en su entorno. Esto puede indicar que la cuenta está en peligro y se está utilizando de manera malintencionada.

Tácticas de MITRE: Movimiento lateral

Gravedad: media

Operación de acceso elevado sospechosa (versión preliminar)(ARM_AnomalousElevateAccess)

Descripción: Microsoft Defender para Resource Manager identificó una operación sospechosa de "Elevar acceso". La actividad se considera sospechosa, ya que esta entidad de seguridad rara vez invoca dichas operaciones. Aunque esta actividad puede ser legítima, un actor de amenazas podría usar una operación de "Elevación del acceso" para realizar la elevación de privilegios para un usuario en peligro.

Tácticas de MITRE: Elevación de privilegios

Gravedad: media

Se detectó la invocación sospechosa de una operación de "persistencia" de alto riesgo (versión preliminar)

(ARM_AnomalousOperation.Persistence)

Descripción: Microsoft Defender para Resource Manager identificó una invocación sospechosa de una operación de alto riesgo en la suscripción, lo que podría indicar un intento de establecer la persistencia. Las operaciones identificadas están diseñadas para permitir que los administradores administren los entornos de manera eficaz. Aunque esta actividad puede ser legítima, un actor de amenazas podría usar estas operaciones para establecer la persistencia en su entorno. Esto puede indicar que la cuenta está en peligro y se está utilizando de manera malintencionada.

Tácticas de MITRE: Persistencia

Gravedad: media

Se detectó la invocación sospechosa de una operación de "elevación de privilegios" de alto riesgo (versión preliminar)

(ARM_AnomalousOperation.PrivilegeEscalation)

Descripción: Microsoft Defender para Resource Manager identificó una invocación sospechosa de una operación de alto riesgo en la suscripción, lo que podría indicar un intento de escalar privilegios. Las operaciones identificadas están diseñadas para permitir que los administradores administren los entornos de manera eficaz. Aunque esta actividad puede ser legítima, un actor de amenazas podría usar estas operaciones para escalar privilegios al tiempo que pone en peligro los recursos en su entorno. Esto puede indicar que la cuenta está en peligro y se está utilizando de manera malintencionada.

Tácticas de MITRE: Elevación de privilegios

Gravedad: media

Uso del kit de herramientas de explotación MicroBurst para ejecutar un código arbitrario o extraer credenciales de usuario de Azure Automation

(ARM_MicroBurst.RunCodeOnBehalf)

Descripción: se ejecutó un script de PowerShell en la suscripción y realizó un patrón sospechoso de ejecutar un código arbitrario o filtrar las credenciales de la cuenta de Azure Automation. Los actores de amenazas usan scripts automatizados, como MicroBurst, para ejecutar código arbitrario para actividades malintencionadas. Esto se ha detectado al analizar las operaciones de Azure Resource Manager de su suscripción. Esta operación puede indicar que se ha infringido una identidad de la organización y que se está intentando atacar su entorno con intenciones malintencionadas.

Tácticas de MITRE: persistencia, acceso a credenciales

Gravedad: alta

Uso de técnicas de NetSPI para mantener la persistencia en el entorno de Azure

(ARM_NetSPI.MaintainPersistence)

Descripción: uso de la técnica de persistencia de NetSPI para crear una puerta trasera de webhook y mantener la persistencia en el entorno de Azure. Esto se ha detectado al analizar las operaciones de Azure Resource Manager de su suscripción.

Tácticas de MITRE: -

Gravedad: alta

Uso del kit de herramientas de explotación PowerZure para ejecutar un código arbitrario o extraer credenciales de cuenta de Azure Automation

(ARM_PowerZure.RunCodeOnBehalf)

Descripción: El kit de herramientas de explotación de PowerZure detectó intentos de ejecución de código o filtración de credenciales de cuenta de Azure Automation. Esto se ha detectado al analizar las operaciones de Azure Resource Manager de su suscripción.

Tácticas de MITRE: -

Gravedad: alta

Uso de la función PowerZure para mantener la persistencia en el entorno de Azure

(ARM_PowerZure.MaintainPersistence)

Descripción: El kit de herramientas de explotación de PowerZure detectó la creación de un backdoor de webhook para mantener la persistencia en el entorno de Azure. Esto se ha detectado al analizar las operaciones de Azure Resource Manager de su suscripción.

Tácticas de MITRE: -

Gravedad: alta

Se detectó una asignación de roles clásica sospechosa (versión preliminar)

(ARM_AnomalousClassicRoleAssignment)

Descripción: Microsoft Defender para Resource Manager identificó una asignación de roles clásica sospechosa en el inquilino, lo que podría indicar que una cuenta de su organización estaba en peligro. Las operaciones identificadas están diseñadas para proporcionar compatibilidad con versiones anteriores con roles clásicos que ya no suelen usarse. Aunque esta actividad podría ser legítima, un actor de amenazas podría usar dicha asignación para conceder permisos a otra cuenta de usuario bajo su control.

Tácticas de MITRE: Movimiento lateral, Evasión de defensa

Gravedad: alta

Alertas de Azure Storage

Más detalles y notas

Acceso desde una aplicación sospechosa

(Storage.Blob_SuspiciousApp)

Descripción: indica que una aplicación sospechosa ha accedido correctamente a un contenedor de una cuenta de almacenamiento con autenticación. Esto puede indicar que un atacante ha obtenido las credenciales necesarias para acceder a la cuenta y está aprovechando sus vulnerabilidades de seguridad. Esto también podría ser una indicación de una prueba de penetración realizada en su organización. Se aplica a: Azure Blob Storage, Azure Data Lake Storage Gen2

Tácticas de MITRE: acceso inicial

Gravedad: Alta/Media

Acceso desde una dirección IP sospechosa

(Storage.Blob_SuspiciousIp Storage.Files_SuspiciousIp)

Descripción: indica que se ha accedido correctamente a esta cuenta de almacenamiento desde una dirección IP que se considera sospechosa. Esta alerta está basada en la inteligencia sobre amenazas de Microsoft. Obtenga más información sobre las funcionalidades de inteligencia sobre amenazas de Microsoft. Se aplica a: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2

Tácticas de MITRE: Ataque previo

Gravedad: Alto/Medio/Bajo

Contenido de suplantación de identidad (phishing) hospedado en una cuenta de almacenamiento

(Storage.Blob_PhishingContent Storage.Files_PhishingContent)

Descripción: una dirección URL que se usa en un ataque de suplantación de identidad (phishing) apunta a la cuenta de Azure Storage. Esta dirección URL formaba parte de un ataque de suplantación de identidad que afectaba a los usuarios de Microsoft 365. Normalmente, el contenido hospedado en esas páginas está diseñado para engañar a los visitantes para que escriban sus credenciales corporativas o información financiera en un formulario web que parece legítimo. Esta alerta está basada en la inteligencia sobre amenazas de Microsoft. Obtenga más información sobre las funcionalidades de inteligencia sobre amenazas de Microsoft. Se aplica a: Azure Blob Storage, Azure Files

Tácticas de MITRE: Colección

Gravedad: alta

La cuenta de almacenamiento se ha identificado como un origen para la distribución de malware.

(Storage.Files_WidespreadeAm)

Descripción: las alertas antimalware indican que los archivos infectados se almacenan en un recurso compartido de archivos de Azure montado en varias máquinas virtuales. Si los atacantes obtienen acceso a una máquina virtual con un recurso compartido de archivos de Azure montado, pueden usarlo para propagar malware a otras máquinas virtuales que monten el mismo recurso compartido. Se aplica a: Azure Files

Tácticas de MITRE: Ejecución

Gravedad: media

Se cambió el nivel de acceso de un contenedor de blobs de almacenamiento potencialmente confidencial para permitir el acceso público no autenticado

(Storage.Blob_OpenACL)

Descripción: la alerta indica que alguien ha cambiado el nivel de acceso de un contenedor de blobs en la cuenta de almacenamiento, que puede contener datos confidenciales, al nivel "Contenedor", para permitir el acceso público no autenticado (anónimo). El cambio se realizó a través del Azure Portal. Basándose en un análisis estadístico, el contenedor de blob se marca como posible contenedor de datos confidenciales. Este análisis sugiere que los contenedores de blobs o las cuentas de almacenamiento con nombres similares no suelen estar expuestos al acceso público. Se aplica a: cuentas de almacenamiento de blob (estándar de uso general v2, Azure Data Lake Storage Gen2 o blobs en bloques Premium).

Tácticas de MITRE: Colección

Gravedad: media

Acceso autenticado desde un nodo de salida de Tor

(Storage.Blob_TorAnomaly Storage.Files_TorAnomaly)

Descripción: se ha accedido correctamente a uno o varios contenedores de almacenamiento o recursos compartidos de archivos de la cuenta de almacenamiento desde una dirección IP conocida como un nodo de salida activo de Tor (un proxy anonimizado). Los actores de amenazas usan Tor para dificultar el seguimiento de la actividad. El acceso autenticado desde un nodo de salida de Tor es una indicación probable de que un actor de amenazas está intentando ocultar su identidad. Se aplica a: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2

Tácticas de MITRE: acceso inicial/ataque previo

Gravedad: Alta/Media

Acceso desde una ubicación inusual a una cuenta de almacenamiento

(Storage.Blob_GeoAnomaly Storage.Files_GeoAnomaly)

Descripción: indica que se ha producido un cambio en el patrón de acceso a una cuenta de Azure Storage. Alguien accedió a esta cuenta desde una dirección IP que se considera desconocida en comparación con la actividad reciente. Un atacante obtuvo acceso a la cuenta o un usuario legítimo se conectó desde una ubicación geográfica nueva o inusual. Un ejemplo de esto último es el mantenimiento remoto desde una nueva aplicación o desarrollador. Se aplica a: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2

Tácticas de MITRE: acceso inicial

Gravedad: Alto/Medio/Bajo

Acceso no autenticado inusual a un contenedor de almacenamiento

(Storage.Blob_AnonymousAccessAnomaly)

Descripción: se ha accedido a esta cuenta de almacenamiento sin autenticación, que es un cambio en el patrón de acceso común. El acceso de lectura a este contenedor normalmente se autentica. Esto podría indicar que un actor de amenazas ha podido aprovechar el acceso de lectura público a los contenedores de almacenamiento de esta cuenta de almacenamiento. Se aplica a: Azure Blob Storage

Tácticas de MITRE: acceso inicial

Gravedad: Alta/Baja

Posible malware cargado en una cuenta de almacenamiento

(Storage.Blob_MalwareHashReputation Storage.Files_MalwareHashReputation)

Descripción: indica que un blob que contiene malware potencial se ha cargado en un contenedor de blobs o un recurso compartido de archivos en una cuenta de almacenamiento. Esta alerta se basa en el análisis de reputación de hash que aprovecha la eficacia de la inteligencia sobre amenazas de Microsoft, que incluye los valores hash de virus, troyanos, spyware y ransomware. Las posibles causas pueden incluir una carga intencionada de malware por parte de un atacante o una carga involuntaria de un blob potencialmente malintencionado por parte de un usuario legítimo. Se aplica a: Azure Blob Storage, Azure Files (solo para transacciones a través de la API REST) Obtenga más información sobre las funcionalidades de inteligencia sobre amenazas de Microsoft.

Tácticas de MITRE: Movimiento lateral

Gravedad: alta

Contenedores de almacenamiento accesibles públicamente detectados correctamente

(Storage.Blob_OpenContainersScanning.SuccessfulDiscovery)

Descripción: una detección correcta de contenedores de almacenamiento abiertos públicamente en la cuenta de almacenamiento se realizó en la última hora mediante un script de examen o herramienta.

Esto suele indicar un ataque de reconocimiento, donde el actor de amenazas intenta enumerar blobs mediante la suposición de nombres de contenedor, con la esperanza de encontrar contenedores de almacenamiento abiertos incorrectamente configurados que incluyan información confidencial.

El actor de amenazas puede usar su propio script o usar herramientas de examen conocidas como Microburst para buscar contenedores abiertos públicamente.

✔ Azure Blob Storage ✖ Azure Files ✖ Azure Data Lake Storage Gen2

Tácticas de MITRE: Colección

Gravedad: Alta/Media

Intentos fallidos de búsqueda en contenedores de almacenamiento públicamente accesibles

(Storage.Blob_OpenContainersScanning.FailedAttempt)

Descripción: en la última hora se realizaron una serie de intentos erróneos de buscar contenedores de almacenamiento abiertos públicamente.

Esto suele indicar un ataque de reconocimiento, donde el actor de amenazas intenta enumerar blobs mediante la suposición de nombres de contenedor, con la esperanza de encontrar contenedores de almacenamiento abiertos incorrectamente configurados que incluyan información confidencial.

El actor de amenazas puede usar su propio script o usar herramientas de examen conocidas como Microburst para buscar contenedores abiertos públicamente.

✔ Azure Blob Storage ✖ Azure Files ✖ Azure Data Lake Storage Gen2

Tácticas de MITRE: Colección

Gravedad: Alta/Baja

Inspección de acceso inusual en una cuenta de almacenamiento

(Storage.Blob_AccessInspectionAnomaly Storage.Files_AccessInspectionAnomaly)

Descripción: indica que los permisos de acceso de una cuenta de almacenamiento se han inspeccionado de forma inusual, en comparación con la actividad reciente de esta cuenta. Una posible causa es que un atacante ha realizado un reconocimiento para un ataque futuro. Se aplica a: Azure Blob Storage, Azure Files

Tácticas de MITRE: Detección

Gravedad: Alta/Media

Cantidad inusual de datos extraídos de una cuenta de almacenamiento

(Storage.Blob_DataExfiltration.AmountOfDataAnomaly Storage.Blob_DataExfiltration.NumberOfBlobsAnomaly Storage.Files_DataExfiltration.AmountOfDataAnomaly Storage.Files_DataExfiltration.NumberOfFilesAnomaly)

Descripción: indica que se ha extraído una cantidad inusualmente grande de datos en comparación con la actividad reciente en este contenedor de almacenamiento. Una causa posible es que un atacante haya extraído una gran cantidad de datos de un contenedor que incluye almacenamiento en blobs. Se aplica a: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2

Tácticas de MITRE: Filtración

Gravedad: Alta/Baja

Acceso de una aplicación inusual a una cuenta de almacenamiento

(Storage.Blob_ApplicationAnomaly Storage.Files_ApplicationAnomaly)

Descripción: indica que una aplicación inusual ha accedido a esta cuenta de almacenamiento. Una posible causa es que un atacante ha accedido a la cuenta de almacenamiento mediante el uso de una aplicación nueva. Se aplica a: Azure Blob Storage, Azure Files

Tácticas de MITRE: Ejecución

Gravedad: Alta/Media

Exploración de datos inusual en una cuenta de almacenamiento

(Storage.Blob_DataExplorationAnomaly Storage.Files_DataExplorationAnomaly)

Descripción: indica que los blobs o contenedores de una cuenta de almacenamiento se han enumerado de forma anómala, en comparación con la actividad reciente de esta cuenta. Una posible causa es que un atacante ha realizado un reconocimiento para un ataque futuro. Se aplica a: Azure Blob Storage, Azure Files

Tácticas de MITRE: Ejecución

Gravedad: Alta/Media

Eliminación inusual en una cuenta de almacenamiento

(Storage.Blob_DeletionAnomaly Storage.Files_DeletionAnomaly)

Descripción: indica que se han producido una o varias operaciones de eliminación inesperadas en una cuenta de almacenamiento, en comparación con la actividad reciente de esta cuenta. Una posible causa es que un atacante haya eliminado datos de la cuenta de almacenamiento. Se aplica a: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2

Tácticas de MITRE: Filtración

Gravedad: Alta/Media

Acceso público no autenticado inusual a un contenedor de blobs confidencial (versión preliminar)

Storage.Blob_AnonymousAccessAnomaly.Sensitive

Descripción: la alerta indica que alguien ha accedido a un contenedor de blobs con datos confidenciales en la cuenta de almacenamiento sin autenticación, mediante una dirección IP externa (pública). Este acceso es sospechoso, ya que el contenedor de blobs está abierto al acceso público y normalmente solo se accede a él con autenticación desde redes internas (direcciones IP privadas). Este acceso podría indicar que el nivel de acceso del contenedor de blobs está mal configurado y que un actor malintencionado podría haber aprovechado el acceso público. La alerta de seguridad incluye el contexto de información confidencial detectado (tiempo de examen, etiqueta de clasificación, tipos de información y tipos de archivo). Obtenga más información sobre la detección de amenazas de datos confidenciales. Se aplica a: Cuentas de almacenamiento de Azure Blob (estándar de uso general v2, Azure Data Lake Storage Gen2 o blobs en bloques Premium) con el nuevo plan de Defender para Storage con la característica de detección de amenazas de confidencialidad de datos habilitada.

Tácticas de MITRE: acceso inicial

Gravedad: alta

Cantidad inusual de datos extraídos de un contenedor de blobs confidenciales (versión preliminar)

Storage.Blob_DataExfiltration.AmountOfDataAnomaly.Sensitive

Descripción: la alerta indica que alguien ha extraído una cantidad inusualmente grande de datos de un contenedor de blobs con datos confidenciales en la cuenta de almacenamiento. Se aplica a: Cuentas de almacenamiento de Azure Blob (estándar de uso general v2, Azure Data Lake Storage Gen2 o blobs en bloques Premium) con el nuevo plan de Defender para Storage con la característica de detección de amenazas de confidencialidad de datos habilitada.

Tácticas de MITRE: Filtración

Gravedad: media

Cantidad inusual de número de blobs extraídos de un contenedor de blobs confidenciales (versión preliminar)

Storage.Blob_DataExfiltration.NumberOfBlobsAnomaly.Sensitive

Descripción: la alerta indica que alguien ha extraído un número inusualmente grande de blobs de un contenedor de blobs con datos confidenciales en la cuenta de almacenamiento. Se aplica a: Cuentas de almacenamiento de Azure Blob (estándar de uso general v2, Azure Data Lake Storage Gen2 o blobs en bloques Premium) con el nuevo plan de Defender para Storage con la característica de detección de amenazas de confidencialidad de datos habilitada.

Tácticas de MITRE: Filtración

Acceso desde una aplicación sospechosa conocida a un contenedor de blobs confidencial (versión preliminar)

Storage.Blob_SuspiciousApp.Sensitive

Descripción: la alerta indica que alguien con una aplicación sospechosa conocida accedió a un contenedor de blobs con datos confidenciales en la cuenta de almacenamiento y realizó operaciones autenticadas.
El acceso podría indicar que un actor de amenazas obtuvo credenciales para acceder a la cuenta de almacenamiento mediante una aplicación sospechosa conocida. Sin embargo, el acceso también podría indicar una prueba de penetración realizada en la organización. Se aplica a: Cuentas de almacenamiento de Azure Blob (estándar de uso general v2, Azure Data Lake Storage Gen2 o blobs en bloques Premium) con el nuevo plan de Defender para Storage con la característica de detección de amenazas de confidencialidad de datos habilitada.

Tácticas de MITRE: acceso inicial

Gravedad: alta

Acceso desde una dirección IP sospechosa conocida a un contenedor de blobs confidencial (versión preliminar)

Storage.Blob_SuspiciousIp.Sensitive

Descripción: la alerta indica que alguien ha accedido a un contenedor de blobs con datos confidenciales en la cuenta de almacenamiento desde una dirección IP sospechosa conocida asociada a la inteligencia sobre amenazas de Microsoft Threat Intelligence. Dado que el acceso se ha autenticado, es posible que las credenciales que permitan el acceso a esta cuenta de almacenamiento se hayan puesto en peligro. Obtenga más información sobre las funcionalidades de inteligencia sobre amenazas de Microsoft. Se aplica a: Cuentas de almacenamiento de Azure Blob (estándar de uso general v2, Azure Data Lake Storage Gen2 o blobs en bloques Premium) con el nuevo plan de Defender para Storage con la característica de detección de amenazas de confidencialidad de datos habilitada.

Tácticas de MITRE: Pre-Attack

Gravedad: alta

Acceso desde un nodo de salida de Tor a un contenedor de blobs confidencial (versión preliminar)

Storage.Blob_TorAnomaly.Sensitive

Descripción: la alerta indica que alguien con una dirección IP conocida como un nodo de salida de Tor accedió a un contenedor de blobs con datos confidenciales en la cuenta de almacenamiento con acceso autenticado. El acceso autenticado desde un nodo de salida de Tor indica fuertemente que el actor está intentando permanecer anónimo para una posible intención malintencionada. Dado que el acceso se ha autenticado, es posible que las credenciales que permitan el acceso a esta cuenta de almacenamiento se hayan puesto en peligro. Se aplica a: Cuentas de almacenamiento de Azure Blob (estándar de uso general v2, Azure Data Lake Storage Gen2 o blobs en bloques Premium) con el nuevo plan de Defender para Storage con la característica de detección de amenazas de confidencialidad de datos habilitada.

Tácticas de MITRE: Pre-Attack

Gravedad: alta

Acceso desde una ubicación inusual a un contenedor de blobs confidencial (versión preliminar)

Storage.Blob_GeoAnomaly.Sensitive

Descripción: la alerta indica que alguien ha accedido al contenedor de blobs con datos confidenciales en la cuenta de almacenamiento con autenticación desde una ubicación inusual. Dado que el acceso se ha autenticado, es posible que las credenciales que permitan el acceso a esta cuenta de almacenamiento se hayan puesto en peligro. Se aplica a: Cuentas de almacenamiento de Azure Blob (estándar de uso general v2, Azure Data Lake Storage Gen2 o blobs en bloques Premium) con el nuevo plan de Defender para Storage con la característica de detección de amenazas de confidencialidad de datos habilitada.

Tácticas de MITRE: acceso inicial

Gravedad: media

Se cambió el nivel de acceso de un contenedor de blobs de almacenamiento confidencial para permitir el acceso público no autenticado (versión preliminar)

Storage.Blob_OpenACL.Sensitive

Descripción: la alerta indica que alguien ha cambiado el nivel de acceso de un contenedor de blobs en la cuenta de almacenamiento, que contiene datos confidenciales, al nivel "Contenedor", que permite el acceso público no autenticado (anónimo). El cambio se realizó a través del Azure Portal. El cambio de nivel de acceso podría poner en peligro la seguridad de los datos. Se recomienda tomar medidas inmediatas para proteger los datos y evitar el acceso no autorizado en caso de que se desencadene esta alerta. Se aplica a: Cuentas de almacenamiento de Azure Blob (estándar de uso general v2, Azure Data Lake Storage Gen2 o blobs en bloques Premium) con el nuevo plan de Defender para Storage con la característica de detección de amenazas de confidencialidad de datos habilitada.

Tácticas de MITRE: Colección

Gravedad: alta

Acceso externo sospechoso a una cuenta de almacenamiento de Azure con un token de SAS excesivamente permisivo (versión preliminar)

Storage.Blob_AccountSas.InternalSasUsedExternally

Descripción: la alerta indica que alguien con una dirección IP externa (pública) a la que ha accedido la cuenta de almacenamiento mediante un token de SAS excesivamente permisivo con una fecha de expiración larga. Este tipo de acceso se considera sospechoso porque el token de SAS solo se usa normalmente en redes internas (desde direcciones IP privadas). La actividad puede indicar que un actor malintencionado ha filtrado un token de SAS o se ha filtrado involuntariamente de un origen legítimo. Incluso si el acceso es legítimo, el uso de un token de SAS de permisos elevados con una fecha de expiración larga va en contra de los procedimientos recomendados de seguridad y supone un riesgo de seguridad potencial. Se aplica a: Cuentas de almacenamiento de Azure Blob (estándar de uso general v2, Azure Data Lake Storage Gen2 o blobs en bloques Premium) con el nuevo plan de Defender para Storage.

Tácticas de MITRE: Filtración/Desarrollo de recursos/Impacto

Gravedad: media

Operación externa sospechosa en una cuenta de almacenamiento de Azure con un token de SAS excesivamente permisivo (versión preliminar)

Storage.Blob_AccountSas.UnusualOperationFromExternalIp

Descripción: la alerta indica que alguien con una dirección IP externa (pública) a la que ha accedido la cuenta de almacenamiento mediante un token de SAS excesivamente permisivo con una fecha de expiración larga. El acceso se considera sospechoso porque las operaciones invocadas fuera de la red (no desde direcciones IP privadas) con este token de SAS se suelen usar para un conjunto específico de operaciones de lectura, escritura y eliminación, pero se han producido otras operaciones, lo que hace que este acceso sea sospechoso. Esta actividad puede indicar que un actor malintencionado ha filtrado un token de SAS o se ha filtrado involuntariamente de un origen legítimo. Incluso si el acceso es legítimo, el uso de un token de SAS de permisos elevados con una fecha de expiración larga va en contra de los procedimientos recomendados de seguridad y supone un riesgo de seguridad potencial. Se aplica a: Cuentas de almacenamiento de Azure Blob (estándar de uso general v2, Azure Data Lake Storage Gen2 o blobs en bloques Premium) con el nuevo plan de Defender para Storage.

Tácticas de MITRE: Filtración/Desarrollo de recursos/Impacto

Gravedad: media

Se usó un token de SAS inusual para acceder a una cuenta de almacenamiento de Azure desde una dirección IP pública (versión preliminar)

Storage.Blob_AccountSas.UnusualExternalAccess

Descripción: la alerta indica que alguien con una dirección IP externa (pública) ha accedido a la cuenta de almacenamiento mediante un token de SAS de cuenta. El acceso es muy inusual y se considera sospechoso, ya que el acceso a la cuenta de almacenamiento mediante tokens de SAS normalmente solo procede de direcciones IP internas (privadas). Es posible que un token de SAS se haya filtrado o generado por un actor malintencionado desde dentro de su organización o externamente para obtener acceso a esta cuenta de almacenamiento. Se aplica a: Cuentas de almacenamiento de Azure Blob (estándar de uso general v2, Azure Data Lake Storage Gen2 o blobs en bloques Premium) con el nuevo plan de Defender para Storage.

Tácticas de MITRE: Filtración/Desarrollo de recursos/Impacto

Gravedad: baja

Archivo malintencionado cargado en la cuenta de almacenamiento

Storage.Blob_AM.MalwareFound

Descripción: la alerta indica que un blob malintencionado se cargó en una cuenta de almacenamiento. Esta alerta de seguridad la genera la característica Examen de malware en Defender para Storage. Las posibles causas podrían incluir una carga intencionada de malware por parte de un actor de amenazas o una carga involuntaria de un archivo malintencionado por parte de un usuario legítimo. Se aplica a: Cuentas de almacenamiento de Blob de Azure (estándar de uso general v2, Azure Data Lake Storage Gen2 o blobs en bloques Premium) con el nuevo plan de Defender para Storage con la característica Detección de malware habilitada.

Tácticas de MITRE: Movimiento lateral

Gravedad: alta

El blob malintencionado se descargó de una cuenta de almacenamiento (versión preliminar)

Storage.Blob_MalwareDownload

Descripción: la alerta indica que un blob malintencionado se descargó de una cuenta de almacenamiento. Las posibles causas podrían incluir malware cargado en la cuenta de almacenamiento y no eliminado o en cuarentena, lo que permite a un actor de amenazas descargarlo o una descarga involuntaria del malware por parte de usuarios o aplicaciones legítimos. Se aplica a: Cuentas de almacenamiento de Azure Blob (estándar de uso general v2, Azure Data Lake Storage Gen2 o blobs en bloques Premium) con el nuevo plan de Defender para Storage con la característica Detección de malware habilitada.

Tácticas de MITRE: Movimiento lateral

Gravedad: Alta, si Eicar - baja

Alertas de Azure Cosmos DB

Más detalles y notas

Acceso desde un nodo de salida de Tor

(CosmosDB_TorAnomaly)

Descripción: se ha accedido correctamente a esta cuenta de Azure Cosmos DB desde una dirección IP conocida como un nodo de salida activo de Tor, un proxy de anonimización. El acceso autenticado desde un nodo de salida de Tor es una indicación probable de que un actor de amenazas está intentando ocultar su identidad.

Tácticas de MITRE: acceso inicial

Gravedad: Alta/Media

Acceso desde una dirección IP sospechosa

(CosmosDB_SuspiciousIp)

Descripción: se ha accedido correctamente a esta cuenta de Azure Cosmos DB desde una dirección IP identificada como amenaza por Microsoft Threat Intelligence.

Tácticas de MITRE: acceso inicial

Gravedad: media

Acceso desde una ubicación inusual

(CosmosDB_GeoAnomaly)

Descripción: se ha tenido acceso a esta cuenta de Azure Cosmos DB desde una ubicación que se considera desconocida, en función del patrón de acceso habitual.

O bien, un atacante obtuvo acceso a la cuenta o un usuario legítimo se conectó desde una ubicación geográfica nueva o inusual.

Tácticas de MITRE: acceso inicial

Gravedad: baja

Volumen inusual de datos extraídos

(CosmosDB_DataExfiltrationAnomaly)

Descripción: se ha extraído un volumen inusualmente grande de datos de esta cuenta de Azure Cosmos DB. Esto podría indicar que un atacante ha filtrado datos.

Tácticas de MITRE: Filtración

Gravedad: media

Extracción de claves de cuenta de Azure Cosmos DB mediante un script potencialmente malintencionado

(CosmosDB_SuspiciousListKeys.MaliciousScript)

Descripción: se ejecutó un script de PowerShell en la suscripción y realizó un patrón sospechoso de operaciones de lista de claves para obtener las claves de las cuentas de Azure Cosmos DB en la suscripción. Los atacantes usan scripts automatizados, como Microburst, para enumerar las claves y encontrar cuentas de Azure Cosmos DB a las que pueden acceder.

Esta operación puede indicar que se ha infringido una identidad de la organización y que se está intentando atacar las cuentas de Azure Cosmos DB de su entorno con intenciones malintencionadas.

Como alternativa, un usuario interno malintencionado podría estar intentando acceder a datos confidenciales y realizar el movimiento lateral.

Tácticas de MITRE: Colección

Gravedad: media

Extracción sospechosa de claves de cuenta de Azure Cosmos DB (AzureCosmosDB_SuspiciousListKeys.SuspiciousPrincipal)

Descripción: un origen sospechoso extraído de las claves de acceso de la cuenta de Azure Cosmos DB de la suscripción. Si este origen no es un origen legítimo, podría ser un problema de gran impacto. La clave de acceso que se extrajo proporciona control total sobre las bases de datos asociadas y los datos que estas almacenan. Consulte los detalles de cada alerta específica para comprender por qué el origen se marcó como sospechoso.

Tácticas de MITRE: Acceso a credenciales

Gravedad: alta

Inyección de código SQL: posible filtración de datos

(CosmosDB_SqlInjection.DataExfiltration)

Descripción: se usó una instrucción SQL sospechosa para consultar un contenedor en esta cuenta de Azure Cosmos DB.

Es posible que con la instrucción inyectada se hayan filtrado correctamente los datos para los que el actor de amenazas no tiene autorización de acceso.

Debido a la estructura y las funcionalidades de Azure Cosmos DB, muchos ataques por inyección de código SQL en las cuentas de Azure Cosmos DB no funcionan. Sin embargo, la variación usada en este ataque podría funcionar y los actores de amenazas pueden filtrar datos.

Tácticas de MITRE: Filtración

Gravedad: media

Inyección de código SQL: intento de información aproximada

(CosmosDB_SqlInjection.FailedFuzzingAttempt)

Descripción: se usó una instrucción SQL sospechosa para consultar un contenedor en esta cuenta de Azure Cosmos DB.

Al igual que otros ataques por inyección de código SQL conocidos, este no podrá poner en peligro la cuenta de Azure Cosmos DB.

Sin embargo, es una indicación de que un actor de amenazas está intentando atacar los recursos de esta cuenta y que la aplicación podría estar en peligro.

Algunos ataques por inyección de código SQL pueden realizarse correctamente y usarse para filtrar datos. Esto significa que si el atacante sigue realizando intentos de inyección de CÓDIGO SQL, es posible que puedan poner en peligro la cuenta de Azure Cosmos DB y filtrar los datos.

Puede evitar esta amenaza mediante consultas parametrizadas.

Tácticas de MITRE: pre-ataque

Gravedad: baja

Alertas de la capa de red de Azure

Más detalles y notas

Se detectó una comunicación de red con una máquina malintencionada.

(Network_CommunicationWithC2)

Descripción: el análisis del tráfico de red indica que la máquina (IP %{Victim IP}) se ha comunicado con lo que posiblemente es un centro de comandos y control. Cuando el recurso que se encuentra en peligro es un equilibrador de carga o una puerta de enlace de aplicaciones, la actividad sospechosa podría indicar que uno o varios de los recursos del grupo de back-end (del equilibrador de carga o de la puerta de enlace de aplicaciones) se han comunicado con lo que posiblemente es un centro de comando y control.

Tácticas de MITRE: Comando y control

Gravedad: media

Se detectó una posible máquina en peligro.

(Network_ResourceIpIndicatedAsMalicious)

Descripción: la inteligencia sobre amenazas indica que la máquina (en ip %{IP}) podría haber sido comprometida por un malware de tipo Conficker. Conficker es un gusano de equipos que tiene como destino el sistema operativo Microsoft Windows y que se detectó por primera vez en noviembre de 2008. Ha infectado millones de equipos, incluidos equipos gubernamentales, empresariales y particulares de más de 200 países o regiones, lo que lo convierte en la infección de gusanos de equipos más importante, desde el gusano Welchia de 2003.

Tácticas de MITRE: Comando y control

Gravedad: media

Se detectaron posibles intentos de ataques por fuerza bruta entrantes del servicio %{Service Name}.

(Generic_Incoming_BF_OneToOne)

Descripción: el análisis de tráfico de red detectó la comunicación entrante %{Service Name} a %{Victim IP}, asociada al recurso %{Compromised Host} de %{Attacker IP}. Cuando el recurso que se encuentra en peligro es un equilibrador de carga o una puerta de enlace de aplicaciones, significa que el tráfico entrante sospechoso se ha reenviado a uno o varios de los recursos del grupo de back-end (del equilibrador de carga o de la puerta de enlace de aplicaciones). En concreto, los datos de red del ejemplo muestran la actividad sospechosa entre las %{Start Time} y las %{End Time} en el puerto %{Victim Port}. Esta actividad es coherente con los intentos de ataque por fuerza bruta contra los servidores del servicio %{Service Name}.

Tácticas de MITRE: PreAttack

Gravedad: informativo

Se detectaron posibles intentos de ataques por fuerza bruta de SQL entrantes.

(SQL_Incoming_BF_OneToOne)

Descripción: el análisis de tráfico de red detectó la comunicación entrante de SQL a %{Victim IP}, asociada con el recurso %{Compromised Host}, de %{Attacker IP}. Cuando el recurso que se encuentra en peligro es un equilibrador de carga o una puerta de enlace de aplicaciones, significa que el tráfico entrante sospechoso se ha reenviado a uno o varios de los recursos del grupo de back-end (del equilibrador de carga o de la puerta de enlace de aplicaciones). En concreto, los datos de red del ejemplo muestran la actividad sospechosa entre las %{Start Time} y las %{End Time} en el puerto %{Port Number} (%{SQL Service Type}). Esta actividad es coherente con los intentos de ataque por fuerza bruta contra servidores SQL.

Tácticas de MITRE: PreAttack

Gravedad: media

Se detectó un posible ataque por denegación de servicio de salida.

(DDoS)

Descripción: el análisis del tráfico de red detectó una actividad saliente anómala que se origina en %{Compromised Host}, un recurso de la implementación. Esta actividad podría indicar que el recurso estaba en peligro y ahora está implicado en ataques por denegación de servicio contra puntos de conexión externos. Cuando el recurso que se encuentra en peligro es un equilibrador de carga o una puerta de enlace de aplicaciones, la actividad sospechosa puede indicar que se pusieron en peligro uno o varios de los recursos del grupo de back-end (del equilibrador de carga o de la puerta de enlace de aplicaciones). Según el volumen de las conexiones, creemos que es posible que las siguientes direcciones IP sean los destinos del ataque DoS: %{Possible Victims}. Tenga en cuenta que puede que la comunicación con algunas de estas direcciones IP sea legítima.

Tácticas de MITRE: Impacto

Gravedad: media

Actividad de red RDP entrante sospechosa procedente de varios orígenes

(RDP_Incoming_BF_ManyToOne)

Descripción: el análisis de tráfico de red detectó una comunicación anómala entrante del Protocolo de escritorio remoto (RDP) a %{Victim IP}, asociada al recurso %{Compromised Host}, de varios orígenes. Cuando el recurso que se encuentra en peligro es un equilibrador de carga o una puerta de enlace de aplicaciones, significa que el tráfico entrante sospechoso se ha reenviado a uno o varios de los recursos del grupo de back-end (del equilibrador de carga o de la puerta de enlace de aplicaciones). En concreto, los datos de red del ejemplo indican que hay %{Number of Attacking IPs} direcciones IP únicas conectadas a su recurso, lo que se considera anómalo para este entorno. Esta actividad podría indicar un intento de forzar por fuerza bruta el punto de conexión RDP desde varios hosts (Botnet).

Tácticas de MITRE: PreAttack

Gravedad: media

Actividad de red RDP entrante sospechosa

(RDP_Incoming_BF_OneToOne)

Descripción: el análisis del tráfico de red detectó una comunicación anómala entrante del Protocolo de escritorio remoto (RDP) a %{Victim IP}, asociada al recurso %{Compromised Host}, de %{Ip del atacante}. Cuando el recurso que se encuentra en peligro es un equilibrador de carga o una puerta de enlace de aplicaciones, significa que el tráfico entrante sospechoso se ha reenviado a uno o varios de los recursos del grupo de back-end (del equilibrador de carga o de la puerta de enlace de aplicaciones). En concreto, los datos de red del ejemplo indican que hay %{Number of Connections} conexiones entrantes a su recurso, lo que se considera anómalo para este entorno. Esta actividad podría indicar un intento de forzar por fuerza bruta el punto de conexión RDP.

Tácticas de MITRE: PreAttack

Gravedad: media

Actividad de red SSH entrante sospechosa procedente de varios orígenes

(SSH_Incoming_BF_ManyToOne)

Descripción: el análisis del tráfico de red detectó una comunicación SSH entrante anómala a %{Victim IP}, asociada al recurso %{Compromised Host}, de varios orígenes. Cuando el recurso que se encuentra en peligro es un equilibrador de carga o una puerta de enlace de aplicaciones, significa que el tráfico entrante sospechoso se ha reenviado a uno o varios de los recursos del grupo de back-end (del equilibrador de carga o de la puerta de enlace de aplicaciones). En concreto, los datos de red del ejemplo indican que hay %{Number of Attacking IPs} direcciones IP únicas conectadas a su recurso, lo que se considera anómalo para este entorno. Esta actividad podría indicar un intento de forzar por fuerza bruta el punto de conexión SSH desde varios hosts (Botnet)

Tácticas de MITRE: PreAttack

Gravedad: media

Actividad de red SSH entrante sospechosa

(SSH_Incoming_BF_OneToOne)

Descripción: el análisis del tráfico de red detectó una comunicación SSH entrante anómala a %{Victim IP}, asociada al recurso %{Compromised Host}, de %{Ip del atacante}. Cuando el recurso que se encuentra en peligro es un equilibrador de carga o una puerta de enlace de aplicaciones, significa que el tráfico entrante sospechoso se ha reenviado a uno o varios de los recursos del grupo de back-end (del equilibrador de carga o de la puerta de enlace de aplicaciones). En concreto, los datos de red del ejemplo indican que hay %{Number of Connections} conexiones entrantes a su recurso, lo que se considera anómalo para este entorno. Esta actividad podría indicar un intento de forzar por fuerza bruta el punto de conexión SSH.

Tácticas de MITRE: PreAttack

Gravedad: media

Se detectó tráfico sospechoso del protocolo %{Attacked Protocol} saliente.

(PortScanning)

Descripción: el análisis del tráfico de red detectó tráfico saliente sospechoso de %{Compromised Host} al puerto de destino %{Puerto más común}. Cuando el recurso que se encuentra en peligro es un equilibrador de carga o una puerta de enlace de aplicaciones, significa que el tráfico saliente sospechoso se ha originado en uno o varios de los recursos del grupo de back-end (del equilibrador de carga o de la puerta de enlace de aplicaciones). Este comportamiento podría indicar que el recurso participa en %{Protocolo atacado} intentos de fuerza bruta o ataques de barrido de puertos.

Tácticas de MITRE: Detección

Gravedad: media

Actividad de red RDP saliente sospechosa hacia varios destinos

(RDP_Outgoing_BF_OneToMany)

Descripción: el análisis del tráfico de red detectó una comunicación anómala saliente del Protocolo de escritorio remoto (RDP) a varios destinos que se originan en %{Compromised Host} (%{IP del atacante}), un recurso de la implementación. Cuando el recurso que se encuentra en peligro es un equilibrador de carga o una puerta de enlace de aplicaciones, significa que el tráfico saliente sospechoso se ha originado en uno o varios de los recursos del grupo de back-end (del equilibrador de carga o de la puerta de enlace de aplicaciones). En concreto, los datos de red del ejemplo indican que su máquina se conecta a %{Number of Attacked IPs} direcciones IP únicas, lo que se considera anómalo para este entorno. Esta actividad podría indicar que el recurso estaba en peligro y ahora se usa para los puntos de conexión de RDP externos de fuerza bruta. Tenga en cuenta que este tipo de actividad puede dar lugar a que entidades externas marquen su dirección IP como malintencionada.

Tácticas de MITRE: Detección

Gravedad: alta

Actividad de red RDP saliente sospechosa

(RDP_Outgoing_BF_OneToOne)

Descripción: el análisis de tráfico de red detectó una comunicación anómala saliente del Protocolo de escritorio remoto (RDP) a %{Victim IP} que se originó en %{Compromised Host} (%{IP del atacante}), un recurso de la implementación. Cuando el recurso que se encuentra en peligro es un equilibrador de carga o una puerta de enlace de aplicaciones, significa que el tráfico saliente sospechoso se ha originado en uno o varios de los recursos del grupo de back-end (del equilibrador de carga o de la puerta de enlace de aplicaciones). En concreto, los datos de red del ejemplo indican que hay %{Number of Connections} conexiones salientes desde su recurso, lo que se considera anómalo para este entorno. Esta actividad podría indicar que la máquina estaba en peligro y ahora se usa para los puntos de conexión rdP externos de fuerza bruta. Tenga en cuenta que este tipo de actividad puede dar lugar a que entidades externas marquen su dirección IP como malintencionada.

Tácticas de MITRE: Movimiento lateral

Gravedad: alta

Actividad de red de SSH saliente sospechosa hacia varios destinos

(SSH_Outgoing_BF_OneToMany)

Descripción: el análisis del tráfico de red detectó una comunicación SSH saliente anómala a varios destinos que se originan en %{Compromised Host} (%{IP del atacante}), un recurso de la implementación. Cuando el recurso que se encuentra en peligro es un equilibrador de carga o una puerta de enlace de aplicaciones, significa que el tráfico saliente sospechoso se ha originado en uno o varios de los recursos del grupo de back-end (del equilibrador de carga o de la puerta de enlace de aplicaciones). En concreto, los datos de red del ejemplo indican que su recurso se conecta a %{Number of Attacked IPs} direcciones IP únicas, lo que se considera anómalo para este entorno. Esta actividad podría indicar que el recurso estaba en peligro y ahora se usa para forzar por fuerza bruta puntos de conexión SSH externos. Tenga en cuenta que este tipo de actividad puede dar lugar a que entidades externas marquen su dirección IP como malintencionada.

Tácticas de MITRE: Detección

Gravedad: media

Actividad de red de SSH saliente sospechosa

(SSH_Outgoing_BF_OneToOne)

Descripción: el análisis del tráfico de red detectó una comunicación SSH saliente anómala a %{Victim IP} que se originó en %{Compromised Host} (%{Attacker IP}), un recurso de la implementación. Cuando el recurso que se encuentra en peligro es un equilibrador de carga o una puerta de enlace de aplicaciones, significa que el tráfico saliente sospechoso se ha originado en uno o varios de los recursos del grupo de back-end (del equilibrador de carga o de la puerta de enlace de aplicaciones). En concreto, los datos de red del ejemplo indican que hay %{Number of Connections} conexiones salientes desde su recurso, lo que se considera anómalo para este entorno. Esta actividad podría indicar que el recurso estaba en peligro y ahora se usa para forzar por fuerza bruta puntos de conexión SSH externos. Tenga en cuenta que este tipo de actividad puede dar lugar a que entidades externas marquen su dirección IP como malintencionada.

Tácticas de MITRE: Movimiento lateral

Gravedad: media

(Network_TrafficFromUnrecommendedIP)

Descripción: Microsoft Defender for Cloud detectó tráfico entrante de direcciones IP que se recomienda bloquear. Esto suele ocurrir cuando esta dirección IP no se comunica con regularidad con este recurso. Como alternativa, la dirección IP se ha marcado como malintencionada en los orígenes de inteligencia sobre amenazas de Microsoft Defender for Cloud.

Tácticas de MITRE: sondeo

Gravedad: informativo

Alertas de Azure Key Vault

Más detalles y notas

Acceso desde una dirección IP sospechosa a un almacén de claves

(KV_SuspiciousIPAccess)

Descripción: se ha accedido correctamente a un almacén de claves mediante una dirección IP identificada por Microsoft Threat Intelligence como una dirección IP sospechosa. Esto podría indicar que la infraestructura se ha puesto en peligro. Se recomienda seguir investigando. Obtenga más información sobre las funcionalidades de inteligencia sobre amenazas de Microsoft.

Tácticas de MITRE: Acceso a credenciales

Gravedad: media

Acceso desde un nodo de salida de TOR a un almacén de claves

(KV_TORAccess)

Descripción: se ha accedido a un almacén de claves desde un nodo de salida de TOR conocido. Esto podría indicar que un atacante ha accedido al almacén de claves y está usando la red TOR para ocultar su ubicación de origen. Se recomienda seguir investigando.

Tácticas de MITRE: Acceso a credenciales

Gravedad: media

Gran volumen de operaciones en un almacén de claves

(KV_OperationVolumeAnomaly)

Descripción: un usuario, una entidad de servicio o un almacén de claves específico realizaron un número anómalo de operaciones del almacén de claves. Este patrón de actividad anómalo podría ser legítimo, pero podría ser una indicación de que un actor de amenazas ha obtenido acceso al almacén de claves y a los secretos contenidos en él. Se recomienda seguir investigando.

Tácticas de MITRE: Acceso a credenciales

Gravedad: media

Cambio sospechoso de directiva y consulta de secretos en un almacén de claves

(KV_PutGetAnomaly)

Descripción: un usuario o entidad de servicio ha realizado una operación anómala de cambio de directiva de colocación del almacén seguida de una o varias operaciones de obtención de secretos. Este patrón no lo suelen realizar el usuario o la entidad de servicio especificados. Esto podría ser una actividad legítima, pero podría ser una indicación de que un actor de amenazas ha actualizado la directiva del almacén de claves para acceder a secretos inaccesibles anteriormente. Se recomienda seguir investigando.

Tácticas de MITRE: Acceso a credenciales

Gravedad: media

Lista y consulta de secretos sospechosos en un almacén de claves

(KV_ListGetAnomaly)

Descripción: un usuario o entidad de servicio ha realizado una operación anómala lista de secretos seguida de una o varias operaciones de obtención de secretos. Este patrón no lo suelen realizar el usuario o la entidad de servicio especificados y se suele asociar con el volcado de secretos. Esto podría ser una actividad legítima, pero podría ser una indicación de que un actor de amenazas ha obtenido acceso al almacén de claves y está intentando detectar secretos que se pueden usar para moverse lateralmente a través de la red o obtener acceso a recursos confidenciales. Se recomienda seguir investigando.

Tácticas de MITRE: Acceso a credenciales

Gravedad: media

Acceso inusual denegado: acceso denegado de un usuario a un gran volumen de almacenes de claves

(KV_AccountVolumeAccessDeniedAnomaly)

Descripción: un usuario o entidad de servicio ha intentado acceder a un volumen anómalomente elevado de almacenes de claves en las últimas 24 horas. Este patrón de acceso anómalo podría ser una actividad legítima. Aunque este intento no se haya realizado correctamente, puede indicar que se ha intentado obtener acceso al almacén de claves y a los secretos que este contiene. Se recomienda seguir investigando.

Tácticas de MITRE: Detección

Gravedad: baja

Acceso inusual denegado: acceso denegado de un usuario inusual al almacén de claves

(KV_UserAccessDeniedAnomaly)

Descripción: un usuario intentó acceder al almacén de claves que normalmente no accede a él, este patrón de acceso anómalo podría ser una actividad legítima. Aunque este intento no se haya realizado correctamente, puede indicar que se ha intentado obtener acceso al almacén de claves y a los secretos que este contiene.

Tácticas de MITRE: acceso inicial, detección

Gravedad: baja

Acceso de una aplicación inusual a un almacén de claves

(KV_AppAnomaly)

Descripción: se ha accedido a un almacén de claves mediante una entidad de servicio que normalmente no tiene acceso a él. Este patrón de acceso anómalo podría ser una actividad legítima, pero podría ser una indicación de que un actor de amenazas ha obtenido acceso al almacén de claves en un intento de acceder a los secretos contenidos en él. Se recomienda seguir investigando.

Tácticas de MITRE: Acceso a credenciales

Gravedad: media

Patrón de operación inusual en un almacén de claves

(KV_OperationPatternAnomaly)

Descripción: un usuario, una entidad de servicio o un almacén de claves ha realizado un patrón anómalo de las operaciones del almacén de claves. Este patrón de actividad anómalo podría ser legítimo, pero podría ser una indicación de que un actor de amenazas ha obtenido acceso al almacén de claves y a los secretos contenidos en él. Se recomienda seguir investigando.

Tácticas de MITRE: Acceso a credenciales

Gravedad: media

Acceso de un usuario inusual a un almacén de claves

(KV_UserAnomaly)

Descripción: un usuario al que normalmente no accede a él tiene acceso a un almacén de claves. Este patrón de acceso anómalo podría ser una actividad legítima, pero podría ser una indicación de que un actor de amenazas ha obtenido acceso al almacén de claves en un intento de acceder a los secretos contenidos en él. Se recomienda seguir investigando.

Tácticas de MITRE: Acceso a credenciales

Gravedad: media

Acceso de un par inusual de usuario y aplicación a un almacén de claves

(KV_UserAppAnomaly)

Descripción: se ha accedido a un almacén de claves por un par de entidades de servicio de usuario que normalmente no tiene acceso a él. Este patrón de acceso anómalo podría ser una actividad legítima, pero podría ser una indicación de que un actor de amenazas ha obtenido acceso al almacén de claves en un intento de acceder a los secretos contenidos en él. Se recomienda seguir investigando.

Tácticas de MITRE: Acceso a credenciales

Gravedad: media

Acceso de un usuario a un gran volumen de almacenes de claves

(KV_AccountVolumeAnomaly)

Descripción: un usuario o entidad de servicio ha accedido a un volumen anómalomente elevado de almacenes de claves. Este patrón de acceso anómalo podría ser una actividad legítima, pero podría ser una indicación de que un actor de amenazas ha obtenido acceso a varios almacenes de claves en un intento de acceder a los secretos contenidos en ellos. Se recomienda seguir investigando.

Tácticas de MITRE: Acceso a credenciales

Gravedad: media

Acceso denegado desde una dirección IP sospechosa a un almacén de claves

(KV_SuspiciousIPAccessDenied)

Descripción: una dirección IP sospechosa ha intentado obtener acceso a un almacén de claves incorrecto que ha sido identificado por Microsoft Threat Intelligence como una dirección IP sospechosa. Aunque este intento no se realizó correctamente, indica que la infraestructura podría haberse puesto en peligro. Se recomienda seguir investigando.

Tácticas de MITRE: Acceso a credenciales

Gravedad: baja

Acceso inusual al almacén de claves desde una IP sospechosa (ajena a Microsoft o externa)

(KV_UnusualAccessSuspiciousIP)

Descripción: un usuario o entidad de servicio ha intentado acceder anómalo a los almacenes de claves desde una dirección IP que no es de Microsoft en las últimas 24 horas. Este patrón de acceso anómalo podría ser una actividad legítima. Puede indicar que se ha intentado obtener acceso al almacén de claves y a los secretos que este contiene. Se recomienda seguir investigando.

Tácticas de MITRE: Acceso a credenciales

Gravedad: media

Alertas de Azure DDoS Protection

Más detalles y notas

Se detectó un ataque DDoS de la dirección IP pública.

(NETWORK_DDOS_DETECTED)

Descripción: ataque DDoS detectado para la dirección IP pública (dirección IP) y mitigado.

Tácticas de MITRE: sondeo

Gravedad: alta

Se mitigó un ataque DDoS de la dirección IP pública.

(NETWORK_DDOS_MITIGATED)

Descripción: Ataque DDoS mitigado para ip pública (dirección IP).

Tácticas de MITRE: sondeo

Gravedad: baja

Alertas de Defender para API

Pico sospechoso de nivel de rellenado en el tráfico de API a un punto de conexión de API

(API_PopulationSpikeInAPITraffic)

Descripción: se detectó un pico sospechoso en el tráfico de API en uno de los puntos de conexión de API. El sistema de detección usó patrones de tráfico históricos para establecer una línea de base para el volumen de tráfico de API rutinario entre todas las direcciones IP y el punto de conexión, con la línea de base que es específica del tráfico de API para cada código de estado (por ejemplo, 200 Correcto). El sistema de detección marcó una desviación inusual de esta línea de base, lo que da lugar a la detección de actividad sospechosa.

Tácticas de MITRE: Impacto

Gravedad: media

Pico sospechoso en el tráfico de API desde una única dirección IP hasta un punto de conexión de API

(API_SpikeInAPITraffic)

Descripción: se detectó un pico sospechoso en el tráfico de API desde una dirección IP de cliente al punto de conexión de API. El sistema de detección usó patrones de tráfico históricos para establecer una línea de base para el volumen de tráfico de API rutinario al punto de conexión procedente de una dirección IP específica al punto de conexión. El sistema de detección marcó una desviación inusual de esta línea de base, lo que da lugar a la detección de actividad sospechosa.

Tácticas de MITRE: Impacto

Gravedad: media

Carga de respuesta inusualmente grande transmitida entre una única dirección IP y un punto de conexión de API

(API_SpikeInPayload)

Descripción: se observó un pico sospechoso en el tamaño de la carga de respuesta de api para el tráfico entre una única dirección IP y uno de los puntos de conexión de API. En función de los patrones de tráfico históricos de los últimos 30 días, Defender para API aprende una línea de base que representa el tamaño típico de carga de respuesta de la API entre una dirección IP específica y un punto de conexión de API. La línea base aprendida es específica del tráfico de API para cada código de estado (por ejemplo, 200 Success). La alerta se desencadenó, porque el tamaño de carga de respuesta de una API se desvió significativamente de la línea de base histórica.

Tácticas de MITRE: acceso inicial

Gravedad: media

Cuerpo de la solicitud inusualmente grande transmitido entre una única dirección IP y un punto de conexión de API

(API_SpikeInPayload)

Descripción: se observó un pico sospechoso en el tamaño del cuerpo de la solicitud de API para el tráfico entre una única dirección IP y uno de los puntos de conexión de API. En función de los patrones de tráfico históricos de los últimos 30 días, Defender para API aprende una línea de base que representa el tamaño típico del cuerpo de la solicitud de la API entre una dirección IP específica y un punto de conexión de API. La línea base aprendida es específica del tráfico de API para cada código de estado (por ejemplo, 200 Success). La alerta se desencadenó, porque un tamaño de solicitud de API se desvió significativamente de la línea de base histórica.

Tácticas de MITRE: acceso inicial

Gravedad: media

(Versión preliminar) Pico sospechoso de latencia del tráfico entre una única dirección IP y un punto de conexión de API

(API_SpikeInLatency)

Descripción: se observó un pico sospechoso de latencia para el tráfico entre una única dirección IP y uno de los puntos de conexión de API. En función de los patrones de tráfico históricos de los últimos 30 días, Defender para API aprende una línea de base que representa la latencia rutinaria del tráfico de la API entre una dirección IP específica y un punto de conexión de API. La línea base aprendida es específica del tráfico de API para cada código de estado (por ejemplo, 200 Success). La alerta se desencadenó, porque la latencia de una llamada API se desvió significativamente de la línea de base histórica.

Tácticas de MITRE: acceso inicial

Gravedad: media

Las solicitudes de API se difunden desde una sola dirección IP a un número inusualmente grande de puntos de conexión de API distintos

(API_SprayInRequests)

Descripción: se observó una única dirección IP que realiza llamadas API a un número inusualmente grande de puntos de conexión distintos. En función de los patrones de tráfico históricos de los últimos 30 días, Defender para API aprende una línea de base que representa la cantidad típica de puntos de conexión distintos a los que llama una única dirección IP en ventanas de 20 minutos. La alerta se desencadenó, porque el comportamiento de una única IP se desvió significativamente de la línea de base histórica.

Tácticas de MITRE: Detección

Gravedad: media

Enumeración de parámetros en un punto de conexión de API

(API_ParameterEnumeration)

Descripción: se observó una única dirección IP que enumera los parámetros al acceder a uno de los puntos de conexión de API. En función de los patrones de tráfico históricos de los últimos 30 días, Defender para API aprende una línea de base que representa la cantidad típica de valores de parámetro distintos que usa una única dirección IP al acceder a este punto de conexión en ventanas de 20 minutos. La alerta se desencadenó, porque una dirección IP de cliente única accedió recientemente a un punto de conexión con una cantidad inusualmente grande de valores de parámetro distintos.

Tácticas de MITRE: acceso inicial

Gravedad: media

Enumeración de parámetros distribuidos en un punto de conexión de API

(API_DistributedParameterEnumeration)

Descripción: el rellenado agregado de usuarios (todas las direcciones IP) se observó enumerando parámetros al acceder a uno de los puntos de conexión de API. En función de los patrones de tráfico históricos de los últimos 30 días, Defender para API aprende una línea de base que representa la cantidad típica de valores de parámetro distintos que usa el rellenado de usuarios (todas las direcciones IP) al acceder a un punto de conexión en ventanas de 20 minutos. La alerta se desencadenó, porque el rellenado del usuario accedió recientemente a un punto de conexión con una cantidad inusualmente grande de valores de parámetro distintos.

Tácticas de MITRE: acceso inicial

Gravedad: media

Valores de parámetro con tipos de datos anómalos en una llamada API

(API_UnseenParamType)

Descripción: se observó una única dirección IP que accede a uno de los puntos de conexión de API y usa valores de parámetro de un tipo de datos de probabilidad baja (por ejemplo, cadena, entero, etc.). En función de los patrones de tráfico históricos de los últimos 30 días, Defender para API aprende los tipos de datos esperados para cada parámetro de API. La alerta se desencadenó, porque una dirección IP accedió recientemente a un punto de conexión mediante un tipo de datos de probabilidad baja anteriormente como entrada de parámetros.

Tácticas de MITRE: Impacto

Gravedad: media

Parámetro no visto anteriormente que se usa en una llamada API

(API_UnseenParam)

Descripción: se observó que una única dirección IP accedía a uno de los puntos de conexión de API mediante un parámetro que no se había visto o fuera de los límites en la solicitud. En función de los patrones de tráfico históricos de los últimos 30 días, Defender para API aprende un conjunto de parámetros esperados asociados a las llamadas a un punto de conexión. La alerta se desencadenó, porque una dirección IP accedió recientemente a un punto de conexión mediante un parámetro no visto anteriormente.

Tácticas de MITRE: Impacto

Gravedad: media

Acceso desde un nodo de salida de Tor hasta un punto de conexión de API

(API_AccessFromTorExitNode)

Descripción: una dirección IP de la red Tor a la que se accede a uno de los puntos de conexión de API. Tor es una red que permite a las personas acceder a Internet mientras mantiene oculta su dirección IP real. Aunque hay usos legítimos, los atacantes lo usan con frecuencia para ocultar su identidad cuando se dirigen a sistemas de personas en línea.

Tácticas de MITRE: pre-ataque

Gravedad: media

Acceso al punto de conexión de API desde una dirección IP sospechosa

(API_AccessFromSuspiciousIP)

Descripción: una dirección IP que accede a uno de los puntos de conexión de API se identificó mediante Microsoft Threat Intelligence como una alta probabilidad de ser una amenaza. Mientras observa el tráfico malintencionado de Internet, esta dirección IP apareció como implicada en el ataque a otros destinos en línea.

Tácticas de MITRE: pre-ataque

Gravedad: alta

Se detectó un agente de usuario sospechoso.

(API_AccessFromSuspiciousUserAgent)

Descripción: el agente de usuario de una solicitud que accede a uno de los puntos de conexión de API contenía valores anómalos indicativos de un intento de ejecución remota de código. Esto no significa que se haya infringido ninguno de los puntos de conexión de API, pero sugiere que está en curso un intento de ataque.

Tácticas de MITRE: Ejecución

Gravedad: media

Alertas de Defender for Containers en desuso

Las listas siguientes incluyen las alertas de seguridad de Defender for Containers que estaban en desuso.

Se detectó una manipulación del firewall del host.

(K8S.NODE_FirewallDisabled)

Descripción: el análisis de los procesos que se ejecutan dentro de un contenedor o directamente en un nodo de Kubernetes ha detectado una posible manipulación del firewall en el host. A menudo, los atacantes lo deshabilitan para filtrar datos.

Tácticas de MITRE: DefenseEvasion, Exfiltration

Gravedad: media

Uso sospechoso de DNS a través de HTTPS

(K8S.NODE_SuspiciousDNSOverHttps)

Descripción: el análisis de los procesos que se ejecutan dentro de un contenedor o directamente en un nodo de Kubernetes ha detectado el uso de una llamada DNS a través de HTTPS de forma poco habitual. Esta técnica la usan los atacantes para ocultar las llamadas a sitios sospechosos o malintencionados.

Tácticas de MITRE: DefenseEvasion, Exfiltration

Gravedad: media

Se ha detectado una posible conexión a una ubicación malintencionada.

(K8S.NODE_ThreatIntelCommandLineSuspectDomain)

Descripción: el análisis de procesos que se ejecutan dentro de un contenedor o directamente en un nodo de Kubernetes ha detectado una conexión a una ubicación que se ha notificado que es malintencionada o inusual. Se trata de un indicador de que podría haberse producido un riesgo.

Tácticas de MITRE: InitialAccess

Gravedad: media

Actividad de minería de datos de moneda digital

(K8S. NODE_CurrencyMining)

Descripción: análisis de transacciones DNS detectadas actividad de minería de moneda digital. Esta actividad, aunque posiblemente se trate de un comportamiento legítimo del usuario, suelen realizarla los atacantes tras poner en peligro los recursos. Entre las actividades típicas de los atacantes suelen incluirse la descarga y la ejecución de herramientas de minería de datos comunes.

Tácticas de MITRE: Filtración

Gravedad: baja

Alertas de Defender para servidores Linux en desuso

VM_AbnormalDaemonTermination

Nombre para mostrar de alerta: Terminación anómala

Gravedad: baja

VM_BinaryGeneratedFromCommandLine

Nombre para mostrar de alerta: se detectó un binario sospechoso

Gravedad: media

VM_CommandlineSuspectDomain Suspicious

Nombre para mostrar de alerta: referencia de nombre de dominio

Gravedad: baja

VM_CommonBot

Nombre para mostrar de alerta: comportamiento similar al de los bots comunes de Linux detectados

Gravedad: media

VM_CompCommonBots

Nombre para mostrar de alerta: comandos similares a los bots comunes de Linux detectados

Gravedad: media

VM_CompSuspiciousScript

Nombre para mostrar de la alerta: script de shell detectado

Gravedad: media

VM_CompTestRule

Nombre para mostrar de alerta: alerta de prueba analítica compuesta

Gravedad: baja

VM_CronJobAccess

Nombre para mostrar de alerta: manipulación de tareas programadas detectadas

Gravedad: informativo

VM_CryptoCoinMinerArtifacts

Nombre para mostrar de alerta: proceso asociado a la minería de moneda digital detectada

Gravedad: media

VM_CryptoCoinMinerDownload

Nombre para mostrar de la alerta: Se detectó una posible descarga de Cryptocoinminer

Gravedad: media

VM_CryptoCoinMinerExecution

Nombre para mostrar de la alerta: Se inició el posible minero de moneda criptográfica

Gravedad: media

VM_DataEgressArtifacts

Nombre para mostrar de la alerta: posible filtración de datos detectada

Gravedad: media

VM_DigitalCurrencyMining

Nombre para mostrar de la alerta: comportamiento relacionado con la minería de moneda digital detectado

Gravedad: alta

VM_DownloadAndRunCombo

Nombre para mostrar de alerta: descarga sospechosa y, después, actividad de ejecución

Gravedad: media

VM_EICAR

Nombre para mostrar de alerta: alerta de prueba de Microsoft Defender for Cloud (no una amenaza)

Gravedad: alta

VM_ExecuteHiddenFile

Nombre para mostrar de la alerta: ejecución del archivo oculto

Gravedad: informativo

VM_ExploitAttempt

Nombre para mostrar de alerta: posible intento de explotación de la línea de comandos

Gravedad: media

VM_ExposedDocker

Nombre para mostrar de alerta: demonio de Docker expuesto en el socket TCP

Gravedad: media

VM_FairwareMalware

Nombre para mostrar de alerta: comportamiento similar al ransomware Fairware detectado

Gravedad: media

VM_FirewallDisabled

Nombre para mostrar de alerta: se detectó la manipulación del firewall de host

Gravedad: media

VM_HadoopYarnExploit

Nombre para mostrar de alerta: posible explotación de Hadoop Yarn

Gravedad: media

VM_HistoryFileCleared

Nombre para mostrar de alerta: se ha borrado un archivo de historial

Gravedad: media

VM_KnownLinuxAttackTool

Nombre para mostrar de alerta: se detectó una posible herramienta de ataque

Gravedad: media

VM_KnownLinuxCredentialAccessTool

Nombre para mostrar de alerta: se detectó la posible herramienta de acceso a credenciales

Gravedad: media

VM_KnownLinuxDDoSToolkit

Nombre para mostrar de alerta: se detectaron indicadores asociados con el kit de herramientas de DDOS

Gravedad: media

VM_KnownLinuxScreenshotTool

Nombre para mostrar de alerta: captura de pantalla tomada en el host

Gravedad: baja

VM_LinuxBackdoorArtifact

Nombre para mostrar de la alerta: se detectó posible retroceso

Gravedad: media

VM_LinuxReconnaissance

Nombre para mostrar de alerta: reconocimiento de host local detectado

Gravedad: media

VM_MismatchedScriptFeatures

Nombre para mostrar de alerta: error de coincidencia de la extensión de script detectada

Gravedad: media

VM_MitreCalderaTools

Nombre para mostrar de la alerta: se detectó el agente mitre caldera

Gravedad: media

VM_NewSingleUserModeStartupScript

Nombre para mostrar de alerta: intento de persistencia detectado

Gravedad: media

VM_NewSudoerAccount

Nombre para mostrar de alerta: cuenta agregada al grupo sudo

Gravedad: baja

VM_OverridingCommonFiles

Nombre para mostrar de alerta: posible invalidación de archivos comunes

Gravedad: media

VM_PrivilegedContainerArtifacts

Nombre para mostrar de alerta: contenedor que se ejecuta en modo con privilegios

Gravedad: baja

VM_PrivilegedExecutionInContainer

Nombre para mostrar de alerta: comando dentro de un contenedor que se ejecuta con privilegios elevados

Gravedad: baja

VM_ReadingHistoryFile

Nombre para mostrar de alerta: acceso inusual al archivo de historial de Bash

Gravedad: informativo

VM_ReverseShell

Nombre para mostrar de alerta: se detectó un posible shell inverso

Gravedad: media

VM_SshKeyAccess

Nombre para mostrar de alerta: proceso que ha visto el acceso al archivo de claves autorizadas ssh de forma inusual

Gravedad: baja

VM_SshKeyAddition

Nombre para mostrar de alerta: se ha agregado una nueva clave SSH

Gravedad: baja

VM_SuspectCompilation

Nombre para mostrar de alerta: se detectó una compilación sospechosa

Gravedad: media

VM_SuspectConnection

Nombre para mostrar de alerta: se detectó un intento de conexión poco común.

Gravedad: media

VM_SuspectDownload

Nombre para mostrar de alerta: se detectó la descarga de archivos de un origen malintencionado conocido.

Gravedad: media

VM_SuspectDownloadArtifacts

Nombre para mostrar de alerta: se detectó una descarga de archivos sospechosos

Gravedad: baja

VM_SuspectExecutablePath

Nombre para mostrar de la alerta: ejecutable encontrado que se ejecuta desde una ubicación sospechosa

Gravedad: media

VM_SuspectHtaccessFileAccess

Nombre para mostrar de alerta: se detectó el acceso al archivo htaccess.

Gravedad: media

VM_SuspectInitialShellCommand

Nombre para mostrar de alerta: primer comando sospechoso en el shell

Gravedad: baja

VM_SuspectMixedCaseText

Nombre para mostrar de alerta: se detectó una combinación anómala de caracteres en mayúsculas y minúsculas en la línea de comandos

Gravedad: media

VM_SuspectNetworkConnection

Nombre para mostrar de alerta: conexión de red sospechosa

Gravedad: informativo

VM_SuspectNohup

Nombre para mostrar de alerta: se detectó un uso sospechoso del comando nohup.

Gravedad: media

VM_SuspectPasswordChange

Nombre para mostrar de alerta: se detectó un posible cambio de contraseña mediante el método crypt

Gravedad: media

VM_SuspectPasswordFileAccess

Nombre para mostrar de alerta: acceso sospechoso a contraseñas

Gravedad: informativo

VM_SuspectPhp

Nombre para mostrar de la alerta: se detectó una ejecución de PHP sospechosa

Gravedad: media

VM_SuspectPortForwarding

Nombre para mostrar de alerta: posible reenvío de puertos a una dirección IP externa

Gravedad: media

VM_SuspectProcessAccountPrivilegeCombo

Nombre para mostrar de alerta: el proceso que se ejecuta en una cuenta de servicio se volvió raíz inesperadamente

Gravedad: media

VM_SuspectProcessTermination

Nombre para mostrar de la alerta: se detectó la terminación del proceso relacionada con la seguridad

Gravedad: baja

VM_SuspectUserAddition

Nombre para mostrar de alerta: se detectó un uso sospechoso del comando useradd.

Gravedad: media

VM_SuspiciousCommandLineExecution

Nombre para mostrar de alerta: ejecución sospechosa de comandos

Gravedad: alta

VM_SuspiciousDNSOverHttps

Nombre para mostrar de alertas: uso sospechoso de DNS a través de HTTPS

Gravedad: media

VM_SystemLogRemoval

Nombre para mostrar de alerta: se detectó posible actividad de alteración del registro

Gravedad: media

VM_ThreatIntelCommandLineSuspectDomain

Nombre para mostrar de alerta: se ha detectado una posible conexión a una ubicación malintencionada.

Gravedad: media

VM_ThreatIntelSuspectLogon

Nombre para mostrar de alerta: se ha detectado un inicio de sesión desde una dirección IP malintencionada.

Gravedad: alta

VM_TimerServiceDisabled

Nombre para mostrar de alerta: se ha detectado un intento de detener el servicio apt-daily-upgrade.timer.

Gravedad: informativo

VM_TimestampTampering

Nombre para mostrar de alerta: modificación de marca de tiempo de archivo sospechosa

Gravedad: baja

VM_Webshell

Nombre para mostrar de alerta: se detectó un posible shell web malintencionado

Gravedad: media

Alertas de Windows de Defender para servidores en desuso

SCUBA_MULTIPLEACCOUNTCREATE

Nombre para mostrar de alerta: creación sospechosa de cuentas en varios hosts

Gravedad: media

SCUBA_PSINSIGHT_CONTEXT

Nombre para mostrar de alerta: se detectó un uso sospechoso de PowerShell

Gravedad: informativo

SCUBA_RULE_AddGuestToAdministrators

Nombre para mostrar de alerta: adición de la cuenta de invitado al grupo local de Administración istrators

Gravedad: media

SCUBA_RULE_Apache_Tomcat_executing_suspicious_commands

Nombre para mostrar de alerta: Apache_Tomcat_executing_suspicious_commands

Gravedad: media

SCUBA_RULE_KnownBruteForcingTools

Nombre para mostrar de alerta: proceso sospechoso ejecutado

Gravedad: alta

SCUBA_RULE_KnownCollectionTools

Nombre para mostrar de alerta: proceso sospechoso ejecutado

Gravedad: alta

SCUBA_RULE_KnownDefenseEvasionTools

Nombre para mostrar de alerta: proceso sospechoso ejecutado

Gravedad: alta

SCUBA_RULE_KnownExecutionTools

Nombre para mostrar de alerta: proceso sospechoso ejecutado

Gravedad: alta

SCUBA_RULE_KnownPassTheHashTools

Nombre para mostrar de alerta: proceso sospechoso ejecutado

Gravedad: alta

SCUBA_RULE_KnownSpammingTools

Nombre para mostrar de alerta: proceso sospechoso ejecutado

Gravedad: media

SCUBA_RULE_Lowering_Security_Settings

Nombre para mostrar de alerta: se detectó la deshabilitación de los servicios críticos

Gravedad: media

SCUBA_RULE_OtherKnownHackerTools

Nombre para mostrar de alerta: proceso sospechoso ejecutado

Gravedad: alta

SCUBA_RULE_RDP_session_hijacking_via_tscon

Nombre para mostrar de alerta: sospecha de nivel de integridad indicativo de secuestro RDP

Gravedad: media

SCUBA_RULE_RDP_session_hijacking_via_tscon_service

Nombre para mostrar de alerta: Instalación sospechosa del servicio

Gravedad: media

SCUBA_RULE_Suppress_pesky_unauthorized_use_prohibited_notices

Nombre para mostrar de alerta: se detectó la supresión del aviso legal que se muestra a los usuarios en el inicio de sesión.

Gravedad: baja

SCUBA_RULE_WDigest_Enabling

Nombre para mostrar de alerta: se detectó la habilitación de la clave del Registro WDigest UseLogonCredential.

Gravedad: media

VM.Windows_ApplockerBypass

Nombre para mostrar de alerta: posible intento de omitir AppLocker detectado

Gravedad: alta

VM.Windows_BariumKnownSuspiciousProcessExecution

Nombre para mostrar de alerta: se detectó la creación de archivos sospechosos

Gravedad: alta

VM.Windows_Base64EncodedExecutableInCommandLineParams

Nombre para mostrar de alerta: se detectó un archivo ejecutable codificado en los datos de la línea de comandos.

Gravedad: alta

VM.Windows_CalcsCommandLineUse

Nombre para mostrar de alerta: se detectó un uso sospechoso de Cacls para reducir el estado de seguridad del sistema.

Gravedad: media

VM.Windows_CommandLineStartingAllExe

Nombre para mostrar de alerta: se detectó una línea de comandos sospechosa que se usó para iniciar todos los ejecutables de un directorio.

Gravedad: media

VM.Windows_DisablingAndDeletingIISLogFiles

Nombre para mostrar de alerta: acciones detectadas indica cómo deshabilitar y eliminar archivos de registro de IIS

Gravedad: media

VM.Windows_DownloadUsingCertutil

Nombre para mostrar de alerta: descarga sospechosa mediante Certutil detectado

Gravedad: media

VM.Windows_EchoOverPipeOnLocalhost

Nombre para mostrar de alerta: se detectaron comunicaciones de canalización con nombre sospechosas

Gravedad: alta

VM.Windows_EchoToConstructPowerShellScript

Nombre para mostrar de alerta: construcción dinámica de scripts de PowerShell

Gravedad: media

VM.Windows_ExecutableDecodedUsingCertutil

Nombre para mostrar de alerta: se detectó la descodificación de un archivo ejecutable mediante la herramienta de certutil.exe integrada

Gravedad: media

VM.Windows_FileDeletionIsSospisiousLocation

Nombre para mostrar de la alerta: se detectó una eliminación de archivos sospechosa

Gravedad: media

VM.Windows_KerberosGoldenTicketAttack

Nombre para mostrar de la alerta: se sospechan parámetros de ataque de Golden Ticket kerberos observados

Gravedad: media

VM.Windows_KeygenToolKnownProcessName

Nombre para mostrar de alerta: se detectó la posible ejecución del archivo ejecutable keygen Sospechoso ejecutado

Gravedad: media

VM.Windows_KnownCredentialAccessTools

Nombre para mostrar de alerta: proceso sospechoso ejecutado

Gravedad: alta

VM.Windows_KnownSuspiciousPowerShellScript

Nombre para mostrar de alerta: se detectó un uso sospechoso de PowerShell

Gravedad: alta

VM.Windows_KnownSuspiciousSoftwareInstallation

Nombre para mostrar de alerta: software de alto riesgo detectado

Gravedad: media

VM.Windows_MsHtaAndPowerShellCombination

Nombre para mostrar de alerta: se detectó una combinación sospechosa de HTA y PowerShell

Gravedad: media

VM.Windows_MultipleAccountsQuery

Nombre para mostrar de alerta: varias cuentas de dominio consultadas

Gravedad: media

VM.Windows_NewAccountCreation

Nombre para mostrar de la alerta: se detectó la creación de la cuenta

Gravedad: informativo

VM.Windows_ObfuscatedCommandLine

Nombre para mostrar de alerta: se detectó una línea de comandos ofuscada.

Gravedad: alta

VM.Windows_PcaluaUseToLaunchExecutable

Nombre para mostrar de alerta: se detectó un uso sospechoso de Pcalua.exe para iniciar código ejecutable.

Gravedad: media

VM.Windows_PetyaRansomware

Nombre para mostrar de alerta: indicadores de ransomware petya detectados

Gravedad: alta

VM.Windows_PowerShellPowerSploitScriptExecution

Nombre para mostrar de alerta: cmdlets de PowerShell sospechosos ejecutados

Gravedad: media

VM.Windows_RansomwareIndication

Nombre para mostrar de alerta: indicadores de ransomware detectados

Gravedad: alta

VM.Windows_SqlDumperUsedSuspiciously

Nombre para mostrar de alerta: se detectó un posible volcado de credenciales [se ha detectado varias veces]

Gravedad: media

VM.Windows_StopCriticalServices

Nombre para mostrar de alerta: se detectó la deshabilitación de los servicios críticos

Gravedad: media

VM.Windows_SubvertingAccessibilityBinary

Nombre para mostrar de alerta: se detectó un ataque de claves permanentes. Se detectó la creación de cuentas sospechosas.

VM.Windows_SuspiciousAccountCreation

Nombre para mostrar de alerta: se detectó la creación de cuentas sospechosas

Gravedad: media

VM.Windows_SuspiciousFirewallRuleAdded

Nombre para mostrar de alerta: se detectó una nueva regla de firewall sospechosa

Gravedad: media

VM.Windows_SuspiciousFTPSSwitchUsage

Nombre para mostrar de alerta: se detectó un uso sospechoso del modificador FTP -s

Gravedad: media

VM.Windows_SuspiciousSQLActivity

Nombre para mostrar de alerta: actividad SQL sospechosa

Gravedad: media

VM.Windows_SVCHostFromInvalidPath

Nombre para mostrar de alerta: proceso sospechoso ejecutado

Gravedad: alta

VM.Windows_SystemEventLogCleared

Nombre para mostrar de la alerta: se ha borrado el registro de Seguridad de Windows

Gravedad: informativo

VM.Windows_TelegramInstallation

Nombre para mostrar de alerta: se detectó un uso potencialmente sospechoso de la herramienta Telegram.

Gravedad: media

VM.Windows_UndercoverProcess

Nombre para mostrar de alerta: se detectó un proceso con nombre sospechoso

Gravedad: alta

VM.Windows_UserAccountControlBypass

Nombre para mostrar de alerta: se detectó un cambio en una clave del Registro que se puede abusar para omitir UAC.

Gravedad: media

VM.Windows_VBScriptEncoding

Nombre para mostrar de alerta: se detectó una ejecución sospechosa del comando VBScript.Encode.

Gravedad: media

VM.Windows_WindowPositionRegisteryChange

Nombre para mostrar de alerta: se detectó un valor sospechoso del Registro WindowPosition

Gravedad: baja

VM.Windows_ZincPortOpenningUsingFirewallRule

Nombre para mostrar de alerta: regla de firewall malintencionada creada por el implante del servidor ZINC

Gravedad: alta

VM_DigitalCurrencyMining

Nombre para mostrar de la alerta: comportamiento relacionado con la minería de moneda digital detectado

Gravedad: alta

VM_MaliciousSQLActivity

Nombre para mostrar de alerta: actividad SQL malintencionada

Gravedad: alta

VM_ProcessWithDoubleExtensionExecution

Nombre para mostrar de alerta: archivo de extensión doble sospechoso ejecutado

Gravedad: alta

VM_RegistryPersistencyKey

Nombre para mostrar de alerta: se detectó el método de persistencia del Registro de Windows

Gravedad: baja

VM_ShadowCopyDeletion

Nombre para mostrar de alerta: ejecutable de actividad de instantáneas de volumen sospechoso que se encuentra ejecutándose desde una ubicación sospechosa

Gravedad: alta

VM_SuspectExecutablePath

Nombre para mostrar de alerta: archivo ejecutable que se encuentra en ejecución desde una ubicación sospechosa. Se detectó una combinación anómala de caracteres en mayúsculas y minúsculas en la línea de comandos.

Gravedad: informativo

Media

VM_SuspectPhp

Nombre para mostrar de la alerta: se detectó una ejecución de PHP sospechosa

Gravedad: media

VM_SuspiciousCommandLineExecution

Nombre para mostrar de alerta: ejecución sospechosa de comandos

Gravedad: alta

VM_SuspiciousScreenSaverExecution

Nombre para mostrar de alerta: se ejecutó un proceso de protector de pantalla sospechoso

Gravedad: media

VM_SvcHostRunInRareServiceGroup

Nombre para mostrar de alerta: grupo de servicios SVCHOST raro ejecutado

Gravedad: informativo

VM_SystemProcessInAbnormalContext

Nombre para mostrar de alerta: proceso del sistema sospechoso ejecutado

Gravedad: media

VM_ThreatIntelCommandLineSuspectDomain

Nombre para mostrar de alerta: se ha detectado una posible conexión a una ubicación malintencionada.

Gravedad: media

VM_ThreatIntelSuspectLogon

Nombre para mostrar de alerta: se ha detectado un inicio de sesión desde una dirección IP malintencionada.

Gravedad: alta

VM_VbScriptHttpObjectAllocation

Nombre para mostrar de alerta: se detectó la asignación de objetos HTTP de VBScript

Gravedad: alta

VM_TaskkillBurst

Nombre para mostrar de alerta: ráfaga de terminación de proceso sospechosa

Gravedad: baja

VM_RunByPsExec

Nombre para mostrar de alerta: se detectó la ejecución de PsExec

Gravedad: informativo

Tácticas de MITRE ATT&CK

Comprender la intención de un ataque puede ayudarle a investigar y notificar el evento más fácilmente. Para ayudar con estos esfuerzos, las alertas de Microsoft Defender for Cloud incluyen las tácticas de MITRE con muchas alertas.

La serie de pasos que describen la progresión de un ciberataque desde el reconocimiento a la exfiltración de datos se denomina a menudo "cadena de eliminación".

Las intenciones de cadena de eliminación admitidas de Defender for Cloud se basan en la versión 9 de la matriz DE MITRE ATT&CK y se describen en la tabla siguiente.

Táctica ATT&CK Versión Descripción
PreAttack PreAttack podría ser un intento de tener acceso a un recurso determinado, con independencia de que se trate de un intento malintencionado, o bien un error al intentar obtener acceso a un sistema de destino para recopilar información antes de la explotación. Este paso se detecta normalmente como un intento, que se origina desde fuera de la red, para examinar el sistema de destino e identificar un punto de entrada.
Acceso inicial V7, V9 Acceso inicial es la fase en la que un atacante se encarga de poner en marcha el recurso atacado. Esta fase es importante para los hosts de proceso y recursos, como las cuentas de usuario, los certificados, etc. Los actores de amenazas suelen ser capaces de controlar el recurso después de esta fase.
Persistencia V7, V9 La persistencia es cualquier cambio en el acceso, la acción o la configuración de un sistema que proporcione a un actor de amenaza una presencia persistente en ese sistema. Los actores de amenazas suelen necesitar mantener el acceso a los sistemas a través de interrupciones, como reinicios del sistema, pérdida de credenciales u otros errores que requieran que se reinicie una herramienta de acceso remoto o que proporcionen una puerta trasera alternativa para recuperar el acceso.
Elevación de privilegios V7, V9 La elevación de privilegios es el resultado de una serie de acciones que permiten a un adversario obtener un mayor nivel de permisos en un sistema o red. Ciertas herramientas o acciones requieren un mayor nivel de privilegios para trabajar y es probable que necesiten muchos puntos a lo largo de una operación. Las cuentas de usuario con permisos para acceder a sistemas específicos o realizar funciones específicas necesarias para que los adversarios logren su objetivo también podrían considerarse una escalación de privilegios.
Evasión defensiva V7, V9 La evasión de defensa consiste en técnicas que un adversario podría usar para eludir la detección o evitar otras defensas. A veces, estas acciones son las mismas que las técnicas (o variaciones de) de otras categorías que tienen la ventaja adicional de revertir una defensa o mitigación determinada.
Acceso de credenciales V7, V9 El acceso a credenciales representa técnicas que tienen como resultado el acceso o el control sobre las credenciales del sistema, dominio o servicio que se usan en un entorno empresarial. Los adversarios probablemente intentarán obtener credenciales legítimas de usuarios o cuentas de administrador (administrador del sistema local o usuarios del dominio con acceso de administrador) para usarlas dentro de la red. Con el acceso suficiente dentro de una red, un adversario puede crear cuentas para su uso posterior en el entorno.
Detección V7, V9 La detección consiste en una serie de técnicas que permiten al adversario obtener información sobre el sistema y la red interna. Cuando los adversarios obtienen acceso a un nuevo sistema, deben orientarse a lo que ahora tienen el control y lo que las ventajas que aportan ese sistema a su objetivo actual o a sus objetivos generales durante la intrusión. El sistema operativo proporciona muchas herramientas nativas que ayudan en esta fase de recopilación de información que se pone en peligro.
LateralMovement V7, V9 El movimiento lateral se compone de técnicas que permiten a un adversario tener acceso y controlar sistemas remotos en una red y, pero no necesariamente, incluir la ejecución de herramientas en sistemas remotos. Las técnicas de movimiento lateral podrían permitir que un adversario recopile información de un sistema sin necesidad de herramientas adicionales, como una herramienta de acceso remoto. Un adversario puede usar el movimiento lateral para muchos propósitos, como la ejecución remota de herramientas, la dinamización de sistemas adicionales, el acceso a información específica o archivos, el acceso a otras credenciales o la causa de un efecto.
Ejecución V7, V9 La táctica de ejecución representa una serie de técnicas para ejecutar código controlado por adversarios en un sistema local o remoto. Esta táctica suele usarse junto con el movimiento lateral para expandir el acceso a los sistemas remotos de una red.
Colección V7, V9 La colección consta de técnicas que se utilizan para identificar y recopilar información, como archivos confidenciales, de una red de destino antes de la exfiltración. Esta categoría también cubre las ubicaciones de un sistema o red donde el adversario podría buscar información para filtrar.
Comando y control V7, V9 La táctica de control y comando representa la forma en la que los adversarios se comunican con los sistemas bajo su control en una red de destino.
Exfiltración V7, V9 La exfiltración hace referencia a técnicas y atributos que permiten o ayudan a que el adversario elimine archivos e información de una red de destino. Esta categoría también cubre las ubicaciones de un sistema o red donde el adversario podría buscar información para filtrar.
Impacto V7, V9 Los eventos de impacto intentan principalmente reducir directamente la disponibilidad o la integridad de un sistema, servicio o red; incluida la manipulación de datos para afectar a un proceso empresarial o operativo. Esto suele hacer referencia a técnicas como ransomware, desmiración, manipulación de datos y otros.

Nota

En el caso de las alertas que están en versión preliminar: los Términos de uso complementarios para las versiones preliminares de Azure incluyen los términos legales adicionales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado con disponibilidad general.

Pasos siguientes