Alertes de sécurité - guide de référence
Cet article répertorie les alertes de sécurité que vous pouvez obtenir à partir de Microsoft Defender pour le cloud et de tous les plans Microsoft Defender que vous avez activés. Les alertes présentées dans votre environnement dépendent des ressources et services que vous protégez et de votre configuration personnalisée.
En bas de cette page, il existe une table décrivant la chaîne de destruction Microsoft Defender pour le cloud alignée sur la version 9 de la matrice MITRE ATT&CK.
Découvrez comment répondre à ces alertes.
Découvrez comment exporter des alertes.
Notes
Les alertes provenant de différentes sources peuvent prendre différentes durées d’affichage. Par exemple, l’affichage des alertes qui nécessitent une analyse du trafic réseau peut prendre plus de temps que pour les alertes liées à des processus suspects s’exécutant sur des machines virtuelles.
Alertes pour les machines Windows
Microsoft Defender pour serveurs Plan 2 fournit des détections et des alertes uniques, en plus de celles fournies par Microsoft Defender pour point de terminaison. Voici les alertes fournies pour les machines Windows :
Informations complémentaires et notes
Détection d’une connexion à partir d’une adresse IP malveillante. [vu plusieurs fois]
Description : Une authentification à distance réussie pour le compte [compte] et le processus [processus] se sont produits, mais l’adresse IP de connexion (x.x.x.x.x) a été signalée précédemment comme malveillante ou très inhabituelle. Une attaque a probablement eu lieu. Les fichiers avec les extensions .scr sont des fichiers de l’écran de veille et sont normalement présents dans répertoire système de Windows et exécutés dans ce même répertoire.
Tactiques MITRE : -
Gravité : élevée
La violation de stratégie de contrôle d’application adaptative a été auditée
VM_AdaptiveApplicationControlWindowsViolationAudited
Description : Les utilisateurs ci-dessous ont exécuté des applications qui violent la stratégie de contrôle d’application de votre organisation sur cet ordinateur. Elles peuvent éventuellement exposer l’ordinateur à des logiciels malveillants ou des vulnérabilités d’application.
Tactiques MITRE : Exécution
Gravité : Information
Ajout d’un compte invité au groupe Administrateurs local
Description : l’analyse des données de l’hôte a détecté l’ajout du compte invité intégré au groupe Local Administration istrators sur %{Hôte compromis}, qui est fortement associé à l’activité de l’attaquant.
Tactiques MITRE : -
Gravité : moyenne
Un journal des événements a été effacé
Description : les journaux d’activité des ordinateurs indiquent une opération suspecte d’effacement des journaux d’événements par l’utilisateur : « %{nom d’utilisateur} » dans l’ordinateur : « %{CompromisdEntity} ». Le journal %{canal du journal} a été effacé.
Tactiques MITRE : -
Gravité : Information
Échec d’action anti-programme malveillant
Description : Microsoft Antimalware a rencontré une erreur lors de l’exécution d’une action sur des programmes malveillants ou d’autres logiciels potentiellement indésirables.
Tactiques MITRE : -
Gravité : moyenne
Mesure anti-programme malveillant prise
Description : Microsoft Antimalware pour Azure a pris une action pour protéger cet ordinateur contre les programmes malveillants ou d’autres logiciels potentiellement indésirables.
Tactiques MITRE : -
Gravité : moyenne
Exclusion de fichiers étendue du logiciel anti-programme malveillant dans votre machine virtuelle
(VM_AmBroadFilesExclusion)
Description : L’exclusion de fichiers de l’extension anti-programme malveillant avec une règle d’exclusion étendue a été détectée dans votre machine virtuelle en analysant les opérations Azure Resource Manager dans votre abonnement. Cette exclusion désactive pratiquement la protection anti-programme malveillant. Des attaquants pourraient exclure des fichiers de l’analyse anti-programme malveillant sur votre machine virtuelle de façon à empêcher la détection et dans le même temps exécuter du code arbitraire ou infecter la machine avec des programmes malveillants.
Tactiques MITRE : -
Gravité : moyenne
Logiciel anti-programme malveillant désactivé et exécution de code dans votre machine virtuelle
(VM_AmDisablementAndCodeExecution)
Description : Logiciel anti-programme malveillant désactivé en même temps que l’exécution du code sur votre machine virtuelle. Cela a été détecté par l’analyse des opérations Azure Resource Manager dans votre abonnement. Les attaquants désactivent les scanners anti-programme malveillant pour empêcher la détection et dans le même temps exécuter des outils non autorisés ou infecter la machine avec des logiciels malveillants.
Tactiques MITRE : -
Gravité : élevée
Logiciel anti-programme malveillant désactivé dans votre machine virtuelle
(VM_AmDisablement)
Description : Logiciel anti-programme malveillant désactivé dans votre machine virtuelle. Cela a été détecté par l’analyse des opérations Azure Resource Manager dans votre abonnement. Des attaquants pourraient désactiver le logiciel anti-programme malveillant sur votre machine virtuelle pour empêcher la détection.
Tactiques MITRE : Évasion de défense
Gravité : moyenne
Exclusion de fichiers du logiciel anti-programme malveillant et exécution de code dans votre machine virtuelle
(VM_AmFileExclusionAndCodeExecution)
Description : Fichier exclu de votre scanneur anti-programme malveillant en même temps que le code a été exécuté via une extension de script personnalisé sur votre machine virtuelle. Cela a été détecté par l’analyse des opérations Azure Resource Manager dans votre abonnement. Des attaquants pourraient exclure des fichiers de l’analyse anti-programme malveillant sur votre machine virtuelle de façon à empêcher la détection et dans le même temps exécuter des outils non autorisés ou infecter la machine avec des programmes malveillants.
Tactiques MITRE : Évasion de défense, Exécution
Gravité : élevée
Exclusion de fichiers du logiciel anti-programme malveillant et exécution de code dans votre machine virtuelle
(VM_AmTempFileExclusionAndCodeExecution)
Description : Une exclusion temporaire du fichier de l’extension anti-programme malveillant en parallèle à l’exécution du code via l’extension de script personnalisé a été détectée dans votre machine virtuelle en analysant les opérations Azure Resource Manager dans votre abonnement. Des attaquants pourraient exclure des fichiers de l’analyse anti-programme malveillant sur votre machine virtuelle de façon à empêcher la détection et dans le même temps exécuter du code arbitraire ou infecter la machine avec des programmes malveillants.
Tactiques MITRE : Évasion de défense, Exécution
Gravité : élevée
Exclusion de fichiers du logiciel anti-programme malveillant dans votre machine virtuelle
(VM_AmTempFileExclusion)
Description : Fichier exclu de votre scanneur anti-programme malveillant sur votre machine virtuelle. Cela a été détecté par l’analyse des opérations Azure Resource Manager dans votre abonnement. Des attaquants pourraient exclure des fichiers de l’analyse anti-programme malveillant sur votre machine virtuelle de façon à empêcher la détection et dans le même temps exécuter des outils non autorisés ou infecter la machine avec des programmes malveillants.
Tactiques MITRE : Évasion de défense
Gravité : moyenne
La protection en temps réel anti-programme malveillant a été désactivée dans votre machine virtuelle
(VM_AmRealtimeProtectionDisabled)
Description : La désactivation de la protection en temps réel de l’extension anti-programme malveillant a été détectée dans votre machine virtuelle en analysant les opérations Azure Resource Manager dans votre abonnement. Des attaquants pourraient désactiver la protection en temps réel de l’analyse anti-programme malveillant sur votre machine virtuelle pour éviter la détection et dans le même temps exécuter du code arbitraire ou infecter la machine avec des programmes malveillants.
Tactiques MITRE : Évasion de défense
Gravité : moyenne
La protection en temps réel anti-programme malveillant a été désactivée temporairement dans votre machine virtuelle
(VM_AmTempRealtimeProtectionDisablement)
Description : La désactivation temporaire de la protection en temps réel de l’extension anti-programme malveillant a été détectée dans votre machine virtuelle en analysant les opérations Azure Resource Manager dans votre abonnement. Des attaquants pourraient désactiver la protection en temps réel de l’analyse anti-programme malveillant sur votre machine virtuelle pour éviter la détection et dans le même temps exécuter du code arbitraire ou infecter la machine avec des programmes malveillants.
Tactiques MITRE : Évasion de défense
Gravité : moyenne
La protection en temps réel contre les programmes malveillants a été désactivée temporairement pendant que du code était exécuté dans votre machine virtuelle
(VM_AmRealtimeProtectionDisablementAndCodeExec)
Description : La désactivation temporaire de la protection en temps réel de l’extension anti-programme malveillant en parallèle à l’exécution du code via l’extension de script personnalisé a été détectée dans votre machine virtuelle en analysant les opérations Azure Resource Manager dans votre abonnement. Des attaquants pourraient désactiver la protection en temps réel de l’analyse anti-programme malveillant sur votre machine virtuelle pour éviter la détection et dans le même temps exécuter du code arbitraire ou infecter la machine avec des programmes malveillants.
Tactiques MITRE : -
Gravité : élevée
Analyses anti-programme malveillant bloquées sur des fichiers potentiellement liés à des campagnes de logiciel malveillant sur votre machine virtuelle (préversion)
(VM_AmMalwareCampaignRelatedExclusion)
Description : Une règle d’exclusion a été détectée sur votre machine virtuelle pour empêcher l’analyse de votre extension anti-programme malveillant d’analyser certains fichiers soupçonnés d’être liés à une campagne de programmes malveillants. Cette règle a été détectée en analysant les opérations Azure Resource Manager dans votre abonnement. Des attaquants pourraient exclure des fichiers des analyses anti-programme malveillant de façon à empêcher la détection et dans le même temps exécuter du code arbitraire ou infecter la machine avec des programmes malveillants.
Tactiques MITRE : Évasion de défense
Gravité : moyenne
Logiciel anti-programme malveillant désactivé temporairement dans votre machine virtuelle
(VM_AmTemporarilyDisablement)
Description : Logiciel anti-programme malveillant temporairement désactivé dans votre machine virtuelle. Cela a été détecté par l’analyse des opérations Azure Resource Manager dans votre abonnement. Des attaquants pourraient désactiver le logiciel anti-programme malveillant sur votre machine virtuelle pour empêcher la détection.
Tactiques MITRE : -
Gravité : moyenne
Exclusion de fichiers inhabituelle du logiciel anti-programme malveillant dans votre machine virtuelle
(VM_UnusualAmFileExclusion)
Description : Une exclusion de fichier inhabituelle de l’extension anti-programme malveillant a été détectée dans votre machine virtuelle en analysant les opérations Azure Resource Manager dans votre abonnement. Des attaquants pourraient exclure des fichiers de l’analyse anti-programme malveillant sur votre machine virtuelle de façon à empêcher la détection et dans le même temps exécuter du code arbitraire ou infecter la machine avec des programmes malveillants.
Tactiques MITRE : Évasion de défense
Gravité : moyenne
Communication avec un domaine suspect identifié par le renseignement sur les menaces
(AzureDNS_ThreatIntelSuspectDomain)
Description : La communication avec un domaine suspect a été détectée en analysant les transactions DNS de votre ressource et en comparant les domaines malveillants connus identifiés par les flux de renseignement sur les menaces. La communication avec des domaines malveillants est souvent effectuée par des attaquants et pourrait indiquer que votre ressource est compromise.
Tactiques MITRE : accès initial, persistance, exécution, commande et contrôle, exploitation
Gravité : moyenne
Actions détectées indiquant la désactivation et la suppression des fichiers journaux IIS
Description : l’analyse des données de l’hôte a détecté des actions qui montrent que les fichiers journaux IIS sont désactivés et/ou supprimés.
Tactiques MITRE : -
Gravité : moyenne
Détection d’une combinaison anormale de caractères minuscules et majuscules dans la ligne de commande
Description : l’analyse des données de l’hôte sur %{Hôte compromis} a détecté une ligne de commande avec une combinaison anormale de caractères majuscules et minuscules. Ce type d’activité, même si elle est peut-être bénigne, est également caractéristique des attaquants qui tentent de masquer une correspondance de règle basée sur le hachage ou la casse lors de l’exécution de tâches d’administration sur un hôte compromis.
Tactiques MITRE : -
Gravité : moyenne
Détection d’une modification apportée à une clé de Registre pouvant être utilisée pour contourner l’UAC
Description : l’analyse des données de l’hôte sur %{Hôte compromis} a détecté qu’une clé de Registre qui peut être abusée pour contourner l’UAC (contrôle de compte d’utilisateur) a été modifiée. Ce type de configuration, même s’il est peut-être bénin, est également typique de l’activité d’un attaquant qui tente de passer d’un accès non privilégié (utilisateur standard) à un accès privilégié (par exemple, administrateur) sur un hôte compromis.
Tactiques MITRE : -
Gravité : moyenne
Détection du décodage d’un exécutable à l’aide de l’outil certutil.exe intégré
Description : l’analyse des données de l’hôte sur %{Hôte compromis} a détecté que certutil.exe, un utilitaire d’administrateur intégré, était utilisé pour décoder un exécutable au lieu de son objectif standard lié à la manipulation de certificats et de données de certificat. Les attaquants sont connus pour abuser des fonctionnalités d’outils d’administration légitimes afin d’effectuer des actions malveillantes, par exemple en utilisant un outil comme certutil.exe pour décoder un fichier exécutable qui sera ensuite exécuté.
Tactiques MITRE : -
Gravité : élevée
Détection de l’activation de la clé de Registre WDigest UseLogonCredential
Description : l’analyse des données de l’hôte a détecté une modification de la clé de Registre HKLM\SYSTEM\ CurrentControlSet\Control\SecurityProviders\WDigest\ « UseLogonCredential ». Dans ce cas précis, la clé a été mise à jour pour permettre le stockage des informations d’identification pour l’ouverture de session en texte clair dans la mémoire LSA. Une fois activée, l’attaquant peut vider les mots de passe en texte clair de la mémoire LSA à l’aide d’outils de collecte des informations d’identification tels que Mimikatz.
Tactiques MITRE : -
Gravité : moyenne
Détection d’un fichier exécutable encodé dans les données de la ligne de commande
Description : l’analyse des données de l’hôte sur %{Hôte compromis} a détecté un exécutable codé en base 64. Cette opération a déjà été associée à des attaquants tentant de construire des exécutables à la volée via une séquence de commandes, et tentant d’échapper aux systèmes de détection d’intrusion en veillant à ce qu’aucune commande ne déclenche d’alerte. Il peut s’agir d’une activité légitime ou du signe que l’hôte est compromis.
Tactiques MITRE : -
Gravité : élevée
Détection d’une ligne de commande masquée
Description : les attaquants utilisent des techniques d’obfuscation de plus en plus complexes pour échapper aux détections qui s’exécutent sur les données sous-jacentes. L’analyse des données de l’hôte sur %{Hôte compromis} a détecté des indicateurs suspects de brouillage sur la ligne de commande.
Tactiques MITRE : -
Gravité : Information
Possible détection de l’exécution d’un exécutable de génération de clés
Description : l’analyse des données de l’hôte sur %{Hôte compromis} a détecté l’exécution d’un processus dont le nom indique un outil keygen ; ces outils sont généralement utilisés pour vaincre les mécanismes de licence logicielle, mais leur téléchargement est souvent groupé avec d’autres logiciels malveillants. Le groupe d’activités GOLD est réputé pour profiter de ces outils pour bénéficier de façon dissimulée d’un accès aux hôtes qu’ils compromettent.
Tactiques MITRE : -
Gravité : moyenne
Possible détection de l’exécution d’une installation de logiciel malveillant
Description : l’analyse des données de l’hôte sur %{Hôte compromis} a détecté un nom de fichier qui a déjà été associé à l’une des méthodes d’installation de programmes malveillants par GOLD du groupe d’activités sur un hôte victime.
Tactiques MITRE : -
Gravité : élevée
Possible détection d’une activité de reconnaissance locale
Description : l’analyse des données de l’hôte sur %{Hôte compromis} a détecté une combinaison de commandes systeminfo qui ont été précédemment associées à l’une des méthodes du groupe d’activités GOLD d’exécution de l’activité de reconnaissance. Même si systeminfo.exe est un outil Windows légitime, son exécution deux fois de suite, suivie d’une commande de suppression comme survenu ici est rare.
Tactiques MITRE : -
Gravité : faible
Détection d’une utilisation potentiellement suspecte de l’outil Telegram
Description : l’analyse des données hôtes montre l’installation de Telegram, un service de messagerie instantanée gratuit basé sur le cloud qui existe à la fois pour le système mobile et de bureau. Les attaquants sont connus pour abuser de ce service pour transférer des fichiers binaires malveillants sur un autre ordinateur, téléphone ou tablette.
Tactiques MITRE : -
Gravité : moyenne
Détection de la notice légale présentée aux utilisateurs lors de la connexion
Description : l’analyse des données de l’hôte sur %{Hôte compromis} a détecté des modifications apportées à la clé de Registre qui contrôle si une notification légale est affichée aux utilisateurs lorsqu’ils se connectent. L’analyse de sécurité Microsoft a déterminé qu’il s’agissait d’une activité couramment utilisée par les attaquants une fois l’hôte compromis.
Tactiques MITRE : -
Gravité : faible
Détection d’une combinaison suspecte de HTA et PowerShell
Description : mshta.exe (Hôte d’application MICROSOFT HTML) qui est un binaire Microsoft signé utilisé par les attaquants pour lancer des commandes PowerShell malveillantes. Les attaquants ont souvent recours à un fichier HTA avec VBScript inclus. Lorsque la victime parcourt le fichier HTA et choisit de l’exécuter, les commandes et les scripts PowerShell qu’il contient sont exécutés. L’analyse des données de l’hôte sur%{Hôte compromis} a détecté le lancement par mshta.exe de commandes PowerShell.
Tactiques MITRE : -
Gravité : moyenne
Détection d’arguments de ligne de commande suspects
Description : l’analyse des données de l’hôte sur %{Hôte compromis} a détecté des arguments de ligne de commande suspects qui ont été utilisés conjointement avec un interpréteur de commandes inversé utilisé par le groupe d’activités HYDROGEN.
Tactiques MITRE : -
Gravité : élevée
Détection d’une ligne de commande suspecte utilisée pour démarrer tous les exécutables dans un répertoire
Description : l’analyse des données de l’hôte a détecté un processus suspect s’exécutant sur %{Hôte compromis}. La ligne de commande indique une tentative de démarrage de tous les exécutables (*.exe) susceptibles de résider dans un répertoire. Il peut s’agir d’une indication que l’hôte est compromis.
Tactiques MITRE : -
Gravité : moyenne
Détection d’informations d’identification suspectes dans la ligne de commande
Description : l’analyse des données de l’hôte sur %{Hôte compromis} a détecté un mot de passe suspect utilisé pour exécuter un fichier par le groupe d’activités BORON. Ce groupe d’activités utilise souvent ce mot de passe pour exécuter des programmes malveillants Pirpi sur l’hôte victime.
Tactiques MITRE : -
Gravité : élevée
Détection d’informations d’identification de document suspectes
Description : l’analyse des données de l’hôte sur %{Hôte compromis} a détecté un hachage de mot de passe précomputé suspect et courant utilisé par des programmes malveillants pour exécuter un fichier. Le groupe d’activité HYDROGEN utilise souvent ce mot de passe pour exécuter des programmes malveillants sur l’hôte victime.
Tactiques MITRE : -
Gravité : élevée
Détection de l’exécution suspecte de la commande VBScript.Encode
Description : l’analyse des données de l’hôte sur %{Hôte compromis} a détecté l’exécution de la commande VBScript.Encode. Cette commande encode les scripts en texte illisible, ce qui rend plus difficile l’examen du code par les utilisateurs. La recherche Microsoft sur les menaces montre que les attaquants utilisent souvent des fichiers VBscript encodés dans le cadre de leur attaque afin d’échapper aux systèmes de détection. Il peut s’agir d’une activité légitime ou du signe que l’hôte est compromis.
Tactiques MITRE : -
Gravité : moyenne
Détection d’une exécution suspecte via rundll32.exe
Description : l’analyse des données de l’hôte sur %{Hôte compromis} a détecté rundll32.exe être utilisé pour exécuter un processus avec un nom rare, cohérent avec le schéma d’affectation de noms de processus précédemment vu par le groupe d’activités GOLD lors de l’installation de son implant de première étape sur un hôte compromis.
Tactiques MITRE : -
Gravité : élevée
Détection de commandes suspectes de nettoyage de fichier
Description : l’analyse des données de l’hôte sur %{Hôte compromis} a détecté une combinaison de commandes systeminfo qui ont été précédemment associées à l’une des méthodes du groupe d’activités GOLD d’exécution de l’activité auto-propre up après compromission. Même si systeminfo.exe est un outil Windows légitime, une exécution deux fois de suite, suivie d’une commande de suppression comme survenue ici est rare.
Tactiques MITRE : -
Gravité : élevée
Détection d’une création de fichier suspecte
Description : l’analyse des données de l’hôte sur %{Hôte compromis} a détecté la création ou l’exécution d’un processus qui a précédemment indiqué une action post-compromission effectuée sur un hôte victime par le groupe d’activités BARIUM. Ce groupe est réputé pour utiliser cette technique pour télécharger des logiciels malveillants supplémentaires vers un hôte compromis après l’ouverture d’une pièce jointe dans un document de hameçonnage.
Tactiques MITRE : -
Gravité : élevée
Détection de communications de canal nommé suspectes
Description : l’analyse des données de l’hôte sur %{Hôte compromis} a détecté que les données sont écrites dans un canal nommé local à partir d’une commande de console Windows. Les canaux nommés sont souvent utilisés par les attaquants afin d’attribuer et de communiquer avec un implant malveillant. Il peut s’agir d’une activité légitime ou du signe que l’hôte est compromis.
Tactiques MITRE : -
Gravité : élevée
Détection d’une activité réseau suspecte
Description : l’analyse du trafic réseau de %{Hôte compromis} a détecté une activité réseau suspecte. Ce type de trafic, même s’il est peut-être bénin, est généralement utilisé par les attaquants pour communiquer avec des serveurs malveillants afin de télécharger des outils, des commandes et des contrôles et procéder à l’exfiltration de données. Les activités typiques consistent à copier les outils d’administration à distance sur un hôte compromis et à en exfiltrer les données utilisateur.
Tactiques MITRE : -
Gravité : faible
Détection d’une nouvelle règle de pare-feu suspecte
Description : l’analyse des données de l’hôte a détecté qu’une nouvelle règle de pare-feu a été ajoutée via netsh.exe pour autoriser le trafic à partir d’un exécutable à un emplacement suspect.
Tactiques MITRE : -
Gravité : moyenne
Détection de l’utilisation suspecte de Cacls pour abaisser le niveau de sécurité du système
Description : Les attaquants utilisent de nombreuses façons telles que la force brute, le hameçonnage, etc. pour obtenir une compromission initiale et obtenir un pied de main sur le réseau. Une fois l’attaque initiale effectuée, ils prennent souvent des mesures pour réduire les paramètres de sécurité du système. Cacls‫short for change access control list is Microsoft Windows native command-line utility souvent utilisé pour modifier l’autorisation de sécurité sur les dossiers et les fichiers. Souvent, le fichier binaire est utilisé par les attaquants pour abaisser le niveau de sécurité du système. Pour ce faire, tous les utilisateurs se voient attribuer ont un accès complet à certains fichiers binaires du système, comme ftp.exe, net.exe, wscript.exe, etc. L’analyse des données de l’hôte sur %{Hôte compromis} a détecté une utilisation suspecte de cacls pour réduire la sécurité du système.
Tactiques MITRE : -
Gravité : moyenne
Détection d’une utilisation suspecte du commutateur FTP -s
Description : l’analyse des données de création de processus à partir de %{Hôte compromis} a détecté l’utilisation du commutateur FTP « -s :filename ». Ce commutateur est utilisé pour spécifier un fichier de script FTP à exécuter par le client. Les programmes ou processus malveillants sont connus pour utiliser ce commutateur FTP (-s:filename) afin de pointer vers un fichier de script, configuré pour se connecter à un serveur FTP distant et télécharger d’autres fichiers binaires malveillants.
Tactiques MITRE : -
Gravité : moyenne
Détection d’une utilisation suspecte de Pcalua.exe pour lancer le code exécutable
Description : l’analyse des données de l’hôte sur %{Hôte compromis} a détecté l’utilisation de pcalua.exe pour lancer le code exécutable. Pcalua.exe est un composant de l’Assistant Compatibilité des programmes de Microsoft Windows, qui détecte les problèmes de compatibilité pendant l’installation ou l’exécution d’un programme. Les attaquants abusent souvent des fonctionnalités des outils système Windows légitimes pour exécuter des actions malveillantes, par exemple en utilisant pcalua.exe avec le commutateur -a pour lancer des exécutables malveillants, localement ou à partir de partages distants.
Tactiques MITRE : -
Gravité : moyenne
Détection de la désactivation de services essentiels
Description : l’analyse des données de l’hôte sur %{Hôte compromis} a détecté l’exécution de la commande « net.exe arrêter » utilisée pour arrêter les services critiques tels que SharedAccess ou l’application Sécurité Windows. L’arrêt de l’un de ces services peut indiquer un comportement malveillant.
Tactiques MITRE : -
Gravité : moyenne
Détection d’un comportement lié au minage de devises numériques
Description : l’analyse des données de l’hôte sur %{Hôte compromis} a détecté l’exécution d’un processus ou d’une commande normalement associé à l’exploration de devises numériques.
Tactiques MITRE : -
Gravité : élevée
Construction de script dynamique PS
Description : l’analyse des données de l’hôte sur %{Hôte compromis} a détecté la construction dynamique d’un script PowerShell. Les attaquants utilisent parfois cette approche pour générer un script progressivement afin d’échapper aux systèmes IDS. Il peut s’agir d’une activité légitime, ou d’une indication qu’une de vos machines a été compromise.
Tactiques MITRE : -
Gravité : moyenne
Détection d’un fichier exécutable en cours d’exécution dans un emplacement suspect
Description : l’analyse des données de l’hôte a détecté un fichier exécutable sur %{Hôte compromis} exécuté à partir d’un emplacement en commun avec les fichiers suspects connus. Cet exécutable peut être une activité légitime ou un signe que l’hôte est compromis.
Tactiques MITRE : -
Gravité : élevée
Comportement d’attaque sans fichier détecté
(VM_FilelessAttackBehavior.Windows)
Description : la mémoire du processus spécifié contient des comportements couramment utilisés par les attaques sans fichier. Les comportements spécifiques sont les suivants :
- Code d’interpréteur de commandes, qui est un petit morceau de code généralement utilisé comme charge utile dans l’exploitation d’une vulnérabilité logicielle
- Connexions réseau actives. Pour plus d’informations, consultez NetworkConnections ci-dessous.
- Appels de fonction aux interfaces de système d’exploitation sensibles à la sécurité. Consultez les fonctionnalités ci-dessous pour obtenir des fonctionnalités de système d’exploitation référencées.
- Contient un thread démarré dans un segment de code alloué dynamiquement. Il s’agit d’un modèle courant pour les attaques par injection de processus.
Tactiques MITRE : Évasion de défense
Gravité : faible
Technique d’attaque sans fichier détectée
(VM_FilelessAttackTechnique.Windows)
Description : la mémoire du processus spécifié ci-dessous contient des preuves d’une technique d’attaque sans fichier. Les attaques sans fichier sont utilisées par les attaquants pour exécuter du code tout en échappant à la détection par le logiciel de sécurité. Les comportements spécifiques sont les suivants :
- Code d’interpréteur de commandes, qui est un petit morceau de code généralement utilisé comme charge utile dans l’exploitation d’une vulnérabilité logicielle
- Image exécutable injectée dans le processus, par exemple dans une attaque par injection de code.
- Connexions réseau actives. Pour plus d’informations, consultez NetworkConnections ci-dessous.
- Appels de fonction aux interfaces de système d’exploitation sensibles à la sécurité. Consultez les fonctionnalités ci-dessous pour obtenir des fonctionnalités de système d’exploitation référencées.
- Creux du processus, qui est une technique utilisée par les programmes malveillants dans lequel un processus légitime est chargé sur le système pour agir comme un conteneur pour le code hostile.
- Contient un thread démarré dans un segment de code alloué dynamiquement. Il s’agit d’un modèle courant pour les attaques par injection de processus.
Tactiques MITRE : Évasion de défense, Exécution
Gravité : élevée
Kit d’attaques sans fichier détecté
(VM_FilelessAttackToolkit.Windows)
Description : la mémoire du processus spécifié contient un kit de ressources d’attaque sans fichier : [nom du kit de ressources]. Les kits d’attaques sans fichier utilisent des techniques qui réduisent ou éliminent les traces de logiciels malveillants sur disque et réduisent considérablement les chances de détection par des solutions d’analyse de logiciels malveillants sur disque. Les comportements spécifiques sont les suivants :
- Kits de ressources connus et logiciels d’exploration de données de chiffrement.
- Code d’interpréteur de commandes, qui est un petit morceau de code généralement utilisé comme charge utile dans l’exploitation d’une vulnérabilité logicielle
- Exécutable malveillant injecté dans la mémoire du processus.
Tactiques MITRE : Évasion de défense, Exécution
Gravité : moyenne
Détection d’un logiciel à haut risque
Description : l’analyse des données de l’hôte de %{Hôte compromis} a détecté l’utilisation de logiciels associés à l’installation de programmes malveillants dans le passé. Une technique courante utilisée dans la distribution de logiciels malveillants consiste à les empaqueter dans des outils bénins, comme celui présenté dans cette alerte. Lors de l’utilisation de ces outils, les logiciels malveillants peuvent être installés en arrière-plan de façon silencieuse.
Tactiques MITRE : -
Gravité : moyenne
Les membres du groupe Administrateurs locaux ont été énumérés
Description : les journaux des machines indiquent une énumération réussie sur le groupe %{Nom de domaine de groupe énuméré}%{Nom de groupe énuméré}. Plus précisément, %{Énumération du nom de domaine de l’utilisateur}%{Énumération du nom d’utilisateur} a énuméré à distance les membres du groupe %{Nom de domaine du groupe énuméré}%{Nom du groupe énuméré}. Il s’agit peut-être d’une activité légitime ou bien d’une indication qu’un des ordinateurs de votre organisation a été compromis et utilisé pour la reconnaissance de %{nom_machine_virtuelle}.
Tactiques MITRE : -
Gravité : Information
Règle de pare-feu malveillante créée par l’implant de serveur ZINC [constaté plusieurs fois]
Description : une règle de pare-feu a été créée à l’aide de techniques qui correspondent à un acteur connu, ZINC. Cette règle a peut-être été utilisée pour ouvrir un port sur l’hôte %{Hôte compromis} afin d’autoriser les communications de contrôle et de commande. Ce comportement a été observé [x] fois aujourd’hui sur les ordinateurs suivants : [noms des ordinateurs]
Tactiques MITRE : -
Gravité : élevée
Activité SQL malveillante
Description : les journaux d’activité de l’ordinateur indiquent que « %{nom du processus} » a été exécuté par compte : %{nom d’utilisateur}. Cette activité est considérée comme malveillante.
Tactiques MITRE : -
Gravité : élevée
Interrogations de plusieurs comptes de domaine
Description : l’analyse des données de l’hôte a déterminé qu’un nombre inhabituel de comptes de domaine distincts sont interrogés dans un court délai à partir de %{Hôte compromis}. Ce type d’activité peut être légitime, mais peut également être l’indication d’une attaque.
Tactiques MITRE : -
Gravité : moyenne
Possible détection d’un vidage des informations d’identification [constaté plusieurs fois]
Description : l’analyse des données hôtes a détecté l’utilisation de l’outil Windows natif (par exemple, sqldumper.exe) utilisée de manière à extraire les informations d’identification de la mémoire. Les attaquants utilisent souvent ces techniques pour extraire des informations d’identification qu’ils utilisent ensuite pour se déplacer et pour augmenter les privilèges. Ce comportement a été observé [x] fois aujourd’hui sur les ordinateurs suivants : [noms des ordinateurs]
Tactiques MITRE : -
Gravité : moyenne
Possible détection d’une tentative de contournement d’AppLocker
Description : l’analyse des données de l’hôte sur %{Hôte compromis} a détecté une tentative potentielle de contourner les restrictions AppLocker. AppLocker peut être configuré pour mettre en œuvre une stratégie qui limite les exécutables autorisés à s’exécuter sur un système Windows. Le modèle de ligne de commande similaire à celui identifié dans cette alerte a déjà été associé aux actions d’un attaquant qui tentait de contourner la stratégie AppLocker à l’aide de fichiers exécutables approuvés (autorisés par la stratégie AppLocker) pour exécuter du code non approuvé. Il peut s’agir d’une activité légitime ou du signe que l’hôte est compromis.
Tactiques MITRE : -
Gravité : élevée
Groupe de service SVCHOST rare exécuté
(VM_SvcHostRunInRareServiceGroup)
Description : Le processus système SVCHOST a été observé en exécutant un groupe de services rare. Le programme malveillant utilise souvent SVCHOST pour masquer des activités malveillantes.
Tactiques MITRE : Évasion de défense, Exécution
Gravité : Information
Détection d’attaque des touches rémanentes
Description : l’analyse des données de l’hôte indique qu’un attaquant peut subvertir un fichier binaire d’accessibilité (par exemple des touches sticky, clavier à l’écran, narrateur) afin de fournir un accès par porte dérobée à l’hôte %{Hôte compromis}.
Tactiques MITRE : -
Gravité : moyenne
Attaque par force brute réussie
(VM_LoginBruteForceSuccess)
Description : plusieurs tentatives de connexion ont été détectées à partir de la même source. Certaines authentification ont réussi. Ceci ressemble à une attaque en rafale, dans laquelle l’attaquant effectue de nombreuses tentatives d’authentification pour trouver des informations d'identification de compte valides.
Tactiques MITRE : Exploitation
Gravité : moyenne/élevée
Niveau d’intégrité suspect indiquant un détournement RDP
Description : l’analyse des données de l’hôte a détecté l’tscon.exe s’exécutant avec des privilèges SYSTEM . Cela peut être indicatif d’un attaquant qui abuse de ce binaire afin de basculer le contexte vers tout autre utilisateur connecté sur cet hôte ; il s’agit d’une technique malveillante connue pour compromettre davantage de comptes d’utilisateur et se déplacer ultérieurement sur un réseau.
Tactiques MITRE : -
Gravité : moyenne
Installation de service suspecte
Description : l’analyse des données de l’hôte a détecté l’installation de tscon.exe en tant que service : ce binaire démarré en tant que service permet potentiellement à un attaquant de basculer trivialement vers un autre utilisateur connecté sur cet hôte en détournant les connexions RDP ; il s’agit d’une technique d’attaquant connue pour compromettre davantage de comptes d’utilisateur et passer ultérieurement sur un réseau.
Tactiques MITRE : -
Gravité : moyenne
Détection de paramètres d’attaque Kerberos Golden Ticket suspects
Description : l’analyse des données de l’hôte a détecté des paramètres de ligne de commande cohérents avec une attaque Kerberos Golden Ticket.
Tactiques MITRE : -
Gravité : moyenne
Détection de création de compte suspecte
Description : l’analyse des données de l’hôte sur %{Hôte compromis} a détecté la création ou l’utilisation d’un compte local %{Nom de compte suspect} : ce nom de compte ressemble étroitement à un compte Windows standard ou un nom de groupe « %{Similaire au nom du compte} ». Il s’agit peut-être d’un compte non autorisé créé par un attaquant et nommé ainsi pour éviter d’être remarqué par un administrateur humain.
Tactiques MITRE : -
Gravité : moyenne
Activité suspecte détectée
(VM_SuspiciousActivity)
Description : l’analyse des données de l’hôte a détecté une séquence d’un ou de plusieurs processus s’exécutant sur %{nom de l’ordinateur} qui ont historiquement été associés à une activité malveillante. Bien que les commandes individuelles semblent bénignes, l’alerte est notée en fonction d’une agrégation de ces commandes. Il peut s’agir d’une activité légitime ou du signe que l’hôte est compromis.
Tactiques MITRE : Exécution
Gravité : moyenne
Activité d’authentification suspecte
(VM_LoginBruteForceValidUserFailed)
Description : Bien qu’aucun d’entre eux n’ait réussi, certains d’entre eux ont été reconnus par l’hôte. Cela ressemble à une attaque par dictionnaire, dans laquelle l’attaquant effectue de nombreuses tentatives d’authentification à l’aide d’un dictionnaire prédéfini de noms de comptes et de mots de passe, afin de trouver des informations d’identification valides pour accéder à l’hôte. Cela indique que certains noms de compte de votre hôte peuvent se trouver dans un dictionnaire de noms de compte connus.
Tactiques MITRE : détection
Gravité : moyenne
Détection de segment de code suspect
Description : indique qu’un segment de code a été alloué à l’aide de méthodes non standard, telles que l’injection de réflexion et le creux du processus. L’alerte présente d’autres caractéristiques du segment de code qui a été traité pour fournir un contexte relatif aux fonctionnalités et aux comportements du segment de code indiqué.
Tactiques MITRE : -
Gravité : moyenne
Exécution suspecte d’un fichier à double extension
Description : l’analyse des données de l’hôte indique une exécution d’un processus avec une double extension suspecte. Cette extension peut inciter les utilisateurs à penser que les fichiers sont sûrs d’être ouverts et peuvent indiquer la présence de programmes malveillants sur le système.
Tactiques MITRE : -
Gravité : élevée
Détection d’un téléchargement suspect à l’aide de Certutil [constaté plusieurs fois]
Description : l’analyse des données de l’hôte sur %{Hôte compromis} a détecté l’utilisation de certutil.exe, un utilitaire d’administrateur intégré, pour le téléchargement d’un fichier binaire au lieu de son objectif standard lié à la manipulation de certificats et de données de certificat. Les attaquants sont connus pour abuser des fonctionnalités d’outils d’administration légitimes afin d’effectuer des actions malveillantes, par exemple en utilisant certutil.exe pour télécharger et décoder un fichier exécutable qui sera ensuite exécuté. Ce comportement a été observé [x] fois aujourd’hui sur les ordinateurs suivants : [noms des ordinateurs]
Tactiques MITRE : -
Gravité : moyenne
Détection d’un téléchargement suspect à l’aide de Certutil
Description : l’analyse des données de l’hôte sur %{Hôte compromis} a détecté l’utilisation de certutil.exe, un utilitaire d’administrateur intégré, pour le téléchargement d’un fichier binaire au lieu de son objectif standard lié à la manipulation de certificats et de données de certificat. Les attaquants sont connus pour abuser des fonctionnalités d’outils d’administration légitimes afin d’effectuer des actions malveillantes, par exemple en utilisant certutil.exe pour télécharger et décoder un fichier exécutable qui sera ensuite exécuté.
Tactiques MITRE : -
Gravité : moyenne
Détection d’activité PowerShell suspecte
Description : l’analyse des données de l’hôte a détecté un script PowerShell s’exécutant sur %{Hôte compromis} qui comporte des fonctionnalités communes aux scripts suspects connus. Il peut s’agir d’une activité légitime ou du signe que l’hôte est compromis.
Tactiques MITRE : -
Gravité : élevée
Exécution de cmdlets PowerShell suspects
Description : l’analyse des données de l’hôte indique l’exécution des applets de commande PowerSploit PowerSploit PowerShell connues.
Tactiques MITRE : -
Gravité : moyenne
Exécution d’un processus suspect [constaté plusieurs fois]
Description : les journaux d’activité de l’ordinateur indiquent que le processus suspect : « %{Processus suspect} » s’exécutait sur l’ordinateur, souvent associé à des tentatives d’accès aux informations d’identification. Ce comportement a été observé [x] fois aujourd’hui sur les ordinateurs suivants : [noms des ordinateurs]
Tactiques MITRE : -
Gravité : élevée
Exécution d’un processus suspect
Description : les journaux d’activité de l’ordinateur indiquent que le processus suspect : « %{Processus suspect} » s’exécutait sur l’ordinateur, souvent associé à des tentatives d’accès aux informations d’identification.
Tactiques MITRE : -
Gravité : élevée
Détection d’un nom de processus suspect [constaté plusieurs fois]
Description : l’analyse des données de l’hôte sur %{Hôte compromis} a détecté un processus dont le nom est suspect, par exemple correspondant à un outil malveillant connu ou nommé d’une manière qui suggère des outils attaquants qui essaient de se cacher en mode clair. Il peut s’agir d’un processus légitime, ou de l’indication qu’une de vos machines a été compromise. Ce comportement a été observé [x] fois aujourd’hui sur les ordinateurs suivants : [noms des ordinateurs]
Tactiques MITRE : -
Gravité : moyenne
Détection d’un nom de processus suspect
Description : l’analyse des données de l’hôte sur %{Hôte compromis} a détecté un processus dont le nom est suspect, par exemple correspondant à un outil malveillant connu ou nommé d’une manière qui suggère des outils attaquants qui essaient de se cacher en mode clair. Il peut s’agir d’un processus légitime, ou de l’indication qu’une de vos machines a été compromise.
Tactiques MITRE : -
Gravité : moyenne
Activité SQL suspecte
Description : les journaux d’activité de l’ordinateur indiquent que « %{nom du processus} » a été exécuté par compte : %{nom d’utilisateur}. Cette activité est rare avec ce compte.
Tactiques MITRE : -
Gravité : moyenne
Exécution suspecte du processus SVCHOST
Description : Le processus système SVCHOST a été observé en cours d’exécution dans un contexte anormal. Le programme malveillant utilise souvent SVCHOST pour masquer des activités malveillantes.
Tactiques MITRE : -
Gravité : élevée
Exécution suspecte d’un processus système
(VM_SystemProcessInAbnormalContext)
Description : le processus système %{nom du processus} a été observé en cours d’exécution dans un contexte anormal. Le programme malveillant utilise souvent ce nom de processus pour masquer des activités malveillantes.
Tactiques MITRE : Évasion de défense, Exécution
Gravité : élevée
Activité suspecte de copie de clichés instantanés de volume
Description : l’analyse des données de l’hôte a détecté une activité de suppression de cliché instantané sur la ressource. Le cliché instantané de volume (VSC) est un artefact important qui stocke des clichés instantanés de données. Certains logiciels malveillants, et en particulier les ransomwares, ciblent VSC pour saboter les stratégies de sauvegarde.
Tactiques MITRE : -
Gravité : élevée
Détection d’une valeur de Registre WindowPosition suspecte
Description : l’analyse des données de l’hôte sur %{Hôte compromis} a détecté une tentative de modification de configuration de Registre WindowPosition qui pourrait indiquer le masquage des fenêtres d’application dans des sections nonvisibles du bureau. Il peut s’agir d’une activité légitime ou d’une indication que l’ordinateur est compromis : ce type d’activité a déjà été associé à un logiciel de publicité connu (ou à un logiciel indésirable), par exemple Win32/OneSystemCare et Win32/SystemHealer et à un programme malveillant tel que Win32/Creprote. Lorsque la valeur de WindowPosition est définie sur 201329664, (hex : 0x0c00 0C00, ce qui correspond à axe X = 0c00 et axe Y = 0c00), la fenêtre de l’application console est placée dans une partie non visible de l’écran de l’utilisateur, dans une zone masquée par le menu Démarrer/la barre des tâches visible. La valeur hex suspecte connue inclut, mais pas limitée à c000c000.
Tactiques MITRE : -
Gravité : faible
Détection d’un processus nommé de façon suspecte
Description : l’analyse des données de l’hôte sur %{Hôte compromis} a détecté un processus dont le nom est très similaire mais différent d’un processus très couramment exécuté (%{Similaire au nom du processus}). Bien que ce processus puisse être inoffensif, les attaquants peuvent parfois masquer leurs outils malveillants en leur donnant un nom qui ressemble à celui d’un processus légitime.
Tactiques MITRE : -
Gravité : moyenne
Réinitialisation de configuration inhabituelle dans votre machine virtuelle
(VM_VMAccessUnusualConfigReset)
Description : Une réinitialisation de configuration inhabituelle a été détectée dans votre machine virtuelle en analysant les opérations Azure Resource Manager dans votre abonnement. Bien que cette action soit légitime, les attaquants peuvent essayer d’utiliser l’extension d’accès aux machines virtuelles pour réinitialiser la configuration dans votre machine virtuelle et la compromettre.
Tactiques MITRE : Accès aux informations d’identification
Gravité : moyenne
Détection de l’exécution suspecte d’un processus
Description : l’analyse des données de l’hôte sur %{Hôte compromis} a détecté l’exécution d’un processus par %{Nom d’utilisateur} inhabituel. Les comptes tels que %{Nom d’utilisateur} ont tendance à effectuer un ensemble limité d’opérations, cette exécution a été déterminée comme hors caractère et peut être suspecte.
Tactiques MITRE : -
Gravité : élevée
Réinitialisation de mot de passe utilisateur inhabituelle dans votre machine virtuelle
(VM_VMAccessUnusualPasswordReset)
Description : Une réinitialisation inhabituelle du mot de passe utilisateur a été détectée dans votre machine virtuelle en analysant les opérations Azure Resource Manager dans votre abonnement. Bien que cette action soit légitime, les attaquants peuvent essayer d’utiliser l’extension d’accès aux machines virtuelles pour réinitialiser les informations d’identification d’un utilisateur local dans votre machine virtuelle et la compromettre.
Tactiques MITRE : Accès aux informations d’identification
Gravité : moyenne
Réinitialisation de clé SSH utilisateur inhabituelle dans votre machine virtuelle
(VM_VMAccessUnusualSSHReset)
Description : Une réinitialisation inhabituelle de clé SSH utilisateur a été détectée sur votre machine virtuelle en analysant les opérations Azure Resource Manager dans votre abonnement. Bien que cette action soit légitime, les attaquants peuvent essayer d’utiliser l’extension d’accès aux machines virtuelles pour réinitialiser la clé SSH d’un compte d’utilisateur dans votre machine virtuelle et la compromettre.
Tactiques MITRE : Accès aux informations d’identification
Gravité : moyenne
Détection d’une allocation d’objet HTTP VBScript
Description : La création d’un fichier VBScript à l’aide de l’invite de commandes a été détectée. Le script suivant contient une commande d’allocation d’objets HTTP. Cette action peut être utilisée pour télécharger des fichiers malveillants.
Installation suspecte de l’extension GPU sur votre machine virtuelle (préversion)
(VM_GPUDriverExtensionUnusualExecution)
Description : Une installation suspecte d’une extension GPU a été détectée dans votre machine virtuelle en analysant les opérations Azure Resource Manager dans votre abonnement. Les attaquants peuvent utiliser l’extension de pilote GPU pour installer des pilotes GPU sur votre machine virtuelle via Azure Resource Manager pour effectuer le cryptojacking.
Tactiques MITRE : Impact
Gravité : faible
Alertes pour les machines Linux
Microsoft Defender pour serveurs Plan 2 fournit des détections et des alertes uniques, en plus de celles fournies par Microsoft Defender pour point de terminaison. Voici les alertes fournies pour les machines Linux :
Informations complémentaires et notes
un fichier d’historique a été effacé
Description : l’analyse des données de l’hôte indique que le fichier journal de l’historique des commandes a été effacé. Les attaquants peuvent le faire pour couvrir leurs traces. Cette opération a été effectuée par l’utilisateur : {Nom de l’utilisateur}.
Tactiques MITRE : -
Gravité : moyenne
La violation de stratégie de contrôle d’application adaptative a été auditée
(VM_AdaptiveApplicationControlLinuxViolationAudited)
Description : Les utilisateurs ci-dessous ont exécuté des applications qui violent la stratégie de contrôle d’application de votre organisation sur cet ordinateur. Elles peuvent éventuellement exposer l’ordinateur à des logiciels malveillants ou des vulnérabilités d’application.
Tactiques MITRE : Exécution
Gravité : Information
Exclusion de fichiers étendue du logiciel anti-programme malveillant dans votre machine virtuelle
(VM_AmBroadFilesExclusion)
Description : L’exclusion de fichiers de l’extension anti-programme malveillant avec une règle d’exclusion étendue a été détectée dans votre machine virtuelle en analysant les opérations Azure Resource Manager dans votre abonnement. Cette exclusion désactive pratiquement la protection anti-programme malveillant. Des attaquants pourraient exclure des fichiers de l’analyse anti-programme malveillant sur votre machine virtuelle de façon à empêcher la détection et dans le même temps exécuter du code arbitraire ou infecter la machine avec des programmes malveillants.
Tactiques MITRE : -
Gravité : moyenne
Logiciel anti-programme malveillant désactivé et exécution de code dans votre machine virtuelle
(VM_AmDisablementAndCodeExecution)
Description : Logiciel anti-programme malveillant désactivé en même temps que l’exécution du code sur votre machine virtuelle. Cela a été détecté par l’analyse des opérations Azure Resource Manager dans votre abonnement. Les attaquants désactivent les scanners anti-programme malveillant pour empêcher la détection et dans le même temps exécuter des outils non autorisés ou infecter la machine avec des logiciels malveillants.
Tactiques MITRE : -
Gravité : élevée
Logiciel anti-programme malveillant désactivé dans votre machine virtuelle
(VM_AmDisablement)
Description : Logiciel anti-programme malveillant désactivé dans votre machine virtuelle. Cela a été détecté par l’analyse des opérations Azure Resource Manager dans votre abonnement. Des attaquants pourraient désactiver le logiciel anti-programme malveillant sur votre machine virtuelle pour empêcher la détection.
Tactiques MITRE : Évasion de défense
Gravité : moyenne
Exclusion de fichiers du logiciel anti-programme malveillant et exécution de code dans votre machine virtuelle
(VM_AmFileExclusionAndCodeExecution)
Description : Fichier exclu de votre scanneur anti-programme malveillant en même temps que le code a été exécuté via une extension de script personnalisé sur votre machine virtuelle. Cela a été détecté par l’analyse des opérations Azure Resource Manager dans votre abonnement. Des attaquants pourraient exclure des fichiers de l’analyse anti-programme malveillant sur votre machine virtuelle de façon à empêcher la détection et dans le même temps exécuter des outils non autorisés ou infecter la machine avec des programmes malveillants.
Tactiques MITRE : Évasion de défense, Exécution
Gravité : élevée
Exclusion de fichiers du logiciel anti-programme malveillant et exécution de code dans votre machine virtuelle
(VM_AmTempFileExclusionAndCodeExecution)
Description : Une exclusion temporaire du fichier de l’extension anti-programme malveillant en parallèle à l’exécution du code via l’extension de script personnalisé a été détectée dans votre machine virtuelle en analysant les opérations Azure Resource Manager dans votre abonnement. Des attaquants pourraient exclure des fichiers de l’analyse anti-programme malveillant sur votre machine virtuelle de façon à empêcher la détection et dans le même temps exécuter du code arbitraire ou infecter la machine avec des programmes malveillants.
Tactiques MITRE : Évasion de défense, Exécution
Gravité : élevée
Exclusion de fichiers du logiciel anti-programme malveillant dans votre machine virtuelle
(VM_AmTempFileExclusion)
Description : Fichier exclu de votre scanneur anti-programme malveillant sur votre machine virtuelle. Cela a été détecté par l’analyse des opérations Azure Resource Manager dans votre abonnement. Des attaquants pourraient exclure des fichiers de l’analyse anti-programme malveillant sur votre machine virtuelle de façon à empêcher la détection et dans le même temps exécuter des outils non autorisés ou infecter la machine avec des programmes malveillants.
Tactiques MITRE : Évasion de défense
Gravité : moyenne
La protection en temps réel anti-programme malveillant a été désactivée dans votre machine virtuelle
(VM_AmRealtimeProtectionDisabled)
Description : La désactivation de la protection en temps réel de l’extension anti-programme malveillant a été détectée dans votre machine virtuelle en analysant les opérations Azure Resource Manager dans votre abonnement. Des attaquants pourraient désactiver la protection en temps réel de l’analyse anti-programme malveillant sur votre machine virtuelle pour éviter la détection et dans le même temps exécuter du code arbitraire ou infecter la machine avec des programmes malveillants.
Tactiques MITRE : Évasion de défense
Gravité : moyenne
La protection en temps réel anti-programme malveillant a été désactivée temporairement dans votre machine virtuelle
(VM_AmTempRealtimeProtectionDisablement)
Description : La désactivation temporaire de la protection en temps réel de l’extension anti-programme malveillant a été détectée dans votre machine virtuelle en analysant les opérations Azure Resource Manager dans votre abonnement. Des attaquants pourraient désactiver la protection en temps réel de l’analyse anti-programme malveillant sur votre machine virtuelle pour éviter la détection et dans le même temps exécuter du code arbitraire ou infecter la machine avec des programmes malveillants.
Tactiques MITRE : Évasion de défense
Gravité : moyenne
La protection en temps réel contre les programmes malveillants a été désactivée temporairement pendant que du code était exécuté dans votre machine virtuelle
(VM_AmRealtimeProtectionDisablementAndCodeExec)
Description : La désactivation temporaire de la protection en temps réel de l’extension anti-programme malveillant en parallèle à l’exécution du code via l’extension de script personnalisé a été détectée dans votre machine virtuelle en analysant les opérations Azure Resource Manager dans votre abonnement. Des attaquants pourraient désactiver la protection en temps réel de l’analyse anti-programme malveillant sur votre machine virtuelle pour éviter la détection et dans le même temps exécuter du code arbitraire ou infecter la machine avec des programmes malveillants.
Tactiques MITRE : -
Gravité : élevée
Analyses anti-programme malveillant bloquées sur des fichiers potentiellement liés à des campagnes de logiciel malveillant sur votre machine virtuelle (préversion)
(VM_AmMalwareCampaignRelatedExclusion)
Description : Une règle d’exclusion a été détectée sur votre machine virtuelle pour empêcher l’analyse de votre extension anti-programme malveillant d’analyser certains fichiers soupçonnés d’être liés à une campagne de programmes malveillants. Cette règle a été détectée en analysant les opérations Azure Resource Manager dans votre abonnement. Des attaquants pourraient exclure des fichiers des analyses anti-programme malveillant de façon à empêcher la détection et dans le même temps exécuter du code arbitraire ou infecter la machine avec des programmes malveillants.
Tactiques MITRE : Évasion de défense
Gravité : moyenne
Logiciel anti-programme malveillant désactivé temporairement dans votre machine virtuelle
(VM_AmTemporarilyDisablement)
Description : Logiciel anti-programme malveillant temporairement désactivé dans votre machine virtuelle. Cela a été détecté par l’analyse des opérations Azure Resource Manager dans votre abonnement. Des attaquants pourraient désactiver le logiciel anti-programme malveillant sur votre machine virtuelle pour empêcher la détection.
Tactiques MITRE : -
Gravité : moyenne
Exclusion de fichiers inhabituelle du logiciel anti-programme malveillant dans votre machine virtuelle
(VM_UnusualAmFileExclusion)
Description : Une exclusion de fichier inhabituelle de l’extension anti-programme malveillant a été détectée dans votre machine virtuelle en analysant les opérations Azure Resource Manager dans votre abonnement. Des attaquants pourraient exclure des fichiers de l’analyse anti-programme malveillant sur votre machine virtuelle de façon à empêcher la détection et dans le même temps exécuter du code arbitraire ou infecter la machine avec des programmes malveillants.
Tactiques MITRE : Évasion de défense
Gravité : moyenne
Détection d’un comportement similaire à un ransomware [constaté plusieurs fois]
Description : l’analyse des données de l’hôte sur %{Hôte compromis} a détecté l’exécution de fichiers qui ressemblent à des ransomwares connus qui peuvent empêcher les utilisateurs d’accéder à leurs fichiers système ou personnels et demandent un paiement de rançon pour récupérer l’accès. Ce comportement a été observé [x] fois aujourd’hui sur les ordinateurs suivants : [noms des ordinateurs]
Tactiques MITRE : -
Gravité : élevée
Communication avec un domaine suspect identifié par le renseignement sur les menaces
(AzureDNS_ThreatIntelSuspectDomain)
Description : La communication avec un domaine suspect a été détectée en analysant les transactions DNS de votre ressource et en comparant les domaines malveillants connus identifiés par les flux de renseignement sur les menaces. La communication avec des domaines malveillants est souvent effectuée par des attaquants et pourrait indiquer que votre ressource est compromise.
Tactiques MITRE : accès initial, persistance, exécution, commande et contrôle, exploitation
Gravité : moyenne
Conteneur avec une image d’extracteur détecté
(VM_MinerInContainerImage)
Description : les journaux d’activité des machines indiquent l’exécution d’un conteneur Docker qui exécute une image associée à une exploration de données monétaire numérique.
Tactiques MITRE : Exécution
Gravité : élevée
Détection d’une combinaison anormale de caractères minuscules et majuscules dans la ligne de commande
Description : l’analyse des données de l’hôte sur %{Hôte compromis} a détecté une ligne de commande avec une combinaison anormale de caractères majuscules et minuscules. Ce type d’activité, même si elle est peut-être bénigne, est également caractéristique des attaquants qui tentent de masquer une correspondance de règle basée sur le hachage ou la casse lors de l’exécution de tâches d’administration sur un hôte compromis.
Tactiques MITRE : -
Gravité : moyenne
Détection de téléchargements de fichiers à partir d’une source malveillante connue
Description : l’analyse des données de l’hôte a détecté le téléchargement d’un fichier à partir d’une source de programmes malveillants connue sur %{Hôte compromis}.
Tactiques MITRE : -
Gravité : moyenne
Détection d’une activité réseau suspecte
Description : l’analyse du trafic réseau de %{Hôte compromis} a détecté une activité réseau suspecte. Ce type de trafic, même s’il est peut-être bénin, est généralement utilisé par les attaquants pour communiquer avec des serveurs malveillants afin de télécharger des outils, des commandes et des contrôles et procéder à l’exfiltration de données. Les activités typiques consistent à copier les outils d’administration à distance sur un hôte compromis et à en exfiltrer les données utilisateur.
Tactiques MITRE : -
Gravité : faible
Détection d’un comportement lié au minage de devises numériques
Description : l’analyse des données de l’hôte sur %{Hôte compromis} a détecté l’exécution d’un processus ou d’une commande normalement associé à l’exploration de devises numériques.
Tactiques MITRE : -
Gravité : élevée
Désactivation de la journalisation Auditd [constaté plusieurs fois]
Description : Le système d’audit Linux permet de suivre les informations pertinentes sur la sécurité sur le système. Il enregistre autant d’informations que possible sur les événements qui se produisent sur votre système. La désactivation de la journalisation Auditd peut interférer avec la détection des violations des stratégies de sécurité utilisées sur le système. Ce comportement a été observé [x] fois aujourd’hui sur les ordinateurs suivants : [noms des ordinateurs]
Tactiques MITRE : -
Gravité : faible
Exploitation de la vulnérabilité Xorg [constaté plusieurs fois]
Description : l’analyse des données de l’hôte sur %{Hôte compromis} a détecté l’utilisateur de Xorg avec des arguments suspects. Les attaquants peuvent utiliser cette technique dans les tentatives d’escalade de privilèges. Ce comportement a été observé [x] fois aujourd’hui sur les ordinateurs suivants : [noms des ordinateurs]
Tactiques MITRE : -
Gravité : moyenne
Échec d’une attaque par force brute SSH
(VM_SshBruteForceFailed)
Description : Les attaques par force brute ayant échoué ont été détectées par les attaquants suivants : %{Attaquants}. Des attaquants essaient d’accéder à l’hôte avec les noms d’utilisateur suivants : %{Comptes utilisés lors des échecs de connexion à l’hôte}.
Tactiques MITRE : détection
Gravité : moyenne
Comportement d’attaque sans fichier détecté
(VM_FilelessAttackBehavior.Linux)
Description : la mémoire du processus spécifié ci-dessous contient des comportements couramment utilisés par les attaques sans fichier. Les comportements spécifiques sont les suivants : {liste des comportements observés}
Tactiques MITRE : Exécution
Gravité : faible
Technique d’attaque sans fichier détectée
(VM_FilelessAttackTechnique.Linux)
Description : la mémoire du processus spécifié ci-dessous contient des preuves d’une technique d’attaque sans fichier. Les attaques sans fichier sont utilisées par les attaquants pour exécuter du code tout en échappant à la détection par le logiciel de sécurité. Les comportements spécifiques sont les suivants : {liste des comportements observés}
Tactiques MITRE : Exécution
Gravité : élevée
Kit d’attaques sans fichier détecté
(VM_FilelessAttackToolkit.Linux)
Description : la mémoire du processus spécifié ci-dessous contient un kit de ressources d’attaque sans fichier : {ToolKitName}. Les kits d’attaques sans fichier ne sont généralement pas présents sur le système de fichiers, ce qui rend difficile la détection par un logiciel antivirus traditionnel. Les comportements spécifiques sont les suivants : {liste des comportements observés}
Tactiques MITRE : Évasion de défense, Exécution
Gravité : élevée
Détection de l’exécution d’un fichier masqué
Description : l’analyse des données de l’hôte indique qu’un fichier masqué a été exécuté par %{nom d’utilisateur}. Il peut s’agir d’une activité légitime ou du signe que l’hôte est compromis.
Tactiques MITRE : -
Gravité : Information
Nouvelle clé SSH ajoutée [constaté plusieurs fois]
(VM_SshKeyAddition)
Description : une nouvelle clé SSH a été ajoutée au fichier de clés autorisées. Ce comportement a été observé [x] fois aujourd’hui sur les ordinateurs suivants : [noms des ordinateurs]
Tactiques MITRE : Persistance
Gravité : faible
Nouvelle clé SSH ajoutée
Description : une nouvelle clé SSH a été ajoutée au fichier de clés autorisées.
Tactiques MITRE : -
Gravité : faible
Possible détection d’une porte dérobée [constaté plusieurs fois]
Description : l’analyse des données de l’hôte a détecté un fichier suspect téléchargé, puis exécuté sur %{Hôte compromis} dans votre abonnement. Cette activité a été précédemment associée à l’installation d’une porte dérobée. Ce comportement a été observé [x] fois aujourd’hui sur les ordinateurs suivants : [noms des ordinateurs]
Tactiques MITRE : -
Gravité : moyenne
Possible exploitation du serveur de messagerie détectée
(VM_MailserverExploitation)
Description : l’analyse des données de l’hôte sur %{Hôte compromis} a détecté une exécution inhabituelle sous le compte de serveur de messagerie
Tactiques MITRE : Exploitation
Gravité : moyenne
Détection possible d’un interpréteur de commandes web malveillant
Description : l’analyse des données de l’hôte sur %{Hôte compromis} a détecté un interpréteur de commandes web possible. Les attaquants chargent généralement un interpréteur de commandes web sur un ordinateur compromis pour s’y installer ou l’exploiter de manière approfondie.
Tactiques MITRE : -
Gravité : moyenne
Détection possible d’une modification de mot de passe à l’aide d’une méthode chiffrée [constaté plusieurs fois]
Description : l’analyse des données de l’hôte sur %{Hôte compromis} a détecté la modification du mot de passe à l’aide de la méthode de chiffrement. Les attaquants peuvent effectuer cette modification pour continuer à accéder et bénéficier de la persistance après une attaque. Ce comportement a été observé [x] fois aujourd’hui sur les ordinateurs suivants : [noms des ordinateurs]
Tactiques MITRE : -
Gravité : moyenne
Détection d’un processus associé au minage de devises numériques [constaté plusieurs fois]
Description : l’analyse des données de l’hôte sur %{Hôte compromis} a détecté l’exécution d’un processus normalement associé à l’exploration de données monétaires numériques. Ce comportement a été observé plus de 100 fois aujourd’hui sur les ordinateurs suivants : [noms de l’ordinateur]
Tactiques MITRE : -
Gravité : moyenne
Détection d’un processus associé au minage de devises numériques
Description : l’analyse des données de l’hôte a détecté l’exécution d’un processus qui est normalement associé à l’exploration de données monétaire numérique.
Tactiques MITRE : Exploitation, Exécution
Gravité : moyenne
Détection d’un outil de téléchargement Python [constaté plusieurs fois]
Description : l’analyse des données de l’hôte sur %{Hôte compromis} a détecté l’exécution de Python encodé qui télécharge et exécute du code à partir d’un emplacement distant. Il peut s’agir d’une indication de l’activité malveillante. Ce comportement a été observé [x] fois aujourd’hui sur les ordinateurs suivants : [noms des ordinateurs]
Tactiques MITRE : -
Gravité : faible
Capture d’écran prise sur l’hôte [constaté plusieurs fois]
Description : l’analyse des données de l’hôte sur %{Hôte compromis} a détecté l’utilisateur d’un outil de capture d’écran. Les attaquants peuvent utiliser ces outils pour accéder aux données privées. Ce comportement a été observé [x] fois aujourd’hui sur les ordinateurs suivants : [noms des ordinateurs]
Tactiques MITRE : -
Gravité : faible
Détection d’un interpréteur de commandes [constaté plusieurs fois]
Description : l’analyse des données de l’hôte sur %{Hôte compromis} a détecté que le code shell est généré à partir de la ligne de commande. Il peut s’agir d’un processus légitime, ou de l’indication qu’une de vos machines a été compromise. Ce comportement a été observé [x] fois aujourd’hui sur les ordinateurs suivants : [noms des ordinateurs]
Tactiques MITRE : -
Gravité : moyenne
Attaques par force brute RDP/SSH réussie
(VM_SshBruteForceSuccess)
Description : l’analyse des données de l’hôte a détecté une attaque par force brute réussie. L’adresse IP %{Adresse IP source de l’attaquant} a effectué plusieurs tentatives de connexion. Des connexions réussies ont été effectuées à partir de cette adresse IP par les utilisateurs suivants : %{Comptes utilisés pour se connecter à l’hôte}. Cela signifie que l’hôte peut être compromis et contrôlé par un acteur malveillant.
Tactiques MITRE : Exploitation
Gravité : élevée
Détection de création de compte suspecte
Description : l’analyse des données de l’hôte sur %{Hôte compromis} a détecté la création ou l’utilisation d’un compte local %{Nom de compte suspect} : ce nom de compte ressemble étroitement à un compte Windows standard ou un nom de groupe « %{Similaire au nom du compte} ». Il s’agit peut-être d’un compte non autorisé créé par un attaquant et nommé ainsi pour éviter d’être remarqué par un administrateur humain.
Tactiques MITRE : -
Gravité : moyenne
Détection d’un module de noyau suspect [constaté plusieurs fois]
Description : l’analyse des données de l’hôte sur %{Hôte compromis} a détecté un fichier objet partagé chargé en tant que module de noyau. Il peut s’agir d’une activité légitime, ou d’une indication qu’une de vos machines a été compromise. Ce comportement a été observé [x] fois aujourd’hui sur les ordinateurs suivants : [noms des ordinateurs]
Tactiques MITRE : -
Gravité : moyenne
Accès suspect aux mots de passe [constaté plusieurs fois]
Description : l’analyse des données de l’hôte a détecté un accès suspect aux mots de passe utilisateur chiffrés sur %{Hôte compromis}. Ce comportement a été observé [x] fois aujourd’hui sur les ordinateurs suivants : [noms des ordinateurs]
Tactiques MITRE : -
Gravité : Information
Accès suspect aux mots de passe
Description : l’analyse des données de l’hôte a détecté un accès suspect aux mots de passe utilisateur chiffrés sur %{Hôte compromis}.
Tactiques MITRE : -
Gravité : Information
Demande suspecte au tableau de bord Kubernetes
(VM_KubernetesDashboard)
Description : les journaux d’activité des machines indiquent qu’une demande suspecte a été effectuée dans le tableau de bord Kubernetes. La demande a été envoyée à partir d’un nœud Kubernetes, éventuellement à partir de l’un des conteneurs en cours d’exécution dans le nœud. Bien que ce comportement puisse être intentionnel, il peut indiquer que le nœud exécute un conteneur compromis.
Tactiques MITRE : LateralMovement
Gravité : moyenne
Réinitialisation de configuration inhabituelle dans votre machine virtuelle
(VM_VMAccessUnusualConfigReset)
Description : Une réinitialisation de configuration inhabituelle a été détectée dans votre machine virtuelle en analysant les opérations Azure Resource Manager dans votre abonnement. Bien que cette action soit légitime, les attaquants peuvent essayer d’utiliser l’extension d’accès aux machines virtuelles pour réinitialiser la configuration dans votre machine virtuelle et la compromettre.
Tactiques MITRE : Accès aux informations d’identification
Gravité : moyenne
Réinitialisation de mot de passe utilisateur inhabituelle dans votre machine virtuelle
(VM_VMAccessUnusualPasswordReset)
Description : Une réinitialisation inhabituelle du mot de passe utilisateur a été détectée dans votre machine virtuelle en analysant les opérations Azure Resource Manager dans votre abonnement. Bien que cette action soit légitime, les attaquants peuvent essayer d’utiliser l’extension d’accès aux machines virtuelles pour réinitialiser les informations d’identification d’un utilisateur local dans votre machine virtuelle et la compromettre.
Tactiques MITRE : Accès aux informations d’identification
Gravité : moyenne
Réinitialisation de clé SSH utilisateur inhabituelle dans votre machine virtuelle
(VM_VMAccessUnusualSSHReset)
Description : Une réinitialisation inhabituelle de clé SSH utilisateur a été détectée sur votre machine virtuelle en analysant les opérations Azure Resource Manager dans votre abonnement. Bien que cette action soit légitime, les attaquants peuvent essayer d’utiliser l’extension d’accès aux machines virtuelles pour réinitialiser la clé SSH d’un compte d’utilisateur dans votre machine virtuelle et la compromettre.
Tactiques MITRE : Accès aux informations d’identification
Gravité : moyenne
Installation suspecte de l’extension GPU sur votre machine virtuelle (préversion)
(VM_GPUDriverExtensionUnusualExecution)
Description : Une installation suspecte d’une extension GPU a été détectée dans votre machine virtuelle en analysant les opérations Azure Resource Manager dans votre abonnement. Les attaquants peuvent utiliser l’extension de pilote GPU pour installer des pilotes GPU sur votre machine virtuelle via Azure Resource Manager pour effectuer le cryptojacking.
Tactiques MITRE : Impact
Gravité : faible
Alertes pour DNS
Important
Depuis le 1er août 2023, les clients déjà abonnés à Defender pour DNS peuvent continuer à utiliser le service, mais les nouveaux abonnés recevront des alertes sur les activités DNS suspectes dans le cadre de Defender pour serveurs P2.
Informations complémentaires et notes
Utilisation d’un protocole réseau anormale
(AzureDNS_ProtocolAnomaly)
Description : l’analyse des transactions DNS de %{CompromisedEntity} a détecté une utilisation anormale du protocole. Ce trafic, même s’il est possible qu’il soit bénin, peut indiquer l’abus de ce protocole commun pour contourner le filtrage du trafic réseau. Les activités typiques consistent à copier les outils d’administration à distance sur un hôte compromis et à en exfiltrer les données utilisateur.
Tactiques MITRE : Exfiltration
Gravité : -
Activité réseau anonyme
(AzureDNS_DarkWeb)
Description : l’analyse des transactions DNS de %{CompromisedEntity} a détecté l’activité réseau anonyme. Une telle activité, bien qu’elle puisse être un comportement légitime de l’utilisateur, est souvent utilisée par les attaquants pour échapper au suivi et à la prise d’empreinte des communications réseau. L’activité associée type des attaquants est susceptible d’inclure le téléchargement et l’exécution de logiciels malveillants ou d’outils d’administration distants.
Tactiques MITRE : Exfiltration
Gravité : faible
Activité réseau anonyme utilisant un proxy web
(AzureDNS_DarkWebProxy)
Description : l’analyse des transactions DNS de %{CompromisedEntity} a détecté l’activité réseau anonyme. Une telle activité, bien qu’elle puisse être un comportement légitime de l’utilisateur, est souvent utilisée par les attaquants pour échapper au suivi et à la prise d’empreinte des communications réseau. L’activité associée type des attaquants est susceptible d’inclure le téléchargement et l’exécution de logiciels malveillants ou d’outils d’administration distants.
Tactiques MITRE : Exfiltration
Gravité : faible
Tentative de communication avec un domaine sinkhole suspect
(AzureDNS_SinkholedDomain)
Description : l’analyse des transactions DNS de %{CompromisdEntity} a détecté une demande de domaine récepteur. Une telle activité, bien qu’elle puisse être un comportement légitime de l’utilisateur, est souvent le signe du téléchargement ou de l’exécution d’un logiciel malveillant. L’activité associée type des attaquants est susceptible d’inclure le téléchargement et l’exécution d’autres logiciels malveillants ou outils d’administration distants.
Tactiques MITRE : Exfiltration
Gravité : moyenne
Communication avec un domaine d’hameçonnage potentiel
(AzureDNS_PhishingDomain)
Description : l’analyse des transactions DNS de %{CompromisedEntity} a détecté une demande de domaine d’hameçonnage possible. Ce type d’activité, bien que pouvant être bénin, est souvent le fait d’attaquants qui cherchent à collecter des informations d’identification auprès de services distants. L’activité associée type des attaquants est susceptible d’inclure l’exploitation d’informations d’identification dans le service légitime.
Tactiques MITRE : Exfiltration
Gravité : Information
Communication avec un domaine suspect généré par algorithmique
(AzureDNS_DomainGenerationAlgorithm)
Description : l’analyse des transactions DNS de %{CompromisedEntity} a détecté l’utilisation possible d’un algorithme de génération de domaine. Ce type d’activité, bien que pouvant être bénin, est souvent le fait d’attaquants qui cherchent à échapper au filtrage et à la supervision réseau. L’activité associée type des attaquants est susceptible d’inclure le téléchargement et l’exécution de logiciels malveillants ou d’outils d’administration distants.
Tactiques MITRE : Exfiltration
Gravité : Information
Communication avec un domaine suspect identifié par le renseignement sur les menaces
(AzureDNS_ThreatIntelSuspectDomain)
Description : La communication avec un domaine suspect a été détectée en analysant les transactions DNS de votre ressource et en comparant les domaines malveillants connus identifiés par les flux de renseignement sur les menaces. La communication avec des domaines malveillants est souvent effectuée par des attaquants et pourrait indiquer que votre ressource est compromise.
Tactiques MITRE : Accès initial
Gravité : moyenne
Communication avec un nom de domaine aléatoire suspect
(AzureDNS_RandomizedDomain)
Description : l’analyse des transactions DNS de %{CompromisedEntity} a détecté l’utilisation d’un nom de domaine généré de manière aléatoire suspecte. Ce type d’activité, bien que pouvant être bénin, est souvent le fait d’attaquants qui cherchent à échapper au filtrage et à la supervision réseau. L’activité associée type des attaquants est susceptible d’inclure le téléchargement et l’exécution de logiciels malveillants ou d’outils d’administration distants.
Tactiques MITRE : Exfiltration
Gravité : Information
Activité d’exploration de données monétaires numériques
(AzureDNS_CurrencyMining)
Description : l’analyse des transactions DNS de %{CompromisdEntity} a détecté l’activité d’exploration de données de devise numérique. Une telle activité, bien qu’elle puisse être un comportement légitime de l’utilisateur, est souvent le fait d’attaquants après la compromission des ressources. L’activité associée type des attaquants est susceptible d’inclure le téléchargement et l’exécution d’outils d’exploration de données courants.
Tactiques MITRE : Exfiltration
Gravité : faible
Activation de la signature de détection d’intrusion réseau
(AzureDNS_SuspiciousDomain)
Description : l’analyse des transactions DNS de %{CompromisedEntity} a détecté une signature réseau malveillante connue. Une telle activité, bien qu’elle puisse être un comportement légitime de l’utilisateur, est souvent le signe du téléchargement ou de l’exécution d’un logiciel malveillant. L’activité associée type des attaquants est susceptible d’inclure le téléchargement et l’exécution d’autres logiciels malveillants ou outils d’administration distants.
Tactiques MITRE : Exfiltration
Gravité : moyenne
Possible téléchargement de données via un tunnel DNS
(AzureDNS_DataInfiltration)
Description : l’analyse des transactions DNS de %{CompromisedEntity} a détecté un tunnel DNS possible. Une telle activité, bien qu’elle puisse être un comportement légitime de l’utilisateur, est souvent le fait d’attaquants qui cherchent à échapper au filtrage et à la supervision du réseau. L’activité associée type des attaquants est susceptible d’inclure le téléchargement et l’exécution de logiciels malveillants ou d’outils d’administration distants.
Tactiques MITRE : Exfiltration
Gravité : faible
Possible exfiltration de données via un tunnel DNS
(AzureDNS_DataExfiltration)
Description : l’analyse des transactions DNS de %{CompromisedEntity} a détecté un tunnel DNS possible. Une telle activité, bien qu’elle puisse être un comportement légitime de l’utilisateur, est souvent le fait d’attaquants qui cherchent à échapper au filtrage et à la supervision du réseau. L’activité associée type des attaquants est susceptible d’inclure le téléchargement et l’exécution de logiciels malveillants ou d’outils d’administration distants.
Tactiques MITRE : Exfiltration
Gravité : faible
Possible transfert de données via un tunnel DNS
(AzureDNS_DataObfuscation)
Description : l’analyse des transactions DNS de %{CompromisedEntity} a détecté un tunnel DNS possible. Une telle activité, bien qu’elle puisse être un comportement légitime de l’utilisateur, est souvent le fait d’attaquants qui cherchent à échapper au filtrage et à la supervision du réseau. L’activité associée type des attaquants est susceptible d’inclure le téléchargement et l’exécution de logiciels malveillants ou d’outils d’administration distants.
Tactiques MITRE : Exfiltration
Gravité : faible
Alertes pour les extensions de machine virtuelle Azure
Ces alertes se concentrent sur la détection des activités suspectes des extensions de machine virtuelle Azure et fournissent des insights sur les tentatives des attaquants de compromettre et d’effectuer des activités malveillantes sur vos machines virtuelles.
Les extensions de machine virtuelle Azure sont de petites applications qui exécutent un post-déploiement sur des machines virtuelles et fournissent des fonctionnalités telles que la configuration, l’automatisation, la surveillance, la sécurité, etc. Bien que les extensions soient un outil puissant, elles peuvent être utilisées par les acteurs des menaces pour diverses intentions malveillantes, par exemple :
Collecte et surveillance des données
Déploiement de l’exécution et de la configuration du code avec des privilèges élevés
Réinitialisation des informations d’identification et création d’utilisateurs administratifs
Chiffrement des disques
En savoir plus sur Defender pour le cloud dernières protections contre l’abus d’extensions de machine virtuelle Azure.
Échec suspect lors de l’installation de l’extension GPU dans votre abonnement (préversion)
(VM_GPUExtensionSuspiciousFailure)
Description : intention suspecte d’installer une extension GPU sur des machines virtuelles non prises en charge. Cette extension doit être installée sur les machines virtuelles équipées d’un processeur graphique et, dans ce cas, les machines virtuelles ne sont pas équipées de ce type. Ces échecs peuvent être vus lorsque des adversaires malveillants exécutent plusieurs installations de cette extension à des fins de crypto-exploration.
Tactiques MITRE : Impact
Gravité : moyenne
Une installation suspecte d’une extension GPU a été détectée sur votre machine virtuelle (préversion)
(VM_GPUDriverExtensionUnusualExecution)
Description : Une installation suspecte d’une extension GPU a été détectée sur votre machine virtuelle en analysant les opérations Azure Resource Manager dans votre abonnement. Les attaquants peuvent utiliser l’extension de pilote GPU pour installer des pilotes GPU sur votre machine virtuelle via Azure Resource Manager pour effectuer le cryptojacking. Cette activité est considérée comme suspecte, car le comportement du principal s’écarte de ses modèles habituels.
Tactiques MITRE : Impact
Gravité : faible
Run Command avec un script suspect a été détecté sur votre machine virtuelle (préversion)
(VM_RunCommandSuspiciousScript)
Description : Une commande d’exécution avec un script suspect a été détectée sur votre machine virtuelle en analysant les opérations Azure Resource Manager dans votre abonnement. Des attaquants peuvent utiliser une Run Command pour exécuter un code malveillant sur votre machine virtuelle via Azure Resource Manager. Le script est considéré comme suspect, car certaines parties ont été identifiées comme potentiellement malveillantes.
Tactiques MITRE : Exécution
Gravité : élevée
Une utilisation suspecte non autorisée de Run Command a été détectée sur votre machine virtuelle (préversion)
(VM_RunCommandSuspiciousFailure)
Description : L’utilisation suspecte non autorisée de la commande d’exécution a échoué et a été détectée sur votre machine virtuelle en analysant les opérations Azure Resource Manager dans votre abonnement. Les attaquants peuvent tenter d’utiliser Run Command pour exécuter du code malveillant avec des privilèges élevés sur vos machines virtuelles via le Resource Manager Azure. Cette activité est considérée comme suspecte, car elle n’a pas été couramment observée auparavant.
Tactiques MITRE : Exécution
Gravité : moyenne
Une utilisation suspecte de Run Command a été détectée sur votre machine virtuelle (préversion)
(VM_RunCommandSuspiciousUsage)
Description : L’utilisation suspecte de la commande d’exécution a été détectée sur votre machine virtuelle en analysant les opérations Azure Resource Manager dans votre abonnement. Des attaquants peuvent utiliser une Run Command pour exécuter un code malveillant sur vos machines virtuelles via Azure Resource Manager. Cette activité est considérée comme suspecte, car elle n’a pas été couramment observée auparavant.
Tactiques MITRE : Exécution
Gravité : faible
Une utilisation suspecte de plusieurs extensions de surveillance ou de collecte de données a été détectée sur vos machines virtuelles (préversion)
(VM_SuspiciousMultiExtensionUsage)
Description : L’utilisation suspecte de plusieurs extensions de surveillance ou de collecte de données a été détectée sur vos machines virtuelles en analysant les opérations Azure Resource Manager dans votre abonnement. Les attaquants peuvent abuser de ces extensions pour la collecte de données, la surveillance du trafic réseau, etc. dans votre abonnement. Cet usage est considéré comme suspect, car il n’a pas été couramment observé auparavant.
Tactiques MITRE : Reconnaissance
Gravité : moyenne
Une installation suspecte d’extensions de chiffrement de disque a été détectée sur vos machines virtuelles (préversion)
(VM_DiskEncryptionSuspiciousUsage)
Description : Une installation suspecte des extensions de chiffrement de disque a été détectée sur vos machines virtuelles en analysant les opérations Azure Resource Manager dans votre abonnement. Les attaquants peuvent abuser de l’extension de chiffrement de disque pour déployer des chiffrements de disque complets sur vos machines virtuelles via le Resource Manager Azure dans le but d’effectuer une activité de ransomware. Cette activité est considérée comme suspecte, car elle n’a pas été couramment observée auparavant et en raison du nombre élevé d’installations d’extension.
Tactiques MITRE : Impact
Gravité : moyenne
Une utilisation suspecte de l’extension VMAccess a été détectée sur vos machines virtuelles (préversion)
(VM_VMAccessSuspiciousUsage)
Description : Une utilisation suspecte de l’extension VMAccess a été détectée sur vos machines virtuelles. Les attaquants peuvent abuser de l’extension VMAccess pour obtenir l’accès et compromettre vos machines virtuelles avec des privilèges élevés en réinitialisant l’accès ou en gérant les utilisateurs administratifs. Cette activité est considérée comme suspecte, car le comportement du principal s’écarte de ses modèles habituels et en raison du nombre élevé d’installations d’extension.
Tactiques MITRE : Persistance
Gravité : moyenne
Desired State Configuration extension (DSC) avec un script suspect a été détecté sur votre machine virtuelle (préversion)
(VM_DSCExtensionSuspiciousScript)
Description : L’extension DSC (Desired State Configuration) avec un script suspect a été détectée sur votre machine virtuelle en analysant les opérations Azure Resource Manager dans votre abonnement. Les attaquants peuvent utiliser l’extension Desired State Configuration (DSC) pour déployer des configurations malveillantes, telles que des mécanismes de persistance, des scripts malveillants, etc., avec des privilèges élevés, sur vos machines virtuelles. Le script est considéré comme suspect, car certaines parties ont été identifiées comme potentiellement malveillantes.
Tactiques MITRE : Exécution
Gravité : élevée
Une utilisation suspecte d’une extension Desired State Configuration (DSC) a été détectée sur vos machines virtuelles (préversion)
(VM_DSCExtensionSuspiciousUsage)
Description : Une utilisation suspecte d’une extension DSC (Desired State Configuration) a été détectée sur vos machines virtuelles en analysant les opérations Azure Resource Manager dans votre abonnement. Les attaquants peuvent utiliser l’extension Desired State Configuration (DSC) pour déployer des configurations malveillantes, telles que des mécanismes de persistance, des scripts malveillants, etc., avec des privilèges élevés, sur vos machines virtuelles. Cette activité est considérée comme suspecte, car le comportement du principal s’écarte de ses modèles habituels et en raison du nombre élevé d’installations d’extension.
Tactiques MITRE : Exécution
Gravité : faible
L’extension de script personnalisé avec un script suspect a été détectée sur votre machine virtuelle (préversion)
(VM_CustomScriptExtensionSuspiciousCmd)
Description : l’extension de script personnalisé avec un script suspect a été détectée sur votre machine virtuelle en analysant les opérations Azure Resource Manager dans votre abonnement. Les attaquants peuvent utiliser l'extension de script personnalisé pour exécuter un code malveillant avec des privilèges élevés sur votre machine virtuelle via Azure Resource Manager. Le script est considéré comme suspect, car certaines parties ont été identifiées comme potentiellement malveillantes.
Tactiques MITRE : Exécution
Gravité : élevée
Échec d’exécution suspect d’une extension de script personnalisé dans votre machine virtuelle
(VM_CustomScriptExtensionSuspiciousFailure)
Description : Une défaillance suspecte d’une extension de script personnalisé a été détectée dans votre machine virtuelle en analysant les opérations Azure Resource Manager dans votre abonnement. Ces défaillances peuvent être associées à des scripts malveillants exécutés par cette extension.
Tactiques MITRE : Exécution
Gravité : moyenne
Suppression inhabituelle d’une extension de script personnalisé dans votre machine virtuelle
(VM_CustomScriptExtensionUnusualDeletion)
Description : La suppression inhabituelle d’une extension de script personnalisé a été détectée dans votre machine virtuelle en analysant les opérations Azure Resource Manager dans votre abonnement. Les attaquants peuvent utiliser des extensions de script personnalisées pour exécuter du code malveillant sur vos machines virtuelles via Azure Resource Manager.
Tactiques MITRE : Exécution
Gravité : moyenne
Exécution inhabituelle d’une extension de script personnalisé dans votre machine virtuelle
(VM_CustomScriptExtensionUnusualExecution)
Description : Une exécution inhabituelle d’une extension de script personnalisé a été détectée dans votre machine virtuelle en analysant les opérations Azure Resource Manager dans votre abonnement. Les attaquants peuvent utiliser des extensions de script personnalisées pour exécuter du code malveillant sur vos machines virtuelles via Azure Resource Manager.
Tactiques MITRE : Exécution
Gravité : moyenne
Extension de script personnalisé avec point d’entrée suspect dans votre machine virtuelle
(VM_CustomScriptExtensionSuspiciousEntryPoint)
Description : l’extension de script personnalisé avec un point d’entrée suspect a été détectée dans votre machine virtuelle en analysant les opérations Azure Resource Manager dans votre abonnement. Le point d’entrée fait référence à un dépôt GitHub suspect. Les attaquants peuvent utiliser des extensions de script personnalisées pour exécuter du code malveillant sur vos machines virtuelles via Azure Resource Manager.
Tactiques MITRE : Exécution
Gravité : moyenne
Extension de script personnalisé avec une charge utile suspecte dans votre machine virtuelle
(VM_CustomScriptExtensionSuspiciousPayload)
Description : l’extension de script personnalisé avec une charge utile provenant d’un dépôt GitHub suspect a été détectée dans votre machine virtuelle en analysant les opérations Azure Resource Manager dans votre abonnement. Les attaquants peuvent utiliser des extensions de script personnalisées pour exécuter du code malveillant sur vos machines virtuelles via Azure Resource Manager.
Tactiques MITRE : Exécution
Gravité : moyenne
Alertes pour Azure App Service
Informations complémentaires et notes
Tentative d’exécution de commandes Linux sur un service d’application Windows
(AppServices_LinuxCommandOnWindows)
Description : l’analyse des processus App Service a détecté une tentative d’exécution d’une commande Linux sur un Service d’application Windows. Cette action s’exécutait aux côtés de l’application web. Ce comportement est souvent observé pendant les campagnes qui exploitent une vulnérabilité dans une application web courante. (S’applique à : App Service sur Windows)
Tactiques MITRE : -
Gravité : moyenne
Une adresse IP qui s’est connectée à votre interface FTP Azure App Service a été trouvée dans Threat Intelligence
(AppServices_IncomingTiClientIpFtp)
Description : le journal FTP Azure App Service indique une connexion à partir d’une adresse source trouvée dans le flux de renseignement sur les menaces. Durant cette connexion, un utilisateur a accédé aux pages listées. (S’applique à : App Service sur Windows et App Service sur Linux)
Tactiques MITRE : Accès initial
Gravité : moyenne
Détection d’une tentative d’exécution d’une commande qui requiert des privilèges élevés
(AppServices_HighPrivilegeCommand)
Description : l’analyse des processus App Service a détecté une tentative d’exécution d’une commande nécessitant des privilèges élevés. La commande s’est exécutée dans le contexte de l’application web. Bien que ce comportement puisse être légitime, il est également constaté dans les applications web au travers d’activités malveillantes. (S’applique à : App Service sur Windows)
Tactiques MITRE : -
Gravité : moyenne
Communication avec un domaine suspect identifié par le renseignement sur les menaces
(AzureDNS_ThreatIntelSuspectDomain)
Description : La communication avec un domaine suspect a été détectée en analysant les transactions DNS de votre ressource et en comparant les domaines malveillants connus identifiés par les flux de renseignement sur les menaces. La communication avec des domaines malveillants est souvent effectuée par des attaquants et pourrait indiquer que votre ressource est compromise.
Tactiques MITRE : accès initial, persistance, exécution, commande et contrôle, exploitation
Gravité : moyenne
Détection d’une connexion à une page web à partir d’une adresse IP anormale
(AppServices_AnomalousPageAccess)
Description : le journal d’activité Azure App Service indique une connexion anormale à une page web sensible à partir de l’adresse IP source répertoriée. Cette situation peut indiquer que quelqu’un tente une attaque par force brute dans les pages d’administration de votre application web. Elle peut également être le résultat de l’utilisation d’une nouvelle adresse IP par un utilisateur légitime. Si l’adresse IP source est approuvée, vous pouvez supprimer cette alerte pour cette ressource sans problème. Pour savoir comment supprimer des alertes de sécurité, consultez Supprimer les alertes de Microsoft Defender pour le cloud. (S’applique à : App Service sur Windows et App Service sur Linux)
Tactiques MITRE : Accès initial
Gravité : faible
Détection d’un enregistrement DNS non résolu pour une ressource App Service
(AppServices_DanglingDomain)
Description : un enregistrement DNS qui pointe vers une ressource App Service récemment supprimée (également appelée entrée « dns déchiffrant ») a été détecté. Cela vous rend vulnérable à une prise de contrôle de sous-domaine. Les prises de contrôle de sous-domaines permettent à des acteurs malveillants de rediriger le trafic destiné au domaine d’une organisation vers un site effectuant une activité malveillante. (S’applique à : App Service sur Windows et App Service sur Linux)
Tactiques MITRE : -
Gravité : élevée
Détection d’un fichier exécutable encodé dans les données de la ligne de commande
(AppServices_Base64EncodedExecutableInCommandLineParams)
Description : l’analyse des données de l’hôte sur {Hôte compromis} a détecté un exécutable codé en base 64. Cette opération a déjà été associée à des attaquants tentant de construire des exécutables à la volée via une séquence de commandes, et tentant d’échapper aux systèmes de détection d’intrusion en veillant à ce qu’aucune commande ne déclenche d’alerte. Il peut s’agir d’une activité légitime ou du signe que l’hôte est compromis. (S’applique à : App Service sur Windows)
Tactiques MITRE : Évasion de défense, Exécution
Gravité : élevée
Détection de téléchargements de fichiers à partir d’une source malveillante connue
(AppServices_SuspectDownload)
Description : l’analyse des données de l’hôte a détecté le téléchargement d’un fichier à partir d’une source de programmes malveillants connue sur votre hôte. (S’applique à : App Service sur Linux)
Tactiques MITRE : escalade de privilèges, exécution, exfiltration, commande et contrôle
Gravité : moyenne
Détection d’un téléchargement de fichier suspect
(AppServices_SuspectDownloadArtifacts)
Description : l’analyse des données de l’hôte a détecté un téléchargement suspect du fichier distant. (S’applique à : App Service sur Linux)
Tactiques MITRE : Persistance
Gravité : moyenne
Détection d’un comportement lié au minage de devises numériques
(AppServices_DigitalCurrencyMining)
Description : l’analyse des données hôtes sur Inn-Flow-WebJobs a détecté l’exécution d’un processus ou d’une commande normalement associé à l’exploration de devises numériques. (S’applique à : App Service sur Windows et App Service sur Linux)
Tactiques MITRE : Exécution
Gravité : élevée
Exécutable décodé à l’aide de certutil
(AppServices_ExecutableDecodedUsingCertutil)
Description : l’analyse des données de l’hôte sur [entité compromise] a détecté que certutil.exe, un utilitaire d’administrateur intégré, était utilisé pour décoder un exécutable au lieu de son objectif standard lié à la manipulation de certificats et de données de certificat. Les attaquants sont connus pour abuser des fonctionnalités d’outils d’administration légitimes afin d’effectuer des actions malveillantes, par exemple en utilisant un outil comme certutil.exe pour décoder un fichier exécutable qui sera ensuite exécuté. (S’applique à : App Service sur Windows)
Tactiques MITRE : Évasion de défense, Exécution
Gravité : élevée
Comportement d’attaque sans fichier détecté
(AppServices_FilelessAttackBehaviorDetection)
Description : la mémoire du processus spécifié ci-dessous contient des comportements couramment utilisés par les attaques sans fichier. Les comportements spécifiques sont les suivants : {liste des comportements observés} (S’applique à : App Service sur Windows et App Service sur Linux)
Tactiques MITRE : Exécution
Gravité : moyenne
Technique d’attaque sans fichier détectée
(AppServices_FilelessAttackTechniqueDetection)
Description : la mémoire du processus spécifié ci-dessous contient des preuves d’une technique d’attaque sans fichier. Les attaques sans fichier sont utilisées par les attaquants pour exécuter du code tout en échappant à la détection par le logiciel de sécurité. Les comportements spécifiques sont les suivants : {liste des comportements observés} (S’applique à : App Service sur Windows et App Service sur Linux)
Tactiques MITRE : Exécution
Gravité : élevée
Kit d’attaques sans fichier détecté
(AppServices_FilelessAttackToolkitDetection)
Description : la mémoire du processus spécifié ci-dessous contient un kit de ressources d’attaque sans fichier : {ToolKitName}. Les kits d’attaques sans fichier ne sont généralement pas présents sur le système de fichiers, ce qui rend difficile la détection par un logiciel antivirus traditionnel. Les comportements spécifiques sont les suivants : {liste des comportements observés} (S’applique à : App Service sur Windows et App Service sur Linux)
Tactiques MITRE : Évasion de défense, Exécution
Gravité : élevée
Alerte de test Microsoft Defender pour le cloud pour App Service (pas une menace)
(AppServices_EICAR)
Description : il s’agit d’une alerte de test générée par Microsoft Defender pour le cloud. Aucune action supplémentaire n’est requise. (S’applique à : App Service sur Windows et App Service sur Linux)
Tactiques MITRE : -
Gravité : élevée
Analyse NMap détectée
(AppServices_Nmap)
Description : le journal d’activité Azure App Service indique une activité d’empreinte digitale web possible sur votre ressource App Service. L’activité suspecte détectée est associée à NMAP. Les attaquants utilisent souvent cet outil pour sonder l’application web afin de rechercher les vulnérabilités. (S’applique à : App Service sur Windows et App Service sur Linux)
Tactiques MITRE : PreAttack
Gravité : Information
Contenu de hameçonnage hébergé sur Azure Webapps
(AppServices_PhishingContent)
Description : URL utilisée pour l’attaque par hameçonnage trouvée sur le site web Azure AppServices. Cette URL faisait partie d’une attaque par hameçonnage envoyée aux clients de Microsoft 365. En général, le contenu incite les visiteurs à entrer leurs informations d’identification d’entreprise ou leurs informations financières sur un site d’apparence légitime. (S’applique à : App Service sur Windows et App Service sur Linux)
Tactiques MITRE : Collection
Gravité : élevée
Fichier PHP dans le dossier de chargement
(AppServices_PhpInUploadFolder)
Description : le journal d’activité Azure App Service indique un accès à une page PHP suspecte située dans le dossier de chargement. Généralement, ce type de dossier ne contient pas de fichiers PHP. L’existence de ce type de fichier peut indiquer une exploitation tirant parti des vulnérabilités du chargement de fichiers arbitraires. (S’applique à : App Service sur Windows et App Service sur Linux)
Tactiques MITRE : Exécution
Gravité : moyenne
Détection d’un possible téléchargement Cryptocoinminer
(AppServices_CryptoCoinMinerDownload)
Description : l’analyse des données de l’hôte a détecté le téléchargement d’un fichier normalement associé à l’exploration de données monétaires numériques. (S’applique à : App Service sur Linux)
Tactiques MITRE : Évasion de défense, Commande et contrôle, Exploitation
Gravité : moyenne
Exfiltration de données possible détectée
(AppServices_DataEgressArtifacts)
Description : l’analyse des données de l’hôte/de l’appareil a détecté une condition de sortie de données possible. Les attaquants extraient souvent les données des ordinateurs qu’ils ont compromis. (S’applique à : App Service sur Linux)
Tactiques MITRE : Collection, Exfiltration
Gravité : moyenne
Détection d’un possible enregistrement DNS non résolu pour une ressource App Service
(AppServices_PotentialDanglingDomain)
Description : un enregistrement DNS qui pointe vers une ressource App Service récemment supprimée (également appelée entrée « dns déchiffrant ») a été détecté. Cela vous rend vulnérable à une prise de contrôle de sous-domaine. Les prises de contrôle de sous-domaines permettent à des acteurs malveillants de rediriger le trafic destiné au domaine d’une organisation vers un site effectuant une activité malveillante. Ici, un enregistrement texte avec l’ID de vérification du domaine a été détecté. Ces enregistrements texte empêchent la prise de contrôle des sous-domaines. Cependant, nous vous recommandons de supprimer le domaine non résolu. Si vous laissez l’enregistrement DNS pointer vers le sous-domaine, vous courez le risque d’une prise de contrôle si une personne de votre organisation vient à supprimer le fichier TXT ou l’enregistrement. (S’applique à : App Service sur Windows et App Service sur Linux)
Tactiques MITRE : -
Gravité : faible
Possible détection d’un interpréteur de commandes inverse
(AppServices_ReverseShell)
Description : l’analyse des données de l’hôte a détecté un interpréteur de commandes inverse potentiel. Ils sont utilisés pour faire en sorte que l’ordinateur compromis puisse rappeler un ordinateur qui appartient à l’attaquant. (S’applique à : App Service sur Linux)
Tactiques MITRE : Exfiltration, Exploitation
Gravité : moyenne
Détection de téléchargement de données brutes
(AppServices_DownloadCodeFromWebsite)
Description : l’analyse des processus App Service a détecté une tentative de téléchargement de code à partir de sites web de données brutes tels que Pastebin. Cette action a été exécutée par un processus PHP. Ce comportement est associé aux tentatives de téléchargement d’interpréteurs de commandes web ou autres composants malveillants sur Azure App Service. (S’applique à : App Service sur Windows)
Tactiques MITRE : Exécution
Gravité : moyenne
Détection de l’enregistrement de la sortie curl sur le disque
(AppServices_CurlToDisk)
Description : l’analyse des processus App Service a détecté l’exécution d’une commande curl dans laquelle la sortie a été enregistrée sur le disque. Bien que ce comportement puisse être légitime, il est également constaté dans les applications web au travers d’activités malveillantes telles que les tentatives d’infecter des sites web avec des interpréteurs de commandes web. (S’applique à : App Service sur Windows)
Tactiques MITRE : -
Gravité : faible
Détection d’un référent de dossier de courrier indésirable
(AppServices_SpamReferrer)
Description : le journal d’activité Azure App Service indique l’activité web identifiée comme provenant d’un site web associé à l’activité de courrier indésirable. Cela peut se produire si votre site web est compromis et utilisé pour des activités de courrier indésirable. (S’applique à : App Service sur Windows et App Service sur Linux)
Tactiques MITRE : -
Gravité : faible
Détection d’un accès suspect à une page web potentiellement vulnérable
(AppServices_ScanSensitivePage)
Description : le journal d’activité Azure App Service indique une page web qui semble sensible a été accessible. Cette activité suspecte provient d’une adresse IP source dont le modèle d’accès est semblable à celui d’un analyseur web. Cette activité est souvent associée à la tentative d’un attaquant pour analyser votre réseau et essayer d’accéder à des pages web sensibles ou vulnérables. (S’applique à : App Service sur Windows et App Service sur Linux)
Tactiques MITRE : -
Gravité : faible
Référence de nom de domaine suspecte
(AppServices_CommandlineSuspectDomain)
Description : Analyse des données de l’hôte détectées référence au nom de domaine suspect. Une telle activité, bien qu’elle puisse être un comportement légitime de l’utilisateur, est souvent le signe du téléchargement ou de l’exécution d’un logiciel malveillant. L’activité associée type des attaquants est susceptible d’inclure le téléchargement et l’exécution d’autres logiciels malveillants ou outils d’administration distants. (S’applique à : App Service sur Linux)
Tactiques MITRE : Exfiltration
Gravité : faible
Détection d’un téléchargement suspect à l’aide de Certutil
(AppServices_DownloadUsingCertutil)
Description : l’analyse des données d’hôte sur {NAME} a détecté l’utilisation de certutil.exe, un utilitaire d’administrateur intégré, pour le téléchargement d’un fichier binaire au lieu de son objectif standard lié à la manipulation de certificats et de données de certificat. Les attaquants sont connus pour abuser des fonctionnalités d’outils d’administration légitimes afin d’effectuer des actions malveillantes, par exemple en utilisant certutil.exe pour télécharger et décoder un fichier exécutable qui sera ensuite exécuté. (S’applique à : App Service sur Windows)
Tactiques MITRE : Exécution
Gravité : moyenne
Détection de l’exécution d’un processus PHP suspect
(AppServices_SuspectPhp)
Description : les journaux d’activité des ordinateurs indiquent qu’un processus PHP suspect est en cours d’exécution. L’action incluait une tentative d’exécution de commandes de système d’exploitation ou de code PHP à partir de la ligne de commande, en utilisant le processus PHP. Bien que ce comportement puisse être légitime, dans les applications web, il peut indiquer des activités malveillantes, telles que des tentatives d’infecter des sites web avec des interpréteurs de commandes web. (S’applique à : App Service sur Windows et App Service sur Linux)
Tactiques MITRE : Exécution
Gravité : moyenne
Exécution de cmdlets PowerShell suspects
(AppServices_PowerShellPowerSploitScriptExecution)
Description : l’analyse des données de l’hôte indique l’exécution des applets de commande PowerSploit PowerSploit PowerShell connues. (S’applique à : App Service sur Windows)
Tactiques MITRE : Exécution
Gravité : moyenne
Exécution d’un processus suspect
(AppServices_KnownCredential AccessTools)
Description : les journaux d’activité de l’ordinateur indiquent que le processus suspect : « %{chemin du processus} » s’exécutait sur l’ordinateur, souvent associé à des tentatives d’accès aux informations d’identification. (S’applique à : App Service sur Windows)
Tactiques MITRE : Accès aux informations d’identification
Gravité : élevée
Détection d’un nom de processus suspect
(AppServices_ProcessWithKnownSuspiciousExtension)
Description : l’analyse des données de l’hôte sur {NAME} a détecté un processus dont le nom est suspect, par exemple correspondant à un outil malveillant connu ou nommé d’une manière qui suggère des outils attaquants qui essaient de se masquer en mode clair. Il peut s’agir d’un processus légitime, ou de l’indication qu’une de vos machines a été compromise. (S’applique à : App Service sur Windows)
Tactiques MITRE : Persistance, Évasion de défense
Gravité : moyenne
Exécution suspecte du processus SVCHOST
(AppServices_SVCHostFromInvalidPath)
Description : Le processus système SVCHOST a été observé en cours d’exécution dans un contexte anormal. Les programmes malveillants utilisent souvent SVCHOST pour masquer son activité malveillante. (S’applique à : App Service sur Windows)
Tactiques MITRE : Évasion de défense, Exécution
Gravité : élevée
Détection d’un agent utilisateur suspect
(AppServices_UserAgentInjection)
Description : le journal d’activité Azure App Service indique les demandes avec un agent utilisateur suspect. Ce comportement peut indiquer des tentatives d’exploitation d’une vulnérabilité dans votre application App Service. (S’applique à : App Service sur Windows et App Service sur Linux)
Tactiques MITRE : Accès initial
Gravité : Information
Détection d’un appel de thème WordPress suspect
(AppServices_WpThemeInjection)
Description : le journal d’activité Azure App Service indique une activité d’injection de code possible sur votre ressource App Service. L’activité suspecte détectée ressemble à une manipulation d’un thème WordPress pour prendre en charge l’exécution de code côté serveur, suivie d’une requête web directe pour appeler le fichier de thème manipulé. Ce type d’activité a été observé par le passé dans le cadre d’une campagne d’attaque visant WordPress. Si votre ressource App Service n’héberge pas de site WordPress, elle n’est pas vulnérable à ce code malveillant spécifique (qui injecte un code en exploitant une faille de sécurité). Vous pouvez donc supprimer cette alerte pour la ressource sans problème. Pour savoir comment supprimer des alertes de sécurité, consultez Supprimer les alertes de Microsoft Defender pour le cloud. (S’applique à : App Service sur Windows et App Service sur Linux)
Tactiques MITRE : Exécution
Gravité : élevée
Détection de l’analyseur de vulnérabilité
(AppServices_DrupalScanner)
Description : le journal d’activité Azure App Service indique qu’un scanneur de vulnérabilités possible a été utilisé sur votre ressource App Service. L’activité suspecte détectée ressemble à celle des outils ciblant les systèmes de gestion de contenu (CMS). Si votre ressource App Service n’héberge pas de site Drupal, elle n’est pas vulnérable à ce code malveillant spécifique (qui injecte un code en exploitant une faille de sécurité). Vous pouvez donc supprimer cette alerte pour la ressource sans problème. Pour savoir comment supprimer des alertes de sécurité, consultez Supprimer les alertes de Microsoft Defender pour le cloud. (S’applique à : App Service sur Windows)
Tactiques MITRE : PreAttack
Gravité : faible
Détection de l’analyseur de vulnérabilité
(AppServices_JoomlaScanner)
Description : le journal d’activité Azure App Service indique qu’un scanneur de vulnérabilités possible a été utilisé sur votre ressource App Service. L’activité suspecte détectée ressemble à celle des outils ciblant les applications Joomla. Si votre ressource App Service n’héberge pas de site Joomla, elle n’est pas vulnérable à ce code malveillant spécifique (qui injecte un code en exploitant une faille de sécurité). Vous pouvez donc supprimer cette alerte pour la ressource sans problème. Pour savoir comment supprimer des alertes de sécurité, consultez Supprimer les alertes de Microsoft Defender pour le cloud. (S’applique à : App Service sur Windows et App Service sur Linux)
Tactiques MITRE : PreAttack
Gravité : faible
Détection de l’analyseur de vulnérabilité
(AppServices_WpScanner)
Description : le journal d’activité Azure App Service indique qu’un scanneur de vulnérabilités possible a été utilisé sur votre ressource App Service. L’activité suspecte détectée ressemble à celle des outils ciblant les applications WordPress. Si votre ressource App Service n’héberge pas de site WordPress, elle n’est pas vulnérable à ce code malveillant spécifique (qui injecte un code en exploitant une faille de sécurité). Vous pouvez donc supprimer cette alerte pour la ressource sans problème. Pour savoir comment supprimer des alertes de sécurité, consultez Supprimer les alertes de Microsoft Defender pour le cloud. (S’applique à : App Service sur Windows et App Service sur Linux)
Tactiques MITRE : PreAttack
Gravité : faible
Détection d’une prise d’empreinte web
(AppServices_WebFingerprinting)
Description : le journal d’activité Azure App Service indique une activité d’empreinte digitale web possible sur votre ressource App Service. L’activité suspecte détectée est associée à un outil appelé Blind Elephant. L’outil prend l’empreinte des serveurs web et tente de détecter les applications installées et la version. Les attaquants utilisent souvent cet outil pour sonder l’application web afin de rechercher les vulnérabilités. (S’applique à : App Service sur Windows et App Service sur Linux)
Tactiques MITRE : PreAttack
Gravité : moyenne
Le site web est marqué comme malveillant dans le flux de renseignement sur les menaces
(AppServices_SmartScreen)
Description : Votre site web, comme décrit ci-dessous, est marqué comme un site malveillant par Windows SmartScreen. Si vous pensez qu’il s’agit d’un faux positif, contactez Windows SmartScreen par le biais du lien de commentaires fourni. (S’applique à : App Service sur Windows et App Service sur Linux)
Tactiques MITRE : Collection
Gravité : moyenne
Alertes pour les conteneurs - Clusters Kubernetes
Microsoft Defender pour les conteneurs fournit des alertes de sécurité au niveau du cluster et sur les nœuds de cluster sous-jacents en supervisant le plan de contrôle (serveur d’API) et la charge de travail conteneurisée elle-même. Les alertes de sécurité du plan de contrôle peuvent être identifiées par un préfixe K8S_
du type d’alerte. Les alertes de sécurité pour la charge de travail d’exécution dans les clusters peuvent être reconnues par le préfixe K8S.NODE_
du type d’alerte. Toutes les alertes sont prises en charge uniquement sur Linux, sauf indication contraire.
Informations complémentaires et notes
Service Postgres exposé avec une configuration d’authentification par approbation dans Kubernetes détecté (préversion)
(K8S_ExposedPostgresTrustAuth)
Description : l’analyse de la configuration du cluster Kubernetes a détecté l’exposition d’un service Postgres par un équilibreur de charge. Le service est configuré avec la méthode d’authentification par approbation qui ne nécessite pas d’informations d’identification.
Tactiques MITRE : InitialAccess
Gravité : moyenne
Service Postgres exposé avec une configuration à risque dans Kubernetes détecté (préversion)
(K8S_ExposedPostgresBroadIPRange)
Description : l’analyse de la configuration du cluster Kubernetes a détecté l’exposition d’un service Postgres par un équilibreur de charge avec une configuration risquée. L’exposition du service à un large éventail d’adresses IP présente un risque pour la sécurité.
Tactiques MITRE : InitialAccess
Gravité : moyenne
Tentative de création d’un espace de noms Linux à partir d’un conteneur détecté
(K8S.NODE_NamespaceCreation) 1
Description : l’analyse des processus exécutés dans un conteneur dans un cluster Kubernetes a détecté une tentative de création d’un espace de noms Linux. Bien que ce comportement soit légitime, il peut indiquer qu’un attaquant tente de s’échapper du conteneur au nœud. Certaines exploitations de faille CVE-2022-0185 utilisent cette technique.
Tactiques MITRE : PrivilegeEscalation
Gravité : Information
Un fichier d’historique a été effacé
(K8S.NODE_HistoryFileCleared) 1
Description : l’analyse des processus exécutés dans un conteneur ou directement sur un nœud Kubernetes a détecté que le fichier journal de l’historique des commandes a été effacé. Les attaquants peuvent le faire pour couvrir leurs traces. L’opération a été effectuée par le compte d’utilisateur spécifié.
Tactiques MITRE : DefenseEvasion
Gravité : moyenne
Activité anormale de l’identité managée associée à Kubernetes (préversion)
(K8S_AbnormalMiActivity)
Description : l’analyse des opérations Azure Resource Manager a détecté un comportement anormal d’une identité managée utilisée par un module complémentaire AKS. L’activité détectée n’est pas cohérente avec le comportement du module complémentaire associé. Bien que cette activité puisse être légitime, un tel comportement peut indiquer que l’identité a été acquise par une personne malveillante, éventuellement à partir d’un conteneur compromis dans le cluster Kubernetes.
Tactiques MITRE : Mouvement latéral
Gravité : moyenne
Opération de compte de service Kubernetes anormale détectée
(K8S_ServiceAccountRareOperation)
Description : l’analyse du journal d’audit Kubernetes a détecté un comportement anormal par un compte de service dans votre cluster Kubernetes. Le compte de service a été utilisé pour une opération, ce qui n’est pas habituel de ce compte de service. Bien que cette activité puisse être légitime, un tel comportement peut indiquer que le compte de service est actuellement utilisé à des fins malveillantes.
Tactiques MITRE : Mouvement latéral, accès aux informations d’identification
Gravité : moyenne
Une tentative de connexion non courante a été détectée
(K8S.NODE_SuspectConnection) 1
Description : l’analyse des processus exécutés dans un conteneur ou directement sur un nœud Kubernetes a détecté une tentative de connexion rare utilisant un protocole de chaussettes. Cela est très rare lors du fonctionnement normal, mais il s’agit d’une technique connue pour les attaquants tentant de contourner les détections de couche réseau.
Tactiques MITRE : Exécution, Exfiltration, Exploitation
Gravité : moyenne
Détection d’une tentative d’arrêt du service apt-daily-upgrade.timer
(K8S.NODE_TimerServiceDisabled) 1
Description : l’analyse des processus exécutés dans un conteneur ou directement sur un nœud Kubernetes a détecté une tentative d’arrêt du service apt-daily-upgrade.timer. Il a été observé que des attaquants ont arrêté ce service pour télécharger des fichiers malveillants et accorder des privilèges d’exécution pour leurs attaques. Cette activité peut également se produire si le service est mis à jour par le biais d’actions d’administration normales.
Tactiques MITRE : DefenseEvasion
Gravité : Information
Détection d’un comportement similaire aux bots Linux courants (préversion)
(K8S.NODE_CommonBot)
Description : l’analyse des processus exécutés dans un conteneur ou directement sur un nœud Kubernetes a détecté l’exécution d’un processus normalement associé aux botnets Linux courants.
Tactiques MITRE : exécution, collection, commande et contrôle
Gravité : moyenne
Commande dans un conteneur s’exécutant avec des privilèges élevés
(K8S.NODE_PrivilegedExecutionInContainer) 1
Description : les journaux d’activité de l’ordinateur indiquent qu’une commande privilégiée a été exécutée dans un conteneur Docker. Une commande privilégiée a des privilèges étendus sur la machine hôte.
Tactiques MITRE : PrivilegeEscalation
Gravité : Information
Conteneur s’exécutant en mode privilégié
(K8S.NODE_PrivilegedContainerArtifacts) 1
Description : l’analyse des processus s’exécutant dans un conteneur ou directement sur un nœud Kubernetes a détecté l’exécution d’une commande Docker qui exécute un conteneur privilégié. Le conteneur privilégié dispose d’un accès total au pod d’hébergement ou à la ressource hôte. En cas de compromission, un attaquant peut utiliser le conteneur privilégié pour accéder au pod d’hébergement ou à l’hôte.
Tactiques MITRE : PrivilegeEscalation, Execution
Gravité : Information
Conteneur avec un montage de volume sensible détecté
(K8S_SensitiveMount)
Description : l’analyse du journal d’audit Kubernetes a détecté un nouveau conteneur avec un montage de volume sensible. Le volume détecté est un type hostPath qui monte un fichier ou un dossier sensible depuis le nœud sur le conteneur. Si le conteneur est compromis, l’attaquant peut utiliser ce montage pour accéder au nœud.
Tactiques MITRE : Escalade de privilèges
Gravité : Information
Détection d’une modification de CoreDNS dans Kubernetes
Description : l’analyse du journal d’audit Kubernetes a détecté une modification de la configuration CoreDNS. Vous pouvez modifier la configuration de CoreDNS en remplaçant son configmap. Bien que cette activité puisse être légitime, si des attaquants sont autorisés à modifier le configmap, ils peuvent modifier le comportement du serveur DNS du cluster et l’empoisonner.
Tactiques MITRE : Mouvement latéral
Gravité : faible
Détection de la création d’une configuration de webhook d’admission
(K8S_AdmissionController) 3
Description : l’analyse du journal d’audit Kubernetes a détecté une nouvelle configuration de webhook d’admission. Kubernetes possède deux contrôleurs d’admission génériques intégrés : MutatingAdmissionWebhook et ValidatingAdmissionWebhook. Le comportement de ces contrôleurs d’admission est déterminé par un webhook d’admission que l’utilisateur déploie sur le cluster. L’utilisation de ces contrôleurs d’admission peut être légitime, mais des attaquants peuvent utiliser ces webhooks pour modifier les demandes (dans le cas de MutatingAdmissionWebhook) ou inspecter les demandes et obtenir des informations sensibles (dans le cas de ValidatingAdmissionWebhook).
Tactiques MITRE : Accès aux informations d’identification, Persistance
Gravité : Information
Détection de téléchargements de fichiers à partir d’une source malveillante connue
(K8S.NODE_SuspectDownload) 1
Description : l’analyse des processus exécutés dans un conteneur ou directement sur un nœud Kubernetes a détecté un téléchargement d’un fichier à partir d’une source fréquemment utilisée pour distribuer des programmes malveillants.
Tactiques MITRE : PrivilegeEscalation, Execution, Exfiltration, Command And Control
Gravité : moyenne
Détection d’un téléchargement de fichier suspect
(K8S.NODE_SuspectDownloadArtifacts) 1
Description : l’analyse des processus exécutés dans un conteneur ou directement sur un nœud Kubernetes a détecté un téléchargement suspect d’un fichier distant.
Tactiques MITRE : Persistance
Gravité : Information
Détection d’une utilisation suspecte de la commande nohup
(K8S.NODE_SuspectNohup) 1
Description : l’analyse des processus exécutés dans un conteneur ou directement sur un nœud Kubernetes a détecté une utilisation suspecte de la commande nohup. Des attaquants ont exécuté la commande nohup pour exécuter des fichiers masqués à partir d’un répertoire temporaire afin de permettre à leurs exécutables de se lancer en arrière-plan. Il est rare que cette commande s’exécute sur des fichiers masqués situés dans un répertoire temporaire.
Tactiques MITRE : Persistance, DefenseEvasion
Gravité : moyenne
Détection d’une utilisation suspecte de la commande useradd
(K8S.NODE_SuspectUserAddition) 1
Description : l’analyse des processus exécutés dans un conteneur ou directement sur un nœud Kubernetes a détecté une utilisation suspecte de la commande useradd.
Tactiques MITRE : Persistance
Gravité : moyenne
Conteneur d’extraction de données monétaires numériques détecté
(K8S_MaliciousContainerImage) 3
Description : l’analyse du journal d’audit Kubernetes a détecté un conteneur qui a une image associée à un outil d’exploration de données monétaire numérique.
Tactiques MITRE : Exécution
Gravité : élevée
Détection d’un comportement lié au minage de devises numériques
(K8S.NODE_DigitalCurrencyMining) 1
Description : l’analyse des processus exécutés dans un conteneur ou directement sur un nœud Kubernetes a détecté une exécution d’un processus ou d’une commande normalement associé à l’exploration de données monétaire numérique.
Tactiques MITRE : Exécution
Gravité : élevée
Détection d’une opération de création Docker sur un nœud Kubernetes
(K8S.NODE_ImageBuildOnNode) 1
Description : l’analyse des processus s’exécutant dans un conteneur ou directement sur un nœud Kubernetes a détecté une opération de génération d’une image conteneur sur un nœud Kubernetes. Bien que ce comportement puisse être légitime, des attaquants peuvent générer leurs images malveillantes localement pour éviter d’être détectés.
Tactiques MITRE : DefenseEvasion
Gravité : Information
Tableau de bord Kubeflow exposé détecté
(K8S_ExposedKubeflow)
Description : L’analyse du journal d’audit Kubernetes a détecté l’exposition de l’entrée Istio par un équilibreur de charge dans un cluster qui exécute Kubeflow. Cette action peut exposer le tableau de bord Kubeflow à Internet. Si le tableau de bord est exposé à Internet, les attaquants peuvent y accéder et exécuter du code ou des conteneurs malveillants sur le cluster. Pour plus d’informations, consultez l’article suivant : https://aka.ms/exposedkubeflow-blog.
Tactiques MITRE : Accès initial
Gravité : moyenne
Tableau de bord Kubernetes exposé détecté
(K8S_ExposedDashboard)
Description : l’analyse du journal d’audit Kubernetes a détecté l’exposition du tableau de bord Kubernetes par un service LoadBalancer. Un tableau de bord exposé permet un accès non authentifié à la gestion des clusters et constitue une menace pour la sécurité.
Tactiques MITRE : Accès initial
Gravité : élevée
Service Kubernetes exposé détecté
(K8S_ExposedService)
Description : l’analyse du journal d’audit Kubernetes a détecté l’exposition d’un service par un équilibreur de charge. Ce service est lié à une application sensible qui autorise des opérations à impact élevé dans le cluster, comme l’exécution de processus sur le nœud ou la création de conteneurs. Dans certains cas, ce service ne requiert pas d’authentification. Si le service ne requiert pas d’authentification, son exposition à Internet présente un risque pour la sécurité.
Tactiques MITRE : Accès initial
Gravité : moyenne
Service Redis exposé dans AKS détecté
(K8S_ExposedRedis)
Description : l’analyse du journal d’audit Kubernetes a détecté l’exposition d’un service Redis par un équilibreur de charge. Si le service ne requiert pas d’authentification, son exposition à Internet présente un risque pour la sécurité.
Tactiques MITRE : Accès initial
Gravité : faible
Détection d’indicateurs associés à DDOS Toolkit
(K8S.NODE_KnownLinuxDDoSToolkit) 1
Description : l’analyse des processus exécutés dans un conteneur ou directement sur un nœud Kubernetes a détecté des noms de fichiers qui font partie d’un kit de ressources associé à un programme malveillant capable de lancer des attaques DDoS, d’ouvrir des ports et des services et de prendre un contrôle total sur le système infecté. Il peut également s’agir d’une activité légitime.
Tactiques MITRE : Persistance, LateralMovement, Exécution, Exploitation
Gravité : moyenne
Détection de demandes d’API K8S provenant d’une adresse IP de proxy
(K8S_TI_Proxy) 3
Description : l’analyse des journaux d’audit Kubernetes a détecté des demandes d’API adressées à votre cluster à partir d’une adresse IP associée aux services proxy, comme TOR. Bien que ce comportement puisse être légitime, il est souvent observé dans le cadre d’activités malveillantes, lorsque les attaquants tentent de dissimuler leur adresse IP source.
Tactiques MITRE : Exécution
Gravité : faible
Événements Kubernetes supprimés
Description : Defender pour le cloud détecté que certains événements Kubernetes ont été supprimés. Les événements Kubernetes sont des objets dans Kubernetes qui contiennent des informations sur les changements du cluster. Des attaquants peuvent supprimer ces événements pour dissimuler leurs opérations dans le cluster.
Tactiques MITRE : Évasion de défense
Gravité : faible
Détection d’un outil de test d’intrusion Kubernetes
(K8S_PenTestToolsKubeHunter)
Description : l’analyse des journaux d’audit Kubernetes a détecté l’utilisation de l’outil de test d’intrusion Kubernetes dans le cluster AKS. Bien que ce comportement puisse être légitime, des attaquants peuvent utiliser ces outils publics à des fins malveillantes.
Tactiques MITRE : Exécution
Gravité : faible
Alerte de test Microsoft Defender pour le cloud (pas une menace).
(K8S.NODE_EICAR) 1
Description : il s’agit d’une alerte de test générée par Microsoft Defender pour le cloud. Aucune action supplémentaire n’est requise.
Tactiques MITRE : Exécution
Gravité : élevée
Nouveau conteneur détecté dans l’espace de noms kube-system
(K8S_KubeSystemContainer) 3
Description : l’analyse du journal d’audit Kubernetes a détecté un nouveau conteneur dans l’espace de noms kube-system qui n’est pas parmi les conteneurs qui s’exécutent normalement dans cet espace de noms. Les espaces de noms kube-system ne doivent pas contenir de ressources utilisateur. Des attaquants peuvent utiliser cet espace de noms pour dissimuler des composants malveillants.
Tactiques MITRE : Persistance
Gravité : Information
Nouveau rôle avec privilèges élevés détecté
(K8S_HighPrivilegesRole) 3
Description : l’analyse du journal d’audit Kubernetes a détecté un nouveau rôle avec des privilèges élevés. Une liaison à un rôle avec des privilèges élevés donne à l’utilisateur/au groupe des privilèges élevés dans le cluster. Des privilèges inutiles peuvent entraîner une escalade des privilèges dans le cluster.
Tactiques MITRE : Persistance
Gravité : Information
Possible détection d’un outil d’attaque
(K8S.NODE_KnownLinuxAttackTool) 1
Description : l’analyse des processus exécutés dans un conteneur ou directement sur un nœud Kubernetes a détecté un appel d’outil suspect. Cet outil est souvent associé à l’attaque d’autres ordinateurs par des utilisateurs malveillants.
Tactiques MITRE : exécution, collection, commande et contrôle, détection
Gravité : moyenne
Détection d’une possible porte dérobée
(K8S.NODE_LinuxBackdoorArtifact) 1
Description : l’analyse des processus exécutés dans un conteneur ou directement sur un nœud Kubernetes a détecté un fichier suspect téléchargé et exécuté. Cette activité a été précédemment associée à l’installation d’une porte dérobée.
Tactiques MITRE : Persistance, DefenseEvasion, Exécution, Exploitation
Gravité : moyenne
Tentative d’exploitation de la ligne de commande possible
(K8S.NODE_ExploitAttempt) 1
Description : l’analyse des processus exécutés dans un conteneur ou directement sur un nœud Kubernetes a détecté une tentative d’exploitation possible contre une vulnérabilité connue.
Tactiques MITRE : Exploitation
Gravité : moyenne
Possible détection d’un outil d’accès aux informations d’identification
(K8S.NODE_KnownLinuxCredentialAccessTool) 1
Description : l’analyse des processus s’exécutant dans un conteneur ou directement sur un nœud Kubernetes a détecté qu’un outil d’accès aux informations d’identification connus possible s’exécutait sur le conteneur, comme identifié par le processus spécifié et l’élément d’historique de ligne de commande. Cet outil est souvent associé aux tentatives d’accès aux informations d’identification par un attaquant.
Tactiques MITRE : CredentialAccess
Gravité : moyenne
Détection d’un possible téléchargement Cryptocoinminer
(K8S.NODE_CryptoCoinMinerDownload) 1
Description : l’analyse des processus exécutés dans un conteneur ou directement sur un nœud Kubernetes a détecté le téléchargement d’un fichier normalement associé à l’exploration de données monétaire numérique.
Tactiques MITRE : DefenseEvasion, Command And Control, Exploitation
Gravité : moyenne
Possible détection d’une activité de falsification du journal
(K8S.NODE_SystemLogRemoval) 1
Description : l’analyse des processus exécutés dans un conteneur ou directement sur un nœud Kubernetes a détecté une suppression possible des fichiers qui effectuent le suivi de l’activité de l’utilisateur au cours de son opération. Les attaquants essaient souvent d’échapper à la détection et de ne laisser aucune trace des activités malveillantes en supprimant ces fichiers journaux.
Tactiques MITRE : DefenseEvasion
Gravité : moyenne
Détection possible d’une modification de mot de passe à l’aide d’une méthode chiffrée
(K8S.NODE_SuspectPasswordChange) 1
Description : l’analyse des processus exécutés dans un conteneur ou directement sur un nœud Kubernetes a détecté une modification de mot de passe à l’aide de la méthode de chiffrement. Les attaquants peuvent effectuer cette modification pour continuer à bénéficier d’un accès et obtenir la persistance après une attaque.
Tactiques MITRE : CredentialAccess
Gravité : moyenne
Réacheminement potentiel d’un port vers une adresse IP externe
(K8S.NODE_SuspectPortForwarding) 1
Description : l’analyse des processus exécutés dans un conteneur ou directement sur un nœud Kubernetes a détecté un lancement du transfert de port vers une adresse IP externe.
Tactiques MITRE : Exfiltration, Commande et contrôle
Gravité : moyenne
Possible détection d’un interpréteur de commandes inverse
(K8S.NODE_ReverseShell) 1
Description : l’analyse des processus s’exécutant dans un conteneur ou directement sur un nœud Kubernetes a détecté un interpréteur de commandes inversé potentiel. Ils sont utilisés pour faire en sorte que l’ordinateur compromis puisse rappeler un ordinateur qui appartient à l’attaquant.
Tactiques MITRE : Exfiltration, Exploitation
Gravité : moyenne
Conteneur privilégié détecté
(K8S_PrivilegedContainer)
Description : l’analyse du journal d’audit Kubernetes a détecté un nouveau conteneur privilégié. Un conteneur privilégié a accès aux ressources du nœud et rompt l’isolation entre les conteneurs. En cas de compromission, un attaquant peut utiliser le conteneur privilégié pour accéder au nœud.
Tactiques MITRE : Escalade de privilèges
Gravité : Information
Détection d’un processus associé au minage de devises numériques
(K8S.NODE_CryptoCoinMinerArtifacts) 1
Description : l’analyse des processus en cours d’exécution dans un conteneur a détecté l’exécution d’un processus normalement associé à l’exploration de devises numériques.
Tactiques MITRE : Exécution, Exploitation
Gravité : moyenne
Détection d’un processus accédant de façon inhabituelle au fichier de clés autorisées SSH
(K8S.NODE_SshKeyAccess) 1
Description : Un fichier de authorized_keys SSH a été accessible dans une méthode similaire aux campagnes de programmes malveillants connus. Cet accès peut signifier qu’un acteur tente d’obtenir un accès permanent à une machine.
Tactiques MITRE : Inconnu
Gravité : Information
Liaison de rôle au rôle d’administrateur de cluster détecté
(K8S_ClusterAdminBinding)
Description : l’analyse du journal d’audit Kubernetes a détecté une nouvelle liaison au rôle d’administrateur de cluster qui donne des privilèges d’administrateur. Des privilèges d’administrateur inutiles peuvent entraîner une escalade des privilèges dans le cluster.
Tactiques MITRE : Persistance
Gravité : Information
Arrêt de processus liés à la sécurité détecté
(K8S.NODE_SuspectProcessTermination) 1
Description : l’analyse des processus exécutés dans un conteneur ou directement sur un nœud Kubernetes a détecté une tentative d’arrêt des processus liés à la surveillance de la sécurité sur le conteneur. Les attaquants essaient souvent d’arrêter ces processus à l’aide de la compromission de scripts prédéfinis.
Tactiques MITRE : Persistance
Gravité : faible
Le serveur SSH s’exécute à l’intérieur d’un conteneur
(K8S.NODE_ContainerSSH) 1
Description : l’analyse des processus exécutés dans un conteneur a détecté un serveur SSH s’exécutant à l’intérieur du conteneur.
Tactiques MITRE : Exécution
Gravité : Information
Modification suspecte de l’horodatage des fichiers
(K8S.NODE_TimestampTampering) 1
Description : l’analyse des processus exécutés dans un conteneur ou directement sur un nœud Kubernetes a détecté une modification suspecte de l’horodatage. Les attaquants copient souvent les horodatages de fichiers légitimes existants dans de nouveaux outils pour empêcher la détection de ces fichiers supprimés.
Tactiques MITRE : Persistance, DefenseEvasion
Gravité : faible
Demande suspecte à l’API Kubernetes
(K8S.NODE_KubernetesAPI) 1
Description : l’analyse des processus exécutés dans un conteneur indique qu’une demande suspecte a été effectuée à l’API Kubernetes. La requête a été envoyée à partir d’un conteneur dans le cluster. Bien que ce comportement puisse être intentionnel, il peut indiquer qu’un conteneur compromis s’exécute dans le cluster.
Tactiques MITRE : LateralMovement
Gravité : moyenne
Demande suspecte au tableau de bord Kubernetes
(K8S.NODE_KubernetesDashboard) 1
Description : l’analyse des processus exécutés dans un conteneur indique qu’une demande suspecte a été effectuée dans le tableau de bord Kubernetes. La requête a été envoyée à partir d’un conteneur dans le cluster. Bien que ce comportement puisse être intentionnel, il peut indiquer qu’un conteneur compromis s’exécute dans le cluster.
Tactiques MITRE : LateralMovement
Gravité : moyenne
Un mineur potentiel de cryptomonnaie a démarré
(K8S.NODE_CryptoCoinMinerExecution) 1
Description : l’analyse des processus exécutés dans un conteneur ou directement sur un nœud Kubernetes a détecté qu’un processus a été démarré de manière normalement associé à l’exploration de devises numériques.
Tactiques MITRE : Exécution
Gravité : moyenne
Accès suspect aux mots de passe
(K8S.NODE_SuspectPasswordFileAccess) 1
Description : l’analyse des processus exécutés dans un conteneur ou directement sur un nœud Kubernetes a détecté une tentative suspecte d’accès aux mots de passe utilisateur chiffrés.
Tactiques MITRE : Persistance
Gravité : Information
Détection possible d’un interpréteur de commandes web malveillant.
(K8S.NODE_Webshell) 1
Description : l’analyse des processus en cours d’exécution dans un conteneur a détecté un interpréteur de commandes web possible. Les attaquants chargent généralement un interpréteur de commandes web sur une ressource de calcul compromise pour s’y installer ou l’exploiter de manière approfondie.
Tactiques MITRE : Persistance, Exploitation
Gravité : moyenne
Une rafale de plusieurs commandes de reconnaissance peut indiquer l’activité initiale après la compromission
(K8S.NODE_ReconnaissanceArtifactsBurst) 1
Description : l’analyse des données de l’hôte/de l’appareil a détecté l’exécution de plusieurs commandes de reconnaissance liées à la collecte des détails du système ou de l’hôte effectuées par des attaquants après la compromission initiale.
Tactiques MITRE : Découverte, Collection
Gravité : faible
Activité de téléchargement puis d’exécution suspecte
(K8S.NODE_DownloadAndRunCombo) 1
Description : l’analyse des processus exécutés dans un conteneur ou directement sur un nœud Kubernetes a détecté qu’un fichier est téléchargé, puis exécuté dans la même commande. Bien que cela ne soit pas toujours malveillant, il s’agit d’une technique très courante utilisée par les attaquants pour obtenir des fichiers malveillants sur des ordinateurs victimes.
Tactiques MITRE : Exécution, CommandAndControl, Exploitation
Gravité : moyenne
Accès au fichier kubelet kubeconfig détecté
(K8S.NODE_KubeConfigAccess) 1
Description : l’analyse des processus en cours d’exécution sur un nœud de cluster Kubernetes a détecté l’accès au fichier kubeconfig sur l’hôte. Le fichier kubeconfig, normalement utilisé par le processus Kubelet, contient des informations d’identification pour le serveur d’API du cluster Kubernetes. L’accès à ce fichier est souvent associé à des attaquants qui tentent d’accéder à ces informations d’identification ou à des outils d’analyse de la sécurité qui vérifient si le fichier est accessible.
Tactiques MITRE : CredentialAccess
Gravité : moyenne
Détection de l’accès au service de métadonnées cloud
(K8S.NODE_ImdsCall) 1
Description : Analyse des processus en cours d’exécution dans un conteneur détecté l’accès au service de métadonnées cloud pour l’acquisition du jeton d’identité. Le conteneur n’effectue normalement pas de telles opérations. Bien que ce comportement soit légitime, les attaquants peuvent utiliser cette technique pour accéder aux ressources cloud après avoir obtenu un accès initial à un conteneur en cours d’exécution.
Tactiques MITRE : CredentialAccess
Gravité : moyenne
Agent MITRE Caldera détecté
(K8S.NODE_MitreCalderaTools) 1
Description : l’analyse des processus exécutés dans un conteneur ou directement sur un nœud Kubernetes a détecté un processus suspect. Cela est souvent associé à l’agent MITRE 54ndc47, qui peut être utilisé de manière malveillante pour attaquer d’autres machines.
Tactiques MITRE : Persistance, PrivilegeEscalation, DefenseEvasion, CredentialAccess, Discovery, LateralMovement, Execution, Collection, Exfiltration, Command And Control, Probing, Exploitation
Gravité : moyenne
1 : Préversion pour les clusters non AKS : cette alerte est généralement disponible pour les clusters AKS, mais elle est en préversion pour d’autres environnements, tels qu’Azure Arc, EKS et GKE.
2 : Limitations sur les clusters GKE : GKE utilise une stratégie d’audit Kubernetes qui ne prend pas en charge tous les types d’alerte. Par conséquent, cette alerte de sécurité, qui est basée sur les événements d’audit Kubernetes, n’est pas prise en charge pour les clusters GKE.
3 : Cette alerte est prise en charge sur les nœuds/conteneurs Windows.
Alertes pour SQL Database et Azure Synapse Analytics
Informations complémentaires et notes
Vulnérabilité possible par injection de code SQL
(SQL. DB_VulnerabilityToSqlInjection SQL. VM_VulnerabilityToSqlInjection SQL.MI_VulnerabilityToSqlInjection SQL. DW_VulnerabilityToSqlInjection Synapse.SQLPool_VulnerabilityToSqlInjection)
Description : une application a généré une instruction SQL défectueuse dans la base de données. Cela peut indiquer une vulnérabilité aux attaques par injection de code SQL. Il y a deux causes possibles à une instruction défectueuse. Un défaut dans le code d’application peut avoir créé l’instruction SQL défectueuse. Ou bien, le code d’application ou les procédures stockées n’ont pas assaini les entrées utilisateur lors de la création de l’instruction SQL défectueuse, qui peut être exploitée par l’injection de code SQL.
Tactiques MITRE : PreAttack
Gravité : moyenne
Tentative de connexion par une application potentiellement dangereuse
(SQL. DB_HarmfulApplication SQL. VM_HarmfulApplication SQL.MI_HarmfulApplication SQL. DW_HarmfulApplication Synapse.SQLPool_HarmfulApplication)
Description : une application potentiellement dangereuse a tenté d’accéder à votre ressource.
Tactiques MITRE : PreAttack
Gravité : élevée
Connexion à partir d’un centre de données Azure inhabituel
(SQL. DB_DataCenterAnomaly SQL. VM_DataCenterAnomaly SQL. DW_DataCenterAnomaly SQL.MI_DataCenterAnomaly Synapse.SQLPool_DataCenterAnomaly)
Description : Il y a eu une modification du modèle d’accès à un serveur SQL Server, où une personne s’est connectée au serveur à partir d’un Centre de données Azure inhabituel. Dans certains cas, l’alerte détecte une action légitime (une nouvelle application ou un nouveau service Azure). Dans d’autres cas, l’alerte détecte une action malveillante (attaquant opérant à partir d’une ressource compromise dans Azure).
Tactiques MITRE : détection
Gravité : faible
Connexion à partir d’un emplacement inhabituel
(SQL. DB_GeoAnomaly SQL. VM_GeoAnomaly SQL. DW_GeoAnomaly SQL.MI_GeoAnomaly Synapse.SQLPool_GeoAnomaly)
Description : il y a eu un changement dans le modèle d’accès à SQL Server, où une personne s’est connectée au serveur à partir d’un emplacement géographique inhabituel. Dans certains cas, l’alerte détecte une action légitime (une nouvelle application ou opération de maintenance du développeur). Dans d’autres cas, l’alerte détecte une action malveillante (ancien employé ou attaquant externe).
Tactiques MITRE : Exploitation
Gravité : moyenne
Connexion à partir d’un utilisateur principal non vu en 60 jours
(SQL. DB_PrincipalAnomaly SQL. VM_PrincipalAnomaly SQL. DW_PrincipalAnomaly SQL.MI_PrincipalAnomaly Synapse.SQLPool_PrincipalAnomaly)
Description : un utilisateur principal non vu au cours des 60 derniers jours s’est connecté à votre base de données. Si cette base de données est nouvelle ou si le comportement attendu est dû à des modifications récentes des utilisateurs accédant à la base de données, Defender pour le cloud identifie les modifications significatives apportées aux modèles d’accès et tente d’éviter les futurs faux positifs.
Tactiques MITRE : Exploitation
Gravité : moyenne
Connexion à partir d’un domaine pas vu pendant 60 jours
(SQL. DB_DomainAnomaly SQL. VM_DomainAnomaly SQL. DW_DomainAnomaly SQL.MI_DomainAnomaly Synapse.SQLPool_DomainAnomaly)
Description : un utilisateur s’est connecté à votre ressource à partir d’un domaine depuis lequel aucun autre utilisateur n’a connecté au cours des 60 derniers jours. Si cette ressource est nouvelle ou si le comportement attendu est dû à des modifications récentes des utilisateurs accédant à la ressource, Defender pour le cloud identifiera les modifications significatives apportées aux modèles d’accès et tentera d’éviter les futurs faux positifs.
Tactiques MITRE : Exploitation
Gravité : moyenne
Connexion à partir d’une adresse IP suspecte
(SQL. DB_SuspiciousIpAnomaly SQL. VM_SuspiciousIpAnomaly SQL. DW_SuspiciousIpAnomaly SQL.MI_SuspiciousIpAnomaly Synapse.SQLPool_SuspiciousIpAnomaly)
Description : Votre ressource a été accessible avec succès à partir d’une adresse IP associée à Microsoft Threat Intelligence.
Tactiques MITRE : PreAttack
Gravité : moyenne
Injection potentielle de code SQL
(SQL. DB_PotentialSqlInjection SQL. VM_PotentialSqlInjection SQL.MI_PotentialSqlInjection SQL. DW_PotentialSqlInjection Synapse.SQLPool_PotentialSqlInjection)
Description : une attaque active s’est produite contre une application identifiée vulnérable à l’injection SQL. Cela signifie qu’un attaquant tente d’injecter des instructions SQL malveillantes en utilisant les procédures stockées ou le code d’application vulnérables.
Tactiques MITRE : PreAttack
Gravité : élevée
Attaque par force brute probable à l’aide d’un utilisateur valide
(SQL. DB_BruteForce SQL. VM_BruteForce SQL. DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)
Description : une attaque par force brute potentielle a été détectée sur votre ressource. L’attaquant se sert de l’utilisateur valide (nom d’utilisateur), qui dispose des autorisations pour se connecter.
Tactiques MITRE : PreAttack
Gravité : élevée
Attaque par force brute probable
(SQL. DB_BruteForce SQL. VM_BruteForce SQL. DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)
Description : une attaque par force brute potentielle a été détectée sur votre ressource.
Tactiques MITRE : PreAttack
Gravité : élevée
Attaque par force brute réussie probable
(SQL. DB_BruteForce SQL. VM_BruteForce SQL. DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)
Description : une connexion réussie s’est produite après une attaque de force brute apparente sur votre ressource.
Tactiques MITRE : PreAttack
Gravité : élevée
SQL Server a potentiellement généré un interpréteur de commandes Windows et accédé à une source externe anormale
(SQL. DB_ShellExternalSourceAnomaly SQL. VM_ShellExternalSourceAnomaly SQL. DW_ShellExternalSourceAnomaly SQL.MI_ShellExternalSourceAnomaly Synapse.SQLPool_ShellExternalSourceAnomaly)
Description : Une instruction SQL suspecte a potentiellement généré un interpréteur de commandes Windows avec une source externe qui n’a pas été vue précédemment. L’exécution d’un interpréteur de commandes qui accède à une source externe est une méthode utilisée par les attaquants pour télécharger une charge utile malveillante, puis l’exécuter sur la machine et la compromettre. Cela permet à un attaquant d’effectuer des tâches malveillantes sous direction distante. Vous pouvez également utiliser l’accès à une source externe pour exfiltrer des données vers une destination externe.
Tactiques MITRE : Exécution
Gravité : élevée
Une charge utile inhabituelle avec des parties masquées a été initiée par SQL Server
(SQL.VM_PotentialSqlInjection)
Description : une personne a lancé une nouvelle charge utile utilisant la couche dans SQL Server qui communique avec le système d’exploitation tout en cachant la commande dans la requête SQL. Les attaquants masquent généralement les commandes percutantes qui sont couramment analysées comme xp_cmdshell, sp_add_job et autres. Les techniques d’obfuscation abusent des commandes légitimes telles que la concaténation de chaînes, le forçage de type, la modification de base, etc., pour éviter la détection d’expression régulière et nuire à la lisibilité des journaux.
Tactiques MITRE : Exécution
Gravité : élevée
Alertes pour les bases de données relationnelles open source
Informations complémentaires et notes
Attaque par force brute probable à l’aide d’un utilisateur valide
(SQL. PostgreSQL_BruteForce SQL. MariaDB_BruteForce SQL. MySQL_BruteForce)
Description : une attaque par force brute potentielle a été détectée sur votre ressource. L’attaquant se sert de l’utilisateur valide (nom d’utilisateur), qui dispose des autorisations pour se connecter.
Tactiques MITRE : PreAttack
Gravité : élevée
Attaque par force brute réussie probable
(SQL. PostgreSQL_BruteForce SQL. MySQL_BruteForce SQL. MariaDB_BruteForce)
Description : une connexion réussie s’est produite après une attaque de force brute apparente sur votre ressource.
Tactiques MITRE : PreAttack
Gravité : élevée
Attaque par force brute probable
(SQL. PostgreSQL_BruteForce SQL. MySQL_BruteForce SQL. MariaDB_BruteForce)
Description : une attaque par force brute potentielle a été détectée sur votre ressource.
Tactiques MITRE : PreAttack
Gravité : élevée
Tentative de connexion par une application potentiellement dangereuse
(SQL. PostgreSQL_HarmfulApplication SQL. MariaDB_HarmfulApplication SQL. MySQL_HarmfulApplication)
Description : une application potentiellement dangereuse a tenté d’accéder à votre ressource.
Tactiques MITRE : PreAttack
Gravité : élevée
Connexion à partir d’un utilisateur principal non vu en 60 jours
(SQL. PostgreSQL_PrincipalAnomaly SQL. MariaDB_PrincipalAnomaly SQL. MySQL_PrincipalAnomaly)
Description : un utilisateur principal non vu au cours des 60 derniers jours s’est connecté à votre base de données. Si cette base de données est nouvelle ou si le comportement attendu est dû à des modifications récentes des utilisateurs accédant à la base de données, Defender pour le cloud identifie les modifications significatives apportées aux modèles d’accès et tente d’éviter les futurs faux positifs.
Tactiques MITRE : Exploitation
Gravité : moyenne
Connexion à partir d’un domaine pas vu pendant 60 jours
(SQL. MariaDB_DomainAnomaly SQL. PostgreSQL_DomainAnomaly SQL. MySQL_DomainAnomaly)
Description : un utilisateur s’est connecté à votre ressource à partir d’un domaine depuis lequel aucun autre utilisateur n’a connecté au cours des 60 derniers jours. Si cette ressource est nouvelle ou si le comportement attendu est dû à des modifications récentes des utilisateurs accédant à la ressource, Defender pour le cloud identifiera les modifications significatives apportées aux modèles d’accès et tentera d’éviter les futurs faux positifs.
Tactiques MITRE : Exploitation
Gravité : moyenne
Connexion à partir d’un centre de données Azure inhabituel
(SQL. PostgreSQL_DataCenterAnomaly SQL. MariaDB_DataCenterAnomaly SQL. MySQL_DataCenterAnomaly)
Description : Une personne connecté à votre ressource à partir d’un Centre de données Azure inhabituel.
Tactiques MITRE : détection
Gravité : faible
Ouverture de session à partir d’un fournisseur de cloud inhabituel
(SQL. PostgreSQL_CloudProviderAnomaly SQL. MariaDB_CloudProviderAnomaly SQL. MySQL_CloudProviderAnomaly)
Description : une personne connecté à votre ressource à partir d’un fournisseur de cloud n’a pas été vue au cours des 60 derniers jours. Il est facile et rapide pour les acteurs de menaces d’obtenir une puissance de calcul à disposition à utiliser dans leurs campagnes. Si ce comportement est attendu suite à l’adoption récente d’un nouveau fournisseur de cloud, Defender pour le cloud apprendra au fur et à mesure et tentera d’éviter les futurs faux positifs.
Tactiques MITRE : Exploitation
Gravité : moyenne
Connexion à partir d’un emplacement inhabituel
(SQL. MariaDB_GeoAnomaly SQL. PostgreSQL_GeoAnomaly SQL. MySQL_GeoAnomaly)
Description : Une personne connecté à votre ressource à partir d’un Centre de données Azure inhabituel.
Tactiques MITRE : Exploitation
Gravité : moyenne
Connexion à partir d’une adresse IP suspecte
(SQL. PostgreSQL_SuspiciousIpAnomaly SQL. MariaDB_SuspiciousIpAnomaly SQL. MySQL_SuspiciousIpAnomaly)
Description : Votre ressource a été accessible avec succès à partir d’une adresse IP associée à Microsoft Threat Intelligence.
Tactiques MITRE : PreAttack
Gravité : moyenne
Alertes pour Resource Manager
Notes
Les alertes avec une indication d’accès délégué sont déclenchées en raison de l’activité de fournisseurs de services tiers. En savoir plus sur les indications d’activité des fournisseurs de services.
Informations complémentaires et notes
Opération Azure Resource Manager depuis une adresse IP suspecte
(ARM_OperationFromSuspiciousIP)
Description : Microsoft Defender pour Resource Manager a détecté une opération à partir d’une adresse IP marquée comme suspecte dans les flux de renseignement sur les menaces.
Tactiques MITRE : Exécution
Gravité : moyenne
Opération Azure Resource Manager depuis une adresse IP proxy suspecte
(ARM_OperationFromSuspiciousProxyIP)
Description : Microsoft Defender pour Resource Manager a détecté une opération de gestion des ressources à partir d’une adresse IP associée aux services proxy, comme TOR. Bien que ce comportement puisse être légitime, il est souvent observé dans le cadre d’activités malveillantes, lorsque les acteurs de menaces tentent de dissimuler leur IP source.
Tactiques MITRE : Évasion de défense
Gravité : moyenne
Boîte à outils d’exploitation MicroBurst utilisée pour énumérer les ressources de vos abonnements
(ARM_MicroBurst.AzDomainInfo)
Description : un script PowerShell a été exécuté dans votre abonnement et a effectué un modèle suspect d’exécution d’opérations de collecte d’informations pour découvrir les ressources, les autorisations et les structures réseau. Les acteurs des menaces utilisent des scripts automatisés, comme MicroBurst, pour collecter des informations sur les activités malveillantes. Cela a été détecté par l’analyse des opérations Azure Resource Manager dans votre abonnement. Cette opération peut indiquer qu’une identité de votre organisation a été usurpée et que l’acteur de menace tente de compromettre votre environnement à des fins malveillantes.
Tactiques MITRE : -
Gravité : faible
Boîte à outils d’exploitation MicroBurst utilisée pour énumérer les ressources de vos abonnements
(ARM_MicroBurst.AzureDomainInfo)
Description : un script PowerShell a été exécuté dans votre abonnement et a effectué un modèle suspect d’exécution d’opérations de collecte d’informations pour découvrir les ressources, les autorisations et les structures réseau. Les acteurs des menaces utilisent des scripts automatisés, comme MicroBurst, pour collecter des informations sur les activités malveillantes. Cela a été détecté par l’analyse des opérations Azure Resource Manager dans votre abonnement. Cette opération peut indiquer qu’une identité de votre organisation a été usurpée et que l’acteur de menace tente de compromettre votre environnement à des fins malveillantes.
Tactiques MITRE : -
Gravité : faible
Boîte à outils d’exploitation MicroBurst utilisée pour exécuter du code sur votre machine virtuelle
(ARM_MicroBurst.AzVMBulkCMD)
Description : un script PowerShell a été exécuté dans votre abonnement et a effectué un modèle suspect d’exécution de code sur une machine virtuelle ou une liste de machines virtuelles. Les acteurs des menaces utilisent des scripts automatisés, comme MicroBurst, pour exécuter un script sur une machine virtuelle pour des activités malveillantes. Cela a été détecté par l’analyse des opérations Azure Resource Manager dans votre abonnement. Cette opération peut indiquer qu’une identité de votre organisation a été usurpée et que l’acteur de menace tente de compromettre votre environnement à des fins malveillantes.
Tactiques MITRE : Exécution
Gravité : élevée
Boîte à outils d’exploitation MicroBurst utilisée pour exécuter du code sur votre machine virtuelle
(RM_MicroBurst.AzureRmVMBulkCMD)
Description : Le kit de ressources d’exploitation de MicroBurst a été utilisé pour exécuter du code sur vos machines virtuelles. Cela a été détecté par l’analyse des opérations Azure Resource Manager dans votre abonnement.
Tactiques MITRE : -
Gravité : élevée
Boîte à outils d’exploitation MicroBurst utilisée pour extraire des clés de vos coffres de clés Azure
(ARM_MicroBurst.AzKeyVaultKeysREST)
Description : un script PowerShell a été exécuté dans votre abonnement et a effectué un modèle suspect d’extraction de clés à partir d’un ou plusieurs coffres de clés Azure. Les acteurs des menaces utilisent des scripts automatisés, comme MicroBurst, pour répertorier les clés et les utiliser pour accéder aux données sensibles ou effectuer un déplacement latéral. Cela a été détecté par l’analyse des opérations Azure Resource Manager dans votre abonnement. Cette opération peut indiquer qu’une identité de votre organisation a été usurpée et que l’acteur de menace tente de compromettre votre environnement à des fins malveillantes.
Tactiques MITRE : -
Gravité : élevée
Boîte à outils d’exploitation MicroBurst utilisée pour extraire des clés vers vos comptes de stockage
(ARM_MicroBurst.AZStorageKeysREST)
Description : un script PowerShell a été exécuté dans votre abonnement et a effectué un modèle suspect d’extraction de clés dans Stockage compte(s). Les acteurs des menaces utilisent des scripts automatisés, tels que MicroBurst, pour répertorier les clés et les utiliser pour accéder aux données sensibles dans vos comptes de stockage. Cela a été détecté par l’analyse des opérations Azure Resource Manager dans votre abonnement. Cette opération peut indiquer qu’une identité de votre organisation a été usurpée et que l’acteur de menace tente de compromettre votre environnement à des fins malveillantes.
Tactiques MITRE : Collection
Gravité : élevée
Boîte à outils d’exploitation MicroBurst utilisée pour extraire des secrets vos coffres de clés Azure
(ARM_MicroBurst.AzKeyVaultSecretsREST)
Description : un script PowerShell a été exécuté dans votre abonnement et a effectué un modèle suspect d’extraction de secrets à partir d’un ou plusieurs coffres de clés Azure. Les acteurs des menaces utilisent des scripts automatisés, comme MicroBurst, pour répertorier les secrets et les utiliser pour accéder à des données sensibles ou effectuer un déplacement latéral. Cela a été détecté par l’analyse des opérations Azure Resource Manager dans votre abonnement. Cette opération peut indiquer qu’une identité de votre organisation a été usurpée et que l’acteur de menace tente de compromettre votre environnement à des fins malveillantes.
Tactiques MITRE : -
Gravité : élevée
Boîte à outils d’exploitation PowerZure utilisée pour élever l’accès d’Azure AD à Azure
(ARM_PowerZure.AzureElevatedPrivileges)
Description : Le kit de ressources d’exploitation PowerZure a été utilisé pour élever l’accès d’AzureAD à Azure. Cela a été détecté par l’analyse des opérations Azure Resource Manager dans votre locataire.
Tactiques MITRE : -
Gravité : élevée
Boîte à outils d’exploitation PowerZure utilisée pour énumérer les ressources
(ARM_PowerZure.GetAzureTargets)
Description : Le kit de ressources d’exploitation PowerZure a été utilisé pour énumérer les ressources pour le compte d’un compte d’utilisateur légitime dans votre organisation. Cela a été détecté par l’analyse des opérations Azure Resource Manager dans votre abonnement.
Tactiques MITRE : Collection
Gravité : élevée
Boîte à outils d’exploitation PowerZure utilisée pour énumérer les conteneurs, partages et tables de stockage
(ARM_PowerZure.ShowStorageContent)
Description : Le kit de ressources d’exploitation PowerZure a été utilisé pour énumérer les partages de stockage, les tables et les conteneurs. Cela a été détecté par l’analyse des opérations Azure Resource Manager dans votre abonnement.
Tactiques MITRE : -
Gravité : élevée
Boîte à outils d’exploitation PowerZure utilisée pour exécuter un Runbook dans votre abonnement
(ARM_PowerZure.StartRunbook)
Description : Le kit de ressources d’exploitation PowerZure a été utilisé pour exécuter un Runbook. Cela a été détecté par l’analyse des opérations Azure Resource Manager dans votre abonnement.
Tactiques MITRE : -
Gravité : élevée
Boîte à outils d’exploitation PowerZure utilisée pour extraire du contenu de Runbooks
(ARM_PowerZure.AzureRunbookContent)
Description : Le kit de ressources d’exploitation PowerZure a été utilisé pour extraire le contenu du Runbook. Cela a été détecté par l’analyse des opérations Azure Resource Manager dans votre abonnement.
Tactiques MITRE : Collection
Gravité : élevée
PRÉVERSION - Détection de l’exécution du Kit de ressources Azurite
(ARM_Azurite)
Description : une exécution connue du kit de ressources de reconnaissance de l’environnement cloud a été détectée dans votre environnement. L’outil Azurite peut être utilisé par un attaquant (ou testeur d’intrusion) pour mapper les ressources de vos abonnements et identifier les configurations non sécurisées.
Tactiques MITRE : Collection
Gravité : élevée
PRÉVERSION - Création suspecte de ressources de calcul détectée
(ARM_SuspiciousComputeCreation)
Description : Microsoft Defender pour Resource Manager a identifié une création suspecte de ressources de calcul dans votre abonnement utilisant Machines Virtuelles/Groupe identique Azure. Les opérations identifiées sont conçues pour permettre aux administrateurs de gérer efficacement leurs environnements en déployant de nouvelles ressources si besoin. Bien que cette activité puisse être légitime, il est possible qu’un acteur malveillant exploite ces opérations pour réaliser une exploration cryptographique. L’activité est considérée comme suspecte, car l’échelle des ressources de calcul est plus élevée que celle observée précédemment dans l’abonnement. Cela peut indiquer que le principal est compromis et qu’il est utilisé dans une intention malveillante.
Tactiques MITRE : Impact
Gravité : moyenne
PRÉVERSION - Détection d’une récupération suspecte du coffre de clés
(Arm_Suspicious_Vault_Recovering)
Description : Microsoft Defender pour Resource Manager a détecté une opération de récupération suspecte pour une ressource de coffre de clés supprimée de manière réversible. L’utilisateur qui récupère la ressource est différent de l’utilisateur qui l’a supprimée. Cela est très suspect, car l’utilisateur appelle rarement une telle opération. En outre, l’utilisateur s’est connecté sans authentification multifacteur (MFA). Cela peut indiquer que l’utilisateur est compromis et tente de découvrir des secrets et des clés pour accéder aux ressources sensibles, ou d’effectuer un mouvement latéral sur votre réseau.
Tactiques MITRE : Mouvement latéral
Gravité : moyenne/élevée
PRÉVERSION - Détection d’une session de gestion suspecte utilisant un compte inactif
(ARM_UnusedAccountPersistence)
Description : l’analyse des journaux d’activité d’abonnement a détecté un comportement suspect. Un principal non utilisé pendant une longue période effectue maintenant des actions qui peuvent sécuriser la persistance d’un attaquant.
Tactiques MITRE : Persistance
Gravité : moyenne
PRÉVERSION - Détection d’un appel suspect d’une opération « Accès aux informations d’identification » à haut risque par un principal de service
(ARM_AnomalousServiceOperation.CredentialAccess)
Description : Microsoft Defender pour Resource Manager a identifié un appel suspect d’une opération à haut risque dans votre abonnement, ce qui peut indiquer une tentative d’accès aux informations d’identification. Les opérations identifiées sont conçues pour permettre aux administrateurs de gérer efficacement leurs environnements. Bien que cette activité soit légitime, un acteur de menace peut utiliser ces opérations pour accéder aux informations d’identification restreintes et compromettre les ressources dans votre environnement. Cela peut indiquer que le principal de service est compromis et qu’il est utilisé avec une intention malveillante.
Tactiques MITRE : Accès aux informations d’identification
Gravité : moyenne
PRÉVERSION - Détection d’un appel suspect d’une opération « Collecte de données » à haut risque par un principal de service
(ARM_AnomalousServiceOperation.Collection)
Description : Microsoft Defender pour Resource Manager a identifié un appel suspect d’une opération à haut risque dans votre abonnement, ce qui peut indiquer une tentative de collecte de données. Les opérations identifiées sont conçues pour permettre aux administrateurs de gérer efficacement leurs environnements. Bien que cette activité soit légitime, un acteur de menace peut utiliser ces opérations pour collecter des données sensibles sur des ressources dans votre environnement. Cela peut indiquer que le principal de service est compromis et qu’il est utilisé avec une intention malveillante.
Tactiques MITRE : Collection
Gravité : moyenne
PRÉVERSION - Détection d’un appel suspect d’une opération « Évasion de défense » à haut risque par un principal de service
(ARM_AnomalousServiceOperation.DefenseEvasion)
Description : Microsoft Defender pour Resource Manager a identifié un appel suspect d’une opération à haut risque dans votre abonnement, ce qui peut indiquer une tentative d’évasion des défenses. Les opérations identifiées sont conçues pour permettre aux administrateurs de gérer efficacement la posture de sécurité de leurs environnements. Bien que cette activité soit légitime, un acteur de menace peut utiliser ces opérations pour éviter d’être détecté lors de la compromission des ressources dans votre environnement. Cela peut indiquer que le principal de service est compromis et qu’il est utilisé avec une intention malveillante.
Tactiques MITRE : Évasion de défense
Gravité : moyenne
PRÉVERSION - Détection d’un appel suspect d’une opération « Exécution » à haut risque par un principal de service
(ARM_AnomalousServiceOperation.Execution)
Description : Microsoft Defender pour Resource Manager a identifié un appel suspect d’une opération à haut risque sur un ordinateur de votre abonnement, ce qui peut indiquer une tentative d’exécution du code. Les opérations identifiées sont conçues pour permettre aux administrateurs de gérer efficacement leurs environnements. Bien que cette activité soit légitime, un acteur de menace peut utiliser ces opérations pour accéder aux informations d’identification restreintes et compromettre les ressources dans votre environnement. Cela peut indiquer que le principal de service est compromis et qu’il est utilisé avec une intention malveillante.
Tactiques MITRE : Exécution de la défense
Gravité : moyenne
PRÉVERSION - Détection d’un appel suspect d’une opération « Impact » à haut risque par un principal de service
(ARM_AnomalousServiceOperation.Impact)
Description : Microsoft Defender pour Resource Manager a identifié un appel suspect d’une opération à haut risque dans votre abonnement, ce qui peut indiquer une tentative de modification de configuration. Les opérations identifiées sont conçues pour permettre aux administrateurs de gérer efficacement leurs environnements. Bien que cette activité soit légitime, un acteur de menace peut utiliser ces opérations pour accéder aux informations d’identification restreintes et compromettre les ressources dans votre environnement. Cela peut indiquer que le principal de service est compromis et qu’il est utilisé avec une intention malveillante.
Tactiques MITRE : Impact
Gravité : moyenne
PRÉVERSION - Détection d’un appel suspect d’une opération « Accès initial » à haut risque par un principal de service
(ARM_AnomalousServiceOperation.InitialAccess)
Description : Microsoft Defender pour Resource Manager a identifié un appel suspect d’une opération à haut risque dans votre abonnement, ce qui peut indiquer une tentative d’accès aux ressources restreintes. Les opérations identifiées sont conçues pour permettre aux administrateurs d’accéder efficacement à leurs environnements. Bien que cette activité soit légitime, un acteur de menace peut utiliser ces opérations pour obtenir un accès initial aux ressources restreintes dans votre environnement. Cela peut indiquer que le principal de service est compromis et qu’il est utilisé avec une intention malveillante.
Tactiques MITRE : Accès initial
Gravité : moyenne
PRÉVERSION - Détection d’un appel suspect d’une opération « Accès de mouvement latéral » à haut risque par un principal de service
(ARM_AnomalousServiceOperation.LateralMovement)
Description : Microsoft Defender pour Resource Manager a identifié un appel suspect d’une opération à haut risque dans votre abonnement, ce qui peut indiquer une tentative d’exécution de mouvement latéral. Les opérations identifiées sont conçues pour permettre aux administrateurs de gérer efficacement leurs environnements. Bien que cette activité soit légitime, un acteur de menace peut utiliser ces opérations pour compromettre davantage de ressources dans votre environnement. Cela peut indiquer que le principal de service est compromis et qu’il est utilisé avec une intention malveillante.
Tactiques MITRE : Mouvement latéral
Gravité : moyenne
PRÉVERSION - Détection d’un appel suspect d’une opération « persistance » à haut risque par un principal de service
(ARM_AnomalousServiceOperation.Persistence)
Description : Microsoft Defender pour Resource Manager a identifié un appel suspect d’une opération à haut risque dans votre abonnement, ce qui peut indiquer une tentative d’établissement de persistance. Les opérations identifiées sont conçues pour permettre aux administrateurs de gérer efficacement leurs environnements. Bien que cette activité soit légitime, un acteur de menace peut utiliser ces opérations pour établir la persistance dans votre environnement. Cela peut indiquer que le principal de service est compromis et qu’il est utilisé avec une intention malveillante.
Tactiques MITRE : Persistance
Gravité : moyenne
PRÉVERSION - Détection d’un appel suspect d’une opération « Élévation des privilèges » à haut risque par un principal de service
(ARM_AnomalousServiceOperation.PrivilegeEscalation)
Description : Microsoft Defender pour Resource Manager a identifié un appel suspect d’une opération à haut risque dans votre abonnement, ce qui peut indiquer une tentative d’escalade des privilèges. Les opérations identifiées sont conçues pour permettre aux administrateurs de gérer efficacement leurs environnements. Bien que cette activité soit légitime, un acteur de menace peut utiliser ces opérations pour élever les privilèges tout en compromettant les ressources dans votre environnement. Cela peut indiquer que le principal de service est compromis et qu’il est utilisé avec une intention malveillante.
Tactiques MITRE : escalade de privilèges
Gravité : moyenne
PRÉVERSION - Détection d’une session de gestion suspecte utilisant un compte inactif
(ARM_UnusedAccountPersistence)
Description : l’analyse des journaux d’activité d’abonnement a détecté un comportement suspect. Un principal non utilisé pendant une longue période effectue maintenant des actions qui peuvent sécuriser la persistance d’un attaquant.
Tactiques MITRE : Persistance
Gravité : moyenne
PRÉVERSION - Détection d’une session de gestion suspecte utilisant PowerShell
(ARM_UnusedAppPowershellPersistence)
Description : l’analyse des journaux d’activité d’abonnement a détecté un comportement suspect. Un principal qui n’utilise pas régulièrement PowerShell pour gérer l’environnement des abonnements utilise maintenant PowerShell, et effectue des actions qui peuvent sécuriser la persistance d’un attaquant.
Tactiques MITRE : Persistance
Gravité : moyenne
PRÉVERSION : session de gestion suspecte à l’aide de Portail Azure détectée
(ARM_UnusedAppIbizaPersistence)
Description : l’analyse des journaux d’activité de votre abonnement a détecté un comportement suspect. Un principal qui n’utilise pas régulièrement le Portail Azure (Ibiza) pour gérer l’environnement de l’abonnement (qui n’a pas utilisé le portail Azure au cours des 45 derniers jours ou un abonnement qu’il gère activement), utilise désormais le Portail Azure et effectue des actions qui peuvent assurer une certaine persistance pour un attaquant.
Tactiques MITRE : Persistance
Gravité : moyenne
Rôle personnalisé privilégié créé pour votre abonnement de façon suspecte (préversion)
(ARM_PrivilegedRoleDefinitionCreation)
Description : Microsoft Defender pour Resource Manager a détecté une création suspecte de définition de rôle personnalisé privilégié dans votre abonnement. Cette opération a probablement été effectuée par un utilisateur légitime de votre organisation. Elle peut également indiquer qu’un compte de votre organisation a été violé et que l’acteur de menaces tente de créer un rôle privilégié qu’il utilisera pour s’évader de la détection.
Tactiques MITRE : Escalade de privilèges, Évasion de défense
Gravité : Information
Attribution de rôle Azure suspecte détectée (préversion)
(ARM_AnomalousRBACRoleAssignment)
Description : Microsoft Defender pour Resource Manager a identifié une attribution de rôle Azure suspecte/ effectuée à l’aide de PIM (Privileged Identity Management) dans votre locataire, ce qui peut indiquer qu’un compte de votre organisation a été compromis. Les opérations identifiées sont conçues pour permettre aux administrateurs d’accorder aux principaux l’accès aux ressources Azure. Bien que cette activité soit légitime, un acteur de menace peut utiliser l’attribution de rôle pour élever ses autorisations leur permettant d’avancer leur attaque.
Tactiques MITRE : Mouvement latéral, Évasion de défense
Gravité : Faible (PIM) / Élevé
Appel suspect d’une opération d’accès aux informations d’identification à haut risque détecté (préversion)
(ARM_AnomalousOperation.CredentialAccess)
Description : Microsoft Defender pour Resource Manager a identifié un appel suspect d’une opération à haut risque dans votre abonnement, ce qui peut indiquer une tentative d’accès aux informations d’identification. Les opérations identifiées sont conçues pour permettre aux administrateurs d’accéder efficacement à leurs environnements. Bien que cette activité soit légitime, un acteur de menace peut utiliser ces opérations pour accéder aux informations d’identification restreintes et compromettre les ressources dans votre environnement. Cela peut indiquer que le compte est compromis et qu’il est utilisé avec une intention malveillante.
Tactiques MITRE : Accès aux informations d’identification
Gravité : moyenne
Appel suspect d’une opération de collecte de données à haut risque détecté (préversion)
(ARM_AnomalousOperation.Collection)
Description : Microsoft Defender pour Resource Manager a identifié un appel suspect d’une opération à haut risque dans votre abonnement, ce qui peut indiquer une tentative de collecte de données. Les opérations identifiées sont conçues pour permettre aux administrateurs de gérer efficacement leurs environnements. Bien que cette activité soit légitime, un acteur de menace peut utiliser ces opérations pour collecter des données sensibles sur des ressources dans votre environnement. Cela peut indiquer que le compte est compromis et qu’il est utilisé avec une intention malveillante.
Tactiques MITRE : Collection
Gravité : moyenne
Appel suspect d’une opération d’évasion de défense à haut risque détecté (préversion)
(ARM_AnomalousOperation.DefenseEvasion)
Description : Microsoft Defender pour Resource Manager a identifié un appel suspect d’une opération à haut risque dans votre abonnement, ce qui peut indiquer une tentative d’évasion des défenses. Les opérations identifiées sont conçues pour permettre aux administrateurs de gérer efficacement la posture de sécurité de leurs environnements. Bien que cette activité soit légitime, un acteur de menace peut utiliser ces opérations pour éviter d’être détecté lors de la compromission des ressources dans votre environnement. Cela peut indiquer que le compte est compromis et qu’il est utilisé avec une intention malveillante.
Tactiques MITRE : Évasion de défense
Gravité : moyenne
Appel suspect d’une opération d’exécution à haut risque détecté (préversion)
(ARM_AnomalousOperation.Execution)
Description : Microsoft Defender pour Resource Manager a identifié un appel suspect d’une opération à haut risque sur un ordinateur de votre abonnement, ce qui peut indiquer une tentative d’exécution du code. Les opérations identifiées sont conçues pour permettre aux administrateurs de gérer efficacement leurs environnements. Bien que cette activité soit légitime, un acteur de menace peut utiliser ces opérations pour accéder aux informations d’identification restreintes et compromettre les ressources dans votre environnement. Cela peut indiquer que le compte est compromis et qu’il est utilisé avec une intention malveillante.
Tactiques MITRE : Exécution
Gravité : moyenne
Appel suspect d’une opération d’impact à haut risque détecté (préversion)
(ARM_AnomalousOperation.Impact)
Description : Microsoft Defender pour Resource Manager a identifié un appel suspect d’une opération à haut risque dans votre abonnement, ce qui peut indiquer une tentative de modification de configuration. Les opérations identifiées sont conçues pour permettre aux administrateurs de gérer efficacement leurs environnements. Bien que cette activité soit légitime, un acteur de menace peut utiliser ces opérations pour accéder aux informations d’identification restreintes et compromettre les ressources dans votre environnement. Cela peut indiquer que le compte est compromis et qu’il est utilisé avec une intention malveillante.
Tactiques MITRE : Impact
Gravité : moyenne
Appel suspect d’une opération d’accès initial aux informations d’identification à haut risque détecté (préversion)
(ARM_AnomalousOperation.InitialAccess)
Description : Microsoft Defender pour Resource Manager a identifié un appel suspect d’une opération à haut risque dans votre abonnement, ce qui peut indiquer une tentative d’accès aux ressources restreintes. Les opérations identifiées sont conçues pour permettre aux administrateurs d’accéder efficacement à leurs environnements. Bien que cette activité soit légitime, un acteur de menace peut utiliser ces opérations pour obtenir un accès initial aux ressources restreintes dans votre environnement. Cela peut indiquer que le compte est compromis et qu’il est utilisé avec une intention malveillante.
Tactiques MITRE : Accès initial
Gravité : moyenne
Appel suspect d’une opération de mouvement latéral à haut risque détecté (préversion)
(ARM_AnomalousOperation.LateralMovement)
Description : Microsoft Defender pour Resource Manager a identifié un appel suspect d’une opération à haut risque dans votre abonnement, ce qui peut indiquer une tentative d’exécution de mouvement latéral. Les opérations identifiées sont conçues pour permettre aux administrateurs de gérer efficacement leurs environnements. Bien que cette activité soit légitime, un acteur de menace peut utiliser ces opérations pour compromettre davantage de ressources dans votre environnement. Cela peut indiquer que le compte est compromis et qu’il est utilisé avec une intention malveillante.
Tactiques MITRE : Mouvement latéral
Gravité : moyenne
Opération d’élévation d’accès suspecte (préversion)(ARM_AnomalousElevateAccess)
Description : Microsoft Defender pour Resource Manager a identifié une opération suspecte « Élever l’accès ». L’activité est considérée comme suspecte, car ce principal appelle rarement de telles opérations. Bien que cette activité soit légitime, un acteur de menace peut utiliser une opération « Élever l’accès » pour effectuer l’escalade de privilèges pour un utilisateur compromis.
Tactiques MITRE : Escalade de privilèges
Gravité : moyenne
Appel suspect d’une opération de persistance à haut risque détecté (préversion)
(ARM_AnomalousOperation.Persistence)
Description : Microsoft Defender pour Resource Manager a identifié un appel suspect d’une opération à haut risque dans votre abonnement, ce qui peut indiquer une tentative d’établissement de persistance. Les opérations identifiées sont conçues pour permettre aux administrateurs de gérer efficacement leurs environnements. Bien que cette activité soit légitime, un acteur de menace peut utiliser ces opérations pour établir la persistance dans votre environnement. Cela peut indiquer que le compte est compromis et qu’il est utilisé avec une intention malveillante.
Tactiques MITRE : Persistance
Gravité : moyenne
Appel suspect d’une opération d’élévation des privilèges à haut risque détecté (préversion)
(ARM_AnomalousOperation.PrivilegeEscalation)
Description : Microsoft Defender pour Resource Manager a identifié un appel suspect d’une opération à haut risque dans votre abonnement, ce qui peut indiquer une tentative d’escalade des privilèges. Les opérations identifiées sont conçues pour permettre aux administrateurs de gérer efficacement leurs environnements. Bien que cette activité soit légitime, un acteur de menace peut utiliser ces opérations pour élever les privilèges tout en compromettant les ressources dans votre environnement. Cela peut indiquer que le compte est compromis et qu’il est utilisé avec une intention malveillante.
Tactiques MITRE : Escalade de privilèges
Gravité : moyenne
Utilisation de la boîte à outils d’exploitation MicroBurst pour exécuter un code arbitraire ou exfiltrer des informations d’identification de compte Azure Automation
(ARM_MicroBurst.RunCodeOnBehalf)
Description : un script PowerShell a été exécuté dans votre abonnement et a effectué un modèle suspect d’exécution d’un code arbitraire ou d’exfiltrer les informations d’identification du compte Azure Automation. Les acteurs des menaces utilisent des scripts automatisés, comme MicroBurst, pour exécuter du code arbitraire pour les activités malveillantes. Cela a été détecté par l’analyse des opérations Azure Resource Manager dans votre abonnement. Cette opération peut indiquer qu’une identité de votre organisation a été usurpée et que l’acteur de menace tente de compromettre votre environnement à des fins malveillantes.
Tactiques MITRE : persistance, accès aux informations d’identification
Gravité : élevée
Utilisation de techniques NetSPI pour préserver la persistance dans votre environnement Azure
(ARM_NetSPI.MaintainPersistence)
Description : Utilisation de la technique de persistance NetSPI pour créer une porte dérobée webhook et maintenir la persistance dans votre environnement Azure. Cela a été détecté par l’analyse des opérations Azure Resource Manager dans votre abonnement.
Tactiques MITRE : -
Gravité : élevée
Utilisation de la boîte à outils d’exploitation PowerZure pour exécuter un code arbitraire ou exfiltrer des informations d’identification de compte Azure Automation
(ARM_PowerZure.RunCodeOnBehalf)
Description : Le kit de ressources d’exploitation PowerZure a détecté une tentative d’exécution de code ou d’exfiltrage des informations d’identification du compte Azure Automation. Cela a été détecté par l’analyse des opérations Azure Resource Manager dans votre abonnement.
Tactiques MITRE : -
Gravité : élevée
Utilisation d’une fonction PowerZure pour préserver la persistance dans votre environnement Azure
(ARM_PowerZure.MaintainPersistence)
Description : Le kit de ressources d’exploitation PowerZure a détecté la création d’une porte dérobée webhook pour maintenir la persistance dans votre environnement Azure. Cela a été détecté par l’analyse des opérations Azure Resource Manager dans votre abonnement.
Tactiques MITRE : -
Gravité : élevée
Attribution de rôle classique suspecte détectée (préversion)
(ARM_AnomalousClassicRoleAssignment)
Description : Microsoft Defender pour Resource Manager a identifié une attribution de rôle classique suspecte dans votre locataire, ce qui peut indiquer qu’un compte de votre organisation a été compromis. Les opérations identifiées sont conçues pour assurer la compatibilité descendante avec les rôles classiques qui ne sont plus couramment utilisés. Bien que cette activité soit légitime, un acteur de menace peut utiliser cette attribution pour accorder des autorisations à un autre compte d’utilisateur sous leur contrôle.
Tactiques MITRE : Mouvement latéral, Évasion de défense
Gravité : élevée
Alertes pour le Stockage Azure
Informations complémentaires et notes
Accès à partir d’une application suspecte
(Storage.Blob_SuspiciousApp)
Description : indique qu’une application suspecte a accédé à un conteneur d’un compte de stockage avec authentification. Cela peut indiquer qu’une personne malveillante a obtenu les informations d’identification nécessaires pour accéder au compte, et qu’elle l’exploite. Il peut également s’agir d’une indication d’un test de pénétration effectué dans votre organisation. S’applique à : Stockage Blob Azure, Azure Data Lake Storage Gen2
Tactiques MITRE : Accès initial
Gravité : haut/moyen
Accès à partir d’une adresse IP suspecte
(Stockage. Blob_SuspiciousIp Stockage. Files_SuspiciousIp)
Description : indique que ce compte de stockage a été correctement accessible à partir d’une adresse IP considérée comme suspecte. Cette alerte est générée par Microsoft Threat Intelligence. En savoir plus sur les capacités de renseignement sur les menaces de Microsoft. S’applique à : Stockage Blob Azure, Azure Files, Azure Data Lake Storage Gen2
Tactiques MITRE : Pré attaque
Gravité : haut/moyen/faible
Contenu d’hameçonnage hébergé sur un compte de stockage
(Stockage. Blob_PhishingContent Stockage. Files_PhishingContent)
Description : URL utilisée dans une attaque par hameçonnage pointe vers votre compte Stockage Azure. Cette URL faisait partie d’une attaque par hameçonnage qui affecte des utilisateurs de Microsoft 365. En règle générale, le contenu hébergé sur ces pages est conçu pour inciter les visiteurs à entrer leurs informations d’identification d’entreprise ou financières dans un formulaire web qui semble légitime. Cette alerte est générée par Microsoft Threat Intelligence. En savoir plus sur les capacités de renseignement sur les menaces de Microsoft. S’applique à : Stockage Blob Azure, Azure Files
Tactiques MITRE : Collection
Gravité : élevée
Compte de stockage identifié comme source de distribution de logiciels malveillants
(Storage.Files_WidespreadeAm)
Description : Les alertes anti-programme malveillant indiquent qu’un ou plusieurs fichiers infectés sont stockés dans un partage de fichiers Azure monté sur plusieurs machines virtuelles. Si des attaquants obtiennent l’accès à une machine virtuelle avec un partage de fichiers Azure monté, ils peuvent l’utiliser pour propager des logiciels malveillants sur d’autres machines virtuelles qui montent le même partage. S’applique à : Azure Files
Tactiques MITRE : Exécution
Gravité : moyenne
Le niveau d’accès d’un conteneur d’objets blob de stockage potentiellement sensible a été modifié pour autoriser l’accès public non authentifié
(Storage.Blob_OpenACL)
Description : l’alerte indique qu’une personne a modifié le niveau d’accès d’un conteneur d’objets blob dans le compte de stockage, qui peut contenir des données sensibles, au niveau « Conteneur », pour autoriser l’accès public non authentifié (anonyme). La modification a été apportée par le biais du portail Azure. D’après l’analyse statistique, le conteneur d’objets blob est marqué comme pouvant contenir des données sensibles. Cette analyse suggère que les conteneurs d’objets blob ou les comptes de stockage avec des noms similaires ne sont généralement pas exposés à l’accès public. S’applique aux comptes de stockage d’objets blob Azure (Standard à usage général v2, Azure Data Lake Storage Gen2 ou Premium).
Tactiques MITRE : Collection
Gravité : moyenne
Accès authentifié à partir d’un nœud de sortie Tor
(Stockage. Blob_TorAnomaly Stockage. Files_TorAnomaly)
Description : Un ou plusieurs conteneurs de stockage /partages de fichiers dans votre compte de stockage ont été correctement accessibles à partir d’une adresse IP connue pour être un nœud de sortie actif de Tor (un proxy anonymisé). Les acteurs de menaces utilisent Tor pour compliquer le suivi de l’activité pouvant mener jusqu’à eux. L’accès authentifié à partir d’un nœud de sortie Tor est une indication probable qu’un acteur de menace tente de masquer son identité. S’applique à : Stockage Blob Azure, Azure Files, Azure Data Lake Storage Gen2
Tactiques MITRE : Accès initial / Attaque préalable
Gravité : haut/moyen
Accès à partir d’un emplacement inhabituel dans un compte de stockage
(Stockage. Blob_GeoAnomaly Stockage. Files_GeoAnomaly)
Description : indique qu’il y a eu une modification du modèle d’accès à un compte Stockage Azure. Quelqu’un a accédé à ce compte à partir d’une adresse IP considérée comme peu familière par rapport à l’activité récente. Soit un attaquant a obtenu l’accès au compte, soit un utilisateur légitime s’est connecté à partir d’un emplacement géographique nouveau ou inhabituel. Dans le deuxième cas, il peut s’agir, par exemple, d’une opération de maintenance à distance effectuée par une nouvelle application ou un nouveau développeur. S’applique à : Stockage Blob Azure, Azure Files, Azure Data Lake Storage Gen2
Tactiques MITRE : Accès initial
Gravité : haut/moyen/faible
Accès non authentifié inhabituel à un conteneur de stockage
(Storage.Blob_AnonymousAccessAnomaly)
Description : ce compte de stockage a été accessible sans authentification, ce qui est une modification du modèle d’accès commun. L’accès en lecture à ce conteneur est généralement authentifié. Cela peut indiquer qu’un acteur de menace a pu exploiter un accès public en lecture aux conteneurs de stockage dans ces comptes de stockage. S’applique à : Stockage Blob Azure
Tactiques MITRE : Accès initial
Gravité : haut/bas
Programme potentiellement malveillant chargé vers un compte de stockage
(Stockage. Blob_MalwareHashReputation Stockage. Files_MalwareHashReputation)
Description : indique qu’un objet blob contenant des programmes malveillants potentiels a été chargé dans un conteneur d’objets blob ou un partage de fichiers dans un compte de stockage. Cette alerte est basée sur une analyse de réputation de code de hachage tirant parti de la puissance du renseignement sur les menaces Microsoft, qui inclut des codes de hachage pour des virus, Cheval de Troie, logiciels espions et autres rançongiciels. Les causes potentielles peuvent inclure un chargement intentionnel de programmes malveillants par un attaquant ou un chargement involontaire d’un objet blob potentiellement malveillant par un utilisateur légitime. S’applique à : Stockage Blob Azure, Azure Files (uniquement pour les transactions via l’API REST) En savoir plus sur les fonctionnalités de renseignement sur les menaces de Microsoft.
Tactiques MITRE : Mouvement latéral
Gravité : élevée
Des conteneurs de stockage accessibles publiquement ont été découverts
(Storage.Blob_OpenContainersScanning.SuccessfulDiscovery)
Description : une découverte réussie des conteneurs de stockage ouverts publiquement dans votre compte de stockage a été effectuée au cours de la dernière heure par un script ou un outil d’analyse.
Cela indique généralement une attaque de reconnaissance, où l’acteur de menace tente de lister des objets blob en devinant les noms des conteneurs, dans l’espoir de trouver des conteneurs de stockage ouverts mal configurés avec des données sensibles.
L’acteur de menace peut utiliser son propre script ou utiliser des outils d’analyse connus comme Microburst pour rechercher des conteneurs ouverts publiquement.
✔ Stockage Blob Azure ✖ Azure Files ✖ Azure Data Lake Storage Gen2
Tactiques MITRE : Collection
Gravité : haut/moyen
Échec de l’analyse des conteneurs de stockage accessibles publiquement
(Storage.Blob_OpenContainersScanning.FailedAttempt)
Description : Une série d’échecs de tentatives d’analyse des conteneurs de stockage ouverts publiquement ont été effectuées au cours de la dernière heure.
Cela indique généralement une attaque de reconnaissance, où l’acteur de menace tente de lister des objets blob en devinant les noms des conteneurs, dans l’espoir de trouver des conteneurs de stockage ouverts mal configurés avec des données sensibles.
L’acteur de menace peut utiliser son propre script ou utiliser des outils d’analyse connus comme Microburst pour rechercher des conteneurs ouverts publiquement.
✔ Stockage Blob Azure ✖ Azure Files ✖ Azure Data Lake Storage Gen2
Tactiques MITRE : Collection
Gravité : haut/bas
Inspection d’accès inhabituelle dans un compte de stockage
(Stockage. Blob_AccessInspectionAnomaly Stockage. Files_AccessInspectionAnomaly)
Description : Indique que les autorisations d’accès d’un compte de stockage ont été inspectées de manière inhabituelle, par rapport à l’activité récente sur ce compte. Il est possible qu'un attaquant ait effectué une reconnaissance en vue d’une attaque future. S’applique à : Stockage Blob Azure, Azure Files
Tactiques MITRE : Découverte
Gravité : haut/moyen
Quantité inhabituelle de données extraites d’un compte de stockage
(Stockage. Blob_DataExfiltration.AmountOfDataAnomaly Stockage. Blob_DataExfiltration.NumberOfBlobsAnomaly Stockage. Files_DataExfiltration.AmountOfDataAnomaly Stockage. Files_DataExfiltration.NumberOfFilesAnomaly)
Description : indique qu’une grande quantité de données a été extraite par rapport à l’activité récente sur ce conteneur de stockage. Un attaquant a peut-être extrait une grande quantité de données à partir d’un conteneur de stockage d’objets blob. S’applique à : Stockage Blob Azure, Azure Files, Azure Data Lake Storage Gen2
Tactiques MITRE : Exfiltration
Gravité : haut/bas
Une application inhabituelle a accédé à un compte de stockage
(Stockage. Blob_ApplicationAnomaly Stockage. Files_ApplicationAnomaly)
Description : indique qu’une application inhabituelle a accédé à ce compte de stockage. Un attaquant a peut-être accédé à votre compte de stockage à l’aide d’une nouvelle application. S’applique à : Stockage Blob Azure, Azure Files
Tactiques MITRE : Exécution
Gravité : haut/moyen
Exploration de données inhabituelle dans un compte de stockage
(Stockage. Blob_DataExplorationAnomaly Stockage. Files_DataExplorationAnomaly)
Description : indique que les objets blob ou les conteneurs d’un compte de stockage ont été énumérés de manière anormale, par rapport à l’activité récente sur ce compte. Il est possible qu'un attaquant ait effectué une reconnaissance en vue d’une attaque future. S’applique à : Stockage Blob Azure, Azure Files
Tactiques MITRE : Exécution
Gravité : haut/moyen
Suppression inhabituelle dans un compte de stockage
(Stockage. Blob_DeletionAnomaly Stockage. Files_DeletionAnomaly)
Description : indique qu’une ou plusieurs opérations de suppression inattendues se sont produites dans un compte de stockage, par rapport à l’activité récente sur ce compte. Il est possible qu'un attaquant ait supprimé des données à partir de votre compte de stockage. S’applique à : Stockage Blob Azure, Azure Files, Azure Data Lake Storage Gen2
Tactiques MITRE : Exfiltration
Gravité : haut/moyen
Accès public non authentifié inhabituel à un conteneur d’objets blob sensibles (préversion)
Storage.Blob_AnonymousAccessAnomaly.Sensitive
Description : l’alerte indique qu’une personne a accédé à un conteneur d’objets blob avec des données sensibles dans le compte de stockage sans authentification, à l’aide d’une adresse IP externe (publique). Cet accès est suspect, car le conteneur d’objets blob est ouvert à l’accès public et n’est généralement accessible qu’avec l’authentification à partir de réseaux internes (adresses IP privées). Cet accès peut indiquer que le niveau d’accès du conteneur d’objets blob est mal configuré et qu’un acteur malveillant peut avoir exploité l’accès public. L’alerte de sécurité inclut le contexte des informations sensibles découvertes (temps d’analyse, étiquette de classification, types d’informations et types de fichiers). En savoir plus sur la détection des menaces de données sensibles. S’applique à : comptes de stockage Azure Blob (standard v2, Azure Data Lake Stockage Gen2 ou objets blob de blocs Premium) avec le nouveau plan Defender pour Stockage avec la fonctionnalité de détection des menaces de confidentialité des données activée.
Tactiques MITRE : Accès initial
Gravité : élevée
Quantité inhabituelle de données extraites d’un conteneur d’objets blob sensibles (préversion)
Storage.Blob_DataExfiltration.AmountOfDataAnomaly.Sensitive
Description : l’alerte indique que quelqu’un a extrait une quantité inhabituellement importante de données d’un conteneur d’objets blob avec des données sensibles dans le compte de stockage. S’applique à : comptes de stockage Azure Blob (standard v2, Azure Data Lake Stockage Gen2 ou objets blob de blocs Premium) avec le nouveau plan Defender pour Stockage avec la fonctionnalité de détection des menaces de confidentialité des données activée.
Tactiques MITRE : Exfiltration
Gravité : moyenne
Nombre inhabituel d’objets blob extraits d’un conteneur d’objets blob sensibles (préversion)
Storage.Blob_DataExfiltration.NumberOfBlobsAnomaly.Sensitive
Description : L’alerte indique qu’une personne a extrait un nombre inhabituel d’objets blob à partir d’un conteneur d’objets blob avec des données sensibles dans le compte de stockage. S’applique aux comptes de stockage d’objets blob Azure (Standard à usage général v2, Azure Data Lake Storage Gen2 ou Premium) avec le nouveau plan Defender pour le stockage avec la fonctionnalité de détection des menaces de confidentialité des données activée.
Tactiques MITRE : Exfiltration
Accès à partir d’une application suspecte connue à un conteneur d’objets blob sensibles (préversion)
Storage.Blob_SuspiciousApp.Sensitive
Description : L’alerte indique qu’une personne disposant d’une application suspecte connue a accédé à un conteneur d’objets blob avec des données sensibles dans le compte de stockage et effectué des opérations authentifiées.
L’accès peut indiquer qu’un acteur de menace a obtenu des informations d’identification pour accéder au compte de stockage à l’aide d’une application suspecte connue. Toutefois, l’accès pourrait également indiquer un test d’intrusion effectué dans l’organisation.
S’applique aux comptes de stockage d’objets blob Azure (Standard à usage général v2, Azure Data Lake Storage Gen2 ou Premium) avec le nouveau plan Defender pour le stockage avec la fonctionnalité de détection des menaces de confidentialité des données activée.
Tactiques MITRE : Accès initial
Gravité : élevée
Accès à partir d’une adresse IP suspecte connue à un conteneur d’objets blob sensibles (préversion)
Storage.Blob_SuspiciousIp.Sensitive
Description : L’alerte indique qu’une personne a accédé à un conteneur d’objets blob avec des données sensibles dans le compte de stockage à partir d’une adresse IP suspecte connue associée à des informations sur les menaces intel par Microsoft Threat Intelligence. Étant donné que l’accès a été authentifié, il est possible que les informations d’identification autorisant l’accès à ce compte de stockage aient été compromises. En savoir plus sur les capacités de renseignement sur les menaces de Microsoft. S’applique à : comptes de stockage Azure Blob (standard v2, Azure Data Lake Stockage Gen2 ou objets blob de blocs Premium) avec le nouveau plan Defender pour Stockage avec la fonctionnalité de détection des menaces de confidentialité des données activée.
Tactiques MITRE : pré-attaque
Gravité : élevée
Accès à partir d’un nœud de sortie Tor à un conteneur d’objets blob sensibles (préversion)
Storage.Blob_TorAnomaly.Sensitive
Description : L’alerte indique qu’une personne ayant une adresse IP connue pour être un nœud de sortie Tor a accédé à un conteneur d’objets blob avec des données sensibles dans le compte de stockage avec un accès authentifié. L’accès authentifié à partir d’un nœud de sortie Tor indique fortement que l’acteur tente de rester anonyme en cas d’intention malveillante possible. Étant donné que l’accès a été authentifié, il est possible que les informations d’identification autorisant l’accès à ce compte de stockage aient été compromises. S’applique à : comptes de stockage Azure Blob (standard v2, Azure Data Lake Stockage Gen2 ou objets blob de blocs Premium) avec le nouveau plan Defender pour Stockage avec la fonctionnalité de détection des menaces de confidentialité des données activée.
Tactiques MITRE : pré-attaque
Gravité : élevée
Accès à partir d’un emplacement inhabituel à un conteneur d’objets blob sensibles (préversion)
Storage.Blob_GeoAnomaly.Sensitive
Description : L’alerte indique que quelqu’un a accédé au conteneur d’objets blob avec des données sensibles dans le compte de stockage avec authentification à partir d’un emplacement inhabituel. Étant donné que l’accès a été authentifié, il est possible que les informations d’identification autorisant l’accès à ce compte de stockage aient été compromises. S’applique à : comptes de stockage Azure Blob (standard v2, Azure Data Lake Stockage Gen2 ou objets blob de blocs Premium) avec le nouveau plan Defender pour Stockage avec la fonctionnalité de détection des menaces de confidentialité des données activée.
Tactiques MITRE : Accès initial
Gravité : moyenne
Le niveau d’accès d’un conteneur d’objets blob de stockage sensible a été modifié pour autoriser l’accès public non authentifié (préversion)
Storage.Blob_OpenACL.Sensitive
Description : l’alerte indique qu’une personne a modifié le niveau d’accès d’un conteneur d’objets blob dans le compte de stockage, qui contient des données sensibles, au niveau « Conteneur », ce qui autorise l’accès public non authentifié (anonyme). La modification a été apportée par le biais du portail Azure. La modification du niveau d’accès peut compromettre la sécurité des données. Nous vous recommandons de prendre des mesures immédiates pour sécuriser les données et empêcher tout accès non autorisé au cas où cette alerte était déclenchée. S’applique à : comptes de stockage Azure Blob (standard v2, Azure Data Lake Stockage Gen2 ou objets blob de blocs Premium) avec le nouveau plan Defender pour Stockage avec la fonctionnalité de détection des menaces de confidentialité des données activée.
Tactiques MITRE : Collection
Gravité : élevée
Accès externe suspect à un compte de stockage Azure avec un jeton SAP trop permissif (préversion)
Storage.Blob_AccountSas.InternalSasUsedExternally
Description : L’alerte indique que quelqu’un disposant d’une adresse IP externe (publique) a accédé au compte de stockage à l’aide d’un jeton SAS trop permissif avec une date d’expiration longue. Ce type d’accès est considéré comme suspect, car le jeton SAS est généralement utilisé uniquement dans les réseaux internes (à partir d’adresses IP privées). L’activité peut indiquer qu’un jeton SAS a été divulguée par un acteur malveillant ou qu’il a été accidentellement divulguée à partir d’une source légitime. Même si l’accès est légitime, l’utilisation d’un jeton SAP à autorisation élevée avec une longue date d’expiration va à l’encontre des meilleures pratiques de sécurité et pose un risque potentiel pour la sécurité. S’applique à : comptes de stockage Blob Azure (standard v2, Azure Data Lake Stockage Gen2 ou objets blob de blocs Premium) avec le nouveau defender pour Stockage plan.
Tactiques MITRE : Exfiltration / Développement de ressources / Impact
Gravité : moyenne
Opération externe suspecte sur un compte de stockage Azure avec un jeton SAP trop permissif (préversion)
Storage.Blob_AccountSas.UnusualOperationFromExternalIp
Description : L’alerte indique que quelqu’un disposant d’une adresse IP externe (publique) a accédé au compte de stockage à l’aide d’un jeton SAS trop permissif avec une date d’expiration longue. L’accès est considéré comme suspect, car les opérations appelées en dehors de votre réseau (et non à partir d’adresses IP privées) avec ce jeton SAS sont généralement utilisées pour un ensemble spécifique d’opérations de lecture/écriture/suppression, mais d’autres opérations se sont produites, ce qui rend cet accès suspect. Cette activité peut indiquer qu’un jeton SAS a été divulguée par un acteur malveillant ou qu’il a été accidentellement divulguée à partir d’une source légitime. Même si l’accès est légitime, l’utilisation d’un jeton SAP à autorisation élevée avec une longue date d’expiration va à l’encontre des meilleures pratiques de sécurité et pose un risque potentiel pour la sécurité. S’applique à : comptes de stockage Blob Azure (standard v2, Azure Data Lake Stockage Gen2 ou objets blob de blocs Premium) avec le nouveau defender pour Stockage plan.
Tactiques MITRE : Exfiltration / Développement de ressources / Impact
Gravité : moyenne
Un jeton SAS inhabituel a été utilisé pour accéder à un compte de stockage Azure à partir d’une adresse IP publique (préversion)
Storage.Blob_AccountSas.UnusualExternalAccess
Description : L’alerte indique qu’une personne disposant d’une adresse IP externe (publique) a accédé au compte de stockage à l’aide d’un jeton SAP de compte. L’accès est très inhabituel et considéré comme suspect, car l’accès au compte de stockage à l’aide de jetons SAP provient généralement uniquement d’adresses IP internes (privées). Il est possible qu’un jeton SAS ait été divulgué ou généré par un acteur malveillant à partir de votre organisation ou en externe pour accéder à ce compte de stockage. S’applique à : comptes de stockage Blob Azure (standard v2, Azure Data Lake Stockage Gen2 ou objets blob de blocs Premium) avec le nouveau defender pour Stockage plan.
Tactiques MITRE : Exfiltration / Développement de ressources / Impact
Gravité : faible
Fichier malveillant chargé sur le compte de stockage
Storage.Blob_AM.MalwareFound
Description : l’alerte indique qu’un objet blob malveillant a été chargé sur un compte de stockage. Cette alerte de sécurité est générée par la fonctionnalité Analyse des programmes malveillants de Defender pour le stockage. Les causes potentielles peuvent inclure un chargement intentionnel de programmes malveillants par un acteur de menace ou un chargement involontaire d’un fichier malveillant par un utilisateur légitime. S’applique à : comptes de stockage Azure Blob (standard v2, Azure Data Lake Stockage Gen2 ou objets blob de blocs Premium) avec le nouveau plan Defender pour Stockage avec la fonctionnalité Analyse des programmes malveillants activée.
Tactiques MITRE : Mouvement latéral
Gravité : élevée
Un objet blob malveillant a été téléchargé depuis un compte de stockage (préversion)
Storage.Blob_MalwareDownload
Description : l’alerte indique qu’un objet blob malveillant a été téléchargé à partir d’un compte de stockage. Les causes potentielles peuvent inclure des programmes malveillants chargés sur le compte de stockage et non supprimés ou mis en quarantaine, ce qui permet à un acteur de menace de le télécharger, ou d’un téléchargement involontaire du programme malveillant par des utilisateurs ou applications légitimes. S’applique aux comptes de stockage Blob Azure (Standard v2 à usage général, Azure Data Lake Storage Gen2 ou Premium) avec le nouveau plan Defender pour le stockage avec la fonctionnalité Analyse des programmes malveillants activée.
Tactiques MITRE : Mouvement latéral
Gravité : Élevé, si Eicar - faible
Alertes pour Azure Cosmos DB
Informations complémentaires et notes
Accès à partir d’un nœud de sortie Tor
(CosmosDB_TorAnomaly)
Description : Ce compte Azure Cosmos DB a été correctement accessible à partir d’une adresse IP connue pour être un nœud de sortie actif de Tor, un proxy anonymisant. L’accès authentifié à partir d’un nœud de sortie Tor est une indication probable qu’un acteur de menace tente de masquer son identité.
Tactiques MITRE : Accès initial
Gravité : haut/moyen
Accès à partir d’une adresse IP suspecte
(CosmosDB_SuspiciousIp)
Description : Ce compte Azure Cosmos DB a été correctement accessible à partir d’une adresse IP identifiée comme une menace par Microsoft Threat Intelligence.
Tactiques MITRE : Accès initial
Gravité : moyenne
Accès à partir d’un emplacement inhabituel
(CosmosDB_GeoAnomaly)
Description : Ce compte Azure Cosmos DB a été accessible à partir d’un emplacement considéré comme inconnu, en fonction du modèle d’accès habituel.
Un acteur de menace a peut-être obtenu l’accès au compte, ou un utilisateur légitime s’est connecté à partir d’une localisation géographique nouvelle ou inhabituelle
Tactiques MITRE : Accès initial
Gravité : faible
Volume inhabituel de données extraites
(CosmosDB_DataExfiltrationAnomaly)
Description : Un volume inhabituel de données a été extrait de ce compte Azure Cosmos DB. Un acteur de menace a peut-être exfiltrer des données.
Tactiques MITRE : Exfiltration
Gravité : moyenne
Extraction de clés de comptes Azure Cosmos DB avec un script potentiellement malveillant
(CosmosDB_SuspiciousListKeys.MaliciousScript)
Description : un script PowerShell a été exécuté dans votre abonnement et a effectué un modèle suspect d’opérations de référencement de clés pour obtenir les clés des comptes Azure Cosmos DB dans votre abonnement. Les acteurs de menace utilisent des scripts automatisés, comme Microburst, pour lister des clés et rechercher les comptes Azure Cosmos DB auxquels ils peuvent accéder.
Cette opération peut indiquer qu’une identité de votre organisation a été usurpée et que l’acteur de menace tente de compromettre les comptes Azure Cosmos DB de votre environnement à des fins malveillantes.
Il se peut aussi qu’une personne malveillante au sein de l’organisation tente d’accéder aux données sensibles et d’effectuer un mouvement latéral.
Tactiques MITRE : Collection
Gravité : moyenne
Extraction suspecte des clés de compte Azure Cosmos DB (AzureCosmosDB_SuspiciousListKeys.SuspiciousPrincipal)
Description : une source suspecte extraite des clés d’accès du compte Azure Cosmos DB à partir de votre abonnement. Si cette source n’est pas une source légitime, il peut s’agir d’un problème d’impact élevé. La clé d’accès extraite fournit un contrôle total sur les bases de données associées et les données qui y sont stockées. Consultez les détails de chaque alerte pour comprendre pourquoi la source a été signalée comme suspecte.
Tactiques MITRE : Accès aux informations d’identification
Gravité : élevé
Injection de code SQL : exfiltration de données potentielle
(CosmosDB_SqlInjection.DataExfiltration)
Description : Une instruction SQL suspecte a été utilisée pour interroger un conteneur dans ce compte Azure Cosmos DB.
L’instruction injectée a peut-être réussi à exfiltrer des données que l’acteur de menace n’est pas autorisé à consulter.
En raison de la structure et des fonctionnalités des requêtes Azure Cosmos DB, un grand nombre d’attaques par injection de code SQL connues sur les comptes Azure Cosmos DB ne peuvent pas fonctionner. Toutefois, la variation utilisée dans cette attaque peut fonctionner et les acteurs de menace peuvent exfiltrer des données.
Tactiques MITRE : Exfiltration
Gravité : moyenne
Injection de code SQL : tentative de fuzzing
(CosmosDB_SqlInjection.FailedFuzzingAttempt)
Description : Une instruction SQL suspecte a été utilisée pour interroger un conteneur dans ce compte Azure Cosmos DB.
Comme les autres attaques bien connues par injection de code SQL, cette attaque ne peut pas compromettre le compte Azure Cosmos DB.
Néanmoins, il est indiqué qu’un acteur de menace tente d’attaquer les ressources dans ce compte et que votre application peut être compromise.
Certaines attaques par injection de code SQL peuvent réussir et être utilisées pour exfiltrer des données. Cela signifie que si l’attaquant continue d’effectuer des tentatives d’injection SQL, il peut être en mesure de compromettre votre compte Azure Cosmos DB et d’exfiltrer des données.
Vous pouvez empêcher cette menace en utilisant des requêtes paramétrables.
Tactiques MITRE : pré-attaque
Gravité : faible
Alertes pour la couche réseau Azure
Informations complémentaires et notes
Détection d’une communication réseau avec un ordinateur malveillant
(Network_CommunicationWithC2)
Description : l’analyse du trafic réseau indique que votre ordinateur (IP %{ADRESSE IP de la victime}) a communiqué avec ce qui est possiblement un centre de commande et de contrôle. Lorsque la ressource compromise est un équilibreur de charge ou une passerelle d’application, l’activité suspecte peut indiquer qu’une ou plusieurs des ressources du pool principal (de l’équilibreur de charge ou de la passerelle d’application) ont communiqué avec ce qui semble être un centre de contrôle et de commande.
Tactiques MITRE : Commande et contrôle
Gravité : moyenne
Détection possible d’un ordinateur compromis
(Network_ResourceIpIndicatedAsMalicious)
Description : Le renseignement sur les menaces indique que votre ordinateur (à l’adresse IP %{Adresse IP de l’ordinateur}) a peut-être été compromis par un programme malveillant de type Conficker. Conficker était un ver informatique qui ciblait le système d’exploitation Microsoft Windows et qui a été détecté pour la première fois en novembre 2008. Conficker a infecté des millions d’ordinateurs, notamment ceux des services publics, ceux des entreprises, mais aussi des ordinateurs personnels dans plus de 200 pays/régions, ce qui en fait la plus grande infection connue par un ver informatique depuis le ver Welchia en 2003.
Tactiques MITRE : Commande et contrôle
Gravité : moyenne
Détection possible de tentatives de force brute entrante sur %{Nom du service}
(Generic_Incoming_BF_OneToOne)
Description : l’analyse du trafic réseau a détecté la communication entrante %{Nom du service} vers %{ADRESSE IP de la victime}, associée à votre ressource %{Hôte compromis} à partir de %{Adresse IP de l’attaquant}. Lorsque la ressource compromise est un équilibreur de charge ou une passerelle d’application, le trafic entrant suspect est transféré vers une ou plusieurs des ressources du pool principal (de l’équilibreur de charge ou de la passerelle d’application). Plus précisément, les données réseau échantillonnées montrent une activité suspecte entre %{Heure de début} et %{Heure de fin} sur le port %{Port de la victime}. Cette activité est cohérente avec les tentatives d’attaque par force brute contre les serveurs %{Nom du service}.
Tactiques MITRE : PreAttack
Gravité : Information
Détection possible de tentatives d’attaque SQL par force brute
(SQL_Incoming_BF_OneToOne)
Description : l’analyse du trafic réseau a détecté la communication SQL entrante vers %{ADRESSE IP victime}, associée à votre ressource %{Hôte compromis}, à partir de %{ADRESSE IP de l’attaquant}. Lorsque la ressource compromise est un équilibreur de charge ou une passerelle d’application, le trafic entrant suspect est transféré vers une ou plusieurs des ressources du pool principal (de l’équilibreur de charge ou de la passerelle d’application). Plus précisément, les données réseau échantillonnées montrent une activité suspecte entre %{Heure de début} et %{Heure de fin} sur le port %{Numéro de port} (%{Type de service SQL}). Cette activité est cohérente avec les tentatives d’attaque par force brute contre les serveurs SQL.
Tactiques MITRE : PreAttack
Gravité : moyenne
Détection possible d’une attaque par déni de service sortant
(DDOS)
Description : l’analyse du trafic réseau a détecté une activité sortante anormale provenant de %{Hôte compromis}, une ressource dans votre déploiement. Cette activité peut indiquer que votre ressource a été compromise et est désormais engagée dans des attaques par déni de service contre des points de terminaison externes. Lorsque la ressource compromise est un équilibreur de charge ou une passerelle d’application, le trafic entrant suspect est transféré vers une ou plusieurs des ressources du pool principal (de l’équilibreur de charge ou de la passerelle d’application). D’après le volume des connexions, nous pensons que les adresses IP suivantes sont peut-être les cibles de l’attaque DOS : %{Victimes possibles}. Notez qu’il est possible que la communication avec certaines de ces adresses IP soit légitime.
Tactiques MITRE : Impact
Gravité : moyenne
Activité réseau entrante RDP suspecte à partir de plusieurs sources
(RDP_Incoming_BF_ManyToOne)
Description : l’analyse du trafic réseau a détecté une communication RDP (Remote Desktop Protocol) anormale à %{ADRESSE IP victime}, associée à votre ressource %{Hôte compromis}, à partir de plusieurs sources. Lorsque la ressource compromise est un équilibreur de charge ou une passerelle d’application, le trafic entrant suspect est transféré vers une ou plusieurs des ressources du pool principal (de l’équilibreur de charge ou de la passerelle d’application). Plus précisément, les données réseau échantillonnées montrent %{Nombre d’adresses IP d’attaque} adresses IP uniques se connectant à votre ressource, ce qui est considéré comme anormal pour cet environnement. Cette activité peut indiquer une tentative de force brute de votre point de terminaison RDP à partir de plusieurs hôtes (Botnet).
Tactiques MITRE : PreAttack
Gravité : moyenne
Activité réseau entrante RDP suspecte
(RDP_Incoming_BF_OneToOne)
Description : l’analyse du trafic réseau a détecté une communication RDP (Remote Desktop Protocol) anormale à %{ADRESSE IP victime}, associée à votre ressource %{Hôte compromis}, à partir de %{ADRESSE IP de l’attaquant}. Lorsque la ressource compromise est un équilibreur de charge ou une passerelle d’application, le trafic entrant suspect est transféré vers une ou plusieurs des ressources du pool principal (de l’équilibreur de charge ou de la passerelle d’application). Plus précisément, les données réseau échantillonnées montrent %{Nombre de connexions} entrantes vers votre ressource, ce qui est considéré comme anormal pour cet environnement. Cette activité peut indiquer une tentative de force brute de votre point de terminaison RDP
Tactiques MITRE : PreAttack
Gravité : moyenne
Activité réseau entrante SSH suspecte à partir de plusieurs sources
(SSH_Incoming_BF_ManyToOne)
Description : l’analyse du trafic réseau a détecté une communication SSH entrante anormale vers %{ADRESSE IP victime}, associée à votre ressource %{Hôte compromis}, à partir de plusieurs sources. Lorsque la ressource compromise est un équilibreur de charge ou une passerelle d’application, le trafic entrant suspect est transféré vers une ou plusieurs des ressources du pool principal (de l’équilibreur de charge ou de la passerelle d’application). Plus précisément, les données réseau échantillonnées montrent %{Nombre d’adresses IP d’attaque} adresses IP uniques se connectant à votre ressource, ce qui est considéré comme anormal pour cet environnement. Cette activité peut indiquer une tentative de force brute de votre point de terminaison SSH à partir de plusieurs hôtes (Botnet)
Tactiques MITRE : PreAttack
Gravité : moyenne
Activité réseau entrante SSH suspecte
(SSH_Incoming_BF_OneToOne)
Description : l’analyse du trafic réseau a détecté une communication SSH entrante anormale vers %{ADRESSE IP victime}, associée à votre ressource %{Hôte compromis}, à partir de %{ADRESSE IP de l’attaquant}. Lorsque la ressource compromise est un équilibreur de charge ou une passerelle d’application, le trafic entrant suspect est transféré vers une ou plusieurs des ressources du pool principal (de l’équilibreur de charge ou de la passerelle d’application). Plus précisément, les données réseau échantillonnées montrent %{Nombre de connexions} entrantes vers votre ressource, ce qui est considéré comme anormal pour cet environnement. Cette activité peut indiquer une tentative de force brute de votre point de terminaison SSH
Tactiques MITRE : PreAttack
Gravité : moyenne
Détection de trafic entrant suspect %{Protocole attaqué}
(PortScanning)
Description : l’analyse du trafic réseau a détecté le trafic sortant suspect de %{Hôte compromis} vers le port de destination %{Port le plus courant}. Lorsque la ressource compromise est un équilibreur de charge ou une passerelle d’application, l’origine du trafic sortant suspect a été localisée sur une ou plusieurs des ressources du pool principal (de l’équilibreur de charge ou de la passerelle d’application). Ce comportement peut indiquer que votre ressource participe à %{Protocole attaqué} des tentatives de force brute ou des attaques par balayage de port.
Tactiques MITRE : Découverte
Gravité : moyenne
Activité réseau sortante RDP suspecte vers plusieurs destinations
(RDP_Outgoing_BF_OneToMany)
Description : l’analyse du trafic réseau a détecté une communication RDP (Remote Desktop Protocol) sortante anormale vers plusieurs destinations provenant de %{Hôte compromis} (%{Adresse IP de l’attaquant}), une ressource dans votre déploiement. Lorsque la ressource compromise est un équilibreur de charge ou une passerelle d’application, l’origine du trafic sortant suspect a été localisée sur une ou plusieurs des ressources du pool principal (de l’équilibreur de charge ou de la passerelle d’application). Plus précisément, les données réseau échantillonnées montrent que votre machine se connecte à %{Nombre d’adresses IP attaquées} adresses IP uniques, ce qui est considéré comme anormal pour cet environnement. Cette activité peut indiquer que votre ressource a été compromise et est maintenant utilisée pour forcer brutement les points de terminaison RDP externes. Notez que ce type d’activité peut entraîner le marquage de votre adresse IP par des entités externes comme étant malveillante.
Tactiques MITRE : Découverte
Gravité : élevée
Activité réseau sortante RDP suspecte
(RDP_Outgoing_BF_OneToOne)
Description : l’analyse du trafic réseau a détecté une communication RDP (Remote Desktop Protocol) sortante anormale vers %{ADRESSE IP victime} provenant de %{Hôte compromis} (%{ADRESSE IP malveillante}), une ressource dans votre déploiement. Lorsque la ressource compromise est un équilibreur de charge ou une passerelle d’application, l’origine du trafic sortant suspect a été localisée sur une ou plusieurs des ressources du pool principal (de l’équilibreur de charge ou de la passerelle d’application). Plus précisément, les données réseau échantillonnées montrent %{Nombre de connexions} sortantes au départ de votre ressource, ce qui est considéré comme anormal pour cet environnement. Cette activité peut indiquer que votre ordinateur a été compromis et est maintenant utilisé pour forcer brutement les points de terminaison RDP externes. Notez que ce type d’activité peut entraîner le marquage de votre adresse IP par des entités externes comme étant malveillante.
Tactiques MITRE : Mouvement latéral
Gravité : élevée
Activité réseau sortante SHH suspecte vers plusieurs destinations
(SSH_Outgoing_BF_OneToMany)
Description : l’analyse du trafic réseau a détecté une communication SSH sortante anormale vers plusieurs destinations provenant de %{Hôte compromis} (%{Adresse IP de l’attaquant}), une ressource dans votre déploiement. Lorsque la ressource compromise est un équilibreur de charge ou une passerelle d’application, l’origine du trafic sortant suspect a été localisée sur une ou plusieurs des ressources du pool principal (de l’équilibreur de charge ou de la passerelle d’application). Plus précisément, les données réseau échantillonnées montrent que votre ressource se connecte à %{Nombre d’adresses IP attaquées} adresses IP uniques, ce qui est considéré comme anormal pour cet environnement. Cette activité peut indiquer que votre ressource a été compromise et est maintenant utilisée pour forcer brutement les points de terminaison SSH externes. Notez que ce type d’activité peut entraîner le marquage de votre adresse IP par des entités externes comme étant malveillante.
Tactiques MITRE : Découverte
Gravité : moyenne
Activité réseau sortante SSH suspecte
(SSH_Outgoing_BF_OneToOne)
Description : l’analyse du trafic réseau a détecté une communication SSH sortante anormale vers %{ADRESSE IP victime} provenant de %{Hôte compromis} (%{Adresse IP de l’attaquant}), une ressource dans votre déploiement. Lorsque la ressource compromise est un équilibreur de charge ou une passerelle d’application, l’origine du trafic sortant suspect a été localisée sur une ou plusieurs des ressources du pool principal (de l’équilibreur de charge ou de la passerelle d’application). Plus précisément, les données réseau échantillonnées montrent %{Nombre de connexions} sortantes au départ de votre ressource, ce qui est considéré comme anormal pour cet environnement. Cette activité peut indiquer que votre ressource a été compromise et est maintenant utilisée pour forcer brutement les points de terminaison SSH externes. Notez que ce type d’activité peut entraîner le marquage de votre adresse IP par des entités externes comme étant malveillante.
Tactiques MITRE : Mouvement latéral
Gravité : moyenne
Détection de trafic depuis des adresses IP recommandées comme à bloquer
(Network_TrafficFromUnrecommendedIP)
Description : Microsoft Defender pour le cloud détecté le trafic entrant à partir d’adresses IP qui sont recommandées pour être bloquées. Cela se produit généralement lorsque cette adresse IP ne communique pas régulièrement avec cette ressource. Il est aussi possible que l’adresse IP ait été signalée comme malveillante par les sources de renseignement sur les menaces de Microsoft Defender pour le cloud.
Tactiques MITRE : détection
Gravité : Information
Alertes pour Azure Key Vault
Informations complémentaires et notes
Accès à partir d’une adresse IP suspecte à un coffre de clés
(KV_SuspiciousIPAccess)
Description : Un coffre de clés a été correctement accessible par une adresse IP identifiée par Microsoft Threat Intelligence comme une adresse IP suspecte. Cela peut indiquer que votre infrastructure a été compromise. Nous recommandons d’investiguer plus en profondeur. En savoir plus sur les capacités de renseignement sur les menaces de Microsoft.
Tactiques MITRE : Accès aux informations d’identification
Gravité : moyenne
Accès à un coffre de clés à partir d’un nœud de sortie TOR
(KV_TORAccess)
Description : un coffre de clés a été accédé à partir d’un nœud de sortie TOR connu. Cela peut indiquer qu’un acteur de menace a accédé au coffre de clés et utilise le réseau TOR pour masquer son emplacement source. Nous vous recommandons de faire des investigations supplémentaires.
Tactiques MITRE : Accès aux informations d’identification
Gravité : moyenne
Volume élevé d’opérations dans un coffre de clés
(KV_OperationVolumeAnomaly)
Description : Un nombre anormal d’opérations de coffre de clés ont été effectuées par un utilisateur, un principal de service et/ou un coffre de clés spécifique. Ce modèle d’activité anormale peut être légitime, mais il peut s’agir d’une indication qu’un acteur de menace a obtenu l’accès au coffre de clés et aux secrets qu’il contient. Nous vous recommandons de faire des investigations supplémentaires.
Tactiques MITRE : Accès aux informations d’identification
Gravité : moyenne
Changement de stratégie suspect et requête secrète dans un coffre de clés
(KV_PutGetAnomaly)
Description : un utilisateur ou un principal de service a effectué une opération anormale de modification de stratégie Put vault suivie d’une ou de plusieurs opérations Secret Get. Ce modèle n’est normalement pas exécuté par l’utilisateur ou le principal de service spécifié. Il peut s’agir d’une activité légitime, mais il peut s’agir d’une indication indiquant qu’un acteur de menace a mis à jour la stratégie de coffre de clés pour accéder aux secrets précédemment inaccessibles. Nous vous recommandons de faire des investigations supplémentaires.
Tactiques MITRE : Accès aux informations d’identification
Gravité : moyenne
Listing des secrets et requête suspectes dans un coffre de clés
(KV_ListGetAnomaly)
Description : un utilisateur ou un principal de service a effectué une opération de liste de secrets anormale suivie d’une ou de plusieurs opérations Secret Get. Ce modèle n’est normalement pas exécuté par l’utilisateur ou le principal de service spécifié, et il est généralement associé au dumping des secrets. Cela peut être une activité légitime, mais il peut s’agir d’une indication indiquant qu’un acteur de menace a obtenu l’accès au coffre de clés et tente de découvrir les secrets qui peuvent être utilisés pour se déplacer ultérieurement via votre réseau et/ou obtenir l’accès aux ressources sensibles. Nous vous recommandons de faire des investigations supplémentaires.
Tactiques MITRE : Accès aux informations d’identification
Gravité : moyenne
Accès inhabituel refusé - Utilisateur accédant à un volume élevé de coffres de clés refusé
(KV_AccountVolumeAccessDeniedAnomaly)
Description : un utilisateur ou un principal de service a tenté d’accéder à un volume anormalement élevé de coffres de clés au cours des 24 dernières heures. Ce modèle d’accès anormal peut être une activité légitime. Bien que cette tentative échoue, il peut s’agir d’une tentative possible d’accès au coffre de clés et aux secrets qu’il contient. Nous vous recommandons de faire des investigations supplémentaires.
Tactiques MITRE : Découverte
Gravité : faible
Accès inhabituel refusé - Accès inhabituel refusé à l’utilisateur accédant au coffre de clés
(KV_UserAccessDeniedAnomaly)
Description : un accès au coffre de clés a été tenté par un utilisateur qui n’y accède pas normalement, ce modèle d’accès anormal peut être une activité légitime. Bien que cette tentative échoue, il peut s’agir d’une tentative possible d’accès au coffre de clés et aux secrets qu’il contient.
Tactiques MITRE : Accès initial, Découverte
Gravité : faible
Une application inhabituelle a accédé à un coffre de clés
(KV_AppAnomaly)
Description : un coffre de clés a été accessible par un principal de service qui ne l’accède pas normalement. Ce modèle d’accès anormal peut être une activité légitime, mais il peut s’agir d’une indication qu’un acteur de menace a obtenu l’accès au coffre de clés dans une tentative d’accès aux secrets qu’il contient. Nous vous recommandons de faire des investigations supplémentaires.
Tactiques MITRE : Accès aux informations d’identification
Gravité : moyenne
Modèle d’opération inhabituelle dans un coffre de clés
(KV_OperationPatternAnomaly)
Description : Un modèle anormal d’opérations de coffre de clés a été effectué par un utilisateur, un principal de service et/ou un coffre de clés spécifique. Ce modèle d’activité anormale peut être légitime, mais il peut s’agir d’une indication qu’un acteur de menace a obtenu l’accès au coffre de clés et aux secrets qu’il contient. Nous vous recommandons de faire des investigations supplémentaires.
Tactiques MITRE : Accès aux informations d’identification
Gravité : moyenne
Un utilisateur inhabituel a accédé à un coffre de clés
(KV_UserAnomaly)
Description : un coffre de clés a été accédé par un utilisateur qui ne l’accède pas normalement. Ce modèle d’accès anormal peut être une activité légitime, mais il peut s’agir d’une indication qu’un acteur de menace a obtenu l’accès au coffre de clés dans une tentative d’accès aux secrets qu’il contient. Nous vous recommandons de faire des investigations supplémentaires.
Tactiques MITRE : Accès aux informations d’identification
Gravité : moyenne
Une paire utilisateur-application inhabituelle a accédé à un coffre de clés
(KV_UserAppAnomaly)
Description : un coffre de clés a été accédé par une paire de principals de service utilisateur qui ne l’accède pas normalement. Ce modèle d’accès anormal peut être une activité légitime, mais il peut s’agir d’une indication qu’un acteur de menace a obtenu l’accès au coffre de clés dans une tentative d’accès aux secrets qu’il contient. Nous vous recommandons de faire des investigations supplémentaires.
Tactiques MITRE : Accès aux informations d’identification
Gravité : moyenne
L’utilisateur a accédé à un grand nombre de coffres de clés
(KV_AccountVolumeAnomaly)
Description : un utilisateur ou un principal de service a accédé à un volume anormalement élevé de coffres de clés. Ce modèle d’accès anormal peut être une activité légitime, mais il peut s’agir d’une indication qu’un acteur de menace a obtenu l’accès à plusieurs coffres de clés dans une tentative d’accès aux secrets qu’il contient. Nous vous recommandons de faire des investigations supplémentaires.
Tactiques MITRE : Accès aux informations d’identification
Gravité : moyenne
Accès refusé depuis une adresse IP suspecte à un coffre de clés
(KV_SuspiciousIPAccessDenied)
Description : un accès au coffre de clés qui a échoué a été tenté par une adresse IP identifiée par Microsoft Threat Intelligence comme une adresse IP suspecte. Malgré l’échec de cette tentative, elle indique que votre infrastructure a peut-être été compromise. Nous vous recommandons de faire des investigations supplémentaires.
Tactiques MITRE : Accès aux informations d’identification
Gravité : faible
Accès inhabituel au coffre de clés à partir d’une adresse IP suspecte (non Microsoft ou externe)
(KV_UnusualAccessSuspiciousIP)
Description : un utilisateur ou un principal de service a tenté d’accéder anormalement aux coffres de clés à partir d’une adresse IP non-Microsoft au cours des 24 dernières heures. Ce modèle d’accès anormal peut être une activité légitime. Il peut s’agir d’une tentative possible d’accès au coffre de clés et aux secrets qu’il contient. Nous vous recommandons de faire des investigations supplémentaires.
Tactiques MITRE : Accès aux informations d’identification
Gravité : moyenne
Alertes pour Azure DDoS Protection
Informations complémentaires et notes
Détection d’une attaque DDoS pour l’adresse IP publique
(NETWORK_DDOS_DETECTED)
Description : Attaque DDoS détectée pour l’adresse IP publique (adresse IP) et atténuée.
Tactiques MITRE : détection
Gravité : élevée
Attaque DDoS atténuée pour l’adresse IP publique
(NETWORK_DDOS_MITIGATED)
Description : Attaque DDoS atténuée pour l’adresse IP publique (adresse IP).
Tactiques MITRE : détection
Gravité : faible
Alertes pour Defender pour les API
Pic suspect au niveau de la population dans le trafic d’API vers un point de terminaison d’API
(API_PopulationSpikeInAPITraffic)
Description : Un pic suspect du trafic d’API a été détecté sur l’un des points de terminaison de l’API. Le système de détection a utilisé des modèles de trafic historique pour établir une ligne de base pour le volume de trafic d’API de routine entre toutes les adresses IP et le point de terminaison, la ligne de base étant spécifique au trafic d’API pour chaque code d’état (par exemple, 200 – Réussite). Le système de détection a marqué un écart inhabituel par rapport à cette ligne de base, ce qui a entraîné la détection d’activités suspectes.
Tactiques MITRE : Impact
Gravité : moyenne
Pic suspect dans le trafic d’API d’une adresse IP unique vers un point de terminaison d’API
(API_SpikeInAPITraffic)
Description : Un pic suspect du trafic d’API a été détecté d’une adresse IP cliente vers le point de terminaison de l’API. Le système de détection a utilisé des modèles de trafic historique pour établir une ligne de base pour le volume de trafic d’API de routine vers le point de terminaison provenant d’une adresse IP spécifique vers le point de terminaison. Le système de détection a marqué un écart inhabituel par rapport à cette ligne de base, ce qui a entraîné la détection d’activités suspectes.
Tactiques MITRE : Impact
Gravité : moyenne
Charge utile de réponse inhabituellement importante transmise entre une seule adresse IP et un point de terminaison d’API
(API_SpikeInPayload)
Description : Un pic suspect de taille de charge utile de réponse d’API a été observé pour le trafic entre une seule adresse IP et l’un des points de terminaison d’API. En fonction des modèles de trafic historique des 30 derniers jours, Defender pour les API apprend une ligne de base qui représente la taille de charge utile de réponse d’API standard entre une adresse IP et un point de terminaison d’API spécifiques. La base de référence apprise est spécifique au trafic d’API pour chaque code d’état (par exemple, 200 Réussite). L’alerte a été déclenchée, car une taille de charge utile de réponse d’API a considérablement dévié de la ligne de base historique.
Tactiques MITRE : Accès initial
Gravité : moyenne
Corps de la demande inhabituellement important transmis entre une seule adresse IP et un point de terminaison d’API
(API_SpikeInPayload)
Description : Un pic suspect de taille du corps de la demande d’API a été observé pour le trafic entre une seule adresse IP et l’un des points de terminaison de l’API. En fonction des modèles de trafic historique des 30 derniers jours, Defender pour les API apprend une ligne de base qui représente la taille de corps de la demande d’API standard entre une adresse IP et un point de terminaison d’API spécifiques. La base de référence apprise est spécifique au trafic d’API pour chaque code d’état (par exemple, 200 Réussite). L’alerte a été déclenchée, car une taille de demande d’API a considérablement dévié de la ligne de base historique.
Tactiques MITRE : Accès initial
Gravité : moyenne
(Préversion) Pic suspect dans la latence pour le trafic entre une seule adresse IP et un point de terminaison d’API
(API_SpikeInLatency)
Description : Un pic suspect de latence a été observé pour le trafic entre une seule adresse IP et l’un des points de terminaison d’API. En fonction des modèles de trafic historique des 30 derniers jours, Defender pour les API apprend une ligne de base qui représente la latence du trafic d’API de routine entre une adresse IP et un point de terminaison d’API spécifiques. La base de référence apprise est spécifique au trafic d’API pour chaque code d’état (par exemple, 200 Réussite). L’alerte a été déclenchée, car une latence d’appel d’API a considérablement dévié de la ligne de base historique.
Tactiques MITRE : Accès initial
Gravité : moyenne
Pulvérisation des requêtes d’API à partir d’une seule adresse IP vers un nombre inhabituellement élevé de points de terminaison d’API distincts
(API_SprayInRequests)
Description : une seule adresse IP a été observée lors de l’exécution d’appels d’API vers un nombre inhabituel de points de terminaison distincts. En fonction des modèles de trafic historique des 30 derniers jours, Defender pour les API apprend une ligne de base qui représente le nombre standard de points de terminaison distincts appelés par une seule adresse IP sur des périodes de 20 minutes. L’alerte a été déclenchée, car le comportement d’une seule adresse IP a considérablement dévié de la ligne de base historique.
Tactiques MITRE : Découverte
Gravité : moyenne
Énumération de paramètres sur un point de terminaison d’API
(API_ParameterEnumeration)
Description : une seule adresse IP a été observée lors de l’énumération des paramètres lors de l’accès à l’un des points de terminaison d’API. En fonction des modèles de trafic historique des 30 derniers jours, Defender pour les API apprend une ligne de base qui représente le nombre standard de valeurs de paramètres distinctes utilisées par une seule adresse IP lors de l’accès à ce point de terminaison sur des périodes de 20 minutes. L’alerte a été déclenchée, car une seule adresse IP cliente a récemment accédé à un point de terminaison à l’aide d’un nombre inhabituellement élevé de valeurs de paramètres distinctes.
Tactiques MITRE : Accès initial
Gravité : moyenne
Énumération de paramètres distribuée sur un point de terminaison d’API
(API_DistributedParameterEnumeration)
Description : la population d’utilisateurs agrégées (toutes les adresses IP) a été observée lors de l’énumération des paramètres lors de l’accès à l’un des points de terminaison d’API. En fonction des modèles de trafic historique des 30 derniers jours, Defender pour les API apprend une ligne de base qui représente le nombre standard de valeurs de paramètres distinctes utilisées par la population d’utilisateurs (toutes les adresses IP) lors de l’accès à un point de terminaison sur des périodes de 20 minutes. L’alerte a été déclenchée, car la population d’utilisateurs a récemment accédé à un point de terminaison à l’aide d’un nombre inhabituellement élevé de valeurs de paramètres distinctes.
Tactiques MITRE : Accès initial
Gravité : moyenne
Valeur(s) de paramètres avec des types de données anormaux dans un appel d’API
(API_UnseenParamType)
Description : une adresse IP unique a été observée lors de l’accès à l’un de vos points de terminaison d’API et à l’aide de valeurs de paramètre d’un type de données à faible probabilité (par exemple, chaîne, entier, etc.). En fonction des modèles de trafic historique des 30 derniers jours, Defender pour les API apprend les types de données attendus pour chaque paramètre d’API. L’alerte a été déclenchée, car une adresse IP a récemment accédé à un point de terminaison à l’aide d’un type de données à probabilité auparavant faible comme entrée de paramètre.
Tactiques MITRE : Impact
Gravité : moyenne
Paramètre auparavant invisible utilisé dans un appel d’API
(API_UnseenParam)
Description : une seule adresse IP a été observée lors de l’accès à l’un des points de terminaison d’API à l’aide d’un paramètre précédemment invisible ou hors limites dans la requête. En fonction des modèles de trafic historique des 30 derniers jours, Defender pour les API apprend un ensemble de paramètres attendus associés aux appels à un point de terminaison. L’alerte a été déclenchée, car une adresse IP a récemment accédé à un point de terminaison à l’aide d’un paramètre auparavant invisible.
Tactiques MITRE : Impact
Gravité : moyenne
Accès à partir d’un nœud de sortie Tor à un point de terminaison d’API
(API_AccessFromTorExitNode)
Description : une adresse IP du réseau Tor a accédé à l’un de vos points de terminaison d’API. Tor est un réseau qui permet aux utilisateurs d’accéder à Internet tout en gardant leur adresse IP réelle masquée. Bien qu’il existe des utilisations légitimes, il est fréquemment utilisé par les attaquants pour masquer leur identité quand ils ciblent les systèmes en ligne des personnes.
Tactiques MITRE : pré-attaque
Gravité : moyenne
Accès à un point de terminaison d’API à partir d’une adresse IP suspecte
(API_AccessFromSuspiciousIP)
Description : Une adresse IP accédant à l’un de vos points de terminaison d’API a été identifiée par Microsoft Threat Intelligence comme ayant une probabilité élevée d’être une menace. Lors de l’observation du trafic Internet malveillant, cette adresse IP a été impliquée dans l’attaque d’autres cibles en ligne.
Tactiques MITRE : pré-attaque
Gravité : élevée
Détection d’un agent utilisateur suspect
(API_AccessFromSuspiciousUserAgent)
Description : L’agent utilisateur d’une requête accédant à l’un de vos points de terminaison d’API contenait des valeurs anormales indiquant une tentative d’exécution de code à distance. Cela ne signifie pas qu’il y a eu violation de vos points de terminaison d’API, mais suggère qu’une tentative d’attaque est en cours.
Tactiques MITRE : Exécution
Gravité : moyenne
Alertes pour les charges de travail IA
Détection de tentatives de vol d’informations d’identification sur un déploiement de modèle Azure Open AI
Description : l’alerte de vol d’informations d’identification est conçue pour avertir le SOC lorsque les informations d’identification sont détectées dans les réponses de modèle GenAI à une invite utilisateur, indiquant une violation potentielle. Cette alerte est essentielle pour détecter les cas de fuite ou de vol d’informations d’identification, qui sont uniques à l’IA générative et peuvent avoir des conséquences graves si elles réussissent.
Tactiques MITRE : Accès aux informations d’identification, Mouvement latéral, Exfiltration
Gravité : moyenne
Une tentative de jailbreak sur un déploiement de modèle Azure Open AI a été bloquée par les boucliers d’invite
Description : L’alerte Jailbreak, effectuée à l’aide d’une technique d’injection directe d’invite, est conçue pour informer le SOC qu’il y a eu une tentative de manipulation de l’invite système pour contourner les garanties de l’IA générative, accéder potentiellement aux données sensibles ou aux fonctions privilégiées. Il a indiqué que de telles tentatives ont été bloquées par le filtrage de contenu IA responsable Azure (Boucliers d’invite AKA), garantissant ainsi l’intégrité des ressources IA et de la sécurité des données.
Tactiques MITRE : Escalade de privilèges, Évasion de défense
Gravité : moyenne
Une tentative de jailbreak sur un déploiement de modèle Azure Open AI a été détectée par Prompt Shields
Description : L’alerte Jailbreak, effectuée à l’aide d’une technique d’injection directe d’invite, est conçue pour informer le SOC qu’il y a eu une tentative de manipulation de l’invite système pour contourner les garanties de l’IA générative, accéder potentiellement aux données sensibles ou aux fonctions privilégiées. Il a indiqué que de telles tentatives ont été détectées par le filtrage de contenu IA responsable Azure (Protections d’invite AKA), mais n’ont pas été bloquées en raison des paramètres de filtrage de contenu ou en raison d’une faible confiance.
Tactiques MITRE : Escalade de privilèges, Évasion de défense
Gravité : moyenne
Exposition des données sensibles détectée dans le déploiement du modèle Azure Open AI
Description : L’alerte de fuite de données sensibles est conçue pour informer le SOC qu’un modèle GenAI a répondu à une invite d’utilisateurs avec des informations sensibles, potentiellement en raison d’une tentative malveillante de contourner les protections de l’IA générative pour accéder aux données sensibles non autorisées.
Tactiques MITRE : Collection
Gravité : moyenne
Alertes Defender pour conteneurs déconseillées
Les listes suivantes incluent les alertes de sécurité Defender pour conteneurs qui ont été déconseillées.
Détection d’une manipulation du pare-feu sur l’hôte
(K8S.NODE_FirewallDisabled)
Description : l’analyse des processus exécutés dans un conteneur ou directement sur un nœud Kubernetes a détecté une manipulation possible du pare-feu hôte. Les attaquants le désactivent souvent pour exfiltrer des données.
Tactiques MITRE : DefenseEvasion, Exfiltration
Gravité : moyenne
Utilisation suspecte de DNS sur HTTPS
(K8S.NODE_SuspiciousDNSOverHttps)
Description : l’analyse des processus s’exécutant dans un conteneur ou directement sur un nœud Kubernetes a détecté l’utilisation d’un appel DNS via HTTPS de manière rare. Cette technique est utilisée par les attaquants pour masquer les appels à des sites suspects ou malveillants.
Tactiques MITRE : DefenseEvasion, Exfiltration
Gravité : moyenne
Une connexion possible à un emplacement malveillant a été détectée.
(K8S.NODE_ThreatIntelCommandLineSuspectDomain)
Description : l’analyse des processus exécutés dans un conteneur ou directement sur un nœud Kubernetes a détecté une connexion à un emplacement signalé comme malveillant ou inhabituel. Il s’agit d’un indicateur indiquant qu’une compromission a pu se produire.
Tactiques MITRE : InitialAccess
Gravité : moyenne
Activité d’exploration de données monétaires numériques
(K8S. NODE_CurrencyMining)
Description : Analyse des transactions DNS détectées dans l’activité d’exploration de données monétaires numériques. Une telle activité, bien qu’elle puisse être un comportement légitime de l’utilisateur, est souvent le fait d’attaquants après la compromission des ressources. L’activité associée type des attaquants est susceptible d’inclure le téléchargement et l’exécution d’outils d’exploration de données courants.
Tactiques MITRE : Exfiltration
Gravité : faible
Alertes Defender pour serveurs Linux déconseillées
VM_AbnormalDaemonTermination
Nom complet de l’alerte : arrêt anormal
Gravité : faible
VM_BinaryGeneratedFromCommandLine
Nom complet de l’alerte : binaire suspect détecté
Gravité : moyenne
VM_CommandlineSuspectDomain Suspicious
Nom complet de l’alerte : référence de nom de domaine
Gravité : faible
VM_CommonBot
Nom complet de l’alerte : comportement similaire aux bots Linux courants détectés
Gravité : moyenne
VM_CompCommonBots
Nom complet de l’alerte : commandes similaires aux bots Linux courants détectés
Gravité : moyenne
VM_CompSuspiciousScript
Nom complet de l’alerte : Script shell détecté
Gravité : moyenne
VM_CompTestRule
Nom complet de l’alerte : alerte de test analytique composite
Gravité : faible
VM_CronJobAccess
Nom complet de l’alerte : manipulation des tâches planifiées détectées
Gravité : Information
VM_CryptoCoinMinerArtifacts
Nom complet de l’alerte : processus associé à l’exploration de données monétaire numérique détectée
Gravité : moyenne
VM_CryptoCoinMinerDownload
Nom complet de l’alerte : téléchargement possible de Cryptocoinminer détecté
Gravité : moyenne
VM_CryptoCoinMinerExecution
Nom d’affichage de l’alerte : le mineur potentiel de jeton de chiffrement a démarré
Gravité : moyenne
VM_DataEgressArtifacts
Nom complet de l’alerte : détection d’exfiltration de données possibles
Gravité : moyenne
VM_DigitalCurrencyMining
Nom complet de l’alerte : comportement lié à l’exploration de données monétaire numérique détecté
Gravité : élevée
VM_DownloadAndRunCombo
Nom complet de l’alerte : Téléchargement suspect, puis activité d’exécution
Gravité : moyenne
VM_EICAR
Nom complet de l’alerte : alerte de test Microsoft Defender pour le cloud (pas une menace)
Gravité : élevée
VM_ExecuteHiddenFile
Nom d’affichage de l’alerte : exécution du fichier masqué
Gravité : Information
VM_ExploitAttempt
Nom complet de l’alerte : tentative d’exploitation de ligne de commande possible
Gravité : moyenne
VM_ExposedDocker
Nom complet de l’alerte : Démon Docker exposé sur le socket TCP
Gravité : moyenne
VM_FairwareMalware
Nom complet de l’alerte : comportement similaire au ransomware Fairware détecté
Gravité : moyenne
VM_FirewallDisabled
Nom complet de l’alerte : manipulation du pare-feu hôte détectée
Gravité : moyenne
VM_HadoopYarnExploit
Nom complet de l’alerte : exploitation possible de Hadoop Yarn
Gravité : moyenne
VM_HistoryFileCleared
Nom complet de l’alerte : un fichier d’historique a été effacé
Gravité : moyenne
VM_KnownLinuxAttackTool
Nom complet de l’alerte : outil d’attaque possible détecté
Gravité : moyenne
VM_KnownLinuxCredentialAccessTool
Nom complet de l’alerte : outil d’accès aux informations d’identification possible détecté
Gravité : moyenne
VM_KnownLinuxDDoSToolkit
Nom complet de l’alerte : indicateurs associés au kit de ressources DDOS détectés
Gravité : moyenne
VM_KnownLinuxScreenshotTool
Nom complet de l’alerte : capture d’écran prise sur l’hôte
Gravité : faible
VM_LinuxBackdoorArtifact
Nom complet de l’alerte : Détection possible d’une porte dérobée
Gravité : moyenne
VM_LinuxReconnaissance
Nom complet de l’alerte : reconnaissance de l’hôte local détectée
Gravité : moyenne
VM_MismatchedScriptFeatures
Nom complet de l’alerte : incompatibilité de l’extension de script détectée
Gravité : moyenne
VM_MitreCalderaTools
Nom complet de l’alerte : agent MITRE Caldera détecté
Gravité : moyenne
VM_NewSingleUserModeStartupScript
Nom complet de l’alerte : tentative de persistance détectée
Gravité : moyenne
VM_NewSudoerAccount
Nom complet de l’alerte : compte ajouté au groupe sudo
Gravité : faible
VM_OverridingCommonFiles
Nom complet de l’alerte : substitution potentielle de fichiers communs
Gravité : moyenne
VM_PrivilegedContainerArtifacts
Nom complet de l’alerte : conteneur s’exécutant en mode privilégié
Gravité : faible
VM_PrivilegedExecutionInContainer
Nom complet de l’alerte : commande au sein d’un conteneur s’exécutant avec des privilèges élevés
Gravité : faible
VM_ReadingHistoryFile
Nom complet de l’alerte : accès inhabituel au fichier d’historique bash
Gravité : Information
VM_ReverseShell
Nom complet de l’alerte : interpréteur de commandes inversé potentiel détecté
Gravité : moyenne
VM_SshKeyAccess
Nom complet de l’alerte : processus vu accéder au fichier de clés autorisées SSH de manière inhabituelle
Gravité : faible
VM_SshKeyAddition
Nom complet de l’alerte : nouvelle clé SSH ajoutée
Gravité : faible
VM_SuspectCompilation
Nom complet de l’alerte : compilation suspecte détectée
Gravité : moyenne
VM_SuspectConnection
Nom complet de l’alerte : une tentative de connexion rare détectée
Gravité : moyenne
VM_SuspectDownload
Nom complet de l’alerte : téléchargement de fichier détecté à partir d’une source malveillante connue
Gravité : moyenne
VM_SuspectDownloadArtifacts
Nom d’affichage de l’alerte : téléchargement de fichiers suspect détecté
Gravité : faible
VM_SuspectExecutablePath
Nom complet de l’alerte : exécutable trouvé en cours d’exécution à partir d’un emplacement suspect
Gravité : moyenne
VM_SuspectHtaccessFileAccess
Nom complet de l’alerte : accès au fichier htaccess détecté
Gravité : moyenne
VM_SuspectInitialShellCommand
Nom complet de l’alerte : première commande suspecte dans l’interpréteur de commandes
Gravité : faible
VM_SuspectMixedCaseText
Nom complet de l’alerte : combinaison anormale de caractères majuscules et minuscules détectés dans la ligne de commande
Gravité : moyenne
VM_SuspectNetworkConnection
Nom complet de l’alerte : connexion réseau suspecte
Gravité : Information
VM_SuspectNohup
Nom complet de l’alerte : détection d’une utilisation suspecte de la commande nohup
Gravité : moyenne
VM_SuspectPasswordChange
Nom complet de l’alerte : modification possible du mot de passe à l’aide de la méthode de chiffrement détectée
Gravité : moyenne
VM_SuspectPasswordFileAccess
Nom complet de l’alerte : accès suspect au mot de passe
Gravité : Information
VM_SuspectPhp
Nom complet de l’alerte : exécution PHP suspecte détectée
Gravité : moyenne
VM_SuspectPortForwarding
Nom complet de l’alerte : transfert de port potentiel vers une adresse IP externe
Gravité : moyenne
VM_SuspectProcessAccountPrivilegeCombo
Nom complet de l’alerte : le processus en cours d’exécution dans un compte de service est devenu racine de manière inattendue
Gravité : moyenne
VM_SuspectProcessTermination
Nom complet de l’alerte : arrêt du processus lié à la sécurité détecté
Gravité : faible
VM_SuspectUserAddition
Nom complet de l’alerte : détection d’une utilisation suspecte de la commande useradd
Gravité : moyenne
VM_SuspiciousCommandLineExecution
Nom d’affichage de l’alerte : exécution de commande suspecte
Gravité : élevée
VM_SuspiciousDNSOverHttps
Nom complet de l’alerte : utilisation suspecte du DNS via HTTPS
Gravité : moyenne
VM_SystemLogRemoval
Nom complet de l’alerte : activité de falsification de journal possible détectée
Gravité : moyenne
VM_ThreatIntelCommandLineSuspectDomain
Nom complet de l’alerte : une connexion possible à un emplacement malveillant a été détectée
Gravité : moyenne
VM_ThreatIntelSuspectLogon
Nom complet de l’alerte : une ouverture de session à partir d’une adresse IP malveillante a été détectée
Gravité : élevée
VM_TimerServiceDisabled
Nom complet de l’alerte : tentative d’arrêt du service apt-daily-upgrade.timer détecté
Gravité : Information
VM_TimestampTampering
Nom d’affichage de l’alerte : modification suspecte de l’horodatage du fichier
Gravité : faible
VM_Webshell
Nom d’affichage de l’alerte : interpréteur de commandes web malveillant possible détecté
Gravité : moyenne
Alertes Windows déconseillées de Defender pour serveurs
SCUBA_MULTIPLEACCOUNTCREATE
Nom complet de l’alerte : création suspecte de comptes sur plusieurs hôtes
Gravité : moyenne
SCUBA_PSINSIGHT_CONTEXT
Nom complet de l’alerte : Utilisation suspecte de PowerShell détectée
Gravité : Information
SCUBA_RULE_AddGuestToAdministrators
Nom complet de l’alerte : ajout d’un compte invité au groupe Administration istrators local
Gravité : moyenne
SCUBA_RULE_Apache_Tomcat_executing_suspicious_commands
Nom complet de l’alerte : Apache_Tomcat_executing_suspicious_commands
Gravité : moyenne
SCUBA_RULE_KnownBruteForcingTools
Nom complet de l’alerte : processus suspect exécuté
Gravité : élevée
SCUBA_RULE_KnownCollectionTools
Nom complet de l’alerte : processus suspect exécuté
Gravité : élevée
SCUBA_RULE_KnownDefenseEvasionTools
Nom complet de l’alerte : processus suspect exécuté
Gravité : élevée
SCUBA_RULE_KnownExecutionTools
Nom complet de l’alerte : processus suspect exécuté
Gravité : élevée
SCUBA_RULE_KnownPassTheHashTools
Nom complet de l’alerte : processus suspect exécuté
Gravité : élevée
SCUBA_RULE_KnownSpammingTools
Nom complet de l’alerte : processus suspect exécuté
Gravité : moyenne
SCUBA_RULE_Lowering_Security_Settings
Nom complet de l’alerte : détection de la désactivation des services critiques
Gravité : moyenne
SCUBA_RULE_OtherKnownHackerTools
Nom complet de l’alerte : processus suspect exécuté
Gravité : élevée
SCUBA_RULE_RDP_session_hijacking_via_tscon
Nom complet de l’alerte : niveau d’intégrité suspect indiquant le détournement RDP
Gravité : moyenne
SCUBA_RULE_RDP_session_hijacking_via_tscon_service
Nom complet de l’alerte : Installation suspecte du service
Gravité : moyenne
SCUBA_RULE_Suppress_pesky_unauthorized_use_prohibited_notices
Nom complet de l’alerte : détection de la suppression de mentions légales affichées aux utilisateurs lors de l’ouverture de session
Gravité : faible
SCUBA_RULE_WDigest_Enabling
Nom complet de l’alerte : détection de l’activation de la clé de Registre WDigest UseLogonCredential
Gravité : moyenne
VM.Windows_ApplockerBypass
Nom complet de l’alerte : tentative potentielle de contournement d’AppLocker détectée
Gravité : élevée
VM.Windows_BariumKnownSuspiciousProcessExecution
Nom complet de l’alerte : détection d’une création de fichier suspecte
Gravité : élevée
VM.Windows_Base64EncodedExecutableInCommandLineParams
Nom d’affichage de l’alerte : exécutable encodé détecté dans les données de ligne de commande
Gravité : élevée
VM.Windows_CalcsCommandLineUse
Nom complet de l’alerte : Détection d’une utilisation suspecte de cacls pour réduire l’état de sécurité du système
Gravité : moyenne
VM.Windows_CommandLineStartingAllExe
Nom complet de l’alerte : ligne de commande suspecte détectée utilisée pour démarrer tous les exécutables dans un répertoire
Gravité : moyenne
VM.Windows_DisablingAndDeletingIISLogFiles
Nom complet de l’alerte : actions détectées indiquant la désactivation et la suppression des fichiers journaux IIS
Gravité : moyenne
VM.Windows_DownloadUsingCertutil
Nom complet de l’alerte : téléchargement suspect à l’aide de Certutil détecté
Gravité : moyenne
VM.Windows_EchoOverPipeOnLocalhost
Nom complet de l’alerte : détection de communications suspectes nommées de canal
Gravité : élevée
VM.Windows_EchoToConstructPowerShellScript
Nom complet de l’alerte : construction de script PowerShell dynamique
Gravité : moyenne
VM.Windows_ExecutableDecodedUsingCertutil
Nom complet de l’alerte : décodage détecté d’un exécutable à l’aide de l’outil intégré certutil.exe
Gravité : moyenne
VM.Windows_FileDeletionIsSospisiousLocation
Nom d’affichage de l’alerte : suppression suspecte de fichier détectée
Gravité : moyenne
VM.Windows_KerberosGoldenTicketAttack
Nom complet de l’alerte : paramètres d’attaque Kerberos Golden Ticket observés
Gravité : moyenne
VM.Windows_KeygenToolKnownProcessName
Nom d’affichage de l’alerte : détection de l’exécution possible d’un processus suspect exécutable keygen exécuté
Gravité : moyenne
VM.Windows_KnownCredentialAccessTools
Nom complet de l’alerte : processus suspect exécuté
Gravité : élevée
VM.Windows_KnownSuspiciousPowerShellScript
Nom complet de l’alerte : Utilisation suspecte de PowerShell détectée
Gravité : élevée
VM.Windows_KnownSuspiciousSoftwareInstallation
Nom complet de l’alerte : logiciel à haut risque détecté
Gravité : moyenne
VM.Windows_MsHtaAndPowerShellCombination
Nom complet de l’alerte : combinaison suspecte détectée d’HTA et de PowerShell
Gravité : moyenne
VM.Windows_MultipleAccountsQuery
Nom complet de l’alerte : plusieurs comptes de domaine interrogés
Gravité : moyenne
VM.Windows_NewAccountCreation
Nom complet de l’alerte : création de compte détectée
Gravité : Information
VM.Windows_ObfuscatedCommandLine
Nom complet de l’alerte : ligne de commande masquée détectée.
Gravité : élevée
VM.Windows_PcaluaUseToLaunchExecutable
Nom complet de l’alerte : détection d’une utilisation suspecte de Pcalua.exe pour lancer le code exécutable
Gravité : moyenne
VM.Windows_PetyaRansomware
Nom complet de l’alerte : indicateurs de ransomware Petya détectés
Gravité : élevée
VM.Windows_PowerShellPowerSploitScriptExecution
Nom complet de l’alerte : applets de commande PowerShell suspectes exécutées
Gravité : moyenne
VM.Windows_RansomwareIndication
Nom d’affichage de l’alerte : indicateurs de ransomware détectés
Gravité : élevée
VM.Windows_SqlDumperUsedSuspiciously
Nom d’affichage de l’alerte : vidage possible des informations d’identification détectées [vues plusieurs fois]
Gravité : moyenne
VM.Windows_StopCriticalServices
Nom complet de l’alerte : détection de la désactivation des services critiques
Gravité : moyenne
VM.Windows_SubvertingAccessibilityBinary
Nom d’affichage de l’alerte : attaque de clés sticky détectée à la création d’un compte suspect détectée moyen
VM.Windows_SuspiciousAccountCreation
Nom complet de l’alerte : Détection de la création suspecte d’un compte
Gravité : moyenne
VM.Windows_SuspiciousFirewallRuleAdded
Nom complet de l’alerte : détection d’une nouvelle règle de pare-feu suspecte
Gravité : moyenne
VM.Windows_SuspiciousFTPSSwitchUsage
Nom complet de l’alerte : Détection d’une utilisation suspecte du commutateur FTP-s
Gravité : moyenne
VM.Windows_SuspiciousSQLActivity
Nom complet de l’alerte : activité SQL suspecte
Gravité : moyenne
VM.Windows_SVCHostFromInvalidPath
Nom complet de l’alerte : processus suspect exécuté
Gravité : élevée
VM.Windows_SystemEventLogCleared
Nom complet de l’alerte : le journal Sécurité Windows a été effacé
Gravité : Information
VM.Windows_TelegramInstallation
Nom complet de l’alerte : détection d’une utilisation potentiellement suspecte de l’outil Telegram
Gravité : moyenne
VM.Windows_UndercoverProcess
Nom complet de l’alerte : processus nommé suspectement détecté
Gravité : élevée
VM.Windows_UserAccountControlBypass
Nom complet de l’alerte : détection d’une modification d’une clé de Registre qui peut être abusée pour contourner l’UAC
Gravité : moyenne
VM.Windows_VBScriptEncoding
Nom d’affichage de l’alerte : exécution suspecte détectée de la commande VBScript.Encode
Gravité : moyenne
VM.Windows_WindowPositionRegisteryChange
Nom d’affichage de l’alerte : valeur de Registre WindowPosition suspecte détectée
Gravité : faible
VM.Windows_ZincPortOpenningUsingFirewallRule
Nom complet de l’alerte : règle de pare-feu malveillante créée par l’implant de serveur ZINC
Gravité : élevée
VM_DigitalCurrencyMining
Nom complet de l’alerte : comportement lié à l’exploration de données monétaire numérique détecté
Gravité : élevée
VM_MaliciousSQLActivity
Nom complet de l’alerte : activité SQL malveillante
Gravité : élevée
VM_ProcessWithDoubleExtensionExecution
Nom complet de l’alerte : fichier d’extension double suspect exécuté
Gravité : élevée
VM_RegistryPersistencyKey
Nom complet de l’alerte : méthode de persistance du Registre Windows détectée
Gravité : faible
VM_ShadowCopyDeletion
Nom complet de l’alerte : exécutable d’activité de cliché instantané de volume suspect trouvé en cours d’exécution à partir d’un emplacement suspect
Gravité : élevée
VM_SuspectExecutablePath
Nom complet de l’alerte : exécutable trouvé en cours d’exécution à partir d’un emplacement suspect Détecté une combinaison anormale de caractères majuscules et minuscules dans la ligne de commande
Gravité : Information
Moyenne
VM_SuspectPhp
Nom complet de l’alerte : exécution PHP suspecte détectée
Gravité : moyenne
VM_SuspiciousCommandLineExecution
Nom d’affichage de l’alerte : exécution de commande suspecte
Gravité : élevée
VM_SuspiciousScreenSaverExecution
Nom d’affichage de l’alerte : processus de filtre d’écran suspect exécuté
Gravité : moyenne
VM_SvcHostRunInRareServiceGroup
Nom complet de l’alerte : Groupe de services SVCHOST rare exécuté
Gravité : Information
VM_SystemProcessInAbnormalContext
Nom complet de l’alerte : processus système suspect exécuté
Gravité : moyenne
VM_ThreatIntelCommandLineSuspectDomain
Nom complet de l’alerte : une connexion possible à un emplacement malveillant a été détectée
Gravité : moyenne
VM_ThreatIntelSuspectLogon
Nom complet de l’alerte : une ouverture de session à partir d’une adresse IP malveillante a été détectée
Gravité : élevée
VM_VbScriptHttpObjectAllocation
Nom complet de l’alerte : allocation d’objets HTTP VBScript détectée
Gravité : élevée
VM_TaskkillBurst
Nom complet de l’alerte : rafale d’arrêt de processus suspect
Gravité : faible
VM_RunByPsExec
Nom complet de l’alerte : exécution PsExec détectée
Gravité : Information
Tactiques MITRE ATTA&CK
Comprendre l’intention d’une attaque facilite l’examen et le signalement de l’événement. Pour faciliter ces efforts, les alertes de Microsoft Defender pour le cloud incluent les tactiques MITRE avec de nombreuses alertes.
La série d’étapes qui décrit la progression d’une cyberattaque, de la reconnaissance à l’exfiltration de données, est souvent appelée « kill chain ».
les intentions de chaîne de destruction prises en charge de Defender pour le cloud sont basées sur la version 9 de la matrice MITRE ATT&CK et décrites dans le tableau ci-dessous.
Tactique | ATT&CK Version | Description |
---|---|---|
PreAttack | La phase PreAttack peut désigner une tentative d’accès à une certaine ressource indépendamment d’une intention malveillante, ou une tentative manquée d’accéder à un système cible pour réunir des informations avant de les exploiter. Cette étape est généralement identifiée comme une tentative, en provenance de l’extérieur du réseau, d’analyser le système cible et d’identifier un point d’entrée. | |
Accès initial | V7, V9 | La phase Exploitation est celle au cours de laquelle un attaquant parvient à prendre pied sur la ressource attaquée. Cette étape concerne notamment les hôtes de calcul et les ressources telles que les comptes d’utilisateurs, les certificats, etc. En général, les acteurs des menaces sont en mesure de prendre le contrôle après cette étape. |
Persistance | V7, V9 | La persistance désigne tout changement relatif à l’accès, l’action ou la configuration apporté à un système qui donne à l’acteur de la menace une présence persistante sur ce système. Les acteurs des menaces doivent généralement conserver l’accès aux systèmes par le biais d’interruptions telles que des redémarrages système, la perte d’informations d’identification ou d’autres défaillances nécessitant un outil d’accès distant afin de redémarrer ou fournir une autre porte dérobée pour pouvoir récupérer l’accès. |
Élévation des privilèges | V7, V9 | L’élévation des privilèges est le résultat d’actions qui permettent à un adversaire d’obtenir un niveau d’autorisation supérieur sur un système ou un réseau. Certains outils ou actions nécessitent un niveau de privilège supérieur et sont probablement requis à de nombreuses reprises au cours d’une opération. Les comptes d’utilisateur disposant d’autorisations pour accéder à des systèmes spécifiques ou exécuter des fonctions spécifiques nécessaires aux adversaires pour atteindre leur objectif peuvent également être considérés comme une escalade de privilèges. |
Évasion de défense | V7, V9 | L’évasion de défense se compose de techniques qu’un adversaire peut utiliser pour échapper à la détection ou éviter d’autres défenses. Ces actions sont parfois les mêmes techniques (ou des variantes) que dans d’autres catégories qui présentent l’avantage supplémentaire de subvertir une défense ou une atténuation particulière. |
Accès aux informations d’identification | V7, V9 | L’accès aux informations d’identification représente des techniques qui aboutissent à l’accès ou au contrôle des informations d’identification du système, du domaine ou du service, qui sont utilisées au sein d’un environnement d’entreprise. Les adversaires tenteront probablement d’obtenir des informations d’identification légitimes auprès d’utilisateurs ou de comptes d’administrateurs (administrateur système local ou utilisateurs de domaine avec accès administrateur) afin de les utiliser au sein du réseau. Avec un accès suffisant au sein d’un réseau, un adversaire peut créer des comptes pour une utilisation ultérieure au sein de l’environnement. |
Découverte | V7, V9 | La découverte se compose de techniques qui permettent à l’adversaire d’acquérir des connaissances sur le système et le réseau interne. Lorsque des adversaires parviennent à accéder à un nouveau système, ils doivent s’orienter vers ce qu’ils contrôlent désormais et ce que le fonctionnement à partir de ce système apporte à leur objectif actuel ou global pendant l’intrusion. Le système d’exploitation fournit de nombreux outils natifs utiles lors de cette phase de collecte d’informations après compromission. |
LateralMovement | V7, V9 | Le mouvement latéral est constitué de techniques qui permettent à un adversaire d’accéder à des systèmes distants sur un réseau et de les contrôler. Il peut éventuellement inclure l’exécution d’outils sur des systèmes distants. Les techniques de mouvement latéral peuvent permettre à un adversaire de recueillir des informations auprès d’un système sans recourir à des d’autres outils tels qu’un outil d’accès à distance. Un adversaire peut utiliser le mouvement latéral à de nombreuses fins, notamment l’exécution d’outils à distance, le glissement vers d’autres systèmes, l’accès à des informations ou fichiers spécifiques, l’accès à davantage d’informations d’identification, ou dans le but de causer un effet. |
Exécution | V7, V9 | La tactique d’exécution se compose de techniques qui entraînent l’exécution de code contrôlé par l’adversaire sur un système local ou distant. Cette tactique est souvent utilisée conjointement avec le mouvement latéral pour étendre l’accès à des systèmes distants sur un réseau. |
Collection | V7, V9 | La collection se compose de techniques permettant d’identifier et de rassembler des informations telles que des fichiers sensibles à partir d’un réseau cible avant exfiltration. Cette catégorie couvre également les emplacements d’un système ou d’un réseau où l’adversaire peut rechercher des informations à exfiltrer. |
Commande et contrôle | V7, V9 | La tactique de commande et de contrôle représente la manière dont les adversaires communiquent avec les systèmes sous leur contrôle au sein d’un réseau cible. |
Exfiltration | V7, V9 | L’exfiltration fait référence aux techniques et attributs qui aident l’adversaire à supprimer des fichiers et des informations d’un réseau cible. Cette catégorie couvre également les emplacements d’un système ou d’un réseau où l’adversaire peut rechercher des informations à exfiltrer. |
Impact | V7, V9 | Les événements d’impact tentent principalement de réduire directement la disponibilité ou l’intégrité d’un système, service ou réseau, notamment par la manipulation de données pour avoir un impact sur un processus métier ou opérationnel. Les techniques sollicitées sont généralement le ransomware, le défacement, la manipulation de données, etc. |
Notes
Pour les alertes en préversion : Les Conditions supplémentaires pour les préversions Azure comprennent des conditions juridiques supplémentaires s’appliquant aux fonctionnalités Azure qui sont en version bêta, en préversion ou qui ne sont pas encore en disponibilité générale.