Alertes de sécurité - guide de référenceSecurity alerts - a reference guide

Cet article répertorie les alertes de sécurité que vous pouvez recevoir d’Azure Defender.This article lists the security alerts you might get from Azure Defender. Les alertes présentées dans votre environnement dépendent des ressources et services que vous protégez ainsi que de votre configuration personnalisée.The alerts shown in your environment depend on the resources and services you're protecting, as well as your customized configuration.

Découvrez comment résoudre les alertes de sécurité dans l’article Gestion et résolution des alertes de sécurité dans Azure Security Center.To learn how to respond to these alerts, see Manage and respond to security alerts in Azure Security Center.

Pour découvrir comment exporter des alertes (et des recommandations), consultez Exporter en continu les données Security Center.To learn how to export alerts (and recommendations) see Continuously export Security Center data.

En bas de cette page, un tableau décrit la chaîne d’arrêt d’Azure Security Center utilisée pour catégoriser les intentions de ces alertes.At the bottom of this page, there's a table describing the Azure Security Center kill chain that is used to categorize the intents of these alerts.

Alertes pour les machines WindowsAlerts for Windows machines

Informations complémentaires et notesFurther details and notes

AlerteAlert DescriptionDescription IntentionnelIntent
(En savoir plus)(Learn more)
severitySeverity
Détection d’une connexion à partir d’une adresse IP malveillanteA logon from a malicious IP has been detected Une authentification distante réussie pour le compte [compte] et le processus [processus] s’est produite, mais l’adresse IP de connexion (x.x.x.x) a déjà été signalée comme malveillante ou très inhabituelle.A successful remote authentication for the account [account] and process [process] occurred, however the logon IP address (x.x.x.x) has previously been reported as malicious or highly unusual. Une attaque a probablement eu lieu.A successful attack has probably occurred. - ÉlevéHigh
Détection d’une connexion à partir d’une adresse IP malveillante. [constaté plusieurs fois]A logon from a malicious IP has been detected. [seen multiple times] Une authentification distante réussie pour le compte [compte] et le processus [processus] s’est produite, mais l’adresse IP de connexion (x.x.x.x) a déjà été signalée comme malveillante ou très inhabituelle.A successful remote authentication for the account [account] and process [process] occurred, however the logon IP address (x.x.x.x) has previously been reported as malicious or highly unusual. Une attaque a probablement eu lieu.A successful attack has probably occurred. Les fichiers avec les extensions .scr sont des fichiers de l’écran de veille et sont normalement présents dans répertoire système de Windows et exécutés dans ce même répertoire.Files with the .scr extensions are screen saver files and are normally reside and execute from the Windows system directory. - ÉlevéHigh
Ajout d’un compte invité au groupe Administrateurs localAddition of Guest account to Local Administrators group L’analyse des données de l’hôte a détecté l’ajout du compte Invité intégré au groupe Administrateurs local sur %{Hôte compromis}, action qui est très souvent associée à une activité de la part d’un attaquant.Analysis of host data has detected the addition of the built-in Guest account to the Local Administrators group on %{Compromised Host}, which is strongly associated with attacker activity. - MoyenneMedium
Un journal des événements a été effacéAn event log was cleared Les journaux de l’ordinateur indiquent une opération suspecte d’effacement du journal des événements par l’utilisateur : %{nom d’utilisateur} sur l’ordinateur %{Entité compromise}.Machine logs indicate a suspicious event log clearing operation by user: '%{user name}' in Machine: '%{CompromisedEntity}'. Le journal %{canal du journal} a été effacé.The %{log channel} log was cleared. - InformationnelInformational
Mesure anti-programme malveillant priseAntimalware Action Taken Microsoft Antimalware pour Azure a pris une mesure pour protéger cet ordinateur contre les programmes malveillants ou d’autres logiciels potentiellement indésirables.Microsoft Antimalware for Azure has taken an action to protect this machine from malware or other potentially unwanted software. - MoyenneMedium
Échec d’action anti-programme malveillantAntimalware Action Failed Microsoft Antimalware a rencontré une erreur en effectuant une action sur un programme malveillant ou un autre logiciel potentiellement indésirable.Microsoft Antimalware has encountered an error when taking an action on malware or other potentially unwanted software. - MoyenneMedium
Détection d’indicateurs de ransomware PetyaDetected Petya ransomware indicators L’analyse des données de l’hôte sur %{Hôte compromis} a détecté des indicateurs associés au ransomware Petya.Analysis of host data on %{Compromised Host} detected indicators associated with Petya ransomware. Consultez la rubrique https://blogs.technet.microsoft.com/mmpc/2017/06/27/new-ransomware-old-techniques-petya-adds-worm-capabilities/ (éventuellement en anglais) pour plus d'informations.See https://blogs.technet.microsoft.com/mmpc/2017/06/27/new-ransomware-old-techniques-petya-adds-worm-capabilities/ for more information. Examinez la ligne de commande associée à cette alerte et réaffectez cette alerte à votre équipe de sécurité.Review the command line associated in this alert and escalate this alert to your security team. - ÉlevéHigh
Actions détectées indiquant la désactivation et la suppression des fichiers journaux IISDetected actions indicative of disabling and deleting IIS log files L’analyse des données de l’hôte a détecté des actions qui indiquent que les fichiers journaux IIS sont désactivés et/ou supprimés.Analysis of host data detected actions that show IIS log files being disabled and/or deleted. - MoyenneMedium
Détection d’une combinaison anormale de caractères minuscules et majuscules dans la ligne de commandeDetected anomalous mix of upper and lower case characters in command-line L’analyse des données de l’hôte sur%{Hôte compromis} a détecté une ligne de commande avec une combinaison anormale de caractères en majuscules et en minuscules.Analysis of host data on %{Compromised Host} detected a command line with anomalous mix of upper and lower case characters. Ce type d’activité, même si elle est peut-être bénigne, est également caractéristique des attaquants qui tentent de masquer une correspondance de règle basée sur le hachage ou la casse lors de l’exécution de tâches d’administration sur un hôte compromis.This kind of pattern, while possibly benign, is also typical of attackers trying to hide from case-sensitive or hash-based rule matching when performing administrative tasks on a compromised host. - MoyenneMedium
Détection d’une modification apportée à une clé de Registre pouvant être utilisée pour contourner l’UACDetected change to a registry key that can be abused to bypass UAC L’analyse des données de l’hôte sur %{Hôte compromis} a détecté qu’une clé de Registre qui peut être utilisée pour contourner le contrôle de compte d’utilisateur (UAC) a été modifiée.Analysis of host data on %{Compromised Host} detected that a registry key that can be abused to bypass UAC (User Account Control) was changed. Ce type de configuration, même s’il est peut-être bénin, est également typique de l’activité d’un attaquant qui tente de passer d’un accès non privilégié (utilisateur standard) à un accès privilégié (par exemple, administrateur) sur un hôte compromis.This kind of configuration, while possibly benign, is also typical of attacker activity when trying to move from unprivileged (standard user) to privileged (for example administrator) access on a compromised host. - MoyenneMedium
Détection du décodage d’un exécutable à l’aide de l’outil certutil.exe intégréDetected decoding of an executable using built-in certutil.exe tool L’analyse des données de l’hôte sur %{Hôte compromis} a détecté l’utilisation de certutil. exe, un utilitaire administrateur intégré, pour le décodage d’un exécutable au lieu de son usage général qui concerne la manipulation des certificats et des données des certificats.Analysis of host data on %{Compromised Host} detected that certutil.exe, a built-in administrator utility, was being used to decode an executable instead of its mainstream purpose that relates to manipulating certificates and certificate data. Les attaquants sont connus pour abuser des fonctionnalités d’outils d’administration légitimes afin d’effectuer des actions malveillantes, par exemple en utilisant un outil comme certutil.exe pour décoder un fichier exécutable qui sera ensuite exécuté.Attackers are known to abuse functionality of legitimate administrator tools to perform malicious actions, for example using a tool such as certutil.exe to decode a malicious executable that will then be subsequently executed. - ÉlevéHigh
Détection de l’activation de la clé de Registre WDigest UseLogonCredentialDetected enabling of the WDigest UseLogonCredential registry key L’analyse des données de l’hôte a détecté une modification dans la clé de Registre HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest\ "UseLogonCredential".Analysis of host data detected a change in the registry key HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest\ "UseLogonCredential". Dans ce cas précis, la clé a été mise à jour pour permettre le stockage des informations d’identification pour l’ouverture de session en texte clair dans la mémoire LSA.Specifically this key has been updated to allow logon credentials to be stored in clear text in LSA memory. Une fois activée, l’attaquant peut vider les mots de passe en texte clair de la mémoire LSA à l’aide d’outils de collecte des informations d’identification tels que Mimikatz.Once enabled an attacker can dump clear text passwords from LSA memory with credential harvesting tools such as Mimikatz. - MoyenneMedium
Détection d’un fichier exécutable encodé dans les données de la ligne de commandeDetected encoded executable in command line data L’analyse des données de l’hôte sur %{Hôte compromis} a détecté l’utilisation d’un exécutable encodé en base 64.Analysis of host data on %{Compromised Host} detected a base-64 encoded executable. Cette opération a déjà été associée à des attaquants tentant de construire des exécutables à la volée via une séquence de commandes, et tentant d’échapper aux systèmes de détection d’intrusion en veillant à ce qu’aucune commande ne déclenche d’alerte.This has previously been associated with attackers attempting to construct executables on-the-fly through a sequence of commands, and attempting to evade intrusion detection systems by ensuring that no individual command would trigger an alert. Il peut s’agir d’une activité légitime ou du signe que l’hôte est compromis.This could be legitimate activity, or an indication of a compromised host. - ÉlevéHigh
Détection d’une ligne de commande masquéeDetected obfuscated command line Les attaquants utilisent des techniques d’obscurcissement de plus en plus complexes pour échapper aux détections qui s’exécutent sur les données sous-jacentes.Attackers use increasingly complex obfuscation techniques to evade detections that run against the underlying data. L’analyse des données de l’hôte sur %{Hôte compromis} a détecté des indicateurs suspects de brouillage sur la ligne de commande.Analysis of host data on %{Compromised Host} detected suspicious indicators of obfuscation on the commandline. - InformationnelInformational
Possible détection de l’exécution d’un exécutable de génération de clésDetected possible execution of keygen executable L’analyse des données de l’hôte sur %{Hôte compromis} a détecté l’exécution d’un processus dont le nom indique un outil de génération de clés. Ces outils sont généralement utilisés pour contourner les mécanismes de licence logicielle, mais leur téléchargement est souvent accompagné d’autres logiciels malveillants.Analysis of host data on %{Compromised Host} detected execution of a process whose name is indicative of a keygen tool; such tools are typically used to defeat software licensing mechanisms but their download is often bundled with other malicious software. Le groupe d’activités GOLD est réputé pour profiter de ces outils pour bénéficier de façon dissimulée d’un accès aux hôtes qu’ils compromettent.Activity group GOLD has been known to make use of such keygens to covertly gain back door access to hosts that they compromise. - MoyenneMedium
Possible détection de l’exécution d’une installation de logiciel malveillantDetected possible execution of malware dropper L’analyse des données de l’hôte sur %{Hôte compromis} a détecté un nom de fichier qui a déjà été associé à l’une des méthodes du groupe d’activités GOLD liées à l’installation de programmes malveillants sur l’hôte victime.Analysis of host data on %{Compromised Host} detected a filename that has previously been associated with one of activity group GOLD's methods of installing malware on a victim host. - ÉlevéHigh
Possible détection d’une activité de reconnaissance localeDetected possible local reconnaissance activity L’analyse des données de l’hôte sur %{Hôte compromis} a détecté une combinaison de commandes systemInfo qui a déjà été associée à l’une des méthodes du groupe d’activités GOLD pour ses activités de reconnaissance.Analysis of host data on %{Compromised Host} detected a combination of systeminfo commands that has previously been associated with one of activity group GOLD's methods of performing reconnaissance activity. Même si systeminfo.exe est un outil Windows légitime, son exécution deux fois de suite, suivie d’une commande de suppression comme survenu ici est rare.While 'systeminfo.exe' is a legitimate Windows tool, executing it twice in succession in the way that has occurred here is rare. -
Détection d’une utilisation potentiellement suspecte de l’outil TelegramDetected potentially suspicious use of Telegram tool L’analyse des données de l’hôte montre l’installation de Telegram, un service de messagerie instantanée gratuit basé dans le cloud et qui existe à la fois pour les systèmes mobiles et les ordinateurs de bureau.Analysis of host data shows installation of Telegram, a free cloud-based instant messaging service that exists both for mobile and desktop system. Les attaquants sont connus pour abuser de ce service pour transférer des fichiers binaires malveillants sur un autre ordinateur, téléphone ou tablette.Attackers are known to abuse this service to transfer malicious binaries to any other computer, phone, or tablet. - MoyenneMedium
Détection de la notice légale présentée aux utilisateurs lors de la connexionDetected suppression of legal notice displayed to users at logon L’analyse des données de l’hôte sur %{Hôte compromis} a détecté des modifications apportées à la clé de Registre qui contrôle si un avis légal est présenté aux utilisateurs lorsqu’ils se connectent.Analysis of host data on %{Compromised Host} detected changes to the registry key that controls whether a legal notice is displayed to users when they log on. L’analyse de sécurité Microsoft a déterminé qu’il s’agissait d’une activité couramment utilisée par les attaquants une fois l’hôte compromis.Microsoft security analysis has determined that this is a common activity undertaken by attackers after having compromised a host. - FaibleLow
Détection d’une combinaison suspecte de HTA et PowerShellDetected suspicious combination of HTA and PowerShell mshta. exe (Microsoft HTML application Host) est un fichier binaire Microsoft signé qui est utilisé par les attaquants pour lancer des commandes PowerShell malveillantes.mshta.exe (Microsoft HTML Application Host) which is a signed Microsoft binary is being used by the attackers to launch malicious PowerShell commands. Les attaquants ont souvent recours à un fichier HTA avec VBScript inclus.Attackers often resort to having an HTA file with inline VBScript. Lorsque la victime parcourt le fichier HTA et choisit de l’exécuter, les commandes et les scripts PowerShell qu’il contient sont exécutés.When a victim browses to the HTA file and chooses to run it, the PowerShell commands and scripts that it contains are executed. L’analyse des données de l’hôte sur%{Hôte compromis} a détecté le lancement par mshta.exe de commandes PowerShell.Analysis of host data on %{Compromised Host} detected mshta.exe launching PowerShell commands. - MoyenneMedium
Détection d’arguments de ligne de commande suspectsDetected suspicious commandline arguments L’analyse des données de l’hôte sur %{Hôte compromis} a détecté que des arguments de ligne de commande suspects ont été utilisés conjointement avec un interpréteur de commandes inverse utilisé par le groupe d’activités HYDROGEN.Analysis of host data on %{Compromised Host} detected suspicious commandline arguments that have been used in conjunction with a reverse shell used by activity group HYDROGEN. - ÉlevéHigh
Détection d’une ligne de commande suspecte utilisée pour démarrer tous les exécutables dans un répertoireDetected suspicious commandline used to start all executables in a directory L’analyse des données de l’hôte a détecté un processus suspect en cours d’exécution sur %{Hôte compromis}.Analysis of host data has detected a suspicious process running on %{Compromised Host}. La ligne de commande indique une tentative de démarrage de tous les exécutables (*.exe) qui peuvent résider dans un répertoire.The commandline indicates an attempt to start all executables (*.exe) that may reside in a directory. Il peut s’agir d’une indication que l’hôte est compromis.This could be an indication of a compromised host. - MoyenneMedium
Détection d’informations d’identification suspectes dans la ligne de commandeDetected suspicious credentials in commandline L’analyse des données de l’hôte sur %{Hôte compromis} a détecté un mot de passe suspect utilisé pour exécuter un fichier par le groupe d’activités BORON.Analysis of host data on %{Compromised Host} detected a suspicious password being used to execute a file by activity group BORON. Ce groupe d’activités utilise souvent ce mot de passe pour exécuter des programmes malveillants Pirpi sur l’hôte victime.This activity group has been known to use this password to execute Pirpi malware on a victim host. - ÉlevéHigh
Détection d’informations d’identification de document suspectesDetected suspicious document credentials L’analyse des données de l’hôte sur %{Hôte compromis} indique qu’un hachage de mot de passe précalculé, commun et suspect est utilisé par des programmes malveillants pour exécuter un fichier.Analysis of host data on %{Compromised Host} detected a suspicious, common precomputed password hash used by malware being used to execute a file. Le groupe d’activité HYDROGEN utilise souvent ce mot de passe pour exécuter des programmes malveillants sur l’hôte victime.Activity group HYDROGEN has been known to use this password to execute malware on a victim host. - ÉlevéHigh
Détection de l’exécution suspecte de la commande VBScript.EncodeDetected suspicious execution of VBScript.Encode command L’analyse des données de l’hôte sur %{Hôte compromis} a détecté l’exécution de la commande VBScript.Encode.Analysis of host data on %{Compromised Host} detected the execution of VBScript.Encode command. Cette commande encode les scripts en texte illisible, ce qui rend plus difficile l’examen du code par les utilisateurs.This encodes the scripts into unreadable text, making it more difficult for users to examine the code. La recherche Microsoft sur les menaces montre que les attaquants utilisent souvent des fichiers VBscript encodés dans le cadre de leur attaque afin d’échapper aux systèmes de détection.Microsoft threat research shows that attackers often use encoded VBscript files as part of their attack to evade detection systems. Il peut s’agir d’une activité légitime ou du signe que l’hôte est compromis.This could be legitimate activity, or an indication of a compromised host. - MoyenneMedium
Détection d’une exécution suspecte via rundll32.exeDetected suspicious execution via rundll32.exe L’analyse des données de l’hôte sur %{Hôte compromis} a détecté que rundll32.exe avait été utilisé pour exécuter un processus avec un nom rare, conformément au schéma d’attribution de noms de processus précédemment constaté chez le groupe GOLD lors de l’installation de son implantation initiale sur un hôte compromis.Analysis of host data on %{Compromised Host} detected rundll32.exe being used to execute a process with an uncommon name, consistent with the process naming scheme previously seen used by activity group GOLD when installing their first stage implant on a compromised host. - ÉlevéHigh
Détection de commandes suspectes de nettoyage de fichierDetected suspicious file cleanup commands L’analyse des données de l’hôte sur %{Hôte compromis} a détecté une combinaison de commandes systemInfo qui a déjà été associée à l’une des méthodes du groupe d’activités GOLD pour ses activités de nettoyage après action.Analysis of host data on %{Compromised Host} detected a combination of systeminfo commands that has previously been associated with one of activity group GOLD's methods of performing post-compromise self-cleanup activity. Même si systeminfo.exe est un outil Windows légitime, une exécution deux fois de suite, suivie d’une commande de suppression comme survenue ici est rare.While 'systeminfo.exe' is a legitimate Windows tool, executing it twice in succession, followed by a delete command in the way that has occurred here is rare. - ÉlevéHigh
Détection d’une création de fichier suspecteDetected suspicious file creation L’analyse des données de l’hôte sur l’hôte %{Hôte compromis} a détecté la création ou l’exécution d’un processus qui a déjà indiqué une action suite à une attaque menée sur un hôte victime par le groupe d’activités BARIUM.Analysis of host data on %{Compromised Host} detected creation or execution of a process which has previously indicated post-compromise action taken on a victim host by activity group BARIUM. Ce groupe est réputé pour utiliser cette technique pour télécharger des logiciels malveillants supplémentaires vers un hôte compromis après l’ouverture d’une pièce jointe dans un document de hameçonnage.This activity group has been known to use this technique to download additional malware to a compromised host after an attachment in a phishing doc has been opened. - ÉlevéHigh
Détection de communications de canal nommé suspectesDetected suspicious named pipe communications L’analyse des données de l’hôte sur %{Hôte compromis} a détecté l’écriture de données dans un canal nommé local à partir d’une commande de la console Windows.Analysis of host data on %{Compromised Host} detected data being written to a local named pipe from a Windows console command. Les canaux nommés sont souvent utilisés par les attaquants afin d’attribuer et de communiquer avec un implant malveillant.Named pipes are known to be a channel used by attackers to task and communicate with a malicious implant. Il peut s’agir d’une activité légitime ou du signe que l’hôte est compromis.This could be legitimate activity, or an indication of a compromised host. - ÉlevéHigh
Détection d’une activité réseau suspecteDetected suspicious network activity L’analyse du trafic réseau provenant de %{Hôte compromis} a détecté une activité réseau suspecte.Analysis of network traffic from %{Compromised Host} detected suspicious network activity. Ce type de trafic, même s’il est peut-être bénin, est généralement utilisé par les attaquants pour communiquer avec des serveurs malveillants afin de télécharger des outils, des commandes et des contrôles et procéder à l’exfiltration de données.Such traffic, while possibly benign, is typically used by an attacker to communicate with malicious servers for downloading of tools, command-and-control and exfiltration of data. Les activités typiques consistent à copier les outils d’administration à distance sur un hôte compromis et à en exfiltrer les données utilisateur.Typical related attacker activity includes copying remote administration tools to a compromised host and exfiltrating user data from it. - FaibleLow
Détection d’une nouvelle règle de pare-feu suspecteDetected suspicious new firewall rule L’analyse des données de l’hôte a détecté l’ajout d’une règle de pare-feu via netsh.exe pour autoriser le trafic à partir d’un exécutable situé dans un emplacement suspect.Analysis of host data detected a new firewall rule has been added via netsh.exe to allow traffic from an executable in a suspicious location. - MoyenneMedium
Détection de l’utilisation suspecte de Cacls pour abaisser le niveau de sécurité du systèmeDetected suspicious use of Cacls to lower the security state of the system Les attaquants utilisent tout un arsenal de procédures, comme la force brute, le harponnage, etc., pour créer une brèche sur le réseau et y entrer.Attackers use myriad ways like brute force, spear phishing etc. to achieve initial compromise and get a foothold on the network. Une fois l’attaque initiale effectuée, ils prennent souvent des mesures pour réduire les paramètres de sécurité du système.Once initial compromise is achieved they often take steps to lower the security settings of a system. Cacls, ou modification de liste de contrôle d’accès, est un utilitaire en ligne de commande Microsoft Windows natif souvent utilisé pour modifier les autorisations de sécurité sur les dossiers et les fichiers.Cacls—short for change access control list is Microsoft Windows native command-line utility often used for modifying the security permission on folders and files. Souvent, le fichier binaire est utilisé par les attaquants pour abaisser le niveau de sécurité du système.A lot of time the binary is used by the attackers to lower the security settings of a system. Pour ce faire, tous les utilisateurs se voient attribuer ont un accès complet à certains fichiers binaires du système, comme ftp.exe, net.exe, wscript.exe, etc. L’analyse des données de l’hôte sur %{Hôte compromis} a détecté une utilisation suspecte de cacls pour réduire la sécurité du système.This is done by giving Everyone full access to some of the system binaries like ftp.exe, net.exe, wscript.exe etc. Analysis of host data on %{Compromised Host} detected suspicious use of Cacls to lower the security of a system. - MoyenneMedium
Détection d’une utilisation suspecte du commutateur FTP -sDetected suspicious use of FTP -s Switch L’analyse des données de création de processus de %{Hôte compromis} a détecté l’utilisation du commutateur FTP « -s:filename ».Analysis of process creation data from the %{Compromised Host} detected the use of the FTP "-s:filename" switch. Ce commutateur est utilisé pour spécifier un fichier de script FTP à exécuter par le client.This switch is used to specify an FTP script file for the client to run. Les programmes ou processus malveillants sont connus pour utiliser ce commutateur FTP (-s :nom_fichier) pour pointer vers un fichier de script configuré pour se connecter à un serveur FTP distant et télécharger d’autres fichiers binaires malveillants.Malware or malicious processes are known to use this FTP switch (-s:filename) to point to a script file which is configured to connect to a remote FTP server and download additional malicious binaries. - MoyenneMedium
Détection d’une utilisation suspecte de Pcalua.exe pour lancer le code exécutableDetected suspicious use of Pcalua.exe to launch executable code L’analyse des données de l’hôte sur %{Hôte compromis} a détecté l’utilisation de pcalua.exe pour lancer du code exécutable.Analysis of host data on %{Compromised Host} detected the use of pcalua.exe to launch executable code. Pcalua.exe est un composant de l’Assistant Compatibilité des programmes de Microsoft Windows, qui détecte les problèmes de compatibilité lors de l’installation ou de l’exécution d’un programme.Pcalua.exe is component of the Microsoft Windows "Program Compatibility Assistant" which detects compatibility issues during the installation or execution of a program. Les attaquants abusent souvent des fonctionnalités des outils système Windows légitimes pour exécuter des actions malveillantes, par exemple en utilisant pcalua.exe avec le commutateur -a pour lancer des exécutables malveillants, localement ou à partir de partages distants.Attackers are known to abuse functionality of legitimate Windows system tools to perform malicious actions, for example using pcalua.exe with the -a switch to launch malicious executables either locally or from remote shares. - MoyenneMedium
Détection de la désactivation de services essentielsDetected the disabling of critical services L’analyse des données de l’hôte sur %{Hôte compromis} a détecté l’exécution de la commande « net.exe stop », utilisée pour arrêter les services critiques tels que SharedAccess ou Windows Security Center.The analysis of host data on %{Compromised Host} detected execution of "net.exe stop" command being used to stop critical services like SharedAccess or Windows Security Center. L’arrêt de l’un de ces services peut indiquer un comportement malveillant.The stopping of either of these services can be indication of a malicious behavior. - MoyenneMedium
Détection d’un comportement lié au minage de devises numériquesDigital currency mining related behavior detected L’analyse des données de l’hôte sur %{Hôte compromis} a détecté l’exécution d’un processus ou d’une commande qui est normalement associé au minage de devises numériques.Analysis of host data on %{Compromised Host} detected the execution of a process or command normally associated with digital currency mining. - ÉlevéHigh
Construction de script dynamique PSDynamic PS script construction L’analyse des données de l’hôte sur %{Hôte compromis} a détecté la construction dynamique d’un script PowerShell.Analysis of host data on %{Compromised Host} detected a PowerShell script being constructed dynamically. Les attaquants utilisent parfois cette approche pour générer un script progressivement afin d’échapper aux systèmes IDS.Attackers sometimes use this approach of progressively building up a script in order to evade IDS systems. Il peut s’agir d’une activité légitime, ou d’une indication qu’une de vos machines a été compromise.This could be legitimate activity, or an indication that one of your machines has been compromised. - MoyenneMedium
Détection d’un fichier exécutable en cours d’exécution dans un emplacement suspectExecutable found running from a suspicious location L’analyse des données de l’hôte a détecté un fichier exécutable %{Hôte compromis} qui s’exécute dans un emplacement commun avec des fichiers suspects connus.Analysis of host data detected an executable file on %{Compromised Host} that is running from a location in common with known suspicious files. Cet exécutable peut être une activité légitime ou un signe que l’hôte est compromis.This executable could either be legitimate activity, or an indication of a compromised host. - ÉlevéHigh
Technique d’attaque sans fichier détectéeFileless attack technique detected La mémoire du processus spécifié ci-dessous contient une preuve de technique d’attaque sans fichier.The memory of the process specified below contains evidence of a fileless attack technique. Les attaques sans fichier sont utilisées par les attaquants pour exécuter du code tout en échappant à la détection par le logiciel de sécurité.Fileless attacks are used by attackers to execute code while evading detection by security software. Les comportements spécifiques sont les suivants :Specific behaviors include:
1) Code d’interpréteur de commandes, qui est un petit morceau de code généralement utilisé comme charge utile dans l’exploitation d’une vulnérabilité logicielle.1) Shellcode, which is a small piece of code typically used as the payload in the exploitation of a software vulnerability.
2) Image exécutable injectée dans le processus, tel qu’une attaque par injection de code.2) Executable image injected into the process, such as in a code injection attack.
3) Connexions réseau actives.3) Active network connections. Pour plus d’informations, consultez NetworkConnections ci-dessous.See NetworkConnections below for details.
4) Appels de fonction aux interfaces de système d’exploitation sensibles à la sécurité.4) Function calls to security sensitive operating system interfaces. Consultez les fonctionnalités ci-dessous pour obtenir des fonctionnalités de système d’exploitation référencées.See Capabilities below for referenced OS capabilities.
5) Processus creux, qui est une technique utilisée par un programme malveillant dans lequel un processus légitime est chargé sur le système pour agir en tant que conteneur du code hostile.5) Process hollowing, which is a technique used by malware in which a legitimate process is loaded on the system to act as a container for hostile code.
6) Contient un thread qui a été démarré dans un segment de code alloué dynamiquement.6) Contains a thread that was started in a dynamically allocated code segment. Il s’agit d’un modèle courant pour les attaques par injection de processus.This is a common pattern for process injection attacks.
DefenseEvasion / ExécutionDefenseEvasion / Execution ÉlevéHigh
Comportement d’attaque sans fichier détectéFileless attack behavior detected La mémoire du processus spécifié contient des comportements fréquemment utilisés par les attaques sans fichier.The memory of the process specified contains behaviors commonly used by fileless attacks. Les comportements spécifiques sont les suivants :Specific behaviors include:
1) Code d’interpréteur de commandes, qui est un petit morceau de code généralement utilisé comme charge utile dans l’exploitation d’une vulnérabilité logicielle.1) Shellcode, which is a small piece of code typically used as the payload in the exploitation of a software vulnerability.
2) Connexions réseau actives.2) Active network connections. Pour plus d’informations, consultez NetworkConnections ci-dessous.See NetworkConnections below for details.
3) Appels de fonction aux interfaces de système d’exploitation sensibles à la sécurité.3) Function calls to security sensitive operating system interfaces. Consultez les fonctionnalités ci-dessous pour obtenir des fonctionnalités de système d’exploitation référencées.See Capabilities below for referenced OS capabilities.
4) Contient un thread qui a été démarré dans un segment de code alloué dynamiquement.4) Contains a thread that was started in a dynamically allocated code segment. Il s’agit d’un modèle courant pour les attaques par injection de processus.This is a common pattern for process injection attacks.
DefenseEvasionDefenseEvasion FaibleLow
Kit d’attaques sans fichier détectéFileless attack toolkit detected La mémoire du processus spécifié contient un kit de ressources des attaques sans fichier : [nom du kit de ressources].The memory of the process specified contains a fileless attack toolkit: [toolkit name]. Les kits d’attaques sans fichier utilisent des techniques qui réduisent ou éliminent les traces de logiciels malveillants sur disque et réduisent considérablement les chances de détection par des solutions d’analyse de logiciels malveillants sur disque.Fileless attack toolkits use techniques that minimize or eliminate traces of malware on disk, and greatly reduce the chances of detection by disk-based malware scanning solutions. Les comportements spécifiques sont les suivants :Specific behaviors include:
1) Trousses à outils et logiciels d’exploration de données de chiffrement connus.1) Well-known toolkits and crypto mining software.
2) Code d’interpréteur de commandes, qui est un petit morceau de code généralement utilisé comme charge utile dans l’exploitation d’une vulnérabilité logicielle.2) Shellcode, which is a small piece of code typically used as the payload in the exploitation of a software vulnerability.
3) Injection d’un exécutable malveillant dans la mémoire du processus.3) Injected malicious executable in process memory.
DefenseEvasionDefenseEvasion MoyenneMedium
Détection d’un logiciel à haut risqueHigh risk software detected L’analyse des données de l’hôte %{Hôte compromis} a détecté l’utilisation de logiciels qui ont déjà été associés à l’installation de logiciels malveillants.Analysis of host data from %{Compromised Host} detected the usage of software that has been associated with the installation of malware in the past. Une technique courante utilisée dans la distribution de logiciels malveillants consiste à les empaqueter dans des outils bénins, comme celui présenté dans cette alerte.A common technique utilized in the distribution of malicious software is to package it within otherwise benign tools such as the one seen in this alert. Lors de l’utilisation de ces outils, les logiciels malveillants peuvent être installés en arrière-plan de façon silencieuse.Upon using these tools, the malware can be silently installed in the background. - MoyenneMedium
Les membres du groupe Administrateurs locaux ont été énumérésLocal Administrators group members were enumerated Les journaux de l’ordinateur indiquent une énumération réussie sur le groupe %{Nom de domaine de groupe énuméré}%{Nom de groupe énuméré}.Machine logs indicate a successful enumeration on group %{Enumerated Group Domain Name}%{Enumerated Group Name}. Plus précisément, %{Énumération du nom de domaine de l’utilisateur}%{Énumération du nom d’utilisateur} a énuméré à distance les membres du groupe %{Nom de domaine du groupe énuméré}%{Nom du groupe énuméré}.Specifically, %{Enumerating User Domain Name}%{Enumerating User Name} remotely enumerated the members of the %{Enumerated Group Domain Name}%{Enumerated Group Name} group. Il s’agit peut-être d’une activité légitime ou bien d’une indication qu’un des ordinateurs de votre organisation a été compromis et utilisé pour la reconnaissance de %{nom_machine_virtuelle}.This activity could either be legitimate activity, or an indication that a machine in your organization has been compromised and used to reconnaissance %{vmname}. - InformationnelInformational
Activité SQL malveillanteMalicious SQL activity Les journaux de l’ordinateur indiquent que %{Nom du processus} a été exécuté par le compte : %{Nom d’utilisateur}.Machine logs indicate that '%{process name}' was executed by account: %{user name}. Cette activité est considérée comme malveillante.This activity is considered malicious. - ÉlevéHigh
Règle de pare-feu malveillante créée par l’implant de serveur ZINC [constaté plusieurs fois]Malicious firewall rule created by ZINC server implant [seen multiple times] Une règle de pare-feu a été créée à l’aide de techniques qui correspondent à un acteur connu, ZINC.A firewall rule was created using techniques that match a known actor, ZINC. Cette règle a peut-être été utilisée pour ouvrir un port sur l’hôte %{Hôte compromis} afin d’autoriser les communications de contrôle et de commande.The rule was possibly used to open a port on %{Compromised Host} to allow for Command & Control communications. Ce comportement a été observé [x] fois aujourd’hui sur les ordinateurs suivants : [noms des ordinateurs]This behavior was seen [x] times today on the following machines: [Machine names] - ÉlevéHigh
Interrogations de plusieurs comptes de domaineMultiple Domain Accounts Queried L’analyse des données de l’hôte a déterminé qu’un nombre inhabituel de comptes de domaine distincts sont interrogés dans un laps de temps court depuis %{Hôte compromis}.Analysis of host data has determined that an unusual number of distinct domain accounts are being queried within a short time period from %{Compromised Host}. Ce type d’activité peut être légitime, mais peut également être l’indication d’une attaque.This kind of activity could be legitimate, but can also be an indication of compromise. - MoyenneMedium
Possible détection d’un vidage des informations d’identification [constaté plusieurs fois]Possible credential dumping detected [seen multiple times] L’analyse des données de l’hôte a détecté l’utilisation d’un outil Windows natif (par exemple, sqldumper.exe) de façon à extraire des informations d’identification de la mémoire.Analysis of host data has detected use of native windows tool (e.g. sqldumper.exe) being used in a way that allows to extract credentials from memory. Les attaquants utilisent souvent ces techniques pour extraire des informations d’identification qu’ils utilisent ensuite pour se déplacer et pour augmenter les privilèges.Attackers often use these techniques to extract credentials that they then further use for lateral movement and privilege escalation. Ce comportement a été observé [x] fois aujourd’hui sur les ordinateurs suivants : [noms des ordinateurs]This behavior was seen [x] times today on the following machines: [Machine names] - MoyenneMedium
Possible détection d’une tentative de contournement d’AppLockerPotential attempt to bypass AppLocker detected L’analyse des données hôte sur %{Hôte compromis} a détecté le contournement possible des restrictions d’AppLocker.Analysis of host data on %{Compromised Host} detected a potential attempt to bypass AppLocker restrictions. AppLocker peut être configuré pour mettre en œuvre une stratégie qui limite les exécutables autorisés à s’exécuter sur un système Windows.AppLocker can be configured to implement a policy that limits what executables are allowed to run on a Windows system. Le modèle de ligne de commande similaire à celui identifié dans cette alerte a déjà été associé aux actions d’un attaquant qui tentait de contourner la stratégie AppLocker à l’aide de fichiers exécutables approuvés (autorisés par la stratégie AppLocker) pour exécuter du code non approuvé.The command-line pattern similar to that identified in this alert has been previously associated with attacker attempts to circumvent AppLocker policy by using trusted executables (allowed by AppLocker policy) to execute untrusted code. Il peut s’agir d’une activité légitime ou du signe que l’hôte est compromis.This could be legitimate activity, or an indication of a compromised host. - ÉlevéHigh
Détection de l’exécution de PsExecPsExec execution detected L’analyse des données de l’hôte indique que le processus %{Nom du processus} a été exécuté par l’utilitaire PsExec.Analysis of host data indicates that the process %{Process Name} was executed by PsExec utility. PsExec peut être utilisé pour exécuter des processus à distance.PsExec can be used for running processes remotely. Cette technique peut être utilisée à des fins malveillantes.This technique might be used for malicious purposes. - InformationnelInformational
Détection d’indicateurs de ransomware [constaté plusieurs fois]Ransomware indicators detected [seen multiple times] L’analyse des données de l’hôte indique une activité suspecte généralement associée aux ransomware par écran de verrouillage et chiffrement.Analysis of host data indicates suspicious activity traditionally associated with lock-screen and encryption ransomware. Le ransomware avec écran de verrouillage affiche un message en plein écran qui empêche l’utilisation de l’hôte et l’accès aux fichiers qu’il contient.Lock screen ransomware displays a full-screen message preventing interactive use of the host and access to its files. Le ransomware avec chiffrement empêche l’accès aux fichiers de données en les chiffrant.Encryption ransomware prevents access by encrypting data files. Dans les deux cas, un message de rançon s’affiche généralement, demandant le paiement de la rançon avant de restaurer l’accès aux fichiers.In both cases a ransom message is typically displayed, requesting payment in order to restore file access. Ce comportement a été observé [x] fois aujourd’hui sur les ordinateurs suivants : [noms des ordinateurs]This behavior was seen [x] times today on the following machines: [Machine names] - ÉlevéHigh
Détection d’indicateurs de ransomwareRansomware indicators detected L’analyse des données de l’hôte indique une activité suspecte généralement associée aux ransomware par écran de verrouillage et chiffrement.Analysis of host data indicates suspicious activity traditionally associated with lock-screen and encryption ransomware. Le ransomware avec écran de verrouillage affiche un message en plein écran qui empêche l’utilisation de l’hôte et l’accès aux fichiers qu’il contient.Lock screen ransomware displays a full-screen message preventing interactive use of the host and access to its files. Le ransomware avec chiffrement empêche l’accès aux fichiers de données en les chiffrant.Encryption ransomware prevents access by encrypting data files. Dans les deux cas, un message de rançon s’affiche généralement, demandant le paiement de la rançon avant de restaurer l’accès aux fichiers.In both cases a ransom message is typically displayed, requesting payment in order to restore file access. - ÉlevéHigh
Groupe de service SVCHOST rare exécutéRare SVCHOST service group executed Le processus système SVCHOST a exécuté dans un groupe de services rare.The system process SVCHOST was observed running a rare service group. Le programme malveillant utilise souvent SVCHOST pour masquer des activités malveillantes.Malware often uses SVCHOST to masquerade its malicious activity. - InformationnelInformational
Détection d’attaque des touches rémanentesSticky keys attack detected L’analyse des données de l’hôte indique qu’un attaquant est peut-être en train de compromettre un binaire d’accessibilité (par exemple, les touches rémanentes, le clavier visuel, le narrateur) afin de fournir un accès par une porte dérobée à l’hôte %{Hôte compromis}.Analysis of host data indicates that an attacker may be subverting an accessibility binary (for example sticky keys, onscreen keyboard, narrator) in order to provide backdoor access to the host %{Compromised Host}. - MoyenneMedium
Attaque par force brute réussieSuccessful brute force attack Plusieurs tentatives de connexion ont été détectées à partir de la même source.Several sign in attempts were detected from the same source. Certaines authentification ont réussi.Some successfully authenticated to the host.
Ceci ressemble à une attaque en rafale, dans laquelle l’attaquant effectue de nombreuses tentatives d’authentification pour trouver des informations d'identification de compte valides.This resembles a burst attack, in which an attacker performs numerous authentication attempts to find valid account credentials.
- Moyenne/élevéeMedium/High
Niveau d’intégrité suspect indiquant un détournement RDPSuspect integrity level indicative of RDP hijacking L’analyse des données de l’hôte a détecté l’exécution de tscon.exe avec des privilèges système. Cela peut indiquer qu’un intrus abusait de ce fichier binaire pour changer de contexte et passer à un autre utilisateur connecté sur cet ordinateur hôte. Il s’agit d’une technique d’attaque connue pour compromettre d’autres comptes d’utilisateur et se déplacer sur un réseau.Analysis of host data has detected the tscon.exe running with SYSTEM privileges - this can be indicative of an attacker abusing this binary in order to switch context to any other logged on user on this host; it is a known attacker technique to compromise additional user accounts and move laterally across a network. - MoyenneMedium
Installation de service suspecteSuspect service installation L’analyse des données de l’hôte a détecté l’installation de tscon.exe en tant que service : ce fichier binaire démarré comme service permet potentiellement à un attaquant de changer facilement d’utilisateur connecté sur cet ordinateur hôte en détournant les connexions RDP. Il s’agit d’une technique d’attaque connue pour compromettre d’autres comptes d’utilisateur et se déplacer sur un réseau.Analysis of host data has detected the installation of tscon.exe as a service: this binary being started as a service potentially allows an attacker to trivially switch to any other logged on user on this host by hijacking RDP connections; it is a known attacker technique to compromise additional user accounts and move laterally across a network. - MoyenneMedium
Détection de paramètres d’attaque Kerberos Golden Ticket suspectsSuspected Kerberos Golden Ticket attack parameters observed L’analyse des données de l’hôte a détecté des paramètres de ligne de commande ressemblant à une attaque Kerberos Golden Ticket.Analysis of host data detected commandline parameters consistent with a Kerberos Golden Ticket attack. - MoyenneMedium
Détection de création de compte suspecteSuspicious Account Creation Detected L’analyse des données de l’hôte sur %{Hôte compromis} a détecté la création ou l’utilisation du compte local %{Nom du compte suspect} : ce nom de compte ressemble à un compte Windows standard ou à un nom de groupe %{Similaire au nom du compte}.Analysis of host data on %{Compromised Host} detected creation or use of a local account %{Suspicious account name} : this account name closely resembles a standard Windows account or group name '%{Similar To Account Name}'. Il s’agit peut-être d’un compte non autorisé créé par un attaquant et nommé ainsi pour éviter d’être remarqué par un administrateur humain.This is potentially a rogue account created by an attacker, so named in order to avoid being noticed by a human administrator. - MoyenneMedium
Activité suspecte détectéeSuspicious Activity Detected L’analyse des données de l’hôte a détecté une séquence d’un ou plusieurs processus en cours d’exécution sur %{nom de l’ordinateur} qui ont déjà été associés à une activité malveillante.Analysis of host data has detected a sequence of one or more processes running on %{machine name} that have historically been associated with malicious activity. Alors que des commandes individuelles peuvent sembler sans gravité, l’alerte est basée sur une agrégation de ces commandes.While individual commands may appear benign the alert is scored based on an aggregation of these commands. Il peut s’agir d’une activité légitime ou du signe que l’hôte est compromis.This could either be legitimate activity, or an indication of a compromised host. - MoyenneMedium
Détection d’activité PowerShell suspecteSuspicious PowerShell Activity Detected L’analyse des données de l’hôte a détecté un script PowerShell s’exécutant sur %{Hôte compromis}, avec des caractéristiques courantes dans les scripts suspects connus.Analysis of host data detected a PowerShell script running on %{Compromised Host} that has features in common with known suspicious scripts. Il peut s’agir d’une activité légitime ou du signe que l’hôte est compromis.This script could either be legitimate activity, or an indication of a compromised host. - ÉlevéHigh
Exécution de cmdlets PowerShell suspectsSuspicious PowerShell cmdlets executed L’analyse des données de l’hôte indique l’exécution de cmdlets PowerShell PowerSploit malveillants connus.Analysis of host data indicates execution of known malicious PowerShell PowerSploit cmdlets. - MoyenneMedium
Activité SQL suspecteSuspicious SQL activity Les journaux de l’ordinateur indiquent que %{Nom du processus} a été exécuté par le compte : %{Nom d’utilisateur}.Machine logs indicate that '%{process name}' was executed by account: %{user name}. Cette activité est rare avec ce compte.This activity is uncommon with this account. - MoyenneMedium
Exécution suspecte du processus SVCHOSTSuspicious SVCHOST process executed Le processus système SVCHOST a été exécuté dans un contexte anormal.The system process SVCHOST was observed running in an abnormal context. Le programme malveillant utilise souvent SVCHOST pour masquer des activités malveillantes.Malware often uses SVCHOST to masquerade its malicious activity. - ÉlevéHigh
Exécution d’un processus d’économiseur d’écran suspectSuspicious Screensaver process executed L’exécution du processus « %{nom du processus} » a été constatée dans un emplacement rare.The process '%{process name}' was observed executing from an uncommon location. Les fichiers avec les extensions .scr sont des fichiers de l’écran de veille et sont normalement présents dans répertoire système de Windows et exécutés dans ce même répertoire.Files with the .scr extensions are screen saver files and are normally reside and execute from the Windows system directory. - MoyenneMedium
Activité suspecte de copie de clichés instantanés de volumeSuspicious Volume Shadow Copy Activity L’analyse des données de l’hôte a détecté une activité de suppression des clichés instantanés sur la ressource.Analysis of host data has detected a shadow copy deletion activity on the resource. Le cliché instantané de volume (VSC) est un artefact important qui stocke des clichés instantanés de données.Volume Shadow Copy (VSC) is an important artifact that stores data snapshots. Certains logiciels malveillants, et en particulier les ransomwares, ciblent VSC pour saboter les stratégies de sauvegarde.Some malware and specifically Ransomware, targets VSC to sabotage backup strategies. - ÉlevéHigh
Détection d’une valeur de Registre WindowPosition suspecteSuspicious WindowPosition registry value detected L’analyse des données de l’hôte sur %{Hôte compromis} a détecté une tentative de modification de la configuration de Registre WindowPosition, ce qui peut indiquer un masquage de fenêtres d’application dans des parties non visibles du bureau.Analysis of host data on %{Compromised Host} detected an attempted WindowPosition registry configuration change that could be indicative of hiding application windows in non-visible sections of the desktop. Il peut s’agir d’une activité légitime ou d’une indication que l’ordinateur est compromis : ce type d’activité a déjà été associé à un logiciel de publicité connu (ou à un logiciel indésirable), par exemple Win32/OneSystemCare et Win32/SystemHealer et à un programme malveillant tel que Win32/Creprote.This could be legitimate activity, or an indication of a compromised machine: this type of activity has been previously associated with known adware (or unwanted software) such as Win32/OneSystemCare and Win32/SystemHealer and malware such as Win32/Creprote. Lorsque la valeur de WindowPosition est définie sur 201329664, (hex : 0x0c00 0C00, ce qui correspond à axe X = 0c00 et axe Y = 0c00), la fenêtre de l’application console est placée dans une partie non visible de l’écran de l’utilisateur, dans une zone masquée par le menu Démarrer/la barre des tâches visible.When the WindowPosition value is set to 201329664, (Hex: 0x0c00 0c00, corresponding to X-axis=0c00 and the Y-axis=0c00) this places the console app's window in a non-visible section of the user's screen in an area that is hidden from view below the visible start menu/taskbar. La valeur hexadécimale suspecte connue comprend entre autres c000c000.Known suspect Hex value includes, but not limited to c000c000 - FaibleLow
Activité d’authentification suspecteSuspicious authentication activity Bien qu’aucun d’entre eux n’ait abouti, certains comptes utilisés ont été reconnus par l’hôte.Although none of them succeeded, some of them used accounts were recognized by the host. Cela ressemble à une attaque par dictionnaire, dans laquelle l’attaquant effectue de nombreuses tentatives d’authentification à l’aide d’un dictionnaire prédéfini de noms de comptes et de mots de passe, afin de trouver des informations d’identification valides pour accéder à l’hôte.This resembles a dictionary attack, in which an attacker performs numerous authentication attempts using a dictionary of predefined account names and passwords in order to find valid credentials to access the host. Cela indique que certains noms de compte de votre hôte peuvent se trouver dans un dictionnaire de noms de compte connus.This indicates that some of your host account names might exist in a well-known account name dictionary. - MoyenneMedium
Détection de segment de code suspectSuspicious code segment detected Indique qu’un segment de code a été alloué à l’aide de méthodes non standard, comme l’injection par réflexion et le remplacement de processus (« process hollowing »).Indicates that a code segment has been allocated by using non-standard methods, such as reflective injection and process hollowing. L’alerte présente d’autres caractéristiques du segment de code qui a été traité pour fournir un contexte relatif aux fonctionnalités et aux comportements du segment de code indiqué.The alert provides additional characteristics of the code segment that have been processed to provide context for the capabilities and behaviors of the reported code segment. - MoyenneMedium
Exécution de commande suspecteSuspicious command execution Les journaux de l’ordinateur indiquent l’exécution d’une ligne de commande suspecte par l’utilisateur %{nom d’utilisateur}.Machine logs indicate a suspicious command-line execution by user %{user name}. -
Exécution suspecte d’un fichier à double extensionSuspicious double extension file executed L’analyse des données de l’hôte indique l’exécution d’un processus avec une double extension suspecte.Analysis of host data indicates an execution of a process with a suspicious double extension. Cette extension peut amener l’utilisateur à penser que les fichiers peuvent être ouverts en toute sécurité, ce qui peut indiquer la présence de programmes malveillants dans le système.This extension may trick users into thinking files are safe to be opened and might indicate the presence of malware on the system. - ÉlevéHigh
Détection d’un téléchargement suspect à l’aide de Certutil [constaté plusieurs fois]Suspicious download using Certutil detected [seen multiple times] L’analyse des données de l’hôte sur %{Hôte compromis} a détecté l’utilisation de certutil. exe, un utilitaire administrateur intégré, pour le téléchargement d’un fichier binaire au lieu de son usage général qui concerne la manipulation des certificats et des données des certificats.Analysis of host data on %{Compromised Host} detected the use of certutil.exe, a built-in administrator utility, for the download of a binary instead of its mainstream purpose that relates to manipulating certificates and certificate data. Les attaquants sont connus pour abuser des fonctionnalités d’outils d’administration légitimes afin d’effectuer des actions malveillantes, par exemple en utilisant certutil.exe pour télécharger et décoder un fichier exécutable qui sera ensuite exécuté.Attackers are known to abuse functionality of legitimate administrator tools to perform malicious actions, for example using certutil.exe to download and decode a malicious executable that will then be subsequently executed. Ce comportement a été observé [x] fois aujourd’hui sur les ordinateurs suivants : [noms des ordinateurs]This behavior was seen [x] times today on the following machines: [Machine names] - MoyenneMedium
Détection d’un téléchargement suspect à l’aide de CertutilSuspicious download using Certutil detected L’analyse des données de l’hôte sur %{Hôte compromis} a détecté l’utilisation de certutil. exe, un utilitaire administrateur intégré, pour le téléchargement d’un fichier binaire au lieu de son usage général qui concerne la manipulation des certificats et des données des certificats.Analysis of host data on %{Compromised Host} detected the use of certutil.exe, a built-in administrator utility, for the download of a binary instead of its mainstream purpose that relates to manipulating certificates and certificate data. Les attaquants sont connus pour abuser des fonctionnalités d’outils d’administration légitimes afin d’effectuer des actions malveillantes, par exemple en utilisant certutil.exe pour télécharger et décoder un fichier exécutable qui sera ensuite exécuté.Attackers are known to abuse functionality of legitimate administrator tools to perform malicious actions, for example using certutil.exe to download and decode a malicious executable that will then be subsequently executed. - MoyenneMedium
Exécution d’un processus suspect [constaté plusieurs fois]Suspicious process executed [seen multiple times] Les journaux de l’ordinateur indiquent que le processus suspect %{processus suspect} était en cours d’exécution sur l’ordinateur. Il est souvent associé aux tentatives d’accès aux informations d’identification par un attaquant.Machine logs indicate that the suspicious process: '%{Suspicious Process}' was running on the machine, often associated with attacker attempts to access credentials. Ce comportement a été observé [x] fois aujourd’hui sur les ordinateurs suivants : [noms des ordinateurs]This behavior was seen [x] times today on the following machines: [Machine names] - ÉlevéHigh
Exécution d’un processus suspectSuspicious process executed Les journaux de l’ordinateur indiquent que le processus suspect %{processus suspect} était en cours d’exécution sur l’ordinateur. Il est souvent associé aux tentatives d’accès aux informations d’identification par un attaquant.Machine logs indicate that the suspicious process: '%{Suspicious Process}' was running on the machine, often associated with attacker attempts to access credentials. - ÉlevéHigh
Détection d’un nom de processus suspect [constaté plusieurs fois]Suspicious process name detected [seen multiple times] L’analyse des données de l’hôte sur %{Hôte compromis} a détecté un processus dont le nom est suspect, correspondant par exemple à un outil malveillant connu ou portant un nom qui rappelle les outils que les attaquants essaient de masquer.Analysis of host data on %{Compromised Host} detected a process whose name is suspicious, for example corresponding to a known attacker tool or named in a way that is suggestive of attacker tools that try to hide in plain sight. Il peut s’agir d’un processus légitime, ou de l’indication qu’une de vos machines a été compromise.This process could be legitimate activity, or an indication that one of your machines has been compromised. Ce comportement a été observé [x] fois aujourd’hui sur les ordinateurs suivants : [noms des ordinateurs]This behavior was seen [x] times today on the following machines: [Machine names] - MoyenneMedium
Détection d’un nom de processus suspectSuspicious process name detected L’analyse des données de l’hôte sur %{Hôte compromis} a détecté un processus dont le nom est suspect, correspondant par exemple à un outil malveillant connu ou portant un nom qui rappelle les outils que les attaquants essaient de masquer.Analysis of host data on %{Compromised Host} detected a process whose name is suspicious, for example corresponding to a known attacker tool or named in a way that is suggestive of attacker tools that try to hide in plain sight. Il peut s’agir d’un processus légitime, ou de l’indication qu’une de vos machines a été compromise.This process could be legitimate activity, or an indication that one of your machines has been compromised. - MoyenneMedium
Rafale de fin du processus suspecteSuspicious process termination burst L’analyse des données de l’hôte indique une rafale de fin de processus suspecte sir %{Nom de l’ordinateur}.Analysis of host data indicates a suspicious process termination burst in %{Machine Name}. Plus précisément, %{NombredeCommandes} processus ont été supprimés entre %{Début} et %{Fin}.Specifically, %{NumberOfCommands} processes were killed between %{Begin} and %{Ending}. - FaibleLow
Exécution suspecte d’un processus systèmeSuspicious system process executed Le processus système %{nom du processus} a été exécuté dans un contexte anormal.The system process %{process name} was observed running in an abnormal context. Le programme malveillant utilise souvent ce nom de processus pour masquer des activités malveillantes.Malware often uses this process name to masquerade its malicious activity. - ÉlevéHigh
Détection d’un processus nommé de façon suspecteSuspiciously named process detected L’analyse des données de l’hôte sur %{Hôte compromis} a détecté un processus dont le nom est très similaire à celui d’un processus très communément exécuté (%{semblable au nom du processus}).Analysis of host data on %{Compromised Host} detected a process whose name is very similar to but different from a very commonly run process (%{Similar To Process Name}). Bien que ce processus puisse être inoffensif, les attaquants peuvent parfois masquer leurs outils malveillants en leur donnant un nom qui ressemble à celui d’un processus légitime.While this process could be benign attackers are known to sometimes hide in plain sight by naming their malicious tools to resemble legitimate process names. - MoyenneMedium
Détection de l’exécution suspecte d’un processusUnusual process execution detected L’analyse des données de l’hôte sur %{Hôte compromis} a détecté l’exécution d’un processus par %{Nom de l’utilisateur}, ce qui est inhabituel.Analysis of host data on %{Compromised Host} detected the execution of a process by %{User Name} that was unusual. Les comptes tels que %{Nom d’utilisateur} ont tendance à exécuter un ensemble limité d’opérations et cette exécution a été considérée comme étant inhabituelle et donc suspecte.Accounts such as %{User Name} tend to perform a limited set of operations, this execution was determined to be out of character and may be suspicious. - ÉlevéHigh
Détection d’une allocation d’objet HTTP VBScriptVBScript HTTP object allocation detected La création d’un fichier VBScript à l’aide de l’invite de commandes a été détectée.Creation of a VBScript file using Command Prompt has been detected. Le script suivant contient une commande d’allocation d’objets HTTP.The following script contains HTTP object allocation command. Cette action peut être utilisée pour télécharger des fichiers malveillants.This action can be used to download malicious files. - ÉlevéHigh
Détection d’une méthode de persistance du Registre WindowsWindows registry persistence method detected L’analyse des données de l’hôte a détecté une tentative de conservation d’un fichier exécutable dans le Registre Windows.Analysis of host data has detected an attempt to persist an executable in the Windows registry. Les logiciels malveillants utilisent souvent cette technique pour survivre à un démarrage.Malware often uses such a technique to survive a boot. - FaibleLow

Alertes pour les machines LinuxAlerts for Linux machines

Informations complémentaires et notesFurther details and notes

Alerte (type d’alerte)Alert (Alert Type) DescriptionDescription IntentionnelIntent
(En savoir plus)(Learn more)
severitySeverity
Un module de noyau a été chargéA kernel module was loaded Un module de noyau a été chargé sur l’hôte %{Hôte compromis} à l’aide de la commande %{Commande utilisée} par l’utilisateur %{utilisateur}.A kernel module was loaded in the host %{compromised host} using the command %{Command used} by the user %{user}. - FaibleLow
Un module de noyau a été suppriméA kernel module was removed Un module de noyau a été supprimé sur l’hôte %{Hôte compromis} à l’aide de la commande %{Commande utilisée} par l’utilisateur %{utilisateur}.A kernel module was removed in the host %{compromised host} using the command %{Command used} by the user %{user}. - MoyenneMedium
Ajout d’un nouvel utilisateur au groupe sudoersA new user was added to the sudoers group L’analyse des données de l’hôte a détecté qu’un utilisateur a été ajouté au groupe sudoers, ce qui permet à ses membres d’exécuter des commandes avec des privilèges élevés.Host data analysis detected that a user was added to the sudoers group, which enables its members to run commands with high privileges. PrivilegeEscalationPrivilegeEscalation FaibleLow
Arrêt anormalAbnormal Termination
(VM_AbnormalDaemonTermination)(VM_AbnormalDaemonTermination )
L’analyse des données de l’hôte sur %{Hôte compromis} a détecté qu’un processus de démon s’est terminé anormalement.Analysis of host data on %{Compromised Host} detected a daemon process terminating abnormally. ExploitationExploitation FaibleLow
Détection d’un accès au fichier htaccessAccess of htaccess file detected L’analyse des données de l’hôte sur %{Hôte compromis} a détecté une possible manipulation du fichier htaccess.Analysis of host data on %{Compromised Host} detected possible manipulation of a htaccess file. Htaccess est un puissant fichier de configuration qui vous permet d’apporter plusieurs modifications à un serveur web exécutant le logiciel Web Apache, notamment la fonctionnalité de redirection de base, ou pour des fonctions plus avancées telles que la protection de mot de passe de base.Htaccess is a powerful configuration file that allows you to make multiple changes to a web server running the Apache Web software including basic redirect functionality, or for more advanced functions such as basic password protection. Les attaquants modifieront souvent les fichiers htaccess sur les ordinateurs qu’ils ont compromis pour s’y installer.Attackers will often modify htaccess files on machines they have compromised to gain persistence. - MoyenneMedium
Un fichier d’historique a été effacéAn history file has been cleared L’analyse des données de l’hôte indique que le fichier journal de l’historique des commandes a été effacé.Analysis of host data indicates that the command history log file has been cleared. Les attaquants peuvent le faire pour couvrir leurs traces.Attackers may do this to cover their traces. Cette opération a été effectuée par l’utilisateur : {Nom de l’utilisateur}.The operation was performed by user: '%{user name}'. - MoyenneMedium
Détection d’une tentative d’arrêt du service apt-daily-upgrade.timer [constaté plusieurs fois]Attempt to stop apt-daily-upgrade.timer service detected [seen multiple times] L’analyse des données de l’hôte sur %{Hôte compromis} a détecté une tentative d’arrêt du service apt-daily-upgrade.timer.Analysis of host data on %{Compromised Host} detected an attempt to stop apt-daily-upgrade.timer service. Dans certaines attaques récentes, il a été observé que des attaquants ont arrêté ce service, pour télécharger des fichiers malveillants et accorder des privilèges d’exécution pour leur attaque.In some recent attacks, attackers have been observed stopping this service, to download malicious files and granting execution privileges for their attack. Ce comportement a été observé [x] fois aujourd’hui sur les ordinateurs suivants : [noms des ordinateurs]This behavior was seen [x] times today on the following machines: [Machine names] - FaibleLow
Détection d’une tentative d’arrêt du service apt-daily-upgrade.timerAttempt to stop apt-daily-upgrade.timer service detected L’analyse des données de l’hôte sur %{Hôte compromis} a détecté une tentative d’arrêt du service apt-daily-upgrade.timer.Analysis of host data on %{Compromised Host} detected an attempt to stop apt-daily-upgrade.timer service. Dans certaines attaques récentes, il a été observé que des attaquants ont arrêté ce service, pour télécharger des fichiers malveillants et accorder des privilèges d’exécution pour leur attaque.In some recent attacks, attackers have been observed stopping this service, to download malicious files and granting execution privileges for their attack. - FaibleLow
Détection d’un comportement similaire aux bots Linux courants [constaté plusieurs fois]Behavior similar to common Linux bots detected [seen multiple times] L’analyse des données de l’hôte sur %{Hôte compromis} a détecté l’exécution d’un processus qui est normalement associé aux botnet Linux.Analysis of host data on %{Compromised Host} detected the execution of a process normally associated with common Linux botnets. Ce comportement a été observé [x] fois aujourd’hui sur les ordinateurs suivants : [noms des ordinateurs]This behavior was seen [x] times today on the following machines: [Machine names] - MoyenneMedium
Détection d’un comportement similaire aux bots Linux courantsBehavior similar to common Linux bots detected L’analyse des données de l’hôte sur %{Hôte compromis} a détecté l’exécution d’un processus qui est normalement associé aux botnet Linux.Analysis of host data on %{Compromised Host} detected the execution of a process normally associated with common Linux botnets. - MoyenneMedium
Détection d’un comportement similaire au ransomware Fairware [constaté plusieurs fois]Behavior similar to Fairware ransomware detected [seen multiple times] L’analyse des données de l’hôte sur %{Hôte compromis} a détecté l’exécution de commandes rm -rf appliquées à des emplacements suspects.Analysis of host data on %{Compromised Host} detected the execution of rm -rf commands applied to suspicious locations. La commande rm -rf supprime les fichiers de façon récursive et elle est normalement appliquée aux dossiers discrets.As rm -rf will recursively delete files, it is normally used on discrete folders. Dans le cas présent, elle est utilisée dans un emplacement qui peut supprimer une grande quantité de données.In this case, it is being used in a location that could remove a lot of data. Le ransomware Fairware est connu pour exécuter des commandes rm -rf dans ce dossier.Fairware ransomware is known to execute rm -rf commands in this folder. Ce comportement a été observé [x] fois aujourd’hui sur les ordinateurs suivants : [noms des ordinateurs]This behavior was seen [x] times today on the following machines: [Machine names] - MoyenneMedium
Détection d’un comportement similaire au ransomware FairwareBehavior similar to Fairware ransomware detected L’analyse des données de l’hôte sur %{Hôte compromis} a détecté l’exécution de commandes rm -rf appliquées à des emplacements suspects.Analysis of host data on %{Compromised Host} detected the execution of rm -rf commands applied to suspicious locations. La commande rm -rf supprime les fichiers de façon récursive et elle est normalement appliquée aux dossiers discrets.As rm -rf will recursively delete files, it is normally used on discrete folders. Dans le cas présent, elle est utilisée dans un emplacement qui peut supprimer une grande quantité de données.In this case, it is being used in a location that could remove a lot of data. Le ransomware Fairware est connu pour exécuter des commandes rm -rf dans ce dossier.Fairware ransomware is known to execute rm -rf commands in this folder. - MoyenneMedium
Détection d’un comportement similaire à un ransomware [constaté plusieurs fois]Behavior similar to ransomware detected [seen multiple times] L’analyse des données de l’hôte sur %{Hôte compromis} a détecté l’exécution de fichiers ressemblant à des rançongiciels connus qui peuvent empêcher les utilisateurs d’accéder à leur système ou à leurs fichiers personnels et exiger le paiement d’une rançon visant à récupérer l’accès.Analysis of host data on %{Compromised Host} detected the execution of files that have resemblance of known ransomware that can prevent users from accessing their system or personal files, and demands ransom payment in order to regain access. Ce comportement a été observé [x] fois aujourd’hui sur les ordinateurs suivants : [noms des ordinateurs]This behavior was seen [x] times today on the following machines: [Machine names] - ÉlevéHigh
Une rafale de suppressions de journaux peut indiquer des actions d’une personne malveillante [observées plusieurs fois]Burst of log deletions may indicate actions of an attacker [seen multiple times) L’analyse des données de l’hôte sur [machine] a détecté la suppression d’un grand nombre de fichiers journaux système.Analysis of host data on [machine] detected a large number of system log files being removed. Les attaquants procèdent souvent de la sorte pour contourner la défense. Ce comportement a été observé plus de 100 fois aujourd’hui sur les ordinateurs suivants : [noms d’ordinateur]Attackers often perform this for defense evasion.This behavior was seen over 100 times today on the following machines: [machine name] DefenseEvasionDefenseEvasion FaibleLow
Une rafale de suppressions de journaux peut indiquer des actions d’une personne malveillanteBurst of log deletions may indicate actions of an attacker L’analyse des données de l’hôte sur [machine] a détecté la suppression d’un grand nombre de fichiers journaux système.Analysis of host data on [machine] detected a large number of system log files being removed. Les attaquants procèdent souvent de la sorte pour contourner la défense.Attackers often perform this for defense evasion. DefenseEvasionDefenseEvasion FaibleLow
Conteneur avec une image d’extracteur détectéContainer with a miner image detected Les journaux de l’ordinateur indiquent l’exécution d’un conteneur Docker exécutant une image associée à l’exploration d’une devise numérique.Machine logs indicate execution of a Docker container that runs an image associated with a digital currency mining. Ce comportement peut éventuellement indiquer que vos ressources font l’objet d’un abus par un attaquant.This behavior can possibly indicate that your resources are abused by an attacker. - ÉlevéHigh
Détection d’une combinaison anormale de caractères minuscules et majuscules dans la ligne de commandeDetected anomalous mix of upper and lower case characters in command line L’analyse des données de l’hôte sur%{Hôte compromis} a détecté une ligne de commande avec une combinaison anormale de caractères en majuscules et en minuscules.Analysis of host data on %{Compromised Host} detected a command line with anomalous mix of upper and lower case characters. Ce type d’activité, même si elle est peut-être bénigne, est également caractéristique des attaquants qui tentent de masquer une correspondance de règle basée sur le hachage ou la casse lors de l’exécution de tâches d’administration sur un hôte compromis.This kind of pattern, while possibly benign, is also typical of attackers trying to hide from case-sensitive or hash-based rule matching when performing administrative tasks on a compromised host. - MoyenneMedium
Détection de téléchargements de fichiers à partir d’une source malveillante connue [constaté plusieurs fois]Detected file download from a known malicious source [seen multiple times] L’analyse des données de l’hôte a détecté le téléchargement d’un fichier à partir d’une source connue de programmes malveillants sur %{Hôte compromis}.Analysis of host data has detected the download of a file from a known malware source on %{Compromised Host}. Ce comportement a été observé plus de [x] fois aujourd’hui sur les ordinateurs suivants : [noms des ordinateurs]This behavior was seen over [x] times today on the following machines: [Machine names] - MoyenneMedium
Détection de téléchargements de fichiers à partir d’une source malveillante connueDetected file download from a known malicious source L’analyse des données de l’hôte a détecté le téléchargement d’un fichier à partir d’une source connue de programmes malveillants sur %{Hôte compromis}.Analysis of host data has detected the download of a file from a known malware source on %{Compromised Host}. - MoyenneMedium
Détection d’une tentative de persistance [constaté plusieurs fois]Detected persistence attempt [seen multiple times] L’analyse des données de l’hôte sur %{Hôte compromis} a détecté l’installation d’un script de démarrage pour le mode mono-utilisateur.Analysis of host data on %{Compromised Host} has detected installation of a startup script for single-user mode. Il est extrêmement rare qu’un processus légitime doive s’exécuter dans ce mode, cela peut indiquer qu’un attaquant a ajouté un processus malveillant à chaque niveau d’exécution pour garantir la persistance.It is extremely rare that any legitimate process needs to execute in that mode, so this may indicate that an attacker has added a malicious process to every run-level to guarantee persistence. Ce comportement a été observé [x] fois aujourd’hui sur les ordinateurs suivants : [noms des ordinateurs]This behavior was seen [x] times today on the following machines: [Machine names] - MoyenneMedium
Tentative de persistance détectéeDetected persistence attempt L’analyse des données de l’hôte a détecté qu’un script de démarrage pour le mode mono-utilisateur a été installé.Host data analysis has detected that a startup script for single-user mode has been installed.
Dans la mesure où il est rare qu’un processus légitime doive s’exécuter dans ce mode, cela peut indiquer qu’un attaquant a ajouté un processus malveillant à chaque niveau d’exécution pour garantir la persistance.Because it's rare that any legitimate process would be required to run in that mode, this might indicate that an attacker has added a malicious process to every run-level to guarantee persistence.
PersistancePersistence MoyenneMedium
Détection d’un téléchargement de fichiers suspect [constaté plusieurs fois]Detected suspicious file download [seen multiple times] L’analyse des données de l’hôte a détecté le téléchargement suspect d’un fichier distant sur %{Hôte compromis}.Analysis of host data has detected suspicious download of remote file on %{Compromised Host}. Ce comportement a été observé 10 fois aujourd’hui sur les ordinateurs suivants : [noms de l’ordinateur]This behavior was seen 10 times today on the following machines: [Machine name] - FaibleLow
Détection d’un téléchargement de fichier suspectDetected suspicious file download L’analyse des données de l’hôte a détecté le téléchargement suspect d’un fichier distant sur %{Hôte compromis}.Analysis of host data has detected suspicious download of remote file on %{Compromised Host}. - FaibleLow
Détection d’une activité réseau suspecteDetected suspicious network activity L’analyse du trafic réseau provenant de %{Hôte compromis} a détecté une activité réseau suspecte.Analysis of network traffic from %{Compromised Host} detected suspicious network activity. Ce type de trafic, même s’il est peut-être bénin, est généralement utilisé par les attaquants pour communiquer avec des serveurs malveillants afin de télécharger des outils, des commandes et des contrôles et procéder à l’exfiltration de données.Such traffic, while possibly benign, is typically used by an attacker to communicate with malicious servers for downloading of tools, command-and-control and exfiltration of data. Les activités typiques consistent à copier les outils d’administration à distance sur un hôte compromis et à en exfiltrer les données utilisateur.Typical related attacker activity includes copying remote administration tools to a compromised host and exfiltrating user data from it. - FaibleLow
Détection d’une utilisation suspecte de la commande nohup [constaté plusieurs fois]Detected suspicious use of the nohup command [seen multiple times] L’analyse des données de l’hôte a détecté une utilisation suspecte de la commande nohup sur %{Hôte compromis}.Analysis of host data has detected suspicious use of the nohup command on %{Compromised Host}. Des attaquants ont exécuté la commande nohup à partir d'un répertoire temporaire pour permettre à leurs exécutables de se lancer en arrière-plan.Attackers have been seen running the command nohup from a temporary directory to allow their executables to run in the background. Il n'est pas normal que cette commande s'exécuter sur des fichiers situés dans un répertoire temporaire.It is not normal to see this command run on files located in a temporary directory. Ce comportement a été observé [x] fois aujourd’hui sur les ordinateurs suivants : [noms des ordinateurs]This behavior was seen [x] times today on the following machines: [Machine names] - MoyenneMedium
Détection d’une utilisation suspecte de la commande nohupDetected suspicious use of the nohup command L’analyse des données de l’hôte a détecté une utilisation suspecte de la commande nohup sur %{Hôte compromis}.Analysis of host data has detected suspicious use of the nohup command on %{Compromised Host}. Des attaquants ont exécuté la commande nohup à partir d'un répertoire temporaire pour permettre à leurs exécutables de se lancer en arrière-plan.Attackers have been seen running the command nohup from a temporary directory to allow their executables to run in the background. Il n'est pas normal que cette commande s'exécuter sur des fichiers situés dans un répertoire temporaire.It is not normal to see this command run on files located in a temporary directory. - MoyenneMedium
Détection d’une utilisation suspecte de la commande useradd [constaté plusieurs fois]Detected suspicious use of the useradd command [seen multiple times] L’analyse des données de l’hôte a détecté une utilisation suspecte de la commande useradd sur %{Hôte compromis}.Analysis of host data has detected suspicious use of the useradd command on %{Compromised Host}. Ce comportement a été observé [x] fois aujourd’hui sur les ordinateurs suivants : [noms des ordinateurs]This behavior was seen [x] times today on the following machines: [Machine names] - MoyenneMedium
Détection d’une utilisation suspecte de la commande useraddDetected suspicious use of the useradd command L’analyse des données de l’hôte a détecté une utilisation suspecte de la commande useradd sur %{Hôte compromis}.Analysis of host data has detected suspicious use of the useradd command on %{Compromised Host}. - MoyenneMedium
Détection d’un comportement lié au minage de devises numériquesDigital currency mining related behavior detected L’analyse des données de l’hôte sur %{Hôte compromis} a détecté l’exécution d’un processus ou d’une commande qui est normalement associé au minage de devises numériques.Analysis of host data on %{Compromised Host} detected the execution of a process or command normally associated with digital currency mining. - ÉlevéHigh
Désactivation de la journalisation Auditd [constaté plusieurs fois]Disabling of auditd logging [seen multiple times] Le système Linux Auditd permet d’effectuer le suivi des informations système relatives à la sécurité.The Linux Audit system provides a way to track security-relevant information on the system. Il enregistre autant d’informations que possible sur les événements qui se produisent sur votre système.It records as much information about the events that are happening on your system as possible. La désactivation de la journalisation Auditd peut interférer avec la détection des violations des stratégies de sécurité utilisées sur le système.Disabling auditd logging could hamper discovering violations of security policies used on the system. Ce comportement a été observé [x] fois aujourd’hui sur les ordinateurs suivants : [noms des ordinateurs]This behavior was seen [x] times today on the following machines: [Machine names] - FaibleLow
Détection d’un fichier exécutable en cours d’exécution dans un emplacement suspectExecutable found running from a suspicious location L’analyse des données de l’hôte a détecté un fichier exécutable %{Hôte compromis} qui s’exécute dans un emplacement commun avec des fichiers suspects connus.Analysis of host data detected an executable file on %{Compromised Host} that is running from a location in common with known suspicious files. Cet exécutable peut être une activité légitime ou un signe que l’hôte est compromis.This executable could either be legitimate activity, or an indication of a compromised host. - ÉlevéHigh
Exploitation de la vulnérabilité Xorg [constaté plusieurs fois]Exploitation of Xorg vulnerability [seen multiple times] L’analyse des données de l’hôte sur %{Hôte compromis} a détecté l’utilisation de Xorg avec des arguments suspects.Analysis of host data on %{Compromised Host} detected the user of Xorg with suspicious arguments. Les attaquants peuvent utiliser cette technique pour les tentatives de réaffectation de privilèges.Attackers may use this technique in privilege escalation attempts. Ce comportement a été observé [x] fois aujourd’hui sur les ordinateurs suivants : [noms des ordinateurs]This behavior was seen [x] times today on the following machines: [Machine names] - MoyenneMedium
Démon Docker exposé détectéExposed Docker daemon detected Les journaux de la machine indiquent que le démon Docker (dockerd) expose un socket TCP.Machine logs indicate that your Docker daemon (dockerd) exposes a TCP socket. Par défaut, la configuration Docker n’utilise pas le chiffrement ou l’authentification lorsqu’un socket TCP est activé.By default, Docker configuration, does not use encryption or authentication when a TCP socket is enabled. Toute personne ayant accès au port approprié peut alors obtenir un accès complet au démon Docker.This enables full access to the Docker daemon, by anyone with access to the relevant port. - MoyenneMedium
Échec d’une attaque par force brute SSHFailed SSH brute force attack Des attaques par force brute ont échoué. Elles provenaient des attaquants suivants : %{Attaquants}.Failed brute force attacks were detected from the following attackers: %{Attackers}. Des attaquants essaient d’accéder à l’hôte avec les noms d’utilisateur suivants : %{Comptes utilisés lors des échecs de connexion à l’hôte}.Attackers were trying to access the host with the following user names: %{Accounts used on failed sign in to host attempts}. - MoyenneMedium
Détection de l’exécution d’un fichier masquéHidden file execution detected L’analyse des données de l’hôte indique qu’un fichier masqué a été exécuté par %{nom d’utilisateur}.Analysis of host data indicates that a hidden file was executed by %{user name}. Il peut s’agir d’une activité légitime ou du signe que l’hôte est compromis.This activity could either be legitimate activity, or an indication of a compromised host. - InformationnelInformational
Détection d’indicateurs associés à DDOS Toolkit [constaté plusieurs fois]Indicators associated with DDOS toolkit detected [seen multiple times] L’analyse des données de l’hôte sur %{Hôte compromis} a détecté des noms de fichiers qui font partie d’une boîte à outils associée à un programme malveillant capable de lancer des attaques DDoS, d’ouvrir des ports et des services et de prendre le contrôle total du système infecté.Analysis of host data on %{Compromised Host} detected file names that are part of a toolkit associated with malware capable of launching DDoS attacks, opening ports and services and taking full control over the infected system. Il peut également s’agir d’une activité légitime.This could also possibly be legitimate activity. Ce comportement a été observé [x] fois aujourd’hui sur les ordinateurs suivants : [noms des ordinateurs]This behavior was seen [x] times today on the following machines: [Machine names] - MoyenneMedium
Détection d’indicateurs associés à DDOS ToolkitIndicators associated with DDOS toolkit detected L’analyse des données de l’hôte sur %{Hôte compromis} a détecté des noms de fichiers qui font partie d’une boîte à outils associée à un programme malveillant capable de lancer des attaques DDoS, d’ouvrir des ports et des services et de prendre le contrôle total du système infecté.Analysis of host data on %{Compromised Host} detected file names that are part of a toolkit associated with malware capable of launching DDoS attacks, opening ports and services and taking full control over the infected system. Il peut également s’agir d’une activité légitime.This could also possibly be legitimate activity. - MoyenneMedium
Détection d’une reconnaissance d’hôte local [constaté plusieurs fois]Local host reconnaissance detected [seen multiple times] L’analyse des données de l’hôte sur %{Hôte compromis} a détecté l’exécution d’une commande qui est normalement associée à la reconnaissance de robots Linux.Analysis of host data on %{Compromised Host} detected the execution of a command normally associated with common Linux bot reconnaissance. Ce comportement a été observé [x] fois aujourd’hui sur les ordinateurs suivants : [noms des ordinateurs]This behavior was seen [x] times today on the following machines: [Machine names] - MoyenneMedium
Détection d’une reconnaissance d’hôte localLocal host reconnaissance detected L’analyse des données de l’hôte sur %{Hôte compromis} a détecté l’exécution d’une commande qui est normalement associée à la reconnaissance de robots Linux.Analysis of host data on %{Compromised Host} detected the execution of a command normally associated with common Linux bot reconnaissance. - MoyenneMedium
Détection d’une manipulation du pare-feu sur l’hôte [constaté plusieurs fois]Manipulation of host firewall detected [seen multiple times] L’analyse des données de l’hôte sur %{Hôte compromis} a détecté une possible manipulation du pare-feu sur l’hôte.Analysis of host data on %{Compromised Host} detected possible manipulation of the on-host firewall. Les attaquants le désactivent souvent pour exfiltrer des données.Attackers will often disable this to exfiltrate data. Ce comportement a été observé [x] fois aujourd’hui sur les ordinateurs suivants : [noms des ordinateurs]This behavior was seen [x] times today on the following machines: [Machine names] - MoyenneMedium
Détection d’une manipulation du pare-feu sur l’hôteManipulation of host firewall detected L’analyse des données de l’hôte sur %{Hôte compromis} a détecté une possible manipulation du pare-feu sur l’hôte.Analysis of host data on %{Compromised Host} detected possible manipulation of the on-host firewall. Les attaquants le désactivent souvent pour exfiltrer des données.Attackers will often disable this to exfiltrate data. - MoyenneMedium
Agent MITRE Caldera détectéMITRE Caldera agent detected
(VM_MitreCalderaTools)(VM_MitreCalderaTools)
Les journaux de l’ordinateur indiquent que le processus suspect : %{processus suspect} s’exécutait sur %{Hôte compromis}.Machine logs indicate that the suspicious process: '%{Suspicious Process}' was running on %{Compromised Host}. Cela est souvent associé à l’agent MITRE 54ndc47 qui peut être utilisé à des fins malveillantes pour attaquer d’autres machines d’une certaine façon.This is often associated with the MITRE 54ndc47 agent which could be used maliciously to attack other machines in some way. TousAll MoyenneMedium
Nouvelle clé SSH ajoutée [constaté plusieurs fois]New SSH key added [seen multiple times] Une nouvelle clé SSH a été ajoutée au fichier des clés autorisées.A new SSH key was added to the authorized keys file. Ce comportement a été observé [x] fois aujourd’hui sur les ordinateurs suivants : [noms des ordinateurs]This behavior was seen [x] times today on the following machines: [Machine names] - FaibleLow
Nouvelle clé SSH ajoutéeNew SSH key added Une nouvelle clé SSH a été ajoutée au fichier des clés autorisées.A new SSH key was added to the authorized keys file - FaibleLow
Possible détection d’un outil d’attaque [constaté plusieurs fois]Possible attack tool detected [seen multiple times] Les journaux de l’ordinateur indiquent que le processus suspect : %{processus suspect} s’exécutait sur %{Hôte compromis}.Machine logs indicate that the suspicious process: '%{Suspicious Process}' was running on %{Compromised Host}. Cet outil est souvent associé à des utilisateurs malveillants qui attaquent d’autres ordinateurs d’une certaine façon.This tool is often associated with malicious users attacking other machines in some way. Ce comportement a été observé [x] fois aujourd’hui sur les ordinateurs suivants : [noms des ordinateurs]This behavior was seen [x] times today on the following machines: [Machine names] - MoyenneMedium
Possible détection d’un outil d’attaquePossible attack tool detected Les journaux de l’ordinateur indiquent que le processus suspect : %{processus suspect} s’exécutait sur %{Hôte compromis}.Machine logs indicate that the suspicious process: '%{Suspicious Process}' was running on %{Compromised Host}. Cet outil est souvent associé à des utilisateurs malveillants qui attaquent d’autres ordinateurs d’une certaine façon.This tool is often associated with malicious users attacking other machines in some way. - MoyenneMedium
Possible détection d’une porte dérobée [constaté plusieurs fois]Possible backdoor detected [seen multiple times] L’analyse des données de l’hôte a détecté un fichier suspect téléchargé puis exécuté sur l’hôte %{Hôte compromis} dans votre abonnement.Analysis of host data has detected a suspicious file being downloaded then run on %{Compromised Host} in your subscription. Cette activité a été précédemment associée à l’installation d’une porte dérobée.This activity has previously been associated with installation of a backdoor. Ce comportement a été observé [x] fois aujourd’hui sur les ordinateurs suivants : [noms des ordinateurs]This behavior was seen [x] times today on the following machines: [Machine names] - MoyenneMedium
Possible détection d’un outil d’accès aux informations d’identification [constaté plusieurs fois]Possible credential access tool detected [seen multiple times] Les journaux de l’ordinateur indiquent qu’un outil d’accès aux informations d’identification connu était en cours d’exécution sur %{Hôte compromis}, lancé par le processus %{Processus suspect}.Machine logs indicate a possible known credential access tool was running on %{Compromised Host} launched by process: '%{Suspicious Process}'. Cet outil est souvent associé aux tentatives d’accès aux informations d’identification par un attaquant.This tool is often associated with attacker attempts to access credentials. Ce comportement a été observé [x] fois aujourd’hui sur les ordinateurs suivants : [noms des ordinateurs]This behavior was seen [x] times today on the following machines: [Machine names] - MoyenneMedium
Possible détection d’un outil d’accès aux informations d’identificationPossible credential access tool detected Les journaux de l’ordinateur indiquent qu’un outil d’accès aux informations d’identification connu était en cours d’exécution sur %{Hôte compromis}, lancé par le processus %{Processus suspect}.Machine logs indicate a possible known credential access tool was running on %{Compromised Host} launched by process: '%{Suspicious Process}'. Cet outil est souvent associé aux tentatives d’accès aux informations d’identification par un attaquant.This tool is often associated with attacker attempts to access credentials. - MoyenneMedium
Possible exploitation de Hadoop YarnPossible exploitation of Hadoop Yarn L’analyse des données de l’hôte sur %{Hôte compromis} a détecté une possible exploitation du service Hadoop Yarn.Analysis of host data on %{Compromised Host} detected the possible exploitation of the Hadoop Yarn service. - MoyenneMedium
Possible exploitation du serveur de messagerie détectéePossible exploitation of the mailserver detected
(VM_MailserverExploitation)(VM_MailserverExploitation )
L’analyse des données de l’hôte sur %{Hôte compromis} a détecté une exécution inhabituelle sous le compte de serveur de messagerieAnalysis of host data on %{Compromised Host} detected an unusual execution under the mail server account ExploitationExploitation MoyenneMedium
Détection possible d’une activité de falsification du journal [constaté plusieurs fois]Possible Log Tampering Activity Detected [seen multiple times] L’analyse des données de l’hôte sur %{Hôte compromis} a détecté la suppression possible des fichiers qui assurent le suivi de l’activité de l’utilisateur au cours de son fonctionnement.Analysis of host data on %{Compromised Host} detected possible removal of files that tracks user's activity during the course of its operation. Les attaquants essaient souvent d’échapper à la détection et de ne laisser aucune trace des activités malveillantes en supprimant ces fichiers journaux.Attackers often try to evade detection and leave no trace of malicious activities by deleting such log files. Ce comportement a été observé [x] fois aujourd’hui sur les ordinateurs suivants : [noms des ordinateurs]This behavior was seen [x] times today on the following machines: [Machine names] - MoyenneMedium
Possible détection d’une activité de falsification du journalPossible Log Tampering Activity Detected L’analyse des données de l’hôte sur %{Hôte compromis} a détecté la suppression possible des fichiers qui assurent le suivi de l’activité de l’utilisateur au cours de son fonctionnement.Analysis of host data on %{Compromised Host} detected possible removal of files that tracks user's activity during the course of its operation. Les attaquants essaient souvent d’échapper à la détection et de ne laisser aucune trace des activités malveillantes en supprimant ces fichiers journaux.Attackers often try to evade detection and leave no trace of malicious activities by deleting such log files. - MoyenneMedium
Détection possible d’une perte de données [constaté plusieurs fois]Possible loss of data detected [seen multiple times] L’analyse des données de l’hôte sur %{Hôte compromis} a détecté une possible extraction de données.Analysis of host data on %{Compromised Host} detected a possible data egress condition. Les attaquants extraient souvent les données des ordinateurs qu’ils ont compromis.Attackers will often egress data from machines they have compromised. Ce comportement a été observé [x] fois aujourd’hui sur les ordinateurs suivants : [noms des ordinateurs]This behavior was seen [x]] times today on the following machines: [Machine names] - MoyenneMedium
Possible détection d’une perte de donnéesPossible loss of data detected L’analyse des données de l’hôte sur %{Hôte compromis} a détecté une possible extraction de données.Analysis of host data on %{Compromised Host} detected a possible data egress condition. Les attaquants extraient souvent les données des ordinateurs qu’ils ont compromis.Attackers will often egress data from machines they have compromised. - MoyenneMedium
Détection possible d’un interpréteur de commandes web malveillant [constaté plusieurs fois]Possible malicious web shell detected [seen multiple times] L’analyse des données de l’hôte sur %{Hôte compromis} a détecté une possible utilisation d’un interpréteur de commandes web.Analysis of host data on %{Compromised Host} detected a possible web shell. Les attaquants chargent généralement un interpréteur de commandes web sur un ordinateur compromis pour s’y installer ou l’exploiter de manière approfondie.Attackers will often upload a web shell to a machine they have compromised to gain persistence or for further exploitation. Ce comportement a été observé [x] fois aujourd’hui sur les ordinateurs suivants : [noms des ordinateurs]This behavior was seen [x] times today on the following machines: [Machine names] - MoyenneMedium
Détection possible d’un interpréteur de commandes web malveillantPossible malicious web shell detected L’analyse des données de l’hôte sur %{Hôte compromis} a détecté une possible utilisation d’un interpréteur de commandes web.Analysis of host data on %{Compromised Host} detected a possible web shell. Les attaquants chargent généralement un interpréteur de commandes web sur un ordinateur compromis pour s’y installer ou l’exploiter de manière approfondie.Attackers will often upload a web shell to a machine they have compromised to gain persistence or for further exploitation. - MoyenneMedium
Détection possible d’une modification de mot de passe à l’aide d’une méthode chiffrée [constaté plusieurs fois]Possible password change using crypt-method detected [seen multiple times] L’analyse des données de l’hôte sur %{Hôte compromis} a détecté la modification du mot de passe détectée à l’aide d’une méthode de chiffrement.Analysis of host data on %{Compromised Host} detected password change using crypt method. Les attaquants peuvent effectuer cette modification pour continuer à accéder et bénéficier de la persistance après une attaque.Attackers can make this change to continue access and gaining persistence after compromise. Ce comportement a été observé [x] fois aujourd’hui sur les ordinateurs suivants : [noms des ordinateurs]This behavior was seen [x] times today on the following machines: [Machine names] - MoyenneMedium
Possible remplacement de fichiers courants [constaté plusieurs fois]Potential overriding of common files [seen multiple times] L’analyse des données de l’hôte a détecté des exécutables communs remplacés sur %{Hôte compromis}.Analysis of host data has detected common executables being overwritten on %{Compromised Host}. Les attaquants remplacent les fichiers communs pour masquer leurs actions ou en assurer la persistance.Attackers will overwrite common files as a way to obfuscate their actions or for persistence. Ce comportement a été observé [x] fois aujourd’hui sur les ordinateurs suivants : [noms des ordinateurs]This behavior was seen [x] times today on the following machines: [Machine names] - MoyenneMedium
Possible remplacement de fichiers courantsPotential overriding of common files L’analyse des données de l’hôte a détecté des exécutables communs remplacés sur %{Hôte compromis}.Analysis of host data has detected common executables being overwritten on %{Compromised Host}. Les attaquants remplacent les fichiers communs pour masquer leurs actions ou en assurer la persistance.Attackers will overwrite common files as a way to obfuscate their actions or for persistence. - MoyenneMedium
Réacheminement potentiel d’un port vers une adresse IP externe [constaté plusieurs fois]Potential port forwarding to external IP address [seen multiple times] L’analyse des données de l’hôte sur %{Hôte compromis} a détecté le lancement d’un réacheminement de port vers une adresse IP externe.Analysis of host data on %{Compromised Host} detected the initiation of port forwarding to an external IP address. Ce comportement a été observé [x] fois aujourd’hui sur les ordinateurs suivants : [noms des ordinateurs]This behavior was seen [x] times today on the following machines: [Machine names] - MoyenneMedium
Réacheminement potentiel d’un port vers une adresse IP externePotential port forwarding to external IP address L’analyse des données de l’hôte a détecté le lancement d’un réacheminement de port vers une adresse IP externe.Host data analysis detected the initiation of port forwarding to an external IP address. Exfiltration / CommandAndControlExfiltration / CommandAndControl MoyenneMedium
Possible détection d’un interpréteur de commandes inverse [constaté plusieurs fois]Potential reverse shell detected [seen multiple times] L’analyse des données hôte sur %{Hôte compromis} a détecté l’utilisation d’un interpréteur de commandes inversées potentiel.Analysis of host data on %{Compromised Host} detected a potential reverse shell. Ils sont utilisés pour faire en sorte que l’ordinateur compromis puisse rappeler un ordinateur qui appartient à l’attaquant.These are used to get a compromised machine to call back into a machine an attacker owns. Ce comportement a été observé [x] fois aujourd’hui sur les ordinateurs suivants : [noms des ordinateurs]This behavior was seen [x] times today on the following machines: [Machine names] - MoyenneMedium
Possible détection d’un interpréteur de commandes inversePotential reverse shell detected L’analyse des données hôte sur %{Hôte compromis} a détecté l’utilisation d’un interpréteur de commandes inversées potentiel.Analysis of host data on %{Compromised Host} detected a potential reverse shell. Ils sont utilisés pour faire en sorte que l’ordinateur compromis puisse rappeler un ordinateur qui appartient à l’attaquant.These are used to get a compromised machine to call back into a machine an attacker owns. - MoyenneMedium
Exécution d’une commande privilégiée dans le conteneurPrivileged command run in container Les journaux de la machine indiquent qu’une commande privilégiée a été exécutée dans un conteneur Docker.Machine logs indicate that a privileged command was run in a Docker container. Une commande privilégiée a des privilèges étendus sur la machine hôte.A privileged command has extended privileges on the host machine. - FaibleLow
Conteneur privilégié détectéPrivileged Container Detected Les journaux de la machine indiquent qu’un conteneur Docker privilégié est en cours d’exécution.Machine logs indicate that a privileged Docker container is running. Un conteneur privilégié a un accès complet aux ressources de l’hôte.A privileged container has a full access to the host's resources. En cas de compromission, un attaquant peut utiliser le conteneur privilégié pour accéder à l’ordinateur hôte.If compromised, an attacker can use the privileged container to gain access to the host machine. - FaibleLow
Détection d’un processus associé au minage de devises numériques [constaté plusieurs fois]Process associated with digital currency mining detected [seen multiple times] L’analyse des données de l’hôte sur %{Hôte compromis} a détecté l’exécution d’un processus qui est normalement associé au minage de devises numériques.Analysis of host data on %{Compromised Host} detected the execution of a process normally associated with digital currency mining. Ce comportement a été observé plus de 100 fois aujourd’hui sur les ordinateurs suivants : [noms de l’ordinateur]This behavior was seen over 100 times today on the following machines: [Machine name] - MoyenneMedium
Détection d’un processus associé au minage de devises numériquesProcess associated with digital currency mining detected L’analyse des données de l’hôte a détecté l’exécution d’un processus qui est normalement associé au minage de devises numériques.Host data analysis detected the execution of a process that is normally associated with digital currency mining. Exploitation / ExécutionExploitation / Execution MoyenneMedium
Le processus exécuté dans un compte de service est devenu racine de manière inattendue.Process running in a service account became root unexpectedly.
(VM_SuspectProcessAccountPrivilegeCombo)(VM_SuspectProcessAccountPrivilegeCombo)
Le processus « %{processus suspect} » exécuté dans un compte de service %{Nom d’utilisateur} est devenu racine de manière inattendue.Process '%{Suspicious Process}' running in a service account %{User Name} became root unexpectedly. PrivilegeEscalationPrivilegeEscalation MoyenneMedium
Détection d’un processus accédant de façon inhabituelle au fichier de clés autorisées SSHProcess seen accessing the SSH authorized keys file in an unusual way Un fichier de clés autorisées SSH a fait l’objet d’un accès d’une façon rappelant les campagnes de programmes malveillants connus.An SSH authorized keys file has been accessed in a method similar to known malware campaigns. Cet accès peut indiquer qu’un attaquant tente d’obtenir un accès persistant à une machine.This access can indicate that an attacker is attempting to gain persistent access to a machine. -
Détection d’un outil de téléchargement Python [constaté plusieurs fois]Python encoded downloader detected [seen multiple times] L’analyse des données de l’hôte sur %{Hôte compromis} a détecté l’exécution de code Python encodé qui télécharge et exécute du code à partir d’un emplacement distant.Analysis of host data on %{Compromised Host} detected the execution of encoded Python that downloads and runs code from a remote location. Cela peut indiquer une activité malveillante.This may be an indication of malicious activity. Ce comportement a été observé [x] fois aujourd’hui sur les ordinateurs suivants : [noms des ordinateurs]This behavior was seen [x] times today on the following machines: [Machine names] - FaibleLow
Capture d’écran prise sur l’hôte [constaté plusieurs fois]Screenshot taken on host [seen multiple times] L’analyse des données de l’hôte sur %{Hôte compromis} a détecté l’utilisation d’un outil de capture d’écran.Analysis of host data on %{Compromised Host} detected the user of a screen capture tool. Les attaquants peuvent utiliser ces outils pour accéder aux données privées.Attackers may use these tools to access private data. Ce comportement a été observé [x] fois aujourd’hui sur les ordinateurs suivants : [noms des ordinateurs]This behavior was seen [x] times today on the following machines: [Machine names] - FaibleLow
Détection d’une incompatibilité d’extension de script détectée [constaté plusieurs fois]Script extension mismatch detected [seen multiple times] L’analyse des données de l’hôte sur %{Hôte compromis} a détecté une incohérence entre l’interpréteur de script et l’extension du fichier script fourni comme entrée.Analysis of host data on %{Compromised Host} detected a mismatch between the script interpreter and the extension of the script file provided as input. Cela a été fréquemment associé aux exécutions d’un script malveillant.This has frequently been associated with attacker script executions. Ce comportement a été observé [x] fois aujourd’hui sur les ordinateurs suivants : [noms des ordinateurs]This behavior was seen [x] times today on the following machines: [Machine names] - MoyenneMedium
Détection d’une incompatibilité d’extension de scriptScript extension mismatch detected L’analyse des données de l’hôte sur %{Hôte compromis} a détecté une incohérence entre l’interpréteur de script et l’extension du fichier script fourni comme entrée.Analysis of host data on %{Compromised Host} detected a mismatch between the script interpreter and the extension of the script file provided as input. Cela a été fréquemment associé aux exécutions d’un script malveillant.This has frequently been associated with attacker script executions. - MoyenneMedium
Arrêt de processus liés à la sécurité détectéSecurity-related process termination detected
(VM_SuspectProcessTermination)(VM_SuspectProcessTermination)
L’analyse des données de l’hôte sur %{Hôte compromis} a détecté une tentative d’arrêt des processus liés à la surveillance de la sécurité sur l’hôte.Analysis of host data on %{Compromised Host} detected attempt to terminate processes related to security monitoring on the host. Les attaquants essaient souvent d’arrêter ces processus à l’aide de la compromission de scripts prédéfinis.Attackers will often try to terminate such processes using predefined scripts post-compromise. Persistance, Intrusion dans la défensePersistence, Defense Evasion MoyenneMedium
Détection d’un interpréteur de commandes [constaté plusieurs fois]Shellcode detected [seen multiple times] L’analyse des données de l’hôte sur %{Hôte compromis} a détecté un interpréteur de commandes en cours de génération à partir de la ligne de commande.Analysis of host data on %{Compromised Host} detected shellcode being generated from the command line. Il peut s’agir d’un processus légitime, ou de l’indication qu’une de vos machines a été compromise.This process could be legitimate activity, or an indication that one of your machines has been compromised. Ce comportement a été observé [x] fois aujourd’hui sur les ordinateurs suivants : [noms des ordinateurs]This behavior was seen [x] times today on the following machines: [Machine names] - MoyenneMedium
Le serveur SSH s’exécute à l’intérieur d’un conteneurSSH server is running inside a container Les journaux de la machine indiquent qu’un serveur SSH est en cours d’exécution dans un conteneur Docker.Machine logs indicate that an SSH server is running inside a Docker container. Bien que ce comportement puisse être intentionnel, il indique fréquemment qu’un conteneur est mal configuré ou a subi une violation.While this behavior can be intentional, it frequently indicates that a container is misconfigured or breached. - MoyenneMedium
Attaques par force brute RDP/SSH réussieSuccessful SSH brute force attack L’analyse des données de l’hôte a détecté une attaque par force brute réussie.Analysis of host data has detected a successful brute force attack. L’adresse IP %{Adresse IP source de l’attaquant} a effectué plusieurs tentatives de connexion.The IP %{Attacker source IP} was seen making multiple login attempts. Des connexions réussies ont été effectuées à partir de cette adresse IP par les utilisateurs suivants : %{Comptes utilisés pour se connecter à l’hôte}.Successful logins were made from that IP with the following user(s): %{Accounts used to successfully sign in to host}. Cela signifie que l’hôte est peut-être compromis et contrôlé par un acteur malveillant.This means that the host may be compromised and controlled by a malicious actor. - ÉlevéHigh
Détection de création de compte suspecteSuspicious Account Creation Detected L’analyse des données de l’hôte sur %{Hôte compromis} a détecté la création ou l’utilisation du compte local %{Nom du compte suspect} : ce nom de compte ressemble à un compte Windows standard ou à un nom de groupe %{Similaire au nom du compte}.Analysis of host data on %{Compromised Host} detected creation or use of a local account %{Suspicious account name} : this account name closely resembles a standard Windows account or group name '%{Similar To Account Name}'. Il s’agit peut-être d’un compte non autorisé créé par un attaquant et nommé ainsi pour éviter d’être remarqué par un administrateur humain.This is potentially a rogue account created by an attacker, so named in order to avoid being noticed by a human administrator. - MoyenneMedium
Détection d’une compilation suspecte [constaté plusieurs fois]Suspicious compilation detected [seen multiple times] L’analyse des données de l’hôte sur %{Hôte compromis} a détecté une compilation suspecte.Analysis of host data on %{Compromised Host} detected suspicious compilation. Les attaquants compilent souvent des exploitations sur une machine qu'ils ont compromise pour élever les privilèges.Attackers will often compile exploits on a machine they have compromised to escalate privileges. Ce comportement a été observé [x] fois aujourd’hui sur les ordinateurs suivants : [noms des ordinateurs]This behavior was seen [x] times today on the following machines: [Machine names] - MoyenneMedium
Détection d’une compilation suspecteSuspicious compilation detected L’analyse des données de l’hôte sur %{Hôte compromis} a détecté une compilation suspecte.Analysis of host data on %{Compromised Host} detected suspicious compilation. Les attaquants compilent souvent des exploitations sur une machine qu'ils ont compromise pour élever les privilèges.Attackers will often compile exploits on a machine they have compromised to escalate privileges. - MoyenneMedium
Énumération suspecte de la configuration de l’hôteSuspicious enumeration of host configuration L’analyse des données de l’hôte sur [machine] a détecté une énumération de l’hôte potentiellement malveillante.Analysis of host data on [machine] detected possible malicious host enumeration. Ces commandes sont parfois exécutées par un acteur malveillant lors de la compromission initiale d’un ordinateur.These commands are sometimes run by a malicious actor when they initially compromise a machine. - MoyenneMedium
Modification suspecte de l’horodatage des fichiersSuspicious file timestamp modification L’analyse des données de l’hôte a détecté une modification suspecte de l’horodatage.Host data analysis detected a suspicious timestamp modification. Les attaquants copient souvent les horodatages de fichiers légitimes existants dans de nouveaux outils pour empêcher la détection de ces fichiers supprimés.Attackers often copy timestamps from existing, legitimate files to new tools to avoid detection of these newly dropped files. Persistance / DefenseEvasionPersistence / DefenseEvasion FaibleLow
Première commande suspecte dans l’interpréteur de commandesSuspicious first command in shell
(VM_SuspectInitialShellCommand)(VM_SuspectInitialShellCommand )
L’analyse des données de l’hôte sur %{Hôte compromis} a détecté l’exécution d’une première commande suspecte dans un interpréteur de commandes.Analysis of host data on %{Compromised Host} detected the execution of a suspicious first command in a shell. Cela peut indiquer une activité malveillante.This may be an indication of malicious activity. ExploitationExploitation FaibleLow
Détection d’un module de noyau suspect [constaté plusieurs fois]Suspicious kernel module detected [seen multiple times] L’analyse des données de l’hôte sur %{Hôte compromis} a détecté qu’un fichier objet partagé est chargé en tant que module de noyau.Analysis of host data on %{Compromised Host} detected a shared object file being loaded as a kernel module. Il peut s’agir d’une activité légitime, ou d’une indication qu’une de vos machines a été compromise.This could be legitimate activity, or an indication that one of your machines has been compromised. Ce comportement a été observé [x] fois aujourd’hui sur les ordinateurs suivants : [noms des ordinateurs]This behavior was seen [x] times today on the following machines: [Machine names] - MoyenneMedium
Accès suspect aux mots de passe [constaté plusieurs fois]Suspicious password access [seen multiple times] L’analyse des données de l’hôte a détecté un accès suspect aux mots de passe utilisateur chiffrés sur %{Hôte compromis}.Analysis of host data has detected suspicious access to encrypted user passwords on %{Compromised Host}. Ce comportement a été observé [x] fois aujourd’hui sur les ordinateurs suivants : [noms des ordinateurs]This behavior was seen [x] times today on the following machines: [Machine names] - InformationnelInformational
Accès suspect aux mots de passeSuspicious password access L’analyse des données de l’hôte a détecté un accès suspect aux mots de passe utilisateur chiffrés sur %{Hôte compromis}.Analysis of host data has detected suspicious access to encrypted user passwords on %{Compromised Host}. - InformationnelInformational
Détection de l’exécution d’un processus PHP suspectSuspicious PHP execution detected Les journaux des machines indiquent qu’un processus PHP suspect est en cours d’exécution.Machine logs indicate that a suspicious PHP process is running. L’action incluait une tentative d’exécution de commandes de système d’exploitation ou de code PHP à partir de la ligne de commande en utilisant le processus PHP.The action included an attempt to run OS commands or PHP code from the command line using the PHP process. Bien que ce comportement puisse être légitime, il est également constaté dans les applications web au travers d’activités malveillantes telles que les tentatives d’infecter des sites web avec des interpréteurs de commandes web.While this behavior can be legitimate, in web applications this behavior is also observed in malicious activities such as attempts to infect websites with web shells. - MoyenneMedium
Demande suspecte à l’API KubernetesSuspicious request to Kubernetes API Les journaux de la machine indiquent qu’une demande suspecte a été adressée à l’API Kubernetes.Machine logs indicate that a suspicious request was made to the Kubernetes API. La demande a été envoyée à partir d’un nœud Kubernetes, éventuellement à partir de l’un des conteneurs en cours d’exécution dans le nœud.The request was sent from a Kubernetes node, possibly from one of the containers running in the node. Bien que ce comportement puisse être intentionnel, il peut indiquer que le nœud exécute un conteneur compromis.Although this behavior can be intentional, it might indicate that the node is running a compromised container. - MoyenneMedium

Alertes pour Azure App ServiceAlerts for Azure App Service

Informations complémentaires et notesFurther details and notes

Alerte (type d’alerte)Alert (Alert Type) DescriptionDescription IntentionnelIntent
(En savoir plus)(Learn more)
severitySeverity
Tentative d’exécution de commandes Linux sur un service d’application WindowsAn attempt to run Linux commands on a Windows App Service
(AppServices_LinuxCommandOnWindows)(AppServices_LinuxCommandOnWindows)
L’analyse des processus App Service a détecté une tentative d’exécution d’une commande Linux sur un service d’application Windows.Analysis of App Service processes detected an attempt to run a Linux command on a Windows App Service. Cette action s’exécutait aux côtés de l’application web.This action was running by the web application. Ce comportement est souvent observé pendant les campagnes qui exploitent une vulnérabilité dans une application web courante.This behavior is often seen during campaigns that exploit a vulnerability in a common web application. - MoyenneMedium
Une adresse IP qui s’est connectée à votre interface FTP Azure App Service a été trouvée dans Threat IntelligenceAn IP that connected to your Azure App Service FTP Interface was found in Threat Intelligence
(AppServices_IncomingTiClientIpFtp)(AppServices_IncomingTiClientIpFtp)
Le journal FTP d’Azure App Service indique l’établissement d’une connexion à partir d’une adresse source qui a été trouvée dans le flux de Threat Intelligence.Azure App Service FTP log indicates a connection from a source address that was found in the threat intelligence feed. Durant cette connexion, un utilisateur a accédé aux pages listées.During this connection, a user accessed the pages listed. InitialAccessInitialAccess MoyenneMedium
Détection d’un modèle de requête anormalAnomalous requests pattern detected
(AppServices_HttpAnomalies)(AppServices_HttpAnomalies)
Le journal d’activité d’Azure App Service indique une activité HTTP anormale dans App Service à partir de %{Adresse IP source.Azure App Service activity log indicates an anomalous HTTP activity to the App Service from %{Source IP.
Cette activité ressemble à une activité de fuzzing ou de force brute.This activity resembles a pattern of fuzzing or brute force activity.
- MoyenneMedium
Détection d’une tentative d’exécution d’une commande qui requiert des privilèges élevésAttempt to run high privilege command detected
(AppServices_HighPrivilegeCommand)(AppServices_HighPrivilegeCommand)
L’analyse des processus App Service a détecté une tentative d’exécution d’une commande qui nécessite des privilèges élevés.Analysis of App Service processes detected an attempt to run a command that requires high privileges.
La commande s’est exécutée dans le contexte de l’application web.The command ran in the web application context. Bien que ce comportement puisse être légitime, il est également constaté dans les applications web au travers d’activités malveillantes.While this behavior can be legitimate, in web applications this behavior is also observed in malicious activities.
- MoyenneMedium
Alerte de test d’Azure Security Center pour App Service (autre qu’une menace)Azure Security Center test alert for App Service (not a threat)
(AppServices_EICAR)(AppServices_EICAR)
Il s’agit d’une alerte de test générée par Azure Security Center.This is a test alert generated by Azure Security Center. Aucune action supplémentaire n’est requise.No further action is needed. - ImportanteHigh
Détection d’une connexion à une page web à partir d’une adresse IP anormaleConnection to web page from anomalous IP address detected
(AppServices_AnomalousPageAccess)(AppServices_AnomalousPageAccess)
Le journal d’activité d’Azure App Service indique une connexion à une page web sensible à partir d’une adresse IP source qui ne s’y était pas connectée jusqu’à présent.Azure App Service activity log indicates a connection to a sensitive web page from a source IP address that hasn't connected to it before. Cette situation peut indiquer que quelqu’un tente une attaque par force brute dans les pages d’administration de votre application web.This might indicate that someone is attempting a brute force attack into your web app administration pages. Elle peut également être le résultat de l’utilisation d’une nouvelle adresse IP par un utilisateur légitime.It might also be the result of a new IP address being used by a legitimate user. InitialAccessInitialAccess MoyenneMedium
Détection d’un comportement lié au minage de devises numériquesDigital currency mining related behavior detected
(AppServices_DigitalCurrencyMining)(AppServices_DigitalCurrencyMining)
L’analyse des données de l’hôte sur Inn-Flow-WebJobs a détecté l’exécution d’un processus ou d’une commande qui est normalement associé au minage de devises numériques.Analysis of host data on Inn-Flow-WebJobs detected the execution of a process or command normally associated with digital currency mining. ExécutionExecution ÉlevéHigh
Exécutable décodé à l’aide de certutilExecutable decoded using certutil
(AppServices_ExecutableDecodedUsingCertutil)(AppServices_ExecutableDecodedUsingCertutil)
L’analyse des données de l’hôte sur [Entité compromise] a détecté l’utilisation de certutil.exe, un utilitaire administrateur intégré, pour le décodage d’un exécutable au lieu de son usage général qui concerne la manipulation des certificats et des données des certificats.Analysis of host data on [Compromised entity] detected that certutil.exe, a built-in administrator utility, was being used to decode an executable instead of its mainstream purpose that relates to manipulating certificates and certificate data. Les attaquants sont connus pour abuser des fonctionnalités d’outils d’administration légitimes afin d’effectuer des actions malveillantes, par exemple en utilisant un outil comme certutil.exe pour décoder un fichier exécutable qui sera ensuite exécuté.Attackers are known to abuse functionality of legitimate administrator tools to perform malicious actions, for example using a tool such as certutil.exe to decode a malicious executable that will then be subsequently executed. Intrusion dans la défense, ExécutionDefenseEvasion, Execution ImportanteHigh
Comportement d’attaque sans fichier détectéFileless Attack Behavior Detected
(AppServices_FilelessAttackBehaviorDetection)(AppServices_FilelessAttackBehaviorDetection)
La mémoire du processus spécifié ci-dessous contient des comportements fréquemment utilisés par les attaques sans fichier.The memory of the process specified below contains behaviors commonly used by fileless attacks.
Les comportements spécifiques sont les suivants : {liste des comportements observés}Specific behaviors include: {list of observed behaviors}
ExécutionExecution MoyenneMedium
Technique d’attaque sans fichier détectéeFileless Attack Technique Detected
(AppServices_FilelessAttackTechniqueDetection)(AppServices_FilelessAttackTechniqueDetection)
La mémoire du processus spécifié ci-dessous contient une preuve de technique d’attaque sans fichier.The memory of the process specified below contains evidence of a fileless attack technique. Les attaques sans fichier sont utilisées par les attaquants pour exécuter du code tout en échappant à la détection par le logiciel de sécurité.Fileless attacks are used by attackers to execute code while evading detection by security software.
Les comportements spécifiques sont les suivants : {liste des comportements observés}Specific behaviors include: {list of observed behaviors}
ExécutionExecution ÉlevéHigh
Kit d’attaques sans fichier détectéFileless Attack Toolkit Detected
(AppServices_FilelessAttackToolkitDetection)(AppServices_FilelessAttackToolkitDetection)
La mémoire du processus spécifié ci-dessous contient un kit d’attaques sans fichier : {NomKit}.The memory of the process specified below contains a fileless attack toolkit: {ToolKitName}. Les kits d’attaques sans fichier ne sont généralement pas présents sur le système de fichiers, ce qui rend difficile la détection par un logiciel antivirus traditionnel.Fileless attack toolkits typically do not have a presence on the filesystem, making detection by traditional anti-virus software difficult.
Les comportements spécifiques sont les suivants : {liste des comportements observés}Specific behaviors include: {list of observed behaviors}
Intrusion dans la défense, ExécutionDefenseEvasion, Execution ImportanteHigh
Contenu de hameçonnage hébergé sur Azure WebappsPhishing content hosted on Azure Webapps
(AppServices_PhishingContent)(AppServices_PhishingContent)
URL utilisée pour les attaques par hameçonnage détectées sur le site Azure AppServices.URL used for phishing attack found on the Azure AppServices website. Cette URL faisait partie d’une attaque par hameçonnage envoyée aux clients de Microsoft 365.This URL was part of a phishing attack sent to Microsoft 365 customers. En général, le contenu incite les visiteurs à entrer leurs informations d’identification d’entreprise ou leurs informations financières sur un site d’apparence légitime.The content typically lures visitors into entering their corporate credentials or financial information into a legitimate looking website. CollectionCollection ÉlevéHigh
Fichier PHP dans le dossier de chargementPHP file in upload folder
(AppServices_PhpInUploadFolder)(AppServices_PhpInUploadFolder)
Le journal d’activité d’Azure App Service indique un accès à une page PHP suspecte située dans le dossier de chargement.Azure App Service activity log indicates an access to a suspicious PHP page located in the upload folder.
Généralement, ce type de dossier ne contient pas de fichiers PHP.This type of folder does not usually contain PHP files. L’existence de ce type de fichier peut indiquer une exploitation tirant parti des vulnérabilités du chargement de fichiers arbitraires.The existence of this type of file might indicate an exploitation taking advantage of arbitrary file upload vulnerabilities.
ExécutionExecution MoyenneMedium
Détection de téléchargement de données brutesRaw data download detected
(AppServices_DownloadCodeFromWebsite)(AppServices_DownloadCodeFromWebsite)
L’analyse des processus App Service a détecté une tentative de téléchargement de code à partir de sites web de données brutes, par exemple pastebin.Analysis of App Service processes detected an attempt to download code from raw-data websites such as Pastebin. Cette action a été exécutée par un processus PHP.This action was run by a PHP process. Ce comportement est associé aux tentatives de téléchargement d’interpréteurs de commandes web ou autres composants malveillants sur Azure App Service.This behavior is associated with attempts to download web shells or other malicious components to the App Service. ExécutionExecution MoyenneMedium
Détection de l’enregistrement de la sortie curl sur le disqueSaving curl output to disk detected
(AppServices_CurlToDisk)(AppServices_CurlToDisk)
L’analyse des processus App Service a détecté l’exécution d’une commande curl dont la sortie a été enregistrée sur le disque.Analysis of App Service processes detected the running of a curl command in which the output was saved to the disk. Bien que ce comportement puisse être légitime, il est également constaté dans les applications web au travers d’activités malveillantes telles que les tentatives d’infecter des sites web avec des interpréteurs de commandes web.While this behavior can be legitimate, in web applications this behavior is also observed in malicious activities such as attempts to infect websites with web shells. - FaibleLow
Détection d’un référent de dossier de courrier indésirableSpam folder referrer detected
(AppServices_SpamReferrer)(AppServices_SpamReferrer)
Le journal d’activité d’Azure App Service indique une activité web qui a été identifiée comme provenant d’un site web associé à des activités de courrier indésirable.Azure App Service activity log indicates web activity that was identified as originating from a web site associated with spam activity. Cela peut se produire si votre site web est compromis et utilisé pour des activités de courrier indésirable.This can occur if your website is compromised and used for spam activity. - FaibleLow
Détection d’un accès suspect à une page web potentiellement vulnérableSuspicious access to possibly vulnerable web page detected
(AppServices_ScanSensitivePage)(AppServices_ScanSensitivePage)
Le journal d’activité d’Azure App Service indique un accès à une page web qui semble sensible.Azure App Service activity log indicates a web page that seems to be sensitive was accessed. Cette activité suspecte provient d’une adresse IP source dont le modèle d’accès est semblable à celui d’un analyseur web.This suspicious activity originated from a source IP address whose access pattern resembles that of a web scanner.
Cette activité est souvent associée à une tentative par un attaquant d’analyser votre réseau pour essayer d’accéder à des pages web sensibles ou vulnérables.This activity is often associated with an attempt by an attacker to scan your network to try and gain access to sensitive or vulnerable web pages.
- FaibleLow
Détection d’un téléchargement suspect à l’aide de CertutilSuspicious download using Certutil detected
(AppServices_DownloadUsingCertutil)(AppServices_DownloadUsingCertutil)
L’analyse des données de l’hôte sur {NOM} a détecté l’utilisation de certutil.exe, un utilitaire administrateur intégré, pour le téléchargement d’un fichier binaire au lieu de son usage général qui concerne la manipulation des certificats et des données des certificats.Analysis of host data on {NAME} detected the use of certutil.exe, a built-in administrator utility, for the download of a binary instead of its mainstream purpose that relates to manipulating certificates and certificate data. Les attaquants sont connus pour abuser des fonctionnalités d’outils d’administration légitimes afin d’effectuer des actions malveillantes, par exemple en utilisant certutil.exe pour télécharger et décoder un fichier exécutable qui sera ensuite exécuté.Attackers are known to abuse functionality of legitimate administrator tools to perform malicious actions, for example using certutil.exe to download and decode a malicious executable that will then be subsequently executed. ExécutionExecution MoyenneMedium
Détection de l’exécution d’un processus PHP suspectSuspicious PHP execution detected
(AppServices_SuspectPhp)(AppServices_SuspectPhp)
Les journaux des machines indiquent qu’un processus PHP suspect est en cours d’exécution.Machine logs indicate that a suspicious PHP process is running. L’action incluait une tentative d’exécution de commandes de système d’exploitation ou de code PHP à partir de la ligne de commande, en utilisant le processus PHP.The action included an attempt to run operating system commands or PHP code from the command line, by using the PHP process. Bien que ce comportement puisse être légitime, dans les applications web, il peut indiquer des activités malveillantes, telles que des tentatives d’infecter des sites web avec des interpréteurs de commandes web.While this behavior can be legitimate, in web applications this behavior might indicate malicious activities, such as attempts to infect websites with web shells. ExécutionExecution MoyenneMedium
Exécution de cmdlets PowerShell suspectsSuspicious PowerShell cmdlets executed
(AppServices_PowerShellPowerSploitScriptExecution)(AppServices_PowerShellPowerSploitScriptExecution)
L’analyse des données de l’hôte indique l’exécution de cmdlets PowerShell PowerSploit malveillants connus.Analysis of host data indicates execution of known malicious PowerShell PowerSploit cmdlets. ExécutionExecution MoyenneMedium
Exécution d’un processus suspectSuspicious process executed
(AppServices_KnownCredentialAccessTools)(AppServices_KnownCredentialAccessTools)
Les journaux de l’ordinateur indiquent que le processus suspect « %{chemin du processus} » était en cours d’exécution sur l’ordinateur. Cela est souvent associé aux tentatives d’accès aux informations d’identification par un attaquant.Machine logs indicate that the suspicious process: '%{process path}' was running on the machine, often associated with attacker attempts to access credentials. CredentialAccessCredentialAccess ImportanteHigh
Détection d’un nom de processus suspectSuspicious process name detected
(AppServices_ProcessWithKnownSuspiciousExtension)(AppServices_ProcessWithKnownSuspiciousExtension)
L’analyse des données de l’hôte sur {NOM} a détecté un processus dont le nom est suspect, correspondant par exemple à un outil malveillant connu ou portant un nom qui rappelle les outils que les attaquants essaient de masquer.Analysis of host data on {NAME} detected a process whose name is suspicious, for example corresponding to a known attacker tool or named in a way that is suggestive of attacker tools that try to hide in plain sight. Il peut s’agir d’un processus légitime, ou de l’indication qu’une de vos machines a été compromise.This process could be legitimate activity, or an indication that one of your machines has been compromised. Persistance, Intrusion dans la défensePersistence, DefenseEvasion MoyenneMedium
Exécution suspecte du processus SVCHOSTSuspicious SVCHOST process executed
(AppServices_SVCHostFromInvalidPath)(AppServices_SVCHostFromInvalidPath)
Le processus système SVCHOST a été exécuté dans un contexte anormal.The system process SVCHOST was observed running in an abnormal context. Les programmes malveillants utilisent souvent SVCHOST pour masquer leurs activités malveillantes.Malware often use SVCHOST to mask its malicious activity. Intrusion dans la défense, ExécutionDefenseEvasion, Execution ImportanteHigh
Détection d’un agent utilisateur suspectSuspicious User Agent detected
(AppServices_UserAgentInjection)(AppServices_UserAgentInjection)
Le journal d’activité Azure App Service indique des requêtes avec un agent utilisateur suspect.Azure App Service activity log indicates requests with suspicious user agent. Ce comportement peut indiquer des tentatives d’exploitation d’une vulnérabilité dans votre application App Service.This behavior can indicate on attempts to exploit a vulnerability in your App Service application. InitialAccessInitialAccess MoyenneMedium
Détection d’un appel de thème WordPress suspectSuspicious WordPress theme invocation detected
(AppServices_WpThemeInjection)(AppServices_WpThemeInjection)
Le journal d’activité d’Azure App Service indique une activité d’injection de code possible sur votre ressource App Service.Azure App Service activity log indicates a possible code injection activity on your App Service resource.
L’activité suspecte détectée ressemble à une manipulation d’un thème WordPress pour prendre en charge l’exécution de code côté serveur, suivie d’une requête web directe pour appeler le fichier de thème manipulé.The suspicious activity detected resembles that of a manipulation of WordPress theme to support server side execution of code, followed by a direct web request to invoke the manipulated theme file.
Ce type d’activité a été observé par le passé dans le cadre d’une campagne d’attaque visant WordPress.This type of activity was seen in the past as part of an attack campaign over WordPress.
ExécutionExecution ÉlevéHigh
Détection de l’analyseur de vulnérabilitéVulnerability scanner detected
(AppServices_DrupalScanner)(AppServices_DrupalScanner)
Le journal d’activité d’Azure App Service indique une possible activité d’analyse des vulnérabilités sur votre ressource App Service.Azure App Service activity log indicates that a possible vulnerability scanner was used on your App Service resource.
L’activité suspecte détectée ressemble à celle des outils ciblant les systèmes de gestion de contenu (CMS).The suspicious activity detected resembles that of tools targeting a content management system (CMS).
PreAttackPreAttack MoyenneMedium
Détection de l’analyseur de vulnérabilitéVulnerability scanner detected
(AppServices_JoomlaScanner)(AppServices_JoomlaScanner)
Le journal d’activité d’Azure App Service indique une possible activité d’analyse des vulnérabilités sur votre ressource App Service.Azure App Service activity log indicates that a possible vulnerability scanner was used on your App Service resource.
L’activité suspecte détectée ressemble à celle des outils ciblant les applications Joomla.The suspicious activity detected resembles that of tools targeting Joomla applications.
PreAttackPreAttack MoyenneMedium
Détection de l’analyseur de vulnérabilitéVulnerability scanner detected
(AppServices_WpScanner)(AppServices_WpScanner)
Le journal d’activité d’Azure App Service indique une possible activité d’analyse des vulnérabilités sur votre ressource App Service.Azure App Service activity log indicates that a possible vulnerability scanner was used on your App Service resource.
L’activité suspecte détectée ressemble à celle des outils ciblant les applications WordPress.The suspicious activity detected resembles that of tools targeting WordPress applications.
PreAttackPreAttack MoyenneMedium
Analyse NMap détectéeNMap scanning detected
(AppServices_Nmap)(AppServices_Nmap)
Le journal d’activité d’Azure App Service indique une activité de prise d’empreinte web possible sur votre ressource App Service.Azure App Service activity log indicates a possible web fingerprinting activity on your App Service resource.
L’activité suspecte détectée est associée à NMAP.The suspicious activity detected is associated with NMAP. Les attaquants utilisent souvent cet outil pour sonder l’application web afin de rechercher les vulnérabilités.Attackers often use this tool for probing the web application to find vulnerabilities.
PreAttackPreAttack MoyenneMedium
Détection d’une prise d’empreinte webWeb fingerprinting detected
(AppServices_WebFingerprinting)(AppServices_WebFingerprinting)
Le journal d’activité d’Azure App Service indique une activité de prise d’empreinte web possible sur votre ressource App Service.Azure App Service activity log indicates a possible web fingerprinting activity on your App Service resource.
L’activité suspecte détectée est associée à un outil appelé Blind Elephant.The suspicious activity detected is associated with a tool called Blind Elephant. L’outil prend l’empreinte des serveurs web et tente de détecter les applications installées et la version.The tool fingerprint web servers and tries to detect the installed applications and version.
Les attaquants utilisent souvent cet outil pour sonder l’application web afin de rechercher les vulnérabilités.Attackers often use this tool for probing the web application to find vulnerabilities.
PreAttackPreAttack MoyenneMedium
Le site web est marqué comme malveillant dans le flux de renseignement sur les menacesWebsite is tagged as malicious in threat intelligence feed
(AppServices_SmartScreen)(AppServices_SmartScreen)
Votre site web, comme décrit ci-dessous, est marqué comme site malveillant par Windows SmartScreen.Your website as described below is marked as a malicious site by Windows SmartScreen. Si vous pensez qu’il s’agit d’un faux positif, contactez Windows SmartScreen par le biais du lien de commentaires fourni.If you think this is a false positive, contact Windows SmartScreen via report feedback link provided. CollectionCollection MoyenneMedium

Alertes pour les conteneurs : clusters Azure Kubernetes ServiceAlerts for containers - Azure Kubernetes Service clusters

Informations complémentaires et notesFurther details and notes

AlerteAlert DescriptionDescription IntentionnelIntent
(En savoir plus)(Learn more)
severitySeverity
Conteneur avec un montage de volume sensible détectéContainer with a sensitive volume mount detected L’analyse du journal d’audit Kubernetes a détecté un nouveau conteneur avec un montage de volume sensible.Kubernetes audit log analysis detected a new container with a sensitive volume mount. Le volume détecté est un type hostPath qui monte un fichier ou un dossier sensible depuis le nœud sur le conteneur.The volume that was detected is a hostPath type that mounts a sensitive file or folder from the node to the container. Si le conteneur est compromis, l’attaquant peut utiliser ce montage pour accéder au nœud.If the container gets compromised, the attacker can use this mount to gain access to the node. PrivilegeEscalationPrivilegeEscalation MoyenneMedium
Conteneur d’extraction de données monétaires numériques détectéDigital currency mining container detected L’analyse du journal d’audit Kubernetes a détecté un conteneur qui a une image associée à un outil d’extraction de monnaies numériques.Kubernetes audit log analysis detected a container that has an image associated with a digital currency mining tool. ExécutionExecution ÉlevéHigh
Tableau de bord Kubernetes exposé détectéExposed Kubernetes dashboard detected L’analyse du journal d’audit Kubernetes a détecté une exposition du tableau de bord Kubernetes par un service LoadBalancer.Kubernetes audit log analysis detected exposure of the Kubernetes Dashboard by a LoadBalancer service. Les tableaux de bord exposés permettent un accès non authentifié à la gestion des clusters et constituent une menace pour la sécurité.Exposed dashboards allow unauthenticated access to the cluster management and pose a security threat. Accès initialInitial access ÉlevéHigh
Nouveau conteneur détecté dans l’espace de noms kube-systemNew container in the kube-system namespace detected L’analyse du journal d’audit Kubernetes a détecté un nouveau conteneur dans l’espace de noms kube-system qui ne fait pas partie des conteneurs qui s’exécutent normalement dans cet espace de noms.Kubernetes audit log analysis detected a new container in the kube-system namespace that isn't among the containers that normally run in this namespace. Les espaces de noms kube-system ne doivent pas contenir de ressources utilisateur.The kube-system namespaces shouldn't contain user resources. Les attaquants peuvent utiliser cet espace de noms pour masquer des composants malveillants.Attackers can use this namespace to hide malicious components. PersistancePersistence FaibleLow
Nouveau rôle avec privilèges élevés détectéNew high privileges role detected L’analyse du journal d’audit Kubernetes a détecté un nouveau rôle avec des privilèges élevés.Kubernetes audit log analysis detected a new role with high privileges. Une liaison à un rôle avec des privilèges élevés donne à l’utilisateur/au groupe des privilèges élevés dans le cluster.A binding to a role with high privileges gives the user/group elevated privileges in the cluster. Le fait de fournir inutilement des privilèges élevés peut entraîner des problèmes d’escalade de privilèges dans le cluster.Unnecessarily providing elevated privileges might result in privilege escalation issues in the cluster. PersistancePersistence FaibleLow
Conteneur privilégié détectéPrivileged container detected L’analyse du journal d’audit Kubernetes a détecté un nouveau conteneur privilégié.Kubernetes audit log analysis detected a new privileged container. Un conteneur privilégié a accès aux ressources du nœud et rompt l’isolation entre les conteneurs.A privileged container has access to the node's resources and breaks the isolation between containers. En cas de compromission, un attaquant peut utiliser le conteneur privilégié pour accéder au nœud.If compromised, an attacker can use the privileged container to gain access to the node. PrivilegeEscalationPrivilegeEscalation FaibleLow
Liaison de rôle au rôle d’administrateur de cluster détectéRole binding to the cluster-admin role detected L’analyse du journal d’audit Kubernetes a détecté une nouvelle liaison au rôle d’administrateur de cluster aboutissant à des privilèges d’administrateur.Kubernetes audit log analysis detected a new binding to the cluster-admin role resulting in administrator privileges. Le fait de fournir inutilement des privilèges d’administrateur peut entraîner des problèmes d’escalade de privilèges dans le cluster.Unnecessarily providing administrator privileges might result in privilege escalation issues in the cluster. PersistancePersistence FaibleLow
Tableau de bord Kubeflow exposé détectéExposed Kubeflow dashboard detected L’analyse du journal d’audit Kubernetes a détecté l’exposition de l’entrée Istio par un équilibreur de charge dans un cluster qui exécute Kubeflow.The Kubernetes audit log analysis detected exposure of the Istio Ingress by a load balancer in a cluster that runs Kubeflow.
Cette action peut exposer le tableau de bord Kubeflow à Internet.This action might expose the Kubeflow dashboard to the internet. Si le tableau de bord est exposé à Internet, les attaquants peuvent y accéder et exécuter du code ou des conteneurs malveillants sur le cluster.If the dashboard is exposed to the internet, attackers can access it and run malicious containers or code on the cluster.
Pour plus d’informations, consultez Les charges de travail Kubeflow mal configurées constituent un risque de sécurité.Learn more in Misconfigured Kubeflow workloads are a security risk.
Accès initialInitial access MoyenneMedium
Service Redis exposé dans AKS détectéExposed Redis service in AKS detected L’analyse du journal d’audit Kubernetes a détecté l’exposition d’un service Redis par un équilibreur de charge.The Kubernetes audit log analysis detected exposure of a Redis service by a load balancer.
Si le service ne requiert pas d’authentification, son exposition à Internet présente un risque pour la sécurité.If the service doesn’t require authentication, exposing it to the internet poses a security risk.
Accès initialInitial access MoyenneMedium
Service Kubernetes exposé détectéExposed Kubernetes service detected L’analyse du journal d’audit Kubernetes a détecté l’exposition d’un service par un équilibreur de charge.The Kubernetes audit log analysis detected exposure of a service by a load balancer. Ce service est lié à une application sensible qui autorise des opérations à impact élevé dans le cluster, comme l’exécution de processus sur le nœud ou la création de conteneurs.This service is related to a sensitive application that allows high impact operations in the cluster such as running processes on the node or creating new containers.
Dans certains cas, ce service ne requiert pas d’authentification.In some cases, this service doesn’t require authentication. Si le service ne requiert pas d’authentification, son exposition à Internet présente un risque pour la sécurité.If the service doesn’t require authentication, exposing it to the internet poses a security risk.
Accès initialInitial access MoyenneMedium

Alertes pour les conteneurs : niveau de l’hôteAlerts for containers - host level

Informations complémentaires et notesFurther details and notes

AlerteAlert DescriptionDescription IntentionnelIntent
(En savoir plus)(Learn more)
severitySeverity
Conteneur privilégié détectéPrivileged Container Detected Les journaux de la machine indiquent qu’un conteneur Docker privilégié est en cours d’exécution.Machine logs indicate that a privileged Docker container is running. Un conteneur privilégié a un accès complet aux ressources de l’hôte.A privileged container has full access to the host's resources. En cas de compromission, un attaquant peut utiliser le conteneur privilégié pour accéder à l’ordinateur hôte.If compromised, an attacker can use the privileged container to gain access to the host machine. PrivilegeEscalation / ExécutionPrivilegeEscalation / Execution FaibleLow
Exécution d’une commande privilégiée dans le conteneurPrivileged command run in container Les journaux de la machine indiquent qu’une commande privilégiée a été exécutée dans un conteneur Docker.Machine logs indicate that a privileged command was run in a Docker container. Une commande privilégiée a des privilèges étendus sur la machine hôte.A privileged command has extended privileges on the host machine. PrivilegeEscalationPrivilegeEscalation FaibleLow
Démon Docker exposé détectéExposed Docker daemon detected Les journaux de la machine indiquent que le démon Docker (dockerd) expose un socket TCP.Machine logs indicate that your Docker daemon (dockerd) exposes a TCP socket. Par défaut, la configuration Docker n’utilise pas le chiffrement ou l’authentification quand un socket TCP est activé.By default, Docker configuration doesn't use encryption or authentication when a TCP socket is enabled. Toute personne ayant accès au port approprié peut alors obtenir un accès complet au démon Docker.Anyone with access to the relevant port can then get full access to the Docker daemon. Exploitation / ExécutionExploitation / Execution MoyenneMedium
Le serveur SSH s’exécute à l’intérieur d’un conteneurSSH server is running inside a container Les journaux de la machine indiquent qu’un serveur SSH est en cours d’exécution dans un conteneur Docker.Machine logs indicate that an SSH server is running inside a Docker container. Bien que ce comportement puisse être intentionnel, il indique fréquemment qu’un conteneur est mal configuré ou a subi une violation.While this behavior can be intentional, it frequently indicates that a container is misconfigured or breached. ExécutionExecution MoyenneMedium
Conteneur avec une image d’extracteur détectéContainer with a miner image detected Les journaux de la machine indiquent l’exécution d’un conteneur Docker exécutant une image associée à l’extraction de monnaies numériques.Machine logs indicate execution of a Docker container running an image associated with digital currency mining. Ce comportement peut éventuellement indiquer que vos ressources font l’objet d’un abus.This behavior can possibly indicate that your resources are being abused. ExécutionExecution ÉlevéHigh
Demande suspecte à l’API KubernetesSuspicious request to Kubernetes API Les journaux de la machine indiquent qu’une demande suspecte a été adressée à l’API Kubernetes.Machine logs indicate that a suspicious request was made to the Kubernetes API. La demande a été envoyée à partir d’un nœud Kubernetes, éventuellement à partir de l’un des conteneurs en cours d’exécution dans le nœud.The request was sent from a Kubernetes node, possibly from one of the containers running in the node. Bien que ce comportement puisse être intentionnel, il peut indiquer que le nœud exécute un conteneur compromis.Although this behavior can be intentional, it might indicate that the node is running a compromised container. ExécutionExecution MoyenneMedium
Demande suspecte au tableau de bord KubernetesSuspicious request to the Kubernetes Dashboard Les journaux de la machine indiquent qu’une demande suspecte a été adressée au tableau de bord Kubernetes.Machine logs indicate that a suspicious request was made to the Kubernetes Dashboard. La demande a été envoyée à partir d’un nœud Kubernetes, éventuellement à partir de l’un des conteneurs en cours d’exécution dans le nœud.The request was sent from a Kubernetes node, possibly from one of the containers running in the node. Bien que ce comportement puisse être intentionnel, il peut indiquer que le nœud exécute un conteneur compromis.Although this behavior can be intentional, it might indicate that the node is running a compromised container. Mouvement latéralLateral movement MoyenneMedium

Alertes pour SQL Database et Azure Synapse AnalyticsAlerts for SQL Database and Azure Synapse Analytics

Informations complémentaires et notesFurther details and notes

AlerteAlert DescriptionDescription IntentionnelIntent
(En savoir plus)(Learn more)
severitySeverity
Vulnérabilité possible par injection de code SQLA possible vulnerability to SQL Injection Une application a généré une instruction SQL défectueuse dans la base de données.An application has generated a faulty SQL statement in the database. Cela peut indiquer une vulnérabilité aux attaques par injection de code SQL.This can indicate a possible vulnerability to SQL injection attacks. Il y a deux causes possibles à une instruction défectueuse.There are two possible reasons for a faulty statement. Un défaut dans le code d’application peut avoir créé l’instruction SQL défectueuse.A defect in application code might have constructed the faulty SQL statement. Ou bien, le code d’application ou les procédures stockées n’ont pas assaini les entrées utilisateur lors de la création de l’instruction SQL défectueuse, qui peut être exploitée par l’injection de code SQL.Or, application code or stored procedures didn't sanitize user input when constructing the faulty SQL statement, which can be exploited for SQL injection. - MoyenneMedium
Tentative de connexion par une application potentiellement dangereuseAttempted logon by a potentially harmful application Une application potentiellement dangereuse a tenté d’accéder à SQL Server « {nom} ».A potentially harmful application attempted to access SQL server '{name}'. PreAttackPreAttack ÉlevéHigh
Connexion à partir d’un centre de données Azure inhabituelLog on from an unusual Azure Data Center Le modèle d’accès à SQL Server a changé, car un utilisateur s’est connecté au serveur à partir d’un centre de données Azure inhabituel.There has been a change in the access pattern to an SQL Server, where someone has signed in to the server from an unusual Azure Data Center. Dans certains cas, l’alerte détecte une action légitime (une nouvelle application ou un nouveau service Azure).In some cases, the alert detects a legitimate action (a new application or Azure service). Dans d’autres cas, l’alerte détecte une action malveillante (attaquant opérant à partir d’une ressource compromise dans Azure).In other cases, the alert detects a malicious action (attacker operating from breached resource in Azure). DétectionProbing FaibleLow
Connexion à partir d’un emplacement inhabituelLog on from an unusual location Le modèle d’accès à SQL Server a changé, car un utilisateur s’est connecté au serveur à partir d’un emplacement géographique inhabituel.There has been a change in the access pattern to SQL Server, where someone has signed in to the server from an unusual geographical location. Dans certains cas, l’alerte détecte une action légitime (une nouvelle application ou opération de maintenance du développeur).In some cases, the alert detects a legitimate action (a new application or developer maintenance). Dans d’autres cas, l’alerte détecte une action malveillante (ancien employé ou attaquant externe).In other cases, the alert detects a malicious action (a former employee or external attacker). ExploitationExploitation MoyenneMedium
Connexion à partir d’un utilisateur principal non vu en 60 joursLogin from a principal user not seen in 60 days Un utilisateur principal non vu depuis 60 jours s’est connecté à votre base de données.A principal user not seen in the last 60 days has logged into your database. Si cette base de données est nouvelle ou si le comportement attendu est dû à des modifications récentes des utilisateurs accédant à la base de données, le Centre de sécurité identifie les modifications significatives apportées aux modèles d’accès et tente d’éviter les faux positifs futurs.If this database is new or this is expected behavior caused by recent changes in the users accessing the database, Security Center will identify significant changes to the access patterns and attempt to prevent future false positives. ExploitationExploitation MoyenneMedium
Tentative de force brute SQL potentiellePotential SQL Brute Force attempt Il y a eu un nombre anormalement élevé d’échecs de tentatives de connexion avec des informations d’identification différentes.An abnormally high number of failed sign in attempts with different credentials have occurred. Dans certains cas, l’alerte détecte le test d’intrusion en action.In some cases, the alert detects penetration testing in action. Dans d’autres cas, l’alerte détecte une attaque par force brute.In other cases, the alert detects a brute force attack. DétectionProbing ÉlevéHigh
Injection potentielle de code SQLPotential SQL injection Une attaque active a eu lieu contre une application identifiée vulnérable aux injections SQL.An active exploit has occurred against an identified application vulnerable to SQL injection. Cela signifie qu’un attaquant tente d’injecter des instructions SQL malveillantes en utilisant les procédures stockées ou le code d’application vulnérables.This means an attacker is trying to inject malicious SQL statements by using the vulnerable application code or stored procedures. - ÉlevéHigh
Emplacement d’exportation inhabituelUnusual export location Quelqu’un a extrait une quantité importante de données de votre SQL Server « {nom du SQL Server} » vers un emplacement inhabituel.Someone has extracted a massive amount of data from your SQL Server '{SQL server name}' to an unusual location. ExfiltrationExfiltration ÉlevéHigh

Alertes pour le Stockage AzureAlerts for Azure Storage

Informations complémentaires et notesFurther details and notes

AlerteAlert DescriptionDescription IntentionnelIntent
(En savoir plus)(Learn more)
severitySeverity
PRÉVERSION : accès à partir d’une adresse IP suspectePREVIEW – Access from a Suspicious IP address Indique que le compte de stockage a fait l’objet d’un accès réussi à partir d’une adresse IP considérée comme suspecte.Indicates that this storage account has been successfully accessed from an IP address that is considered suspicious. Cette alerte est générée par Microsoft Threat Intelligence.This alert is powered by Microsoft Threat Intelligence.
En savoir plus sur les capacités de renseignement sur les menaces de Microsoft.Learn more about Microsoft's threat intelligence capabilities.
S’applique à : Stockage Blob Azure, Azure Files, Azure Data Lake Storage Gen2Applies to: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
Accès initialInitial Access MoyenneMedium
Accès à partir d’un nœud de sortie TDR dans un compte de stockageAccess from a Tor exit node to a storage account Indique que ce compte a fait l’objet d’un accès à partir d’une adresse IP connue comme étant un nœud de sortie actif de Tor (proxy d’anonymisation).Indicates that this account has been accessed successfully from an IP address that is known as an active exit node of Tor (an anonymizing proxy). La gravité de cette alerte considère le type d’authentification utilisé (le cas échéant) et le fait qu’il s’agit ou non du premier cas de ce type d’accès.The severity of this alert considers the authentication type used (if any), and whether this is the first case of such access. Un attaquant ou un utilisateur légitime a peut-être accédé à votre compte de stockage à l’aide de Tor.Potential causes can be an attacker who has accessed your storage account by using Tor, or a legitimate user who has accessed your storage account by using Tor.
S’applique à : Stockage Blob Azure, Azure Files, Azure Data Lake Storage Gen2Applies to: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
Détection / ExploitationProbing / Exploitation ÉlevéHigh
Accès à partir d’un emplacement inhabituel dans un compte de stockageAccess from an unusual location to a storage account Indique un changement dans le modèle d’accès à un compte Stockage Azure.Indicates that there was a change in the access pattern to an Azure Storage account. Quelqu’un a accédé à ce compte à partir d’une adresse IP considérée comme peu familière par rapport à l’activité récente.Someone has accessed this account from an IP address considered unfamiliar when compared with recent activity. Soit un attaquant a obtenu l’accès au compte, soit un utilisateur légitime s’est connecté à partir d’un emplacement géographique nouveau ou inhabituel.Either an attacker has gained access to the account, or a legitimate user has connected from a new or unusual geographic location. Dans le deuxième cas, il peut s’agir, par exemple, d’une opération de maintenance à distance effectuée par une nouvelle application ou un nouveau développeur.An example of the latter is remote maintenance from a new application or developer.
S’applique à : Stockage Blob Azure, Azure Files, Azure Data Lake Storage Gen2Applies to: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
ExploitationExploitation FaibleLow
Accès anonyme à un compte de stockageAnonymous access to a storage account Indique un changement dans le modèle d’accès à un compte de stockage.Indicates that there's a change in the access pattern to a storage account. Par exemple, le compte a fait l’objet d’un accès anonyme (sans authentification), ce qui est inattendu comparé au modèle d’accès récent à ce compte.For instance, the account has been accessed anonymously (without any authentication), which is unexpected compared to the recent access pattern on this account. Un attaquant a peut-être exploité un accès en lecture public à un conteneur de stockage d’objets blob.A potential cause is that an attacker has exploited public read access to a container that holds blob storage.
S’applique à : Stockage Blob AzureApplies to: Azure Blob Storage
ExploitationExploitation ÉlevéHigh
PRÉVERSION - contenu de hameçonnage hébergé sur un compte de stockagePREVIEW – Phishing content hosted on a storage account Une URL utilisée dans une attaque par hameçonnage pointe vers votre compte de stockage Azure.A URL used in a phishing attack points to your Azure Storage account. Cette URL faisait partie d’une attaque par hameçonnage qui affecte des utilisateurs de Microsoft 365.This URL was part of a phishing attack affecting users of Microsoft 365.
En règle générale, le contenu hébergé sur ces pages est conçu pour inciter les visiteurs à entrer leurs informations d’identification d’entreprise ou financières dans un formulaire web qui semble légitime.Typically, content hosted on such pages is designed to trick visitors into entering their corporate credentials or financial information into a web form that looks legitimate.
Cette alerte est générée par Microsoft Threat Intelligence.This alert is powered by Microsoft Threat Intelligence.
En savoir plus sur les capacités de renseignement sur les menaces de Microsoft.Learn more about Microsoft's threat intelligence capabilities.
S’applique à : Stockage Blob Azure, Azure FilesApplies to: Azure Blob Storage, Azure Files
CollectionCollection ÉlevéHigh
Programme potentiellement malveillant chargé vers un compte de stockagePotential malware uploaded to a storage account Indique qu’un blob pouvant contenir des programmes malveillants a été chargé dans le conteneur de blobs ou le partage de fichiers d’un compte de stockage.Indicates that a blob containing potential malware has been uploaded to a blob container or a file share in a storage account. Cette alerte est basée sur une analyse de réputation de code de hachage tirant parti de la puissance du renseignement sur les menaces Microsoft, qui inclut des codes de hachage pour des virus, Cheval de Troie, logiciels espions et autres rançongiciels.This alert is based on hash reputation analysis leveraging the power of Microsoft threat intelligence, which includes hashes for viruses, trojans, spyware and ransomware. Les causes potentielles peuvent inclure le chargement intentionnel d’un programme malveillant par un agresseur ou le chargement non intentionnel d’un objet blob potentiellement malveillant par un utilisateur légitime.Potential causes may include an intentional malware upload by an attacker, or an unintentional upload of a potentially malicious blob by a legitimate user.
S’applique à : Stockage Blob Azure, Azure Files (uniquement pour les transactions sur API REST)Applies to: Azure Blob Storage, Azure Files (Only for transactions over REST API)
En savoir plus sur l’analyse de réputation du code de hachage pour les programmes malveillants d’Azure.Learn more about Azure's hash reputation analysis for malware.
En savoir plus sur les capacités de renseignement sur les menaces de Microsoft.Learn more about Microsoft's threat intelligence capabilities.
LateralMovementLateralMovement ÉlevéHigh
Inspection d’accès inhabituelle dans un compte de stockageUnusual access inspection in a storage account Indique que les autorisations d’accès d’un compte de stockage ont été inspectées de façon inhabituelle, par rapport à l’activité récente sur ce compte.Indicates that the access permissions of a storage account have been inspected in an unusual way, compared to recent activity on this account. Il est possible qu'un attaquant ait effectué une reconnaissance en vue d’une attaque future.A potential cause is that an attacker has performed reconnaissance for a future attack.
S’applique à : Stockage Blob Azure, Azure FilesApplies to: Azure Blob Storage, Azure Files
CollectionCollection MoyenneMedium
Quantité inhabituelle de données extraites d’un compte de stockageUnusual amount of data extracted from a storage account Indique qu’une quantité anormalement élevée de données a été extraite par rapport à l’activité récente sur ce conteneur de stockage.Indicates that an unusually large amount of data has been extracted compared to recent activity on this storage container. Un attaquant a peut-être extrait une grande quantité de données à partir d’un conteneur de stockage d’objets blob.A potential cause is that an attacker has extracted a large amount of data from a container that holds blob storage.
S’applique à : Stockage Blob Azure, Azure Files, Azure Data Lake Storage Gen2Applies to: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
ExfiltrationExfiltration MoyenneMedium
Une application inhabituelle a accédé à un compte de stockageUnusual application accessed a storage account Indique qu’une application inhabituelle a accédé à ce compte de stockage.Indicates that an unusual application has accessed this storage account. Un attaquant a peut-être accédé à votre compte de stockage à l’aide d’une nouvelle application.A potential cause is that an attacker has accessed your storage account by using a new application.
S’applique à : Stockage Blob Azure, Azure FilesApplies to: Azure Blob Storage, Azure Files
ExploitationExploitation MoyenneMedium
Modification inhabituelle des autorisations d’accès dans un compte de stockageUnusual change of access permissions in a storage account Indique que les autorisations d’accès de ce conteneur de stockage ont été modifiées de façon inhabituelle.Indicates that the access permissions of this storage container have been changed in an unusual way. Un attaquant a peut-être changé les autorisations du conteneur pour affaiblir son état de sécurité ou y accéder de façon persistante.A potential cause is that an attacker has changed container permissions to weaken its security posture or to gain persistence.
S’applique à : Stockage Blob Azure, Azure Files, Azure Data Lake Storage Gen2Applies to: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
PersistancePersistence MoyenneMedium
Exploration de données inhabituelle dans un compte de stockageUnusual data exploration in a storage account Indique que les objets blob ou les conteneurs dans un compte de stockage ont été énumérés de manière inhabituelle, par rapport à l’activité récente sur ce compte.Indicates that blobs or containers in a storage account have been enumerated in an abnormal way, compared to recent activity on this account. Il est possible qu'un attaquant ait effectué une reconnaissance en vue d’une attaque future.A potential cause is that an attacker has performed reconnaissance for a future attack.
S’applique à : Stockage Blob Azure, Azure FilesApplies to: Azure Blob Storage, Azure Files
CollectionCollection MoyenneMedium
Suppression inhabituelle dans un compte de stockageUnusual deletion in a storage account Indique qu’une ou plusieurs opérations de suppression inattendues se sont produites dans un compte de stockage, par rapport à l’activité récente sur ce compte.Indicates that one or more unexpected delete operations has occurred in a storage account, compared to recent activity on this account. Il est possible qu'un attaquant ait supprimé des données à partir de votre compte de stockage.A potential cause is that an attacker has deleted data from your storage account.
S’applique à : Stockage Blob Azure, Azure Files, Azure Data Lake Storage Gen2Applies to: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
ExfiltrationExfiltration MoyenneMedium
Chargement inhabituel de fichier .cspkg dans un compte de stockageUnusual upload of .cspkg to a storage account Indique qu’un package Azure Cloud Services (fichier .cspkg) a été chargé dans un compte de stockage de façon inhabituelle par rapport à l’activité récente sur ce compte.Indicates that an Azure Cloud Services package (.cspkg file) has been uploaded to a storage account in an unusual way, compared to recent activity on this account. Il est possible qu'un attaquant se prépare à déployer un code malveillant à partir de votre compte de stockage vers un service cloud Azure.A potential cause is that an attacker has been preparing to deploy malicious code from your storage account to an Azure cloud service.
S’applique à : Stockage Blob Azure, Azure Data Lake Storage Gen2Applies to: Azure Blob Storage, Azure Data Lake Storage Gen2
LateralMovement / ExécutionLateralMovement / Execution MoyenneMedium
Chargement inhabituel d’un fichier .exe dans un compte de stockageUnusual upload of .exe to a storage account Indique qu’un fichier .exe a été chargé dans un compte de stockage de façon inhabituelle, par rapport à l’activité récente sur ce compte.Indicates that an .exe file has been uploaded to a storage account in an unusual way, compared to recent activity on this account. Une cause possible est qu’un attaquant a chargé un fichier exécutable malveillant dans votre compte de stockage ou qu’un utilisateur légitime a chargé un fichier exécutable.A potential cause is that an attacker has uploaded a malicious executable file to your storage account, or that a legitimate user has uploaded an executable file.
S’applique à : Stockage Blob Azure, Azure Files, Azure Data Lake Storage Gen2Applies to: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
LateralMovement / ExécutionLateralMovement / Execution MoyenneMedium

Alertes pour Azure Cosmos DB (préversion)Alerts for Azure Cosmos DB (Preview)

Informations complémentaires et notesFurther details and notes

AlerteAlert DescriptionDescription IntentionnelIntent
(En savoir plus)(Learn more)
severitySeverity
PRÉVERSION - Accès à partir d’un emplacement inhabituel dans un compte Cosmos DBPREVIEW - Access from an unusual location to a Cosmos DB account Indique un changement dans le modèle d’accès à un compte Azure Cosmos DB.Indicates that there was a change in the access pattern to an Azure Cosmos DB account. Quelqu’un a accédé à ce compte à partir d’une adresse IP inconnue, par rapport à l’activité récente.Someone has accessed this account from an unfamiliar IP address, compared to recent activity. Soit un attaquant a accédé au compte, soit un utilisateur légitime a accédé au compte à partir d’un emplacement géographique nouveau et inhabituel.Either an attacker has accessed the account, or a legitimate user has accessed it from a new and unusual geographical location. Dans le deuxième cas, il peut s’agir, par exemple, d’une opération de maintenance à distance effectuée par une nouvelle application ou un nouveau développeur.An example of the latter is remote maintenance from a new application or developer. ExploitationExploitation MoyenneMedium
PRÉVERSION - Quantité inhabituelle de données extraites d’un compte Cosmos DBPREVIEW - Unusual amount of data extracted from a Cosmos DB account Indique un changement dans le modèle d’extraction des données à partir d’un compte Azure Cosmos DB.Indicates that there was a change in the data extraction pattern from an Azure Cosmos DB account. Une personne a extrait une quantité inhabituelle de données par rapport à l’activité récente.Someone has extracted an unusual amount of data compared to recent activity. Il est possible qu’un attaquant ait extrait une grande quantité de données à partir d’une base de données Azure Cosmos DB (par exemple, une exfiltration ou fuite de données, ou un transfert de données non autorisé).An attacker might have extracted a large amount of data from an Azure Cosmos DB database (for example, data exfiltration or leakage, or an unauthorized transfer of data). Il est possible aussi qu’un utilisateur ou une application légitime ait extrait une quantité inhabituelle de données à partir d’un conteneur (par exemple, pour l’activité de sauvegarde de maintenance).Or, a legitimate user or application might have extracted an unusual amount of data from a container (for example, for maintenance backup activity). ExfiltrationExfiltration MoyenneMedium

Alertes pour la couche réseau AzureAlerts for Azure network layer

Informations complémentaires et notesFurther details and notes

AlerteAlert DescriptionDescription IntentionnelIntent
(En savoir plus)(Learn more)
severitySeverity
Détection d’une communication réseau avec un ordinateur malveillantNetwork communication with a malicious machine detected L’analyse du trafic réseau indique que votre ordinateur (Adresse IP %{Adresse IP victime}) a communiqué avec ce qui semble être un centre de contrôle et de commande.Network traffic analysis indicates that your machine (IP %{Victim IP}) has communicated with what is possibly a Command and Control center. Lorsque la ressource compromise est un équilibreur de charge ou une passerelle d’application, l’activité suspecte peut indiquer qu’une ou plusieurs des ressources du pool principal (de l’équilibreur de charge ou de la passerelle d’application) ont communiqué avec ce qui semble être un centre de contrôle et de commande.When the compromised resource is a load balancer or an application gateway, the suspected activity might indicate that one or more of the resources in the backend pool (of the load balancer or application gateway) has communicated with what is possibly a Command and Control center. - MoyenneMedium
Détection possible d’un ordinateur compromisPossible compromised machine detected Les renseignements sur les menaces indiquent que votre ordinateur (à l’adresse IP %{Adresse IP de l’ordinateur}) a peut-être été compromis par un programme malveillant de type Conficker.Threat intelligence indicates that your machine (at IP %{Machine IP}) may have been compromised by a malware of type Conficker. Conficker était un ver informatique qui ciblait le système d’exploitation Microsoft Windows et qui a été détecté pour la première fois en novembre 2008.Conficker was a computer worm that targets the Microsoft Windows operating system and was first detected in November 2008. Conficker a infecté des millions d’ordinateurs, notamment ceux des services publics, ceux des entreprises, mais aussi des ordinateurs personnels dans plus de 200 pays/régions, ce qui en fait la plus grande infection connue par un ver informatique depuis le ver Welchia en 2003.Conficker infected millions of computers including government, business and home computers in over 200 countries/regions, making it the largest known computer worm infection since the 2003 Welchia worm. - MoyenneMedium
Détection possible de tentatives de force brute entrante sur %{Nom du service}Possible incoming %{Service Name} brute force attempts detected L’analyse du trafic réseau a détecté une communication %{Nom du service} entrante vers %{Adresse IP victime}, associée à votre ressource %{Hôte compromis}, depuis %{Adresse IP de l’attaquant}.Network traffic analysis detected incoming %{Service Name} communication to %{Victim IP}, associated with your resource %{Compromised Host} from %{Attacker IP}. Lorsque la ressource compromise est un équilibreur de charge ou une passerelle d’application, le trafic entrant suspect est transféré vers une ou plusieurs des ressources du pool principal (de l’équilibreur de charge ou de la passerelle d’application).When the compromised resource is a load balancer or an application gateway, the suspected incoming traffic has been forwarded to one or more of the resources in the backend pool (of the load balancer or application gateway). Plus précisément, les données réseau échantillonnées montrent une activité suspecte entre %{Heure de début} et %{Heure de fin} sur le port %{Port de la victime}.Specifically, sampled network data shows suspicious activity between %{Start Time} and %{End Time} on port %{Victim Port}. Cette activité est cohérente avec les tentatives d’attaque par force brute contre les serveurs %{Nom du service}.This activity is consistent with brute force attempts against %{Service Name} servers. - MoyenneMedium
Détection possible de tentatives d’attaque SQL par force brutePossible incoming SQL brute force attempts detected L’analyse du trafic réseau a détecté une communication SQL entrante vers %{Adresse IP victime}, associée à votre ressource %{Hôte compromis}, depuis %{Adresse IP de l’attaquant}.Network traffic analysis detected incoming SQL communication to %{Victim IP}, associated with your resource %{Compromised Host}, from %{Attacker IP}. Lorsque la ressource compromise est un équilibreur de charge ou une passerelle d’application, le trafic entrant suspect est transféré vers une ou plusieurs des ressources du pool principal (de l’équilibreur de charge ou de la passerelle d’application).When the compromised resource is a load balancer or an application gateway, the suspected incoming traffic has been forwarded to one or more of the resources in the backend pool (of the load balancer or application gateway). Plus précisément, les données réseau échantillonnées montrent une activité suspecte entre %{Heure de début} et %{Heure de fin} sur le port %{Numéro de port} (%{Type de service SQL}).Specifically, sampled network data shows suspicious activity between %{Start Time} and %{End Time} on port %{Port Number} (%{SQL Service Type}). Cette activité est cohérente avec les tentatives d’attaque par force brute contre les serveurs SQL.This activity is consistent with brute force attempts against SQL servers. - MoyenneMedium
Détection possible d’une attaque par déni de service sortantPossible outgoing denial-of-service attack detected L’analyse du trafic réseau a détecté une activité sortante anormale provenant de %{Hôte compromis}, une ressource de votre déploiement.Network traffic analysis detected anomalous outgoing activity originating from %{Compromised Host}, a resource in your deployment. Cette activité peut indiquer que votre ressource a été compromise et est maintenant engagée dans des attaques par déni de service contre des points de terminaison externes.This activity may indicate that your resource was compromised and is now engaged in denial-of-service attacks against external endpoints. Lorsque la ressource compromise est un équilibreur de charge ou une passerelle d’application, le trafic entrant suspect est transféré vers une ou plusieurs des ressources du pool principal (de l’équilibreur de charge ou de la passerelle d’application).When the compromised resource is a load balancer or an application gateway, the suspected activity might indicate that one or more of the resources in the backend pool (of the load balancer or application gateway) was compromised. D’après le volume des connexions, nous pensons que les adresses IP suivantes sont peut-être les cibles de l’attaque DOS : %{Victimes possibles}.Based on the volume of connections, we believe that the following IPs are possibly the targets of the DOS attack: %{Possible Victims}. Notez qu’il est possible que la communication avec certaines de ces adresses IP soit légitime.Note that it is possible that the communication to some of these IPs is legitimate. - MoyenneMedium
Détection possible d’une activité analyse des ports sortantsPossible outgoing port scanning activity detected L’analyse du trafic réseau a détecté une activité réseau suspecte provenant de %{Hôte compromis}.Network traffic analysis detected suspicious outgoing traffic from %{Compromised Host}. Ce trafic peut être le résultat d’une activité d’analyse des ports.This traffic may be a result of a port scanning activity. Lorsque la ressource compromise est un équilibreur de charge ou une passerelle d’application, l’origine du trafic sortant suspect a été localisée sur une ou plusieurs des ressources du pool principal (de l’équilibreur de charge ou de la passerelle d’application).When the compromised resource is a load balancer or an application gateway, the suspected outgoing traffic has been originated from to one or more of the resources in the backend pool (of the load balancer or application gateway). Si ce comportement est intentionnel, veuillez noter que l’analyse des ports est contraire aux conditions d’utilisation du service Azure.If this behavior is intentional, please note that performing port scanning is against Azure Terms of service. Si ce comportement n’est pas intentionnel, cela peut signifier que votre ressource a été compromise.If this behavior is unintentional, it may mean your resource has been compromised. - MoyenneMedium
Activité réseau entrante RDP suspecte à partir de plusieurs sourcesSuspicious incoming RDP network activity from multiple sources L’analyse du trafic réseau a détecté une communication RDP vers %{Adresse IP victime}, associée à votre ressource %{Hôte compromis}, depuis plusieurs sources.Network traffic analysis detected anomalous incoming Remote Desktop Protocol (RDP) communication to %{Victim IP}, associated with your resource %{Compromised Host}, from multiple sources. Lorsque la ressource compromise est un équilibreur de charge ou une passerelle d’application, le trafic entrant suspect est transféré vers une ou plusieurs des ressources du pool principal (de l’équilibreur de charge ou de la passerelle d’application).When the compromised resource is a load balancer or an application gateway, the suspected incoming traffic has been forwarded to one or more of the resources in the backend pool (of the load balancer or application gateway). Plus précisément, les données réseau échantillonnées montrent %{Nombre d’adresses IP d’attaque} adresses IP uniques se connectant à votre ressource, ce qui est considéré comme anormal pour cet environnement.Specifically, sampled network data shows %{Number of Attacking IPs} unique IPs connecting to your resource, which is considered abnormal for this environment. Cette activité peut indiquer une tentative d’attaque par force brute sur votre point de terminaison RDP à partir de plusieurs hôtes (Botnet).This activity may indicate an attempt to brute force your RDP end point from multiple hosts (Botnet) - MoyenneMedium
Activité réseau entrante RDP suspecteSuspicious incoming RDP network activity L’analyse du trafic réseau a détecté une communication RDP vers %{Adresse IP victime}, associée à votre ressource %{Hôte compromis}, depuis %{Adresse IP de l’attaquant}.Network traffic analysis detected anomalous incoming Remote Desktop Protocol (RDP) communication to %{Victim IP}, associated with your resource %{Compromised Host}, from %{Attacker IP}. Lorsque la ressource compromise est un équilibreur de charge ou une passerelle d’application, le trafic entrant suspect est transféré vers une ou plusieurs des ressources du pool principal (de l’équilibreur de charge ou de la passerelle d’application).When the compromised resource is a load balancer or an application gateway, the suspected incoming traffic has been forwarded to one or more of the resources in the backend pool (of the load balancer or application gateway). Plus précisément, les données réseau échantillonnées montrent %{Nombre de connexions} entrantes vers votre ressource, ce qui est considéré comme anormal pour cet environnement.Specifically, sampled network data shows %{Number of Connections} incoming connections to your resource, which is considered abnormal for this environment. Cette activité peut indiquer une tentative d’attaque par force brute sur votre point de terminaison RDP.This activity may indicate an attempt to brute force your RDP end point - MoyenneMedium
Activité réseau entrante SSH suspecte à partir de plusieurs sourcesSuspicious incoming SSH network activity from multiple sources L’analyse du trafic réseau a détecté une communication SSH entrante anormale vers %{Adresse IP victime}, associée à votre ressource %{Hôte compromis}, depuis plusieurs sources.Network traffic analysis detected anomalous incoming SSH communication to %{Victim IP}, associated with your resource %{Compromised Host}, from multiple sources. Lorsque la ressource compromise est un équilibreur de charge ou une passerelle d’application, le trafic entrant suspect est transféré vers une ou plusieurs des ressources du pool principal (de l’équilibreur de charge ou de la passerelle d’application).When the compromised resource is a load balancer or an application gateway, the suspected incoming traffic has been forwarded to one or more of the resources in the backend pool (of the load balancer or application gateway). Plus précisément, les données réseau échantillonnées montrent %{Nombre d’adresses IP d’attaque} adresses IP uniques se connectant à votre ressource, ce qui est considéré comme anormal pour cet environnement.Specifically, sampled network data shows %{Number of Attacking IPs} unique IPs connecting to your resource, which is considered abnormal for this environment. Cette activité peut indiquer une tentative d’attaque par force brute sur votre point de terminaison SSH à partir de plusieurs hôtes (Botnet).This activity may indicate an attempt to brute force your SSH end point from multiple hosts (Botnet) - MoyenneMedium
Activité réseau entrante SSH suspecteSuspicious incoming SSH network activity L’analyse du trafic réseau a détecté une communication SSH entrante anormale vers %{Adresse IP victime}, associée à votre ressource %{Hôte compromis}, depuis %{Adresse IP de l’attaquant}.Network traffic analysis detected anomalous incoming SSH communication to %{Victim IP}, associated with your resource %{Compromised Host}, from %{Attacker IP}. Lorsque la ressource compromise est un équilibreur de charge ou une passerelle d’application, le trafic entrant suspect est transféré vers une ou plusieurs des ressources du pool principal (de l’équilibreur de charge ou de la passerelle d’application).When the compromised resource is a load balancer or an application gateway, the suspected incoming traffic has been forwarded to one or more of the resources in the backend pool (of the load balancer or application gateway). Plus précisément, les données réseau échantillonnées montrent %{Nombre de connexions} entrantes vers votre ressource, ce qui est considéré comme anormal pour cet environnement.Specifically, sampled network data shows %{Number of Connections} incoming connections to your resource, which is considered abnormal for this environment. Cette activité peut indiquer une tentative d’attaque par force brute sur votre point de terminaison SSH.This activity may indicate an attempt to brute force your SSH end point - MoyenneMedium
Détection de trafic entrant suspect %{Protocole attaqué}Suspicious outgoing %{Attacked Protocol} traffic detected L’analyse du trafic réseau a détecté une activité réseau suspecte provenant de %{Hôte compromis} vers le port de destination %{Port le plus courant}.Network traffic analysis detected suspicious outgoing traffic from %{Compromised Host} to destination port %{Most Common Port}. Lorsque la ressource compromise est un équilibreur de charge ou une passerelle d’application, l’origine du trafic sortant suspect a été localisée sur une ou plusieurs des ressources du pool principal (de l’équilibreur de charge ou de la passerelle d’application).When the compromised resource is a load balancer or an application gateway, the suspected outgoing traffic has been originated from to one or more of the resources in the backend pool (of the load balancer or application gateway). Ce comportement peut indiquer que votre ressource participe à des tentatives d’attaque par force brute dans %{Protocole attaqué} ou à des attaques par balayage des ports.This behavior may indicate that your resource is taking part in %{Attacked Protocol} brute force attempts or port sweeping attacks. - MoyenneMedium
Activité réseau sortante RDP suspecte vers plusieurs destinationsSuspicious outgoing RDP network activity to multiple destinations L’analyse du trafic réseau a détecté une communication RDP (Remote Desktop Protocol) sortante anormale vers plusieurs destinations depuis %{Hôte compromis} (%{Adresse IP de l’attaquant}), une ressource de votre déploiement.Network traffic analysis detected anomalous outgoing Remote Desktop Protocol (RDP) communication to multiple destinations originating from %{Compromised Host} (%{Attacker IP}), a resource in your deployment. Lorsque la ressource compromise est un équilibreur de charge ou une passerelle d’application, l’origine du trafic sortant suspect a été localisée sur une ou plusieurs des ressources du pool principal (de l’équilibreur de charge ou de la passerelle d’application).When the compromised resource is a load balancer or an application gateway, the suspected outgoing traffic has been originated from to one or more of the resources in the backend pool (of the load balancer or application gateway). Plus précisément, les données réseau échantillonnées montrent que votre machine se connecte à %{Nombre d’adresses IP attaquées} adresses IP uniques, ce qui est considéré comme anormal pour cet environnement.Specifically, sampled network data shows your machine connecting to %{Number of Attacked IPs} unique IPs, which is considered abnormal for this environment. Cette activité peut indiquer que votre ressource a été compromise et qu’elle est désormais utilisée pour attaquer par force brute des points de terminaison RDP externes.This activity may indicate that your resource was compromised and is now used to brute force external RDP end points. Notez que ce type d’activité peut entraîner le marquage de votre adresse IP par des entités externes comme étant malveillante.Note that this type of activity could possibly cause your IP to be flagged as malicious by external entities. - ÉlevéHigh
Activité réseau sortante RDP suspecteSuspicious outgoing RDP network activity L’analyse du trafic réseau a détecté une communication RDP (Remote Desktop Protocol) sortante anormale vers %{IP victime} depuis %{Hôte compromis} (%{Adresse IP de l’attaquant}), une ressource de votre déploiement.Network traffic analysis detected anomalous outgoing Remote Desktop Protocol (RDP) communication to %{Victim IP} originating from %{Compromised Host} (%{Attacker IP}), a resource in your deployment. Lorsque la ressource compromise est un équilibreur de charge ou une passerelle d’application, l’origine du trafic sortant suspect a été localisée sur une ou plusieurs des ressources du pool principal (de l’équilibreur de charge ou de la passerelle d’application).When the compromised resource is a load balancer or an application gateway, the suspected outgoing traffic has been originated from to one or more of the resources in the backend pool (of the load balancer or application gateway). Plus précisément, les données réseau échantillonnées montrent %{Nombre de connexions} sortantes au départ de votre ressource, ce qui est considéré comme anormal pour cet environnement.Specifically, sampled network data shows %{Number of Connections} outgoing connections from your resource, which is considered abnormal for this environment. Cette activité peut indiquer que votre machine a été compromise et qu’elle est désormais utilisée pour attaquer par force brute des points de terminaison RDP externes.This activity may indicate that your machine was compromised and is now used to brute force external RDP end points. Notez que ce type d’activité peut entraîner le marquage de votre adresse IP par des entités externes comme étant malveillante.Note that this type of activity could possibly cause your IP to be flagged as malicious by external entities. - ÉlevéHigh
Activité réseau sortante SHH suspecte vers plusieurs destinationsSuspicious outgoing SSH network activity to multiple destinations L’analyse du trafic réseau a détecté une communication SSH sortante anormale vers plusieurs destinations depuis %{Hôte compromis} (%{Adresse IP de l’attaquant}), une ressource de votre déploiement.Network traffic analysis detected anomalous outgoing SSH communication to multiple destinations originating from %{Compromised Host} (%{Attacker IP}), a resource in your deployment. Lorsque la ressource compromise est un équilibreur de charge ou une passerelle d’application, l’origine du trafic sortant suspect a été localisée sur une ou plusieurs des ressources du pool principal (de l’équilibreur de charge ou de la passerelle d’application).When the compromised resource is a load balancer or an application gateway, the suspected outgoing traffic has been originated from to one or more of the resources in the backend pool (of the load balancer or application gateway). Plus précisément, les données réseau échantillonnées montrent que votre ressource se connecte à %{Nombre d’adresses IP attaquées} adresses IP uniques, ce qui est considéré comme anormal pour cet environnement.Specifically, sampled network data shows your resource connecting to %{Number of Attacked IPs} unique IPs, which is considered abnormal for this environment. Cette activité peut indiquer que votre ressource a été compromise et qu’elle est désormais utilisée pour attaquer par force brute des points de terminaison SSH externes.This activity may indicate that your resource was compromised and is now used to brute force external SSH end points. Notez que ce type d’activité peut entraîner le marquage de votre adresse IP par des entités externes comme étant malveillante.Note that this type of activity could possibly cause your IP to be flagged as malicious by external entities. - MoyenneMedium
Activité réseau sortante SSH suspecteSuspicious outgoing SSH network activity L’analyse du trafic réseau a détecté une communication SSH sortante anormale vers %{IP victime} depuis %{Hôte compromis} (%{Adresse IP de l’attaquant}), une ressource de votre déploiement.Network traffic analysis detected anomalous outgoing SSH communication to %{Victim IP} originating from %{Compromised Host} (%{Attacker IP}), a resource in your deployment. Lorsque la ressource compromise est un équilibreur de charge ou une passerelle d’application, l’origine du trafic sortant suspect a été localisée sur une ou plusieurs des ressources du pool principal (de l’équilibreur de charge ou de la passerelle d’application).When the compromised resource is a load balancer or an application gateway, the suspected outgoing traffic has been originated from to one or more of the resources in the backend pool (of the load balancer or application gateway). Plus précisément, les données réseau échantillonnées montrent %{Nombre de connexions} sortantes au départ de votre ressource, ce qui est considéré comme anormal pour cet environnement.Specifically, sampled network data shows %{Number of Connections} outgoing connections from your resource, which is considered abnormal for this environment. Cette activité peut indiquer que votre ressource a été compromise et qu’elle est désormais utilisée pour attaquer par force brute des points de terminaison SSH externes.This activity may indicate that your resource was compromised and is now used to brute force external SSH end points. Notez que ce type d’activité peut entraîner le marquage de votre adresse IP par des entités externes comme étant malveillante.Note that this type of activity could possibly cause your IP to be flagged as malicious by external entities. - MoyenneMedium
Détection de trafic depuis des adresses IP recommandées comme à bloquerTraffic detected from IP addresses recommended for blocking Azure Security Center a détecté du trafic entrant provenant d’adresses IP qui sont recommandées comme à bloquer.Azure Security Center detected inbound traffic from IP addresses that are recommended to be blocked. Cela se produit généralement lorsque cette adresse IP ne communique pas régulièrement avec cette ressource.This typically occurs when this IP address doesn't communicate regularly with this resource. Il est aussi possible que l’adresse IP ait été signalée comme malveillante par les sources de renseignements sur les menaces de Security Center.Alternatively, the IP address has been flagged as malicious by Security Center's threat intelligence sources. DétectionProbing FaibleLow

Alertes pour Azure Resource Manager (préversion)Alerts for Azure Resource Manager (Preview)

Informations complémentaires et notesFurther details and notes

AlerteAlert DescriptionDescription IntentionnelIntent
(En savoir plus)(Learn more)
severitySeverity
PRÉVERSION - Activité depuis des adresses IP anonymesPREVIEW - Activity from anonymous IP addresses Une activité utilisateur depuis une adresse IP qui a été identifiée comme adresse IP de proxy anonyme a été détectée.Users activity from an IP address that has been identified as an anonymous proxy IP address has been detected.
Ces proxys sont utilisés par des individus souhaitant masquer l’adresse IP de leur appareil et peuvent être utilisés dans un but malveillant.These proxies are used by people who want to hide their device's IP address, and can be used for malicious intent. Cette détection utilise un algorithme Machine Learning qui réduit les faux positifs, tels que les adresses IP mal étiquetées qui sont largement utilisées par d’autres utilisateurs de l’organisation.This detection uses a machine learning algorithm that reduces false positives, such as mis-tagged IP addresses that are widely used by users in the organization.
- MoyenneMedium
PRÉVERSION - Activité à partir de pays peu fréquentsPREVIEW - Activity from infrequent country Une activité s’est produite à partir d’un emplacement qui n’a pas été récemment ou qui n’a jamais été visité par un utilisateur de l’organisation.Activity from a location that wasn't recently or ever visited by any user in the organization has occurred.
Cette détection prend en compte les emplacements d’activité précédents pour déterminer les emplacements nouveaux et peu fréquents.This detection considers past activity locations to determine new and infrequent locations. Le moteur de détection d’anomalies stocke des informations sur les emplacements précédents utilisés par les utilisateurs de l’organisation.The anomaly detection engine stores information about previous locations used by users in the organization.
- MoyenneMedium
PRÉVERSION - Activité de type Voyage impossiblePREVIEW - Impossible travel activity Deux activités utilisateur (dans une ou plusieurs sessions) se sont produites, provenant d’emplacements géographiquement distants.Two user activities (in a single or multiple sessions) have occurred, originating from geographically distant locations. Cela se produit dans une période plus courte que celle qu’il aurait fallu à l’utilisateur pour se déplacer du premier emplacement vers le second.This occurs within a time period shorter than the time it would have taken the user to travel from the first location to the second. Cela indique qu’un autre utilisateur utilise les mêmes informations d’identification.This indicates that a different user is using the same credentials.
Cette détection utilise un algorithme Machine Learning qui ignore les faux positifs évidents contribuant aux conditions de voyage impossibles, tels que les VPN et les emplacements régulièrement utilisés par d’autres membres de l’organisation.This detection uses a machine learning algorithm that ignores obvious false positives contributing to the impossible travel conditions, such as VPNs and locations regularly used by other users in the organization. La détection présente une période d’apprentissage initiale de 7 jours, lui servant à assimiler le modèle d’activité d’un nouvel utilisateur.The detection has an initial learning period of seven days, during which it learns a new user's activity pattern.
- MoyenneMedium
PRÉVERSION - Détection de l’exécution du Kit de ressources AzuritePREVIEW - Azurite toolkit run detected L’exécution d’un Kit de ressources de reconnaissance d’environnement cloud connu a été détectée dans votre environnement.A known cloud-environment reconnaissance toolkit run has been detected in your environment. L’outil Azurite peut être utilisé par un attaquant (ou testeur d’intrusion) pour mapper les ressources de vos abonnements et identifier les configurations non sécurisées.The tool Azurite can be used by an attacker (or penetration tester) to map your subscriptions' resources and identify insecure configurations. - ÉlevéHigh
PRÉVERSION - Détection d’une session de gestion suspecte utilisant PowerShellPREVIEW - Suspicious management session using PowerShell detected L’analyse des journaux d’activité liés aux abonnements a détecté un comportement suspect.Subscription activity logs analysis has detected suspicious behavior. Un principal qui n’utilise pas régulièrement PowerShell pour gérer l’environnement des abonnements utilise maintenant PowerShell, et effectue des actions qui peuvent sécuriser la persistance d’un attaquant.A principal that doesn't regularly use PowerShell to manage the subscription environment is now using PowerShell, and performing actions that can secure persistence for an attacker. PersistancePersistence MoyenneMedium
PRÉVERSION - Détection d’une session de gestion suspecte utilisant un compte inactifPREVIEW - Suspicious management session using an inactive account detected L’analyse des journaux d’activité liés aux abonnements a détecté un comportement suspect.Subscription activity logs analysis has detected suspicious behavior. Un principal non utilisé pendant une longue période effectue maintenant des actions qui peuvent sécuriser la persistance d’un attaquant.A principal not in use for a long period of time is now performing actions that can secure persistence for an attacker. PersistancePersistence MoyenneMedium
PRÉVERSION – Détection de l’exécution de la fonction « Get-AzureDomainInfo » du kit de ressources MicroBurstPREVIEW – MicroBurst toolkit "Get-AzureDomainInfo" function run detected L’exécution d’un Kit de ressources de reconnaissance d’environnement cloud connu a été détectée dans votre environnement.A known cloud-environment reconnaissance toolkit run has been detected in your environment. L’outil « MicroBurst » (consultez https://github.com/NetSPI/MicroBurst) peut être utilisé par un attaquant (ou testeur d’intrusion)) pour mapper les ressources de vos abonnements, identifier les configurations non sécurisées et soustraire des informations confidentielles.The tool "MicroBurst" (see https://github.com/NetSPI/MicroBurst) can be used by an attacker (or penetration tester) to map your subscription(s) resources, identify insecure configurations, and leak confidential information. - ÉlevéHigh
PRÉVERSION – Détection de l’exécution de la fonction « Get-AzurePasswords » du kit de ressources MicroBurstPREVIEW – MicroBurst toolkit "Get-AzurePasswords" function run detected L’exécution d’un Kit de ressources de reconnaissance d’environnement cloud connu a été détectée dans votre environnement.A known cloud-environment reconnaissance toolkit run has been detected in your environment. L’outil « MicroBurst » (consultez https://github.com/NetSPI/MicroBurst) peut être utilisé par un attaquant (ou testeur d’intrusion)) pour mapper les ressources de vos abonnements, identifier les configurations non sécurisées et soustraire des informations confidentielles.The tool "MicroBurst" (see https://github.com/NetSPI/MicroBurst) can be used by an attacker (or penetration tester) to map your subscription(s) resources, identify insecure configurations, and leak confidential information. - ÉlevéHigh
PRÉVERSION - Détection d’une session de gestion suspecte utilisant le portail AzurePREVIEW – Suspicious management session using Azure portal detected L’analyse des journaux d’activité liés à votre abonnement a détecté un comportement suspect.Analysis of your subscription activity logs has detected a suspicious behavior. Un principal qui n’utilise pas régulièrement le Portail Azure (Ibiza) pour gérer l’environnement de l’abonnement (qui n’a pas utilisé le portail Azure au cours des 45 derniers jours ou un abonnement qu’il gère activement), utilise désormais le Portail Azure et effectue des actions qui peuvent assurer une certaine persistance pour un attaquant.A principal that doesn't regularly use the Azure portal (Ibiza) to manage the subscription environment (hasn't used Azure portal to manage for the last 45 days, or a subscription that it is actively managing), is now using the Azure portal and performing actions that can secure persistence for an attacker. - MoyenneMedium
PRÉVERSION - Utilisation de techniques de persistance Azure avancéesPREVIEW - Use of advanced Azure persistence techniques L’analyse des journaux d’activité liés aux abonnements a détecté un comportement suspect.Subscription activity logs analysis has detected suspicious behavior. Des rôles personnalisés ont reçu des entités d’identité légitimées.Customized roles have been given legitimized identity entities. Cela pourrait permettre à l’attaquant de gagner l’environnement d’un client Azure de façon durable.This can lead the attacker to gain persistency in an Azure customer environment. -

Alertes pour Azure Key VaultAlerts for Azure Key Vault

Informations complémentaires et notesFurther details and notes

Alerte (type d’alerte)Alert (Alert Type) DescriptionDescription IntentionnelIntent
(En savoir plus)(Learn more)
GravitéSeverity
Accès à un coffre de clés à partir d’un nœud de sortie TORAccess from a TOR exit node to a key vault
KV_TORAccessKV_TORAccess
Un accès à un coffre de clés à partir d’un nœud de sortie TOR connu a été détecté.A key vault has been accessed from a known TOR exit node. Cela peut indiquer qu’un acteur de menace a accédé au coffre de clés et utilise le réseau TOR pour masquer son emplacement source.This could be an indication that a threat actor has accessed the key vault and is using the TOR network to hide their source location. Nous vous recommandons de faire des investigations supplémentaires.We recommend further investigations. CredentialAccessCredentialAccess MoyenneMedium
Volume élevé d’opérations dans un coffre de clésHigh volume of operations in a key vault
KV_OperationVolumeAnomalyKV_OperationVolumeAnomaly
Un nombre anormal d’opérations sur le coffre de clés a été effectué par un utilisateur, un principal de service et/ou un coffre de clés spécifique.An anomalous number of key vault operations were performed by a user, service principal, and/or a specific key vault. Ce modèle d’activité anormale peut être légitime, mais il peut indiquer qu’un acteur de menace a obtenu l’accès au coffre de clés et aux secrets qui y sont stockés.This anomalous activity pattern may be legitimate, but it could be an indication that a threat actor has gained access to the key vault and the secrets contained within it. Nous vous recommandons de faire des investigations supplémentaires.We recommend further investigations. CredentialAccessCredentialAccess MoyenneMedium
Changement de stratégie suspect et requête secrète dans un coffre de clésSuspicious policy change and secret query in a key vault
KV_PutGetAnomalyKV_PutGetAnomaly
Un utilisateur ou un principal de service a effectué un changement de stratégie Vault Put anormal, puis une ou plusieurs opérations Secret Get.A user or service principal has performed an anomalous Vault Put policy change operation followed by one or more Secret Get operations. Ce modèle n’est normalement pas exécuté par l’utilisateur ou le principal de service spécifié.This pattern is not normally performed by the specified user or service principal. Il peut s’agir d’une activité légitime, mais cela peut indiquer qu’un acteur de menace a mis à jour la stratégie de coffre de clés pour pouvoir accéder à des secrets précédemment inaccessibles.This may be legitimate activity, but it could be an indication that a threat actor has updated the key vault policy to access previously inaccessible secrets. Nous vous recommandons de faire des investigations supplémentaires.We recommend further investigations. CredentialAccessCredentialAccess MoyenneMedium
Listing des secrets et requête suspectes dans un coffre de clésSuspicious secret listing and query in a key vault
KV_ListGetAnomalyKV_ListGetAnomaly
Un utilisateur ou un principal de service a effectué une opération Secret List anormale, puis une ou plusieurs opérations Secret Get.A user or service principal has performed an anomalous Secret List operation followed by one or more Secret Get operations. Ce modèle n’est normalement pas exécuté par l’utilisateur ou le principal de service spécifié, et il est généralement associé au dumping des secrets.This pattern is not normally performed by the specified user or service principal and is typically associated with secret dumping. Il peut s’agir d’une activité légitime, mais cela peut indiquer qu’un acteur de menace a obtenu l’accès au coffre de clés et tente de découvrir des secrets qu’il pourra ensuite utiliser pour se déplacer latéralement dans votre réseau et/ou accéder à des ressources sensibles.This may be legitimate activity, but it could be an indication that a threat actor has gained access to the key vault and is trying to discover secrets that can be used to move laterally through your network and/or gain access to sensitive resources. Nous vous recommandons de faire des investigations supplémentaires.We recommend further investigations. CredentialAccessCredentialAccess MoyenneMedium
Une application inhabituelle a accédé à un coffre de clésUnusual application accessed a key vault
KV_AppAnomalyKV_AppAnomaly
Un principal de service a accédé à un coffre de clés alors qu’il n’y accède pas normalement.A key vault has been accessed by a service principal that does not normally access it. Ce modèle d’accès anormal peut être légitime, mais il peut indiquer qu’un acteur de menace a obtenu l’accès au coffre de clés pour essayer d’obtenir les secrets qui y sont stockés.This anomalous access pattern may be legitimate activity, but it could be an indication that a threat actor has gained access to the key vault in an attempt to access the secrets contained within it. Nous vous recommandons de faire des investigations supplémentaires.We recommend further investigations. CredentialAccessCredentialAccess MoyenneMedium
Modèle d’opération inhabituelle dans un coffre de clésUnusual operation pattern in a key vault
KV_OperationPatternAnomalyKV_OperationPatternAnomaly
Un modèle anormal d’opérations sur le coffre de clés a été effectué par un utilisateur, un principal de service et/ou un coffre de clés spécifique.An anomalous pattern of key vault operations was performed by a user, service principal, and/or a specific key vault. Ce modèle d’activité anormale peut être légitime, mais il peut indiquer qu’un acteur de menace a obtenu l’accès au coffre de clés et aux secrets qui y sont stockés.This anomalous activity pattern may be legitimate, but it could be an indication that a threat actor has gained access to the key vault and the secrets contained within it. Nous vous recommandons de faire des investigations supplémentaires.We recommend further investigations. CredentialAccessCredentialAccess MoyenneMedium
Un utilisateur inhabituel a accédé à un coffre de clésUnusual user accessed a key vault
KV_UserAnomalyKV_UserAnomaly
Un utilisateur a accédé à un coffre de clés alors qu’il n’y accède pas normalement.A key vault has been accessed by a user that does not normally access it. Ce modèle d’accès anormal peut être légitime, mais il peut indiquer qu’un acteur de menace a obtenu l’accès au coffre de clés pour essayer d’obtenir les secrets qui y sont stockés.This anomalous access pattern may be legitimate activity, but it could be an indication that a threat actor has gained access to the key vault in an attempt to access the secrets contained within it. Nous vous recommandons de faire des investigations supplémentaires.We recommend further investigations. CredentialAccessCredentialAccess MoyenneMedium
Une paire utilisateur-application inhabituelle a accédé à un coffre de clésUnusual user-application pair accessed a key vault
KV_UserAppAnomalyKV_UserAppAnomaly
Une paire utilisateur-principal de service a accédé à un coffre de clés alors qu’elle n’y accède pas normalement.A key vault has been accessed by a user-service principal pair that does not normally access it. Ce modèle d’accès anormal peut être légitime, mais il peut indiquer qu’un acteur de menace a obtenu l’accès au coffre de clés pour essayer d’obtenir les secrets qui y sont stockés.This anomalous access pattern may be legitimate activity, but it could be an indication that a threat actor has gained access to the key vault in an attempt to access the secrets contained within it. Nous vous recommandons de faire des investigations supplémentaires.We recommend further investigations. CredentialAccessCredentialAccess MoyenneMedium
L’utilisateur a accédé à un grand nombre de coffres de clésUser accessed high volume of key vaults
KV_AccountVolumeAnomalyKV_AccountVolumeAnomaly
Un utilisateur ou un principal de service a accédé à un nombre de coffres de clés anormalement élevé.A user or service principal has accessed an anomalously high volume of key vaults. Ce modèle d’accès anormal peut être légitime, mais il peut indiquer qu’un acteur de menace a obtenu l’accès à de multiples coffres de clés pour essayer d’obtenir les secrets qui y sont stockés.This anomalous access pattern may be legitimate activity, but it could be an indication that a threat actor has gained access to multiple key vaults in an attempt to access the secrets contained within them. Nous vous recommandons de faire des investigations supplémentaires.We recommend further investigations. CredentialAccessCredentialAccess MoyenneMedium

Alertes pour Azure DDoS ProtectionAlerts for Azure DDoS Protection

Informations complémentaires et notesFurther details and notes

AlerteAlert DescriptionDescription IntentionnelIntent
(En savoir plus)(Learn more)
severitySeverity
Détection d’une attaque DDoS pour l’adresse IP publiqueDDoS Attack detected for Public IP Une attaque DDoS a été détectée et atténuée pour l’adresse IP publique (Adresse IP).DDoS Attack detected for Public IP (IP address) and being mitigated. DétectionProbing ÉlevéHigh
Attaque DDoS atténuée pour l’adresse IP publiqueDDoS Attack mitigated for Public IP Attaque DDoS atténuée pour l’adresse IP publique (Adresse IP).DDoS Attack mitigated for Public IP (IP address). DétectionProbing FaibleLow

Alertes d’incident de sécuritéSecurity incident alerts

Informations complémentaires et notesFurther details and notes

AlerteAlert DescriptionDescription IntentionnelIntent
(En savoir plus)(Learn more)
GravitéSeverity
Incident de sécurité avec processus partagé détectéSecurity incident with shared process detected L’incident qui a commencé à {Start Time (UTC)} et récemment détecté à {Detected Time (UTC)} indique qu’un attaquant a {Action taken} votre ressource {Host}The incident which started on {Start Time (UTC)} and recently detected on {Detected Time (UTC)} indicates that an attacker has {Action taken} your resource {Host} - ImportanteHigh
Incident de sécurité détecté sur plusieurs ressourcesSecurity incident detected on multiple resources L’incident qui a commencé à {Start Time (UTC)} et récemment détecté à {Detected Time (UTC)} indique que des méthodes d’attaque similaires ont été utilisées sur vos ressources cloud {Host}The incident which started on {Start Time (UTC)} and recently detected on {Detected Time (UTC)} indicates that similar attack methods were performed on your cloud resources {Host} - MediumMedium
Incident de sécurité détectéde la même sourceSecurity incident detected from same source L’incident qui a commencé à {Start Time (UTC)} et récemment détecté à {Detected Time (UTC)} indique qu’un attaquant a {Action taken} votre ressource {Host}The incident which started on {Start Time (UTC)} and recently detected on {Detected Time (UTC)} indicates that an attacker has {Action taken} your resource {Host} - ImportanteHigh
Incident de sécurité détecté sur plusieurs machinesSecurity incident detected on multiple machines L’incident qui a commencé à {Start Time (UTC)} et récemment détecté à {Detected Time (UTC)} indique qu’un attaquant a {Action taken} vos ressources {Host}The incident which started on {Start Time (UTC)} and recently detected on {Detected Time (UTC)} indicates that an attacker has {Action taken} your resources {Host} - MediumMedium

IntentionsIntentions

Comprendre l’intention d’une attaque facilite l’examen et le signalement de l’événement.Understanding the intention of an attack can help you investigate and report the event more easily. Dans cette optique, les alertes Azure Security Center comportent un champ « intention ».Azure Security Center alerts include the 'intent' field to help with these efforts.

La série d’étapes qui décrit la progression d’une cyberattaque, de la reconnaissance à l’exfiltration de données, est souvent appelée « kill chain ».The series of steps that describe the progression of a cyberattack from reconnaissance to data exfiltration is often referred to as a "kill chain".

Les intentions de Kill Chain prises en charge par Security Center sont basées sur le framework™ MITRE ATT&CK et décrites dans le tableau ci-dessous.Security Center's supported kill chain intents are based on the MITRE ATT&CK™ framework and described in the table below.

IntentionnelIntent DescriptionDescription
PreAttackPreAttack La phase PreAttack peut désigner une tentative d’accès à une certaine ressource indépendamment d’une intention malveillante, ou une tentative manquée d’accéder à un système cible pour réunir des informations avant de les exploiter.PreAttack could be either an attempt to access a certain resource regardless of a malicious intent, or a failed attempt to gain access to a target system to gather information prior to exploitation. Cette étape est généralement identifiée comme une tentative, en provenance de l’extérieur du réseau, d’analyser le système cible et d’identifier un point d’entrée.This step is usually detected as an attempt, originating from outside the network, to scan the target system and identify an entry point.
Pour plus d’informations sur la phase PreAttack, voir la page de MITRE.Further details on the PreAttack stage can be read in MITRE's page.
InitialAccessInitialAccess La phase Exploitation est celle au cours de laquelle un attaquant parvient à prendre pied sur la ressource attaquée.InitialAccess is the stage where an attacker manages to get a foothold on the attacked resource. Cette étape concerne notamment les hôtes de calcul et les ressources telles que les comptes d’utilisateurs, les certificats, etc. En général, les acteurs des menaces sont en mesure de prendre le contrôle après cette étape.This stage is relevant for compute hosts and resources such as user accounts, certificates etc. Threat actors will often be able to control the resource after this stage.
PersistancePersistence La persistance désigne tout changement relatif à l’accès, l’action ou la configuration apporté à un système qui donne à l’acteur de la menace une présence persistante sur ce système.Persistence is any access, action, or configuration change to a system that gives a threat actor a persistent presence on that system. Les acteurs des menaces doivent généralement conserver l’accès aux systèmes par le biais d’interruptions telles que des redémarrages système, la perte d’informations d’identification ou d’autres défaillances nécessitant un outil d’accès distant afin de redémarrer ou fournir une autre porte dérobée pour pouvoir récupérer l’accès.Threat actors will often need to maintain access to systems through interruptions such as system restarts, loss of credentials, or other failures that would require a remote access tool to restart or provide an alternate backdoor for them to regain access.
PrivilegeEscalationPrivilegeEscalation L’élévation des privilèges est le résultat d’actions qui permettent à un adversaire d’obtenir un niveau d’autorisation supérieur sur un système ou un réseau.Privilege escalation is the result of actions that allow an adversary to obtain a higher level of permissions on a system or network. Certains outils ou actions nécessitent un niveau de privilège supérieur et sont probablement requis à de nombreuses reprises au cours d’une opération.Certain tools or actions require a higher level of privilege to work and are likely necessary at many points throughout an operation. Les comptes d’utilisateurs ayant des autorisations pour accéder à certains systèmes ou exécuter des fonctions spécifiques nécessaires pour permettre aux adversaires d’atteindre leurs objectifs peuvent également être considérés comme une élévation de privilèges.User accounts with permissions to access specific systems or perform specific functions necessary for adversaries to achieve their objective may also be considered an escalation of privilege.
DefenseEvasionDefenseEvasion L’évasion de défense se compose de techniques que peut utiliser un adversaire pour échapper à la détection ou contourner d’autres défenses.Defense evasion consists of techniques an adversary may use to evade detection or avoid other defenses. Ces actions sont parfois les mêmes techniques (ou des variantes) que dans d’autres catégories qui présentent l’avantage supplémentaire de subvertir une défense ou une atténuation particulière.Sometimes these actions are the same as (or variations of) techniques in other categories that have the added benefit of subverting a particular defense or mitigation.
CredentialAccessCredentialAccess L’accès aux informations d’identification représente des techniques qui aboutissent à l’accès ou au contrôle des informations d’identification du système, du domaine ou du service, qui sont utilisées au sein d’un environnement d’entreprise.Credential access represents techniques resulting in access to or control over system, domain, or service credentials that are used within an enterprise environment. Les adversaires tenteront probablement d’obtenir des informations d’identification légitimes auprès d’utilisateurs ou de comptes d’administrateurs (administrateur système local ou utilisateurs de domaine avec accès administrateur) afin de les utiliser au sein du réseau.Adversaries will likely attempt to obtain legitimate credentials from users or administrator accounts (local system administrator or domain users with administrator access) to use within the network. Avec un accès suffisant au sein d’un réseau, un adversaire peut créer des comptes pour une utilisation ultérieure au sein de l’environnement.With sufficient access within a network, an adversary can create accounts for later use within the environment.
DécouverteDiscovery La découverte se compose de techniques qui permettent à l’adversaire d’acquérir des connaissances sur le système et le réseau interne.Discovery consists of techniques that allow the adversary to gain knowledge about the system and internal network. Lorsque des adversaires parviennent à accéder à un nouveau système, ils doivent s’orienter vers ce qu’ils contrôlent désormais et ce que le fonctionnement à partir de ce système apporte à leur objectif actuel ou global pendant l’intrusion.When adversaries gain access to a new system, they must orient themselves to what they now have control of and what benefits operating from that system give to their current objective or overall goals during the intrusion. Le système d’exploitation fournit de nombreux outils natifs utiles lors de cette phase de collecte d’informations après compromission.The operating system provides many native tools that aid in this post-compromise information-gathering phase.
LateralMovementLateralMovement Le mouvement latéral est constitué de techniques qui permettent à un adversaire d’accéder à des systèmes distants sur un réseau et de les contrôler. Il peut éventuellement inclure l’exécution d’outils sur des systèmes distants.Lateral movement consists of techniques that enable an adversary to access and control remote systems on a network and could, but does not necessarily, include execution of tools on remote systems. Les techniques de mouvement latéral peuvent permettre à un adversaire de recueillir des informations auprès d’un système sans recourir à des outils supplémentaires tels qu’un outil d’accès à distance.The lateral movement techniques could allow an adversary to gather information from a system without needing additional tools, such as a remote access tool. Un adversaire peut utiliser le mouvement latéral à de nombreuses fins, notamment l’exécution d’outils à distance, le glissement vers des systèmes supplémentaires, l’accès à des informations ou fichiers spécifiques, l’accès à des informations d’identification supplémentaires, ou dans le but de causer un effet.An adversary can use lateral movement for many purposes, including remote Execution of tools, pivoting to additional systems, access to specific information or files, access to additional credentials, or to cause an effect.
ExécutionExecution La tactique d’exécution se compose de techniques qui entraînent l’exécution de code contrôlé par l’adversaire sur un système local ou distant.The execution tactic represents techniques that result in execution of adversary-controlled code on a local or remote system. Cette tactique est souvent utilisée conjointement avec le mouvement latéral pour étendre l’accès à des systèmes distants sur un réseau.This tactic is often used in conjunction with lateral movement to expand access to remote systems on a network.
CollectionCollection La collection se compose de techniques permettant d’identifier et de rassembler des informations telles que des fichiers sensibles à partir d’un réseau cible avant exfiltration.Collection consists of techniques used to identify and gather information, such as sensitive files, from a target network prior to exfiltration. Cette catégorie regroupe également la location sur un système ou réseau, où l’adversaire est susceptible de rechercher des informations à exfiltrer.This category also covers locations on a system or network where the adversary may look for information to exfiltrate.
ExfiltrationExfiltration L’exfiltration fait référence aux techniques et attributs qui aident l’adversaire à supprimer des fichiers et des informations d’un réseau cible.Exfiltration refers to techniques and attributes that result or aid in the adversary removing files and information from a target network. Cette catégorie regroupe également la location sur un système ou réseau, où l’adversaire est susceptible de rechercher des informations à exfiltrer.This category also covers locations on a system or network where the adversary may look for information to exfiltrate.
CommandAndControlCommandAndControl La tactique de commande et de contrôle représente la manière dont les adversaires communiquent avec les systèmes sous leur contrôle au sein d’un réseau cible.The command and control tactic represents how adversaries communicate with systems under their control within a target network.
ImpactImpact Les événements d’impact tentent principalement de réduire directement la disponibilité ou l’intégrité d’un système, service ou réseau, notamment par la manipulation de données pour avoir un impact sur un processus métier ou opérationnel.Impact events primarily try to directly reduce the availability or integrity of a system, service, or network; including manipulation of data to impact a business or operational process. Les techniques sollicitées sont généralement le ransomware, le défacement, la manipulation de données, etc.This would often refer to techniques such as ransomware, defacement, data manipulation, and others.

Notes

Pour les alertes en préversion : Les Conditions supplémentaires pour les préversions Azure comprennent des conditions juridiques supplémentaires s’appliquant aux fonctionnalités Azure qui sont en version bêta, en préversion ou qui ne sont pas encore en disponibilité générale.The Azure Preview Supplemental Terms include additional legal terms that apply to Azure features that are in beta, preview, or otherwise not yet released into general availability.For alerts that are in preview: Les Conditions supplémentaires pour les préversions Azure comprennent des conditions juridiques supplémentaires s’appliquant aux fonctionnalités Azure qui sont en version bêta, en préversion ou qui ne sont pas encore en disponibilité générale.The Azure Preview Supplemental Terms include additional legal terms that apply to Azure features that are in beta, preview, or otherwise not yet released into general availability.

Étapes suivantesNext steps

Pour plus d’informations sur les alertes, consultez les documents suivants :To learn more about alerts, see the following: