Biztonsági riasztások - – referencia-útmutató

Ez a cikk felsorolja azokat a biztonsági riasztásokat, amelyek Felhőhöz készült Microsoft Defender és az engedélyezett Microsoft Defender-csomagokból származhatnak. A környezetben megjelenő riasztások a védeni kívánt erőforrásoktól és szolgáltatásoktól, valamint a testre szabott konfigurációtól függenek.

A lap alján található egy táblázat, amely a MITRE ATT&CK mátrix 9-es verziójához igazított Felhőhöz készült Microsoft Defender ölési láncot írja le.

Megtudhatja, hogyan válaszolhat ezekre a riasztásokra.

Megtudhatja, hogyan exportálhat riasztásokat.

Feljegyzés

A különböző forrásokból származó riasztások megjelenése különböző időt vehet igénybe. A hálózati forgalom elemzését igénylő riasztások például tovább tarthatnak, mint a virtuális gépeken futó gyanús folyamatokkal kapcsolatos riasztások.

Windows rendszerű gépekre vonatkozó riasztások

A Microsoft Defender 2. csomagja a Végponthoz készült Microsoft Defender által biztosítottakon kívül egyedi észleléseket és riasztásokat is biztosít. A Windows rendszerű gépekre vonatkozó riasztások a következők:

További részletek és megjegyzések

A rendszer rosszindulatú IP-címről való bejelentkezést észlelt. [többször is látható]

Leírás: Sikeres távoli hitelesítés történt a fiók [fiók] és a folyamat [folyamat] esetében, azonban a bejelentkezési IP-cím (x.x.x.x) korábban rosszindulatúként vagy rendkívül szokatlanként jelent meg. Valószínűleg sikeres támadás történt. A .scr kiterjesztésű fájlok képernyőkímélő fájlok, és általában a Windows rendszerkönyvtárából vannak elhelyezve és végrehajtva.

MITRE taktika: -

Súlyosság: Magas

Az adaptív alkalmazásvezérlési szabályzat megsértésének naplózása megtörtént

VM_AdaptiveApplicationControlWindowsViolationAudited

Leírás: Az alábbi felhasználók olyan alkalmazásokat futtattak, amelyek megsértik a szervezet alkalmazásvezérlési szabályzatát ezen a gépen. Lehetséges, hogy kártevő vagy alkalmazás sebezhetőségeknek teszi ki a gépet.

MITRE-taktikák: Végrehajtás

Súlyosság: Tájékoztató

Vendégfiók hozzáadása a Helyi Rendszergazda istrators csoporthoz

Leírás: A gazdagépadatok elemzése azt észlelte, hogy a beépített vendégfiók hozzáadódik a helyi Rendszergazda istrators csoporthoz a(z) %{Feltört gazdagép} helyen, amely erősen kapcsolódik a támadó tevékenységéhez.

MITRE taktika: -

Súlyosság: Közepes

Az eseménynapló törölve lett

Leírás: A gépnaplók gyanús eseménynapló-törlési műveletet jeleznek felhasználónként: "%{felhasználónév}" a gépben: "%{CompromisedEntity}". A(z) %{log channel} napló törölve lett.

MITRE taktika: -

Súlyosság: Tájékoztató

A kártevőirtó művelet nem sikerült

Leírás: A Microsoft Antimalware hibát észlelt a kártevők vagy más potenciálisan nemkívánatos szoftverek elleni művelet során.

MITRE taktika: -

Súlyosság: Közepes

Kártevőirtó művelet

Leírás: Az Azure-hoz készült Microsoft Antimalware műveletet hajtott végre, hogy megvédje a gépet a kártevőktől vagy más potenciálisan nemkívánatos szoftverektől.

MITRE taktika: -

Súlyosság: Közepes

Kártevőirtó széles körű fájlok kizárása a virtuális gépen

(VM_AmBroadFilesExclusion)

Leírás: A fájlkivételt a kártevőirtó bővítményből, széles körű kizárási szabvánnyal észlelték a virtuális gépen az előfizetés Azure Resource Manager-műveleteinek elemzésével. Ez a kizárás gyakorlatilag letiltja a kártevőirtó-védelmet. A támadók kizárhatják a fájlokat a kártevőirtó-vizsgálatból a virtuális gépen, hogy megakadályozzák az észlelést, miközben tetszőleges kódot futtatnak, vagy kártevőkkel fertőzik meg a gépet.

MITRE taktika: -

Súlyosság: Közepes

Letiltott kártevőirtó és kódvégrehajtás a virtuális gépen

(VM_AmDisablementAndCodeExecution)

Leírás: A kártevőirtó a kódvégrehajtással egy időben le van tiltva a virtuális gépen. Ezt az azure Resource Manager-műveletek az előfizetésben való elemzésével észlelte. A támadók letiltják a kártevőirtó szkennereket, hogy megakadályozzák az észlelést, miközben jogosulatlan eszközöket futtatnak, vagy kártevőkkel fertőzik meg a gépet.

MITRE taktika: -

Súlyosság: Magas

Kártevőirtó letiltva a virtuális gépen

(VM_AmDisablement)

Leírás: A kártevőirtó le van tiltva a virtuális gépen. Ezt az azure Resource Manager-műveletek az előfizetésben való elemzésével észlelte. A támadók letilthatják a kártevőirtót a virtuális gépen az észlelés megakadályozása érdekében.

MITRE-taktikák: Védelmi kijátszás

Súlyosság: Közepes

Kártevőirtó fájlok kizárása és kódvégrehajtás a virtuális gépen

(VM_AmFileExclusionAndCodeExecution)

Leírás: A kártevőirtó-olvasóból kizárt fájl, amely a kód végrehajtásával egy egyéni szkriptbővítményen keresztül lett végrehajtva a virtuális gépen. Ezt az azure Resource Manager-műveletek az előfizetésben való elemzésével észlelte. A támadók kizárhatják a fájlokat a kártevőirtó-vizsgálatból a virtuális gépen, hogy megakadályozzák az észlelést, miközben jogosulatlan eszközöket futtatnak, vagy kártevőkkel fertőzik meg a gépet.

MITRE-taktikák: Védelmi kijátszás, végrehajtás

Súlyosság: Magas

Kártevőirtó fájlok kizárása és kódvégrehajtás a virtuális gépen

(VM_AmTempFileExclusionAndCodeExecution)

Leírás: Az előfizetés Azure Resource Manager-műveleteinek elemzésével ideiglenes fájlkizárást észleltünk a kártevőirtó bővítményből az egyéni szkriptbővítményen keresztüli kódvégrehajtással párhuzamosan. A támadók kizárhatják a fájlokat a kártevőirtó-vizsgálatból a virtuális gépen, hogy megakadályozzák az észlelést, miközben tetszőleges kódot futtatnak, vagy kártevőkkel fertőzik meg a gépet.

MITRE-taktikák: Védelmi kijátszás, végrehajtás

Súlyosság: Magas

Kártevőirtó fájlok kizárása a virtuális gépen

(VM_AmTempFileExclusion)

Leírás: A fájl ki van zárva a kártevőirtó szkennerből a virtuális gépen. Ezt az azure Resource Manager-műveletek az előfizetésben való elemzésével észlelte. A támadók kizárhatják a fájlokat a kártevőirtó-vizsgálatból a virtuális gépen, hogy megakadályozzák az észlelést, miközben jogosulatlan eszközöket futtatnak, vagy kártevőkkel fertőzik meg a gépet.

MITRE-taktikák: Védelmi kijátszás

Súlyosság: Közepes

A kártevőirtó valós idejű védelme le lett tiltva a virtuális gépen

(VM_AmRealtimeProtectionDisabled)

Leírás: A kártevőirtó bővítmény valós idejű védelmi letiltását észlelte a virtuális gépen az előfizetés Azure Resource Manager-műveleteinek elemzésével. A támadók letilthatják a valós idejű védelmet a kártevőirtó-vizsgálattal szemben a virtuális gépen, hogy elkerüljék az észlelést, miközben tetszőleges kódot futtatnak, vagy kártevőkkel fertőzik meg a gépet.

MITRE-taktikák: Védelmi kijátszás

Súlyosság: Közepes

A kártevőirtó valós idejű védelme ideiglenesen le lett tiltva a virtuális gépen

(VM_AmTempRealtimeProtectionDisablement)

Leírás: A rendszer a kártevőirtó bővítmény valós idejű védelmi ideiglenes letiltását észlelte a virtuális gépen az előfizetés azure Resource Manager-műveleteinek elemzésével. A támadók letilthatják a valós idejű védelmet a kártevőirtó-vizsgálattal szemben a virtuális gépen, hogy elkerüljék az észlelést, miközben tetszőleges kódot futtatnak, vagy kártevőkkel fertőzik meg a gépet.

MITRE-taktikák: Védelmi kijátszás

Súlyosság: Közepes

A kártevőirtó valós idejű védelme ideiglenesen le lett tiltva a kód végrehajtása közben a virtuális gépen

(VM_AmRealtimeProtectionDisablementAndCodeExec)

Leírás: A kártevőirtó bővítmény valós idejű védelmi ideiglenes letiltása az egyéni szkriptbővítményen keresztüli kódvégrehajtással párhuzamosan észlelhető a virtuális gépen az azure Resource Manager-műveletek elemzésével az előfizetésben. A támadók letilthatják a valós idejű védelmet a kártevőirtó-vizsgálattal szemben a virtuális gépen, hogy elkerüljék az észlelést, miközben tetszőleges kódot futtatnak, vagy kártevőkkel fertőzik meg a gépet.

MITRE taktika: -

Súlyosság: Magas

(VM_AmMalwareCampaignRelatedExclusion)

Leírás: A rendszer kizárási szabályt észlelt a virtuális gépen, amely megakadályozza, hogy a kártevőirtó bővítmény beolvasson bizonyos fájlokat, amelyek feltehetően egy kártevőkampányhoz kapcsolódnak. A szabályt az előfizetésben lévő Azure Resource Manager-műveletek elemzésével észlelte a rendszer. A támadók kizárhatják a fájlokat a kártevőirtó-vizsgálatokból, hogy megakadályozzák az észlelést tetszőleges kód futtatásakor, vagy kártevőkkel fertőzik meg a gépet.

MITRE-taktikák: Védelmi kijátszás

Súlyosság: Közepes

Kártevőirtó ideiglenesen le van tiltva a virtuális gépen

(VM_AmTemporarilyDisablement)

Leírás: A kártevőirtó ideiglenesen le van tiltva a virtuális gépen. Ezt az azure Resource Manager-műveletek az előfizetésben való elemzésével észlelte. A támadók letilthatják a kártevőirtót a virtuális gépen az észlelés megakadályozása érdekében.

MITRE taktika: -

Súlyosság: Közepes

Kártevőirtó – szokatlan fájlkizárás a virtuális gépen

(VM_UnusualAmFileExclusion)

Leírás: A rendszer szokatlan fájlkivételt észlelt a kártevőirtó-bővítményből a virtuális gépen az Előfizetés Azure Resource Manager-műveleteinek elemzésével. A támadók kizárhatják a fájlokat a kártevőirtó-vizsgálatból a virtuális gépen, hogy megakadályozzák az észlelést, miközben tetszőleges kódot futtatnak, vagy kártevőkkel fertőzik meg a gépet.

MITRE-taktikák: Védelmi kijátszás

Súlyosság: Közepes

Kommunikáció a fenyegetésfelderítés által azonosított gyanús tartománnyal

(AzureDNS_ThreatIntelSuspectDomain)

Leírás: A gyanús tartományokkal folytatott kommunikációt az erőforrás DNS-tranzakcióinak elemzésével és a fenyegetésfelderítési hírcsatornák által azonosított ismert rosszindulatú tartományokkal való összehasonlítással észleltük. A rosszindulatú tartományok közötti kommunikációt gyakran hajtják végre a támadók, és ez azt jelentheti, hogy az erőforrás biztonsága sérül.

MITRE-taktikák: Kezdeti hozzáférés, adatmegőrzés, végrehajtás, irányítás és ellenőrzés, kizsákmányolás

Súlyosság: Közepes

Az IIS-naplófájlok letiltására és törlésére utaló észlelt műveletek

Leírás: A gazdagépadatok olyan észlelt műveleteinek elemzése, amelyek azt mutatják, hogy az IIS-naplófájlok le vannak tiltva és/vagy törölve.

MITRE taktika: -

Súlyosság: Közepes

Felső és kisbetűs karakterek rendellenes keveredése a parancssorban

Leírás: A(z) %{Feltört gazdagép} gazdagép adatainak elemzése olyan parancssort észlelt, amely a kis- és nagybetűk rendellenes kombinációját tartalmazta. Ez a fajta minta, bár valószínűleg jóindulatú, jellemző arra is, hogy a támadók megpróbálnak elrejteni a kis- és nagybetűkre érzékeny vagy kivonatalapú szabályegyeztetés elől, amikor rendszergazdai feladatokat hajtanak végre egy sérült gazdagépen.

MITRE taktika: -

Súlyosság: Közepes

Olyan beállításkulcs módosítása észlelhető, amellyel vissza lehet kerülni az UAC-t

Leírás: A(z) %{Feltört gazdagép} gazdagépadatainak elemzése azt észlelte, hogy módosult egy olyan beállításkulcs, amely visszaélhet a felhasználói fiókok felügyeletének megkerülésével. Az ilyen típusú konfiguráció, bár valószínűleg jóindulatú, a támadói tevékenységre is jellemző, amikor a jogosulatlan (standard) felhasználóról a feltört gazdagépen való jogosultsági (például rendszergazdai) hozzáférésre próbál áttérni.

MITRE taktika: -

Súlyosság: Közepes

Végrehajtható fájl dekódolásának észlelése beépített certutil.exe eszközzel

Leírás: A(z) %{Feltört gazdagép} gazdagép adatainak elemzése azt észlelte, hogy a certutil.exe, egy beépített rendszergazdai segédprogram a tanúsítványok és a tanúsítványadatok manipulálásával kapcsolatos általános célú helyett egy végrehajtható kód dekódolására szolgál. A támadók gyakran használják különböző megbízható rendszergazdai eszközök funkcióit rosszindulatú műveletek elvégzésére. Például a certutil.exe vagy a hozzá hasonló eszközök rosszindulatú végrehajtható fájlok dekódolására használhatók, amelyeket aztán a rendszer végrehajt.

MITRE taktika: -

Súlyosság: Magas

A WDigest UseLogonCredential beállításkulcs engedélyezése észlelhető

Leírás: A gazdagépadatok elemzése változást észlelt a HKLM\SYSTEM\ CurrentControlSet\Control\SecurityProviders\WDigest\ "UseLogonCredential" beállításkulcsban. Ezt a kulcsot úgy frissítettük, hogy lehetővé tegye a bejelentkezési hitelesítő adatok tiszta szövegben való tárolását az LSA-memóriában. Ha engedélyezve van, a támadó törölhet szöveges jelszavakat az LSA-memóriából olyan hitelesítő adatok begyűjtésével, mint a Mimikatz.

MITRE taktika: -

Súlyosság: Közepes

A parancssori adatokban kódolt végrehajtható kóddal észlelt

Leírás: A(z) %{Feltört gazdagép} gazdagépadatainak elemzése egy base-64 kódolású végrehajtható fájlt észlelt. Ez korábban azzal volt társítva, hogy a támadók menet közben próbálnak végrehajtható elemeket létrehozni egy parancssorozaton keresztül, és megpróbálják elkerülni a behatolásészlelési rendszereket, biztosítva, hogy egyetlen parancs sem aktiváljon riasztást. Ez lehet jogszerű tevékenység, vagy egy sérült gazdagép jelzése.

MITRE taktika: -

Súlyosság: Magas

Obfuscated parancssor észlelve

Leírás: A támadók egyre összetettebb obfuscation technikákat használnak az alapul szolgáló adatokon futó észlelések megkerülésére. A(z) %{Feltört gazdagép} gazdagépadatainak elemzése gyanús jeleket észlelt a parancsvonalon való elrejtésről.

MITRE taktika: -

Súlyosság: Tájékoztató

A keygen végrehajtható végrehajtásának lehetséges észlelése

Leírás: A(z) %{Feltört gazdagép} gazdagép adatainak elemzése olyan folyamat végrehajtását észlelte, amelynek neve keygen eszközre utal. Az ilyen eszközöket általában a szoftverlicencelési mechanizmusok legyőzésére használják, de a letöltésük gyakran más rosszindulatú szoftverekkel van csomagolva. A GOLD tevékenységcsoportról ismert, hogy az ilyen kulcsgeneket arra használja, hogy titkosan hozzáférjenek azokhoz a gazdagépekhez, amelyeket feltörnek.

MITRE taktika: -

Súlyosság: Közepes

A kártevő-dropper lehetséges végrehajtását észlelte

Leírás: A(z) %{Feltört gazdagép} gazdagép adatainak elemzése olyan fájlnevet észlelt, amely korábban a GOLD tevékenységcsoport egyik olyan módszeréhez volt társítva, amely kártevőket telepít egy áldozat gazdagépre.

MITRE taktika: -

Súlyosság: Magas

Észlelt lehetséges helyi felderítési tevékenység

Leírás: A(z) %{Feltört gazdagép} gazdagép adatainak elemzése olyan systeminfo-parancsok kombinációját észlelte, amelyeket korábban a GOLD tevékenységcsoport felderítési tevékenységének egyik metódusához társítottak. Bár a "systeminfo.exe" egy jogszerű Windows-eszköz, ritkán fordul elő, hogy egymás után kétszer hajtja végre, ahogyan az itt történt.

MITRE taktika: -

Súlyosság: Alacsony

A Telegram eszköz potenciálisan gyanús használatát észlelte

Leírás: A gazdagépadatok elemzése a Telegram, egy ingyenes felhőalapú csevegőszolgáltatás telepítését mutatja be, amely mobil és asztali rendszerekhez is létezik. A támadók ismert, hogy visszaélnek ezzel a szolgáltatással, és rosszindulatú bináris fájlokat továbbítanak bármely más számítógépre, telefonra vagy táblagépre.

MITRE taktika: -

Súlyosság: Közepes

Leírás: A(z) %{Feltört gazdagép} gazdagép adatainak elemzése a beállításkulcs azon módosításait észlelte, amelyek azt mutatják, hogy a felhasználók a bejelentkezéskor megjelennek-e jogi közleményben. A Microsoft biztonsági elemzése megállapította, hogy ez egy gyakori tevékenység, amelyet a támadók a gazdagép feltörését követően végeznek.

MITRE taktika: -

Súlyosság: Alacsony

A HTA és a PowerShell gyanús kombinációját észlelte

Leírás: mshta.exe (Microsoft HTML-alkalmazásgazda), amely egy aláírt Microsoft-bináris, a támadók rosszindulatú PowerShell-parancsok indítására használják. A támadók gyakran folyamodnak egy beágyazott VBScripttel rendelkező HTA-fájlhoz. Amikor egy áldozat megkeresi a HTA-fájlt, és a futtatás mellett dönt, a rendszer végrehajtja a benne található PowerShell-parancsokat és szkripteket. A(z) %{Feltört gazdagép} gazdagépadatainak elemzése mshta.exe PowerShell-parancsok indítását észlelte.

MITRE taktika: -

Súlyosság: Közepes

Gyanús parancssori argumentumok észlelhetők

Leírás: A(z) %{Feltört gazdagép} gazdagép adatainak elemzése gyanús parancssori argumentumokat észlelt, amelyeket a HYDROGEN tevékenységcsoport fordított rendszerhéjával együtt használtak.

MITRE taktika: -

Súlyosság: Magas

Gyanús parancsvonal észlelhető a címtárban lévő összes végrehajtható fájl elindításához

Leírás: A gazdagépadatok elemzése gyanús folyamatot észlelt, amely a következőn fut: %{Feltört gazdagép}. A parancssor azt jelzi, hogy a címtárban található összes végrehajtható adat (*.exe) elindítható. Ez egy sérült gazdagépre utalhat.

MITRE taktika: -

Súlyosság: Közepes

Gyanús hitelesítő adatokat észlelt a parancssorban

Leírás: A(z) %{Feltört gazdagép} gazdagépadatainak elemzése azt észlelte, hogy a rendszer gyanús jelszót használ egy fájl BORON tevékenységcsoport általi végrehajtásához. Ez a tevékenységcsoport már ismert, hogy ezt a jelszót használja a Pirpi-kártevők áldozati gazdagépen való végrehajtásához.

MITRE taktika: -

Súlyosság: Magas

Gyanús dokumentum hitelesítő adatainak észlelése

Leírás: A(z) %{Feltört gazdagép} gazdagép adatainak elemzése gyanús, gyakran használt, előre összeállított jelszókivonatot észlelt, amelyet a fájl végrehajtásához használt kártevők használnak. A HYDROGEN tevékenységcsoportról ismert, hogy ezt a jelszót használja a kártevők áldozati gazdagépen való végrehajtásához.

MITRE taktika: -

Súlyosság: Magas

A VBScript.Encode parancs gyanús végrehajtását észlelte

Leírás: A(z) %{Feltört gazdagép} gazdagép adatainak elemzése észlelte a VBScript.Encode parancs végrehajtását. Ez olvashatatlan szöveggé kódolja a szkripteket, ami megnehezíti a felhasználók számára a kód vizsgálatát. A Microsoft fenyegetéskutatása azt mutatja, hogy a támadók gyakran kódolt VBscript-fájlokat használnak a támadás részeként az észlelési rendszerek megkerülésére. Ez lehet jogszerű tevékenység, vagy egy sérült gazdagép jelzése.

MITRE taktika: -

Súlyosság: Közepes

Gyanús végrehajtás észlelhető rundll32.exe

Leírás: A(z) %{Feltört gazdagép} gazdagép adatainak elemzése azt észlelte, rundll32.exe egy nem gyakori nevű folyamat végrehajtására szolgálnak, összhangban a GOLD tevékenységcsoport által korábban használt folyamatelnevezési sémával, amikor az első fázisú implantátumot egy sérült gazdagépre telepítik.

MITRE taktika: -

Súlyosság: Magas

Gyanús fájlkarbantartási parancsok észlelése

Leírás: A gazdagépadatok elemzése a(z) %{Feltört gazdagép} esetében olyan systeminfo-parancsok kombinációját észlelte, amelyek korábban a GOLD tevékenységcsoport egyik tevékenységcsoportjának a feltörése utáni öntisztítási tevékenység végrehajtására vonatkozó módszereihez voltak társítva. Bár a "systeminfo.exe" egy jogszerű Windows-eszköz, kétszer egymás után hajtja végre, majd az itt előforduló törlési parancsok ritkán fordulnak elő.

MITRE taktika: -

Súlyosság: Magas

Gyanús fájllétrehozás észlelhető

Leírás: A(z) %{Feltört gazdagép} gazdagépadatainak elemzése olyan folyamat létrehozását vagy végrehajtását észlelte, amely korábban a BARIUM tevékenységcsoport által az áldozat gazdagépen végrehajtott kompromisszumot követő műveletet jelezte. Ez a tevékenységcsoport már ismert, hogy ezzel a technikával több kártevőt tölt le egy feltört gazdagépre egy adathalász dokumentum mellékletének megnyitása után.

MITRE taktika: -

Súlyosság: Magas

Gyanús elnevezett csőkommunikációt észlelt

Leírás: A(z) %{Feltört gazdagép} gazdagép adatainak elemzése azt észlelte, hogy az adatok egy windowsos konzolparancsból egy helyi nevesített csőbe íródtak. A nevesített csövekről ismert, hogy a támadók olyan csatornát használnak, amellyel rosszindulatú implantátummal kommunikálhatnak. Ez lehet jogszerű tevékenység, vagy egy sérült gazdagép jelzése.

MITRE taktika: -

Súlyosság: Magas

Gyanús hálózati tevékenység észlelhető

Leírás: A(z) %{Feltört gazdagép} hálózati forgalmának elemzése gyanús hálózati tevékenységet észlelt. Az ilyen forgalmat, bár jóindulatú, általában a támadók arra használják, hogy rosszindulatú kiszolgálókkal kommunikáljanak az eszközök letöltéséhez, az adatok parancs- és vezérléséhez és kiszivárgásához. A támadók tipikus tevékenységei közé tartozik a távoli felügyeleti eszközök másolása egy sérült gazdagépre, és a felhasználói adatok kiszűrése belőle.

MITRE taktika: -

Súlyosság: Alacsony

Gyanús új tűzfalszabály észlelhető

Leírás: Az észlelt gazdagépadatok elemzése új tűzfalszabályt adott hozzá a netsh.exe a gyanús helyen végrehajtható forgalom engedélyezéséhez.

MITRE taktika: -

Súlyosság: Közepes

A Cacls gyanús használatát észlelte a rendszer biztonsági állapotának csökkentéséhez

Leírás: A támadók számtalan módszert használnak, például találgatásos támadásokat, lándzsás adathalászatot stb. a kezdeti kompromisszum eléréséhez, és lábbal járnak a hálózaton. A kezdeti kompromisszum elérése után gyakran lépéseket tesznek a rendszer biztonsági beállításainak csökkentésére. Caclsâ € "rövid változás hozzáférés-vezérlési lista a Microsoft Windows natív parancssori segédprogram gyakran használják a biztonsági engedély módosítására mappák és fájlok. A támadók gyakran használják a bináris fájlt a rendszer biztonsági beállításainak csökkentésére. Ez úgy történik, hogy mindenkinek teljes hozzáférést biztosít a rendszer bináris fájljaihoz, például ftp.exe, net.exe, wscript.exe stb. A(z) %{Feltört gazdagép} gazdagép adatainak elemzése azt észlelte, hogy a Cacls gyanúsan használja a rendszer biztonságát.

MITRE taktika: -

Súlyosság: Közepes

Az FTP-kapcsoló gyanús használatát észlelte

Leírás: A(z) %{Feltört gazdagép} folyamatlétrehozási adatainak elemzése észlelte a(z) "-s:filename" FTP-kapcsoló használatát. Ez a kapcsoló egy FTP-szkriptfájl megadására szolgál az ügyfél futtatásához. A kártevők vagy rosszindulatú folyamatok ismertek az FTP-kapcsoló (-s:filename) használatával egy szkriptfájlra mutatnak, amely úgy van konfigurálva, hogy távoli FTP-kiszolgálóhoz csatlakozzon, és több kártékony bináris fájlt töltsön le.

MITRE taktika: -

Súlyosság: Közepes

A Pcalua.exe gyanús használatát észlelte a végrehajtható kód elindításához

Leírás: A(z) %{Feltört gazdagép} gazdagépadatainak elemzése azt észlelte, hogy a pcalua.exe használ a végrehajtható kód elindításához. Pcalua.exe a Microsoft Windows "Programkompatibilitási segéd" összetevője, amely kompatibilitási problémákat észlel egy program telepítése vagy végrehajtása során. A támadókról ismert, hogy visszaélnek a megbízható Windows rendszereszközök funkcióival rosszindulatú műveletek végrehajtásához, például a pcalua.exe a -a kapcsolóval a rosszindulatú végrehajtható elemek helyi vagy távoli megosztásokból történő elindításához.

MITRE taktika: -

Súlyosság: Közepes

A kritikus szolgáltatások letiltását észlelte

Leírás: A(z) %{Feltört gazdagép} gazdagép adatainak elemzése azt észlelte, hogy a "net.exe stop" parancs végrehajtása olyan kritikus szolgáltatások leállítására szolgál, mint a SharedAccess vagy a Windows biztonság alkalmazás. Bármelyik szolgáltatás leállítása rosszindulatú viselkedést jelezhet.

MITRE taktika: -

Súlyosság: Közepes

Leírás: A(z) %{Feltört gazdagép} gazdagép adatainak elemzése észlelte a digitális pénznembányászathoz általában társított folyamat vagy parancs végrehajtását.

MITRE taktika: -

Súlyosság: Magas

Dinamikus PS-szkriptek felépítése

Leírás: A(z) %{Feltört gazdagép} gazdagép adatainak elemzése azt észlelte, hogy a PowerShell-szkript dinamikusan lett létrehozva. A támadók néha ezt a módszert használják egy szkript fokozatos létrehozására az IDS-rendszerek megkerülése érdekében. Ez lehet jogszerű tevékenység, vagy azt jelzi, hogy az egyik gépe sérült.

MITRE taktika: -

Súlyosság: Közepes

Gyanús helyről futtatott végrehajtható fájl

Leírás: A gazdagépadatok elemzése egy végrehajtható fájlt észlelt a(z) %{Feltört gazdagép} webhelyen, amely egy ismert gyanús fájlokkal közös helyről fut. Ez a végrehajtható művelet lehet jogszerű tevékenység, vagy egy sérült gazdagép jelzése.

MITRE taktika: -

Súlyosság: Magas

Fájl nélküli támadási viselkedés észlelhető

(VM_FilelessAttackBehavior.Windows)

Leírás: A megadott folyamat memóriája fájl nélküli támadások által gyakran használt viselkedéseket tartalmaz. Az egyes viselkedések a következők:

  1. Shellcode, amely egy kis kód, amelyet általában hasznos adatként használnak egy szoftveres biztonsági rés kihasználásához.
  2. Aktív hálózati kapcsolatok. A részletekért tekintse meg az alábbi Hálózat Csatlakozás ionokat.
  3. Függvényhívások biztonsági szempontból érzékeny operációsrendszer-felületekre. A hivatkozott operációsrendszer-képességekről az alábbi képességek című témakörben olvashat.
  4. Egy dinamikusan lefoglalt kódszegmensben elindított szálat tartalmaz. Ez a folyamatinjektálási támadások gyakori mintája.

MITRE-taktikák: Védelmi kijátszás

Súlyosság: Alacsony

Fájl nélküli támadási technika észlelhető

(VM_FilelessAttackTechnique.Windows)

Leírás: Az alább megadott folyamat memóriája fájl nélküli támadási technika bizonyítékát tartalmazza. A fájl nélküli támadásokat a támadók kód végrehajtására használják, miközben elkerülik a biztonsági szoftverek általi észlelést. Az egyes viselkedések a következők:

  1. Shellcode, amely egy kis kód, amelyet általában hasznos adatként használnak egy szoftveres biztonsági rés kihasználásához.
  2. A folyamatba injektálható végrehajtható rendszerkép, például kódinjektálási támadás esetén.
  3. Aktív hálózati kapcsolatok. A részletekért tekintse meg az alábbi Hálózat Csatlakozás ionokat.
  4. Függvényhívások biztonsági szempontból érzékeny operációsrendszer-felületekre. A hivatkozott operációsrendszer-képességekről az alábbi képességek című témakörben olvashat.
  5. Folyamatvályúsítás, amely egy olyan módszer, amelyet a kártevők használnak, amelyben egy legitim folyamat töltődik be a rendszerre, hogy ellenséges kód tárolójaként működjön.
  6. Egy dinamikusan lefoglalt kódszegmensben elindított szálat tartalmaz. Ez a folyamatinjektálási támadások gyakori mintája.

MITRE-taktikák: Védelmi kijátszás, végrehajtás

Súlyosság: Magas

Fájl nélküli támadási eszközkészlet észlelhető

(VM_FilelessAttackToolkit.Windows)

Leírás: A megadott folyamat memóriája fájl nélküli támadási eszközkészletet tartalmaz: [eszközkészlet neve]. A fájl nélküli támadási eszközkészletek olyan technikákat használnak, amelyek minimalizálják vagy megszüntetik a kártevők nyomait a lemezen, és jelentősen csökkentik a lemezalapú kártevő-ellenőrzési megoldások észlelésének esélyét. Az egyes viselkedések a következők:

  1. Jól ismert eszközkészletek és kriptobányászati szoftverek.
  2. Shellcode, amely egy kis kód, amelyet általában hasznos adatként használnak egy szoftveres biztonsági rés kihasználásához.
  3. A folyamatmemóriában injektált rosszindulatú végrehajtható fájl.

MITRE-taktikák: Védelmi kijátszás, végrehajtás

Súlyosság: Közepes

Magas kockázatú szoftver észlelhető

Leírás: A(z) %{Feltört gazdagép} gazdagépadatainak elemzése azt észlelte, hogy a kártevő telepítésével kapcsolatos szoftverek használata a múltban történt. A rosszindulatú szoftverek terjesztésében gyakran használt módszer az, hogy másként jóindulatú eszközökbe csomagolja, például a riasztásban látottakba. Ha ezeket az eszközöket használja, a kártevő csendesen telepíthető a háttérben.

MITRE taktika: -

Súlyosság: Közepes

A helyi Rendszergazda istrators csoporttagokat számba vették

Leírás: A gépnaplók sikeres számbavételt jeleznek a(z) %{Enumerated Group Domain Name}%{Enumerated Group Name} csoporton. Pontosabban: %{Enumerating User Domain Name}%{Enumerating User Name} távolról számba írva a(z) %{Enumerated Group Domain Name}%{Enumerated Group Name} csoport tagjait. Ez a tevékenység lehet jogszerű tevékenység, vagy annak jelzése, hogy a szervezet egy gépe sérült, és a(z) %{vmname} felderítésére szolgál.

MITRE taktika: -

Súlyosság: Tájékoztató

A ZINC-kiszolgálóimplantátum által létrehozott rosszindulatú tűzfalszabály [többször is látható]

Leírás: Egy tűzfalszabályt olyan technikákkal hoztak létre, amelyek megfelelnek egy ismert aktornak, a CINK-nek. A szabályt valószínűleg arra használták, hogy nyisson meg egy portot a(z) %{Feltört gazdagép} webhelyen, hogy lehetővé tegye a command > control kommunikációt. Ez a viselkedés [x] időpontban jelenik meg a következő gépeken: [Gépnevek]

MITRE taktika: -

Súlyosság: Magas

Rosszindulatú SQL-tevékenység

Leírás: A gépnaplók azt jelzik, hogy a(z) %{folyamat neve} a(z) %{felhasználónév} fiók által lett végrehajtva. Ezt a tevékenységet a rendszer rosszindulatúként azonosította.

MITRE taktika: -

Súlyosság: Magas

Több tartományfiók lekérdezve

Leírás: A gazdagépadatok elemzése megállapította, hogy a rendszer szokatlan számú különböző tartományfiókot kérdez le rövid időn belül a(z) %{Feltört gazdagép} szolgáltatástól. Ez a fajta tevékenység lehet jogos, de a kompromisszum jele is lehet.

MITRE taktika: -

Súlyosság: Közepes

Lehetséges hitelesítőadat-memóriakép észlelése [többször is látható]

Leírás: A gazdagépadatok elemzése azt észlelte, hogy a natív windowsos eszköz (például sqldumper.exe) használata olyan módon történik, amely lehetővé teszi a hitelesítő adatok kinyerét a memóriából. A támadók gyakran használják ezeket a technikákat a hitelesítő adatok kinyerésére, amelyeket aztán tovább használnak az oldalirányú mozgáshoz és a jogosultságok eszkalálásához. Ez a viselkedés [x] időpontban jelenik meg a következő gépeken: [Gépnevek]

MITRE taktika: -

Súlyosság: Közepes

Lehetséges kísérlet az AppLocker megkerülésére

Leírás: A(z) %{Feltört gazdagép} gazdagép adatainak elemzése potenciális kísérletet észlelt az AppLocker-korlátozások megkerülésére. Az AppLocker konfigurálható úgy, hogy olyan szabályzatot implementáljon, amely korlátozza, hogy mely végrehajtható fájlok futtathatók Windows rendszeren. A riasztásban azonosítotthoz hasonló parancssori minta korábban az AppLocker-szabályzat megkerülésére tett támadói kísérletekhez volt társítva megbízható végrehajtható elemek (az AppLocker-szabályzat által engedélyezett) használatával a nem megbízható kód végrehajtásához. Ez lehet jogszerű tevékenység, vagy egy sérült gazdagép jelzése.

MITRE taktika: -

Súlyosság: Magas

Ritka SVCHOST szolgáltatáscsoport végrehajtása

(VM_SvcHostRunInRareServiceGroup)

Leírás: Az SVCHOST rendszerfolyamat egy ritka szolgáltatáscsoport futtatását észlelte. A kártevők gyakran használják az SVCHOST-t a rosszindulatú tevékenységek álcázására.

MITRE-taktikák: Védelmi kijátszás, végrehajtás

Súlyosság: Tájékoztató

Ragadós kulcsok támadása észlelhető

Leírás: A gazdagépadatok elemzése azt jelzi, hogy a támadók egy akadálymentes bináris fájlt (például ragadós kulcsokat, képernyő-billentyűzetet, narrátort) integrálhatnak a(z) %{Feltört gazdagép} gazdagéphez való backdoor-hozzáférés biztosítása érdekében.

MITRE taktika: -

Súlyosság: Közepes

Sikeres találgatásos támadás

(VM_LoginBruteForceSuccess)

Leírás: Több bejelentkezési kísérlet is észlelhető ugyanabból a forrásból. Néhány sikeresen hitelesítve van a gazdagépen. Ez egy kipukkanási támadáshoz hasonlít, amelyben a támadó számos hitelesítési kísérletet hajt végre az érvényes fiók hitelesítő adatainak megkeresésére.

MITRE-taktikák: Hasznosítás

Súlyosság: Közepes/Magas

Az RDP eltérítésére utaló gyanús integritási szint

Leírás: A gazdagépadatok elemzése észlelte a system jogosultságokkal futó tscon.exe – ez arra utalhat, hogy egy támadó visszaél ezzel a bináris fájllal, hogy kontextust váltson a gazdagép bármely más bejelentkezett felhasználójára. Ez egy ismert támadói technika, amellyel több felhasználói fiókot veszélyeztethet, és oldalirányban mozoghat a hálózaton.

MITRE taktika: -

Súlyosság: Közepes

Gyanús szolgáltatás telepítése

Leírás: A gazdagépadatok elemzése szolgáltatásként észlelte a tscon.exe telepítését: ez a szolgáltatásként indított bináris fájl lehetővé teszi, hogy a támadó triviálisan váltson a gazdagép bármely más bejelentkezett felhasználójára az RDP-kapcsolatok eltérítésével. Ez egy ismert támadói technika, amellyel több felhasználói fiókot veszélyeztethet, és oldalirányban mozoghat a hálózaton.

MITRE taktika: -

Súlyosság: Közepes

Kerberos Golden Ticket-támadási paraméterek megfigyelése

Leírás: A gazdagépadatok által észlelt parancssori paraméterek elemzése összhangban van a Kerberos Golden Ticket-támadással.

MITRE taktika: -

Súlyosság: Közepes

Gyanús fióklétrehozás észlelhető

Leírás: A(z) %{Feltört gazdagép} gazdagép adatainak elemzése azt észlelte, hogy a(z) %{Gyanús fiók neve} helyi fiók létrehozása vagy használata történt: ez a fióknév nagyon hasonlít egy szabványos Windows-fiókra vagy csoportnévre (%{Hasonló a fióknévhez}). Ez potenciálisan egy támadó által létrehozott rosszindulatú fiók, amelyet azért neveznek el, hogy elkerülje, hogy egy emberi rendszergazda észrevehesse.

MITRE taktika: -

Súlyosság: Közepes

Gyanús tevékenység észlelhető

(VM_SuspiciousActivity)

Leírás: A gazdagépadatok elemzése egy vagy több olyan folyamat sorozatát észlelte, amely a(z) %{machine name} rendszeren fut, és amelyek korábban rosszindulatú tevékenységhez voltak társítva. Bár az egyes parancsok jóindulatúnak tűnhetnek, a riasztás a parancsok összesítése alapján lesz pontozott. Ez lehet jogszerű tevékenység, vagy egy sérült gazdagép jelzése.

MITRE-taktikák: Végrehajtás

Súlyosság: Közepes

Gyanús hitelesítési tevékenység

(VM_LoginBruteForceValidUserFailed)

Leírás: Bár egyik sem sikerült, néhány használt fiókot felismert a gazdagép. Ez egy szótári támadáshoz hasonlít, amelyben a támadó számos hitelesítési kísérletet hajt végre előre definiált fióknevek és jelszavak szótárával, hogy érvényes hitelesítő adatokat találjon a gazdagép eléréséhez. Ez azt jelzi, hogy a gazdagépfiókok nevei egy jól ismert fióknév-szótárban is létezhetnek.

MITRE-taktikák: Próba

Súlyosság: Közepes

Gyanús kódszegmens észlelhető

Leírás: Azt jelzi, hogy egy kódszegmens nem szabványos metódusokkal lett lefoglalva, például tükröző injektálással és folyamatüregesítéssel. A riasztás a feldolgozott kódszegmens további jellemzőit biztosítja, hogy kontextust biztosítson a jelentett kódszegmens képességeihez és viselkedéséhez.

MITRE taktika: -

Súlyosság: Közepes

Gyanús dupla kiterjesztésű fájl végrehajtása

Leírás: A gazdagépadatok elemzése gyanús dupla kiterjesztésű folyamat végrehajtását jelzi. Ez a bővítmény arra is ráveheti a felhasználókat, hogy a fájlok biztonságosan megnyithatók, és jelezhetik a kártevő jelenlétét a rendszeren.

MITRE taktika: -

Súlyosság: Magas

Gyanús letöltés a Certutil használatával [többször is látható]

Leírás: A(z) %{Feltört gazdagép} gazdagép adatainak elemzése azt észlelte, hogy az certutil.exe, egy beépített rendszergazdai segédprogramot használ egy bináris fájl letöltéséhez a tanúsítványok és a tanúsítványadatok manipulálásával kapcsolatos általános célú helyett. A támadók ismertek a megbízható rendszergazdai eszközök funkcióival való visszaélésről a rosszindulatú műveletek végrehajtásához, például a certutil.exe használatával letölthetnek és dekódolhatnak egy rosszindulatú végrehajtható fájlt, amelyet később végrehajtanak. Ez a viselkedés [x] időpontban jelenik meg a következő gépeken: [Gépnevek]

MITRE taktika: -

Súlyosság: Közepes

Gyanús letöltés a Certutil használatával

Leírás: A(z) %{Feltört gazdagép} gazdagép adatainak elemzése azt észlelte, hogy az certutil.exe, egy beépített rendszergazdai segédprogramot használ egy bináris fájl letöltéséhez a tanúsítványok és a tanúsítványadatok manipulálásával kapcsolatos általános célú helyett. A támadók ismertek a megbízható rendszergazdai eszközök funkcióival való visszaélésről a rosszindulatú műveletek végrehajtásához, például a certutil.exe használatával letölthetnek és dekódolhatnak egy rosszindulatú végrehajtható fájlt, amelyet később végrehajtanak.

MITRE taktika: -

Súlyosság: Közepes

Gyanús PowerShell-tevékenység észlelhető

Leírás: A gazdagépadatok elemzése olyan PowerShell-szkriptet észlelt, amely a(z) %{Feltört gazdagép} rendszeren fut, és az ismert gyanús szkriptekkel közös funkciókkal rendelkezik. Ez a szkript lehet jogszerű tevékenység, vagy egy sérült gazdagép jelzése.

MITRE taktika: -

Súlyosság: Magas

Gyanús PowerShell-parancsmagok végrehajtása

Leírás: A gazdagépadatok elemzése ismert rosszindulatú PowerShell PowerSploit-parancsmagok végrehajtását jelzi.

MITRE taktika: -

Súlyosság: Közepes

Gyanús folyamat végrehajtása [többször is látható]

Leírás: A gépnaplók azt jelzik, hogy a(z) %{Gyanús folyamat} gyanús folyamat fut a gépen, amely gyakran a hitelesítő adatok elérésére tett támadói kísérletekkel van társítva. Ez a viselkedés [x] időpontban jelenik meg a következő gépeken: [Gépnevek]

MITRE taktika: -

Súlyosság: Magas

Gyanús folyamat végrehajtása

Leírás: A gépnaplók azt jelzik, hogy a(z) %{Gyanús folyamat} gyanús folyamat fut a gépen, amely gyakran a hitelesítő adatok elérésére tett támadói kísérletekkel van társítva.

MITRE taktika: -

Súlyosság: Magas

Gyanús folyamatnév észlelhető [többször is látható]

Leírás: A(z) %{Feltört gazdagép} gazdagép adatainak elemzése olyan folyamatot észlelt, amelynek a neve gyanús, például egy ismert támadóeszköznek felel meg, vagy olyan módon van elnevezve, amely olyan támadóeszközökre utal, amelyek egyszerű látásra próbálnak elrejtőzni. Ez a folyamat lehet jogszerű tevékenység, vagy azt jelzi, hogy az egyik gépe sérült. Ez a viselkedés [x] időpontban jelenik meg a következő gépeken: [Gépnevek]

MITRE taktika: -

Súlyosság: Közepes

Gyanús folyamatnév észlelhető

Leírás: A(z) %{Feltört gazdagép} gazdagép adatainak elemzése olyan folyamatot észlelt, amelynek a neve gyanús, például egy ismert támadóeszköznek felel meg, vagy olyan módon van elnevezve, amely olyan támadóeszközökre utal, amelyek egyszerű látásra próbálnak elrejtőzni. Ez a folyamat lehet jogszerű tevékenység, vagy azt jelzi, hogy az egyik gépe sérült.

MITRE taktika: -

Súlyosság: Közepes

Gyanús SQL-tevékenység

Leírás: A gépnaplók azt jelzik, hogy a(z) %{folyamat neve} a(z) %{felhasználónév} fiók által lett végrehajtva. Ez a tevékenység nem gyakori ebben a fiókban.

MITRE taktika: -

Súlyosság: Közepes

Gyanús SVCHOST-folyamat végrehajtása

Leírás: Az SVCHOST rendszerfolyamat rendellenes környezetben fut. A kártevők gyakran használják az SVCHOST-t a rosszindulatú tevékenységek álcázására.

MITRE taktika: -

Súlyosság: Magas

Gyanús rendszerfolyamat végrehajtása

(VM_SystemProcessInAbnormalContext)

Leírás: A rendszerfolyamat (%{folyamat neve}) rendellenes környezetben fut. A kártevők gyakran ezt a folyamatnevet használják rosszindulatú tevékenységének álcázására.

MITRE-taktikák: Védelmi kijátszás, végrehajtás

Súlyosság: Magas

Gyanús kötet árnyékmásolati tevékenysége

Leírás: A gazdagépadatok elemzése árnyékmásolat-törlési tevékenységet észlelt az erőforráson. A kötet árnyékmásolata (Volume Shadow Copy, VSC) az adatok pillanatképeit tároló fontos összetevő. Néhány kártevő és különösen a Ransomware a VSC-t célozza a biztonsági mentési stratégiák szabotálására.

MITRE taktika: -

Súlyosság: Magas

Gyanús WindowPosition beállításjegyzék-érték észlelhető

Leírás: A(z) %{Feltört gazdagép} gazdagép adatainak elemzése olyan WindowsPosition beállításjegyzék-konfigurációmódosítási kísérletet észlelt, amely az alkalmazásablakok nem láthatatlan részeiben való elrejtését jelezheti. Ez lehet jogszerű tevékenység, vagy egy feltört gép jelzése: ez a tevékenység korábban olyan ismert szoftverekkel (vagy nemkívánatos szoftverekkel) lett társítva, mint a Win32/OneSystemCare és a Win32/SystemHealer, valamint a Win32/Creprote kártevői. Ha a WindowPosition értéke 201329664(Hex: 0x0c00 0c00, amely az X tengely=0c00 és az Y tengely=0c00 értéknek felel meg) ez a beállítás a konzolalkalmazás ablakát a felhasználó képernyőjének nem látható szakaszában helyezi el a látható start menü/tálca alatti nézet elől elrejtett területen. Az ismert gyanús hexa érték tartalmazza, de nem kizárólagosan a c000c000 értéket.

MITRE taktika: -

Súlyosság: Alacsony

Gyanúsan elnevezett folyamat észlelhető

Leírás: A(z) %{Feltört gazdagép} gazdagép adatainak elemzése olyan folyamatot észlelt, amelynek a neve nagyon hasonló, de eltér egy nagyon gyakran futó folyamattól (%{Hasonló a folyamat nevéhez}). Bár ez a folyamat lehet jóindulatú támadók is ismert, hogy néha elrejteni egyszerű szem előtt azáltal, hogy a rosszindulatú eszközök hasonlítanak a törvényes folyamatnevek.

MITRE taktika: -

Súlyosság: Közepes

Szokatlan konfiguráció alaphelyzetbe állítása a virtuális gépen

(VM_VMAccessUnusualConfigReset)

Leírás: A rendszer szokatlan konfiguráció-visszaállítást észlelt a virtuális gépen az előfizetés Azure Resource Manager-műveleteinek elemzésével. Bár ez a művelet jogos lehet, a támadók megpróbálhatják a virtuális gép hozzáférési bővítményét használni a virtuális gép konfigurációjának alaphelyzetbe állításához és a biztonsági rések elhárításához.

MITRE-taktikák: Hitelesítő adatok elérése

Súlyosság: Közepes

Szokatlan folyamatvégrehajtás észlelhető

Leírás: A(z) %{Feltört gazdagép} gazdagép adatainak elemzése azt észlelte, hogy a(z) %{Felhasználónév} által végrehajtott folyamat szokatlan volt. A(z) %{Felhasználónév} fiókhoz hasonló fiókok általában korlátozott számú műveletet hajtanak végre, ez a végrehajtás nem karakteres, és gyanús lehet.

MITRE taktika: -

Súlyosság: Magas

Szokatlan felhasználói jelszó-visszaállítás a virtuális gépen

(VM_VMAccessUnusualPasswordReset)

Leírás: A rendszer szokatlan felhasználói jelszó-visszaállítást észlelt a virtuális gépen az Előfizetés Azure Resource Manager-műveleteinek elemzésével. Bár ez a művelet jogos lehet, a támadók megpróbálhatják használni a virtuálisgép-hozzáférési bővítményt, hogy visszaállítsa egy helyi felhasználó hitelesítő adatait a virtuális gépen, és feltörje azt.

MITRE-taktikák: Hitelesítő adatok elérése

Súlyosság: Közepes

Szokatlan felhasználói SSH-kulcs alaphelyzetbe állítása a virtuális gépen

(VM_VMAccessUnusualSSHReset)

Leírás: A rendszer szokatlan felhasználói SSH-kulcs-visszaállítást észlelt a virtuális gépen az Előfizetés Azure Resource Manager-műveleteinek elemzésével. Bár ez a művelet jogos lehet, a támadók megpróbálhatják a virtuálisgép-hozzáférési bővítményt használni egy felhasználói fiók SSH-kulcsának alaphelyzetbe állításához a virtuális gépen, és veszélyeztethetik azt.

MITRE-taktikák: Hitelesítő adatok elérése

Súlyosság: Közepes

VBScript HTTP-objektumlefoglalás észlelhető

Leírás: VBScript-fájl létrehozása parancssor használatával észlelhető. A következő szkript HTTP-objektumfoglalási parancsot tartalmaz. Ez a művelet rosszindulatú fájlok letöltésére használható.

GPU-bővítmény gyanús telepítése a virtuális gépen (előzetes verzió)

(VM_GPUDriverExtensionUnusualExecution)

Leírás: A rendszer gyanús GPU-bővítmény telepítését észlelte a virtuális gépén az Azure Resource Manager-műveletek elemzésével az előfizetésében. A támadók a GPU-illesztőbővítménnyel telepíthetnek GPU-illesztőprogramokat a virtuális gépre az Azure Resource Manageren keresztül a titkosítás végrehajtásához.

MITRE-taktikák: Hatás

Súlyosság: Alacsony

Linux rendszerű gépekre vonatkozó riasztások

A Microsoft Defender 2. csomagja a Végponthoz készült Microsoft Defender által biztosítottakon kívül egyedi észleléseket és riasztásokat is biztosít. A Linux rendszerű gépekre vonatkozó riasztások a következők:

További részletek és megjegyzések

egy előzményfájl törölve lett

Leírás: A gazdagépadatok elemzése azt jelzi, hogy a parancselőzmények naplófájlja törölve lett. A támadók ezt tehetik a nyomaik eltüntetésére. A műveletet a következő felhasználó hajtotta végre: %{felhasználónév}.

MITRE taktika: -

Súlyosság: Közepes

Az adaptív alkalmazásvezérlési szabályzat megsértésének naplózása megtörtént

(VM_AdaptiveApplicationControlLinuxViolationAudited)

Leírás: Az alábbi felhasználók olyan alkalmazásokat futtattak, amelyek megsértik a szervezet alkalmazásvezérlési szabályzatát ezen a gépen. Lehetséges, hogy kártevő vagy alkalmazás sebezhetőségeknek teszi ki a gépet.

MITRE-taktikák: Végrehajtás

Súlyosság: Tájékoztató

Kártevőirtó széles körű fájlok kizárása a virtuális gépen

(VM_AmBroadFilesExclusion)

Leírás: A fájlkivételt a kártevőirtó bővítményből, széles körű kizárási szabvánnyal észlelték a virtuális gépen az előfizetés Azure Resource Manager-műveleteinek elemzésével. Ez a kizárás gyakorlatilag letiltja a kártevőirtó-védelmet. A támadók kizárhatják a fájlokat a kártevőirtó-vizsgálatból a virtuális gépen, hogy megakadályozzák az észlelést, miközben tetszőleges kódot futtatnak, vagy kártevőkkel fertőzik meg a gépet.

MITRE taktika: -

Súlyosság: Közepes

Letiltott kártevőirtó és kódvégrehajtás a virtuális gépen

(VM_AmDisablementAndCodeExecution)

Leírás: A kártevőirtó a kódvégrehajtással egy időben le van tiltva a virtuális gépen. Ezt az azure Resource Manager-műveletek az előfizetésben való elemzésével észlelte. A támadók letiltják a kártevőirtó szkennereket, hogy megakadályozzák az észlelést, miközben jogosulatlan eszközöket futtatnak, vagy kártevőkkel fertőzik meg a gépet.

MITRE taktika: -

Súlyosság: Magas

Kártevőirtó letiltva a virtuális gépen

(VM_AmDisablement)

Leírás: A kártevőirtó le van tiltva a virtuális gépen. Ezt az azure Resource Manager-műveletek az előfizetésben való elemzésével észlelte. A támadók letilthatják a kártevőirtót a virtuális gépen az észlelés megakadályozása érdekében.

MITRE-taktikák: Védelmi kijátszás

Súlyosság: Közepes

Kártevőirtó fájlok kizárása és kódvégrehajtás a virtuális gépen

(VM_AmFileExclusionAndCodeExecution)

Leírás: A kártevőirtó-olvasóból kizárt fájl, amely a kód végrehajtásával egy egyéni szkriptbővítményen keresztül lett végrehajtva a virtuális gépen. Ezt az azure Resource Manager-műveletek az előfizetésben való elemzésével észlelte. A támadók kizárhatják a fájlokat a kártevőirtó-vizsgálatból a virtuális gépen, hogy megakadályozzák az észlelést, miközben jogosulatlan eszközöket futtatnak, vagy kártevőkkel fertőzik meg a gépet.

MITRE-taktikák: Védelmi kijátszás, végrehajtás

Súlyosság: Magas

Kártevőirtó fájlok kizárása és kódvégrehajtás a virtuális gépen

(VM_AmTempFileExclusionAndCodeExecution)

Leírás: Az előfizetés Azure Resource Manager-műveleteinek elemzésével ideiglenes fájlkizárást észleltünk a kártevőirtó bővítményből az egyéni szkriptbővítményen keresztüli kódvégrehajtással párhuzamosan. A támadók kizárhatják a fájlokat a kártevőirtó-vizsgálatból a virtuális gépen, hogy megakadályozzák az észlelést, miközben tetszőleges kódot futtatnak, vagy kártevőkkel fertőzik meg a gépet.

MITRE-taktikák: Védelmi kijátszás, végrehajtás

Súlyosság: Magas

Kártevőirtó fájlok kizárása a virtuális gépen

(VM_AmTempFileExclusion)

Leírás: A fájl ki van zárva a kártevőirtó szkennerből a virtuális gépen. Ezt az azure Resource Manager-műveletek az előfizetésben való elemzésével észlelte. A támadók kizárhatják a fájlokat a kártevőirtó-vizsgálatból a virtuális gépen, hogy megakadályozzák az észlelést, miközben jogosulatlan eszközöket futtatnak, vagy kártevőkkel fertőzik meg a gépet.

MITRE-taktikák: Védelmi kijátszás

Súlyosság: Közepes

A kártevőirtó valós idejű védelme le lett tiltva a virtuális gépen

(VM_AmRealtimeProtectionDisabled)

Leírás: A kártevőirtó bővítmény valós idejű védelmi letiltását észlelte a virtuális gépen az előfizetés Azure Resource Manager-műveleteinek elemzésével. A támadók letilthatják a valós idejű védelmet a kártevőirtó-vizsgálattal szemben a virtuális gépen, hogy elkerüljék az észlelést, miközben tetszőleges kódot futtatnak, vagy kártevőkkel fertőzik meg a gépet.

MITRE-taktikák: Védelmi kijátszás

Súlyosság: Közepes

A kártevőirtó valós idejű védelme ideiglenesen le lett tiltva a virtuális gépen

(VM_AmTempRealtimeProtectionDisablement)

Leírás: A rendszer a kártevőirtó bővítmény valós idejű védelmi ideiglenes letiltását észlelte a virtuális gépen az előfizetés azure Resource Manager-műveleteinek elemzésével. A támadók letilthatják a valós idejű védelmet a kártevőirtó-vizsgálattal szemben a virtuális gépen, hogy elkerüljék az észlelést, miközben tetszőleges kódot futtatnak, vagy kártevőkkel fertőzik meg a gépet.

MITRE-taktikák: Védelmi kijátszás

Súlyosság: Közepes

A kártevőirtó valós idejű védelme ideiglenesen le lett tiltva a kód végrehajtása közben a virtuális gépen

(VM_AmRealtimeProtectionDisablementAndCodeExec)

Leírás: A kártevőirtó bővítmény valós idejű védelmi ideiglenes letiltása az egyéni szkriptbővítményen keresztüli kódvégrehajtással párhuzamosan észlelhető a virtuális gépen az azure Resource Manager-műveletek elemzésével az előfizetésben. A támadók letilthatják a valós idejű védelmet a kártevőirtó-vizsgálattal szemben a virtuális gépen, hogy elkerüljék az észlelést, miközben tetszőleges kódot futtatnak, vagy kártevőkkel fertőzik meg a gépet.

MITRE taktika: -

Súlyosság: Magas

(VM_AmMalwareCampaignRelatedExclusion)

Leírás: A rendszer kizárási szabályt észlelt a virtuális gépen, amely megakadályozza, hogy a kártevőirtó bővítmény beolvasson bizonyos fájlokat, amelyek feltehetően egy kártevőkampányhoz kapcsolódnak. A szabályt az előfizetésben lévő Azure Resource Manager-műveletek elemzésével észlelte a rendszer. A támadók kizárhatják a fájlokat a kártevőirtó-vizsgálatokból, hogy megakadályozzák az észlelést tetszőleges kód futtatásakor, vagy kártevőkkel fertőzik meg a gépet.

MITRE-taktikák: Védelmi kijátszás

Súlyosság: Közepes

Kártevőirtó ideiglenesen le van tiltva a virtuális gépen

(VM_AmTemporarilyDisablement)

Leírás: A kártevőirtó ideiglenesen le van tiltva a virtuális gépen. Ezt az azure Resource Manager-műveletek az előfizetésben való elemzésével észlelte. A támadók letilthatják a kártevőirtót a virtuális gépen az észlelés megakadályozása érdekében.

MITRE taktika: -

Súlyosság: Közepes

Kártevőirtó – szokatlan fájlkizárás a virtuális gépen

(VM_UnusualAmFileExclusion)

Leírás: A rendszer szokatlan fájlkivételt észlelt a kártevőirtó-bővítményből a virtuális gépen az Előfizetés Azure Resource Manager-műveleteinek elemzésével. A támadók kizárhatják a fájlokat a kártevőirtó-vizsgálatból a virtuális gépen, hogy megakadályozzák az észlelést, miközben tetszőleges kódot futtatnak, vagy kártevőkkel fertőzik meg a gépet.

MITRE-taktikák: Védelmi kijátszás

Súlyosság: Közepes

A észlelt ransomware-hez hasonló viselkedés [többször is látható]

Leírás: A(z) %{Feltört gazdagép} gazdagép adatainak elemzése olyan fájlok végrehajtását észlelte, amelyek hasonlóak az ismert zsarolóprogramokhoz, amelyek megakadályozhatják, hogy a felhasználók hozzáférjenek a rendszerükhöz vagy személyes fájljaikhoz, és váltságdíjfizetést követelnek a hozzáférés visszanyerése érdekében. Ez a viselkedés [x] időpontban jelenik meg a következő gépeken: [Gépnevek]

MITRE taktika: -

Súlyosság: Magas

Kommunikáció a fenyegetésfelderítés által azonosított gyanús tartománnyal

(AzureDNS_ThreatIntelSuspectDomain)

Leírás: A gyanús tartományokkal folytatott kommunikációt az erőforrás DNS-tranzakcióinak elemzésével és a fenyegetésfelderítési hírcsatornák által azonosított ismert rosszindulatú tartományokkal való összehasonlítással észleltük. A rosszindulatú tartományok közötti kommunikációt gyakran hajtják végre a támadók, és ez azt jelentheti, hogy az erőforrás biztonsága sérül.

MITRE-taktikák: Kezdeti hozzáférés, adatmegőrzés, végrehajtás, irányítás és ellenőrzés, kizsákmányolás

Súlyosság: Közepes

Tároló bányász rendszerképpel

(VM_MinerInContainerImage)

Leírás: A gépi naplók egy Docker-tároló végrehajtását jelzik, amely digitális pénznembányászathoz társított rendszerképet futtat.

MITRE-taktikák: Végrehajtás

Súlyosság: Magas

Felső és kisbetűs karakterek rendellenes keveredése észlelhető a parancssorban

Leírás: A(z) %{Feltört gazdagép} gazdagép adatainak elemzése olyan parancssort észlelt, amely a kis- és nagybetűk rendellenes kombinációját tartalmazta. Ez a fajta minta, bár valószínűleg jóindulatú, jellemző arra is, hogy a támadók megpróbálnak elrejteni a kis- és nagybetűkre érzékeny vagy kivonatalapú szabályegyeztetés elől, amikor rendszergazdai feladatokat hajtanak végre egy sérült gazdagépen.

MITRE taktika: -

Súlyosság: Közepes

Ismert rosszindulatú forrásból származó fájlletöltés észlelhető

Leírás: A gazdagépadatok elemzése egy fájl letöltését észlelte egy ismert kártevőforrásról a(z) %{Feltört gazdagép} webhelyen.

MITRE taktika: -

Súlyosság: Közepes

Gyanús hálózati tevékenység észlelhető

Leírás: A(z) %{Feltört gazdagép} hálózati forgalmának elemzése gyanús hálózati tevékenységet észlelt. Az ilyen forgalmat, bár jóindulatú, általában a támadók arra használják, hogy rosszindulatú kiszolgálókkal kommunikáljanak az eszközök letöltéséhez, az adatok parancs- és vezérléséhez és kiszivárgásához. A támadók tipikus tevékenységei közé tartozik a távoli felügyeleti eszközök másolása egy sérült gazdagépre, és a felhasználói adatok kiszűrése belőle.

MITRE taktika: -

Súlyosság: Alacsony

Leírás: A(z) %{Feltört gazdagép} gazdagép adatainak elemzése észlelte a digitális pénznembányászathoz általában társított folyamat vagy parancs végrehajtását.

MITRE taktika: -

Súlyosság: Magas

Naplózott naplózás letiltása [többször is látható]

Leírás: A Linux-naplózási rendszer lehetővé teszi a rendszer biztonsági szempontból releváns információinak nyomon követését. A rendszer a lehető legtöbb információt rögzíti a rendszeren zajló eseményekről. Az auditált naplózás letiltása akadályozhatja a rendszeren használt biztonsági szabályzatok megsértésének felderítését. Ez a viselkedés [x] időpontban jelenik meg a következő gépeken: [Gépnevek]

MITRE taktika: -

Súlyosság: Alacsony

Xorg sebezhetőség kihasználása [többször is látható]

Leírás: A(z) %{Feltört gazdagép} gazdagép adatainak elemzése gyanús argumentumokkal észlelte az Xorg felhasználóját. A támadók ezt a technikát használhatják a jogosultság-eszkalációs kísérletekben. Ez a viselkedés [x] időpontban jelenik meg a következő gépeken: [Gépnevek]

MITRE taktika: -

Súlyosság: Közepes

Sikertelen SSH-találgatásos támadás

(VM_SshBruteForceFailed)

Leírás: Sikertelen találgatásos támadásokat észlelt a rendszer a következő támadóktól: %{Támadók}. A támadók a következő felhasználónevekkel próbálták elérni a gazdagépet: %{A sikertelen bejelentkezéskor használt fiókok a gazdakísérletekhez}.

MITRE-taktikák: Próba

Súlyosság: Közepes

Fájl nélküli támadási viselkedés észlelhető

(VM_FilelessAttackBehavior.Linux)

Leírás: Az alább megadott folyamat memóriája fájl nélküli támadások által gyakran használt viselkedéseket tartalmaz. A konkrét viselkedések a következők: {a megfigyelt viselkedések listája}

MITRE-taktikák: Végrehajtás

Súlyosság: Alacsony

Fájl nélküli támadási technika észlelhető

(VM_FilelessAttackTechnique.Linux)

Leírás: Az alább megadott folyamat memóriája fájl nélküli támadási technika bizonyítékát tartalmazza. A fájl nélküli támadásokat a támadók kód végrehajtására használják, miközben elkerülik a biztonsági szoftverek általi észlelést. A konkrét viselkedések a következők: {a megfigyelt viselkedések listája}

MITRE-taktikák: Végrehajtás

Súlyosság: Magas

Fájl nélküli támadási eszközkészlet észlelhető

(VM_FilelessAttackToolkit.Linux)

Leírás: Az alább megadott folyamat memóriája egy fájl nélküli támadási eszközkészletet tartalmaz: {ToolKitName}. A fájl nélküli támadási eszközkészletek általában nem rendelkeznek jelenléttel a fájlrendszeren, ami megnehezíti a hagyományos víruskereső szoftverek általi észlelést. A konkrét viselkedések a következők: {a megfigyelt viselkedések listája}

MITRE-taktikák: Védelmi kijátszás, végrehajtás

Súlyosság: Magas

Rejtett fájlvégrehajtás észlelhető

Leírás: A gazdagépadatok elemzése azt jelzi, hogy egy rejtett fájlt %{felhasználónév} hajtott végre. Ez a tevékenység lehet jogszerű tevékenység, vagy egy sérült gazdagép jelzése.

MITRE taktika: -

Súlyosság: Tájékoztató

Új SSH-kulcs hozzáadva [többször is látható]

(VM_SshKeyAddition)

Leírás: Új SSH-kulcs lett hozzáadva az engedélyezett kulcsfájlhoz. Ez a viselkedés [x] időpontban jelenik meg a következő gépeken: [Gépnevek]

MITRE-taktikák: Állandóság

Súlyosság: Alacsony

Új SSH-kulcs hozzáadva

Leírás: Új SSH-kulcs lett hozzáadva az engedélyezett kulcsfájlhoz.

MITRE taktika: -

Súlyosság: Alacsony

Lehetséges backdoor észlelt [többször is látható]

Leírás: A gazdagépadatok elemzése azt észlelte, hogy a rendszer gyanús fájlt tölt le, majd futtatja a(z) %{Compromised Host} fájlt az előfizetésében. Ezt a tevékenységet korábban egy háttérrendszer telepítésével társították. Ez a viselkedés [x] időpontban jelenik meg a következő gépeken: [Gépnevek]

MITRE taktika: -

Súlyosság: Közepes

Az észlelt mailserver lehetséges kihasználtsága

(VM_MailserverExploitation )

Leírás: A(z) %{Feltört gazdagép} gazdagépadatainak elemzése szokatlan végrehajtást észlelt a levelezési kiszolgáló fiókja alatt

MITRE-taktikák: Hasznosítás

Súlyosság: Közepes

Lehetséges rosszindulatú webes rendszerhéj észlelhető

Leírás: A(z) %{Feltört gazdagép} gazdagép adatainak elemzése egy lehetséges webes rendszerhéjat észlelt. A támadók gyakran feltöltenek egy webes rendszerhéjat egy olyan gépre, amely biztonságba került, és így megőrizhetik vagy tovább használhatják őket.

MITRE taktika: -

Súlyosság: Közepes

Lehetséges jelszómódosítás az észlelt titkosítási módszerrel [többször is látható]

Leírás: A(z) %{Feltört gazdagép} gazdagép adatainak elemzése titkosítási módszerrel észlelt jelszómódosítást. A támadók ezt a módosítást elvégezhetik a hozzáférés folytatásához és a biztonság megőrzéséhez a kompromisszum után. Ez a viselkedés [x] időpontban jelenik meg a következő gépeken: [Gépnevek]

MITRE taktika: -

Súlyosság: Közepes

A digitális pénznembányászattal társított folyamat észlelhető [többször is látható]

Leírás: A(z) %{Feltört gazdagép} gazdagép adatainak elemzése észlelte a digitális pénznembányászathoz általában kapcsolódó folyamat végrehajtását. Ez a viselkedés ma több mint 100 alkalommal volt látható a következő gépeken: [Gép neve]

MITRE taktika: -

Súlyosság: Közepes

A digitális pénznembányászattal társított folyamat észlelhető

Leírás: A gazdagépadatok elemzése olyan folyamat végrehajtását észlelte, amely általában a digitális pénznembányászathoz van társítva.

MITRE-taktikák: Kizsákmányolás, végrehajtás

Súlyosság: Közepes

Python kódolt letöltő észlelhető [többször is látható]

Leírás: A(z) %{Feltört gazdagép} gazdagép adatainak elemzése észlelte a kódolt Python végrehajtását, amely kódot tölt le és futtat távoli helyről. Ez rosszindulatú tevékenységre utalhat. Ez a viselkedés [x] időpontban jelenik meg a következő gépeken: [Gépnevek]

MITRE taktika: -

Súlyosság: Alacsony

Képernyőkép a gazdagépről [többször is látható]

Leírás: A(z) %{Feltört gazdagép} gazdagép adatainak elemzése egy képernyőfelvételi eszköz felhasználóját észlelte. A támadók ezeket az eszközöket használhatják a személyes adatok eléréséhez. Ez a viselkedés [x] időpontban jelenik meg a következő gépeken: [Gépnevek]

MITRE taktika: -

Súlyosság: Alacsony

A rendszerhéjkód észlelhető [többször is látható]

Leírás: A(z) %{Feltört gazdagép} gazdagépadatainak elemzése azt észlelte, hogy a parancssorból generált rendszerhéjkód. Ez a folyamat lehet jogszerű tevékenység, vagy azt jelzi, hogy az egyik gépe sérült. Ez a viselkedés [x] időpontban jelenik meg a következő gépeken: [Gépnevek]

MITRE taktika: -

Súlyosság: Közepes

Sikeres SSH találgatásos támadás

(VM_SshBruteForceSuccess)

Leírás: A gazdagépadatok elemzése sikeres találgatásos támadást észlelt. A(z) %{Támadó forrás IP} IP-címe több bejelentkezési kísérletet is tett. Az IP-címről a következő felhasználó(k) segítségével sikerült bejelentkezni: %{A gazdagépre való sikeres bejelentkezéshez használt fiókok}. Ez azt jelenti, hogy a gazdagépet egy rosszindulatú szereplő veszélyeztetheti és szabályozhatja.

MITRE-taktikák: Hasznosítás

Súlyosság: Magas

Gyanús fióklétrehozás észlelhető

Leírás: A(z) %{Feltört gazdagép} gazdagép adatainak elemzése azt észlelte, hogy a(z) %{Gyanús fiók neve} helyi fiók létrehozása vagy használata történt: ez a fióknév nagyon hasonlít egy szabványos Windows-fiókra vagy csoportnévre (%{Hasonló a fióknévhez}). Ez potenciálisan egy támadó által létrehozott rosszindulatú fiók, amelyet azért neveznek el, hogy elkerülje, hogy egy emberi rendszergazda észrevehesse.

MITRE taktika: -

Súlyosság: Közepes

Gyanús kernelmodul észlelhető [többször is látható]

Leírás: A(z) %{Feltört gazdagép} gazdagépadatainak elemzése azt észlelte, hogy a rendszer kernelmodulként betöltött egy megosztott objektumfájlt. Ez lehet jogszerű tevékenység, vagy azt jelzi, hogy az egyik gépe sérült. Ez a viselkedés [x] időpontban jelenik meg a következő gépeken: [Gépnevek]

MITRE taktika: -

Súlyosság: Közepes

Gyanús jelszóhozzáférés [többször is látható]

Leírás: A gazdagépadatok elemzése gyanús hozzáférést észlelt a titkosított felhasználói jelszavakhoz a következőn: %{Feltört gazdagép}. Ez a viselkedés [x] időpontban jelenik meg a következő gépeken: [Gépnevek]

MITRE taktika: -

Súlyosság: Tájékoztató

Gyanús jelszóhozzáférés

Leírás: A gazdagépadatok elemzése gyanús hozzáférést észlelt a titkosított felhasználói jelszavakhoz a következőn: %{Feltört gazdagép}.

MITRE taktika: -

Súlyosság: Tájékoztató

Gyanús kérés a Kubernetes-irányítópultra

(VM_KubernetesDashboard)

Leírás: A gépnaplók azt jelzik, hogy gyanús kérés érkezett a Kubernetes-irányítópultra. A kérés egy Kubernetes-csomópontról lett elküldve, valószínűleg a csomóponton futó egyik tárolóból. Bár ez a viselkedés szándékos lehet, azt jelezheti, hogy a csomópont feltört tárolót futtat.

MITRE-taktikák: LateralMovement

Súlyosság: Közepes

Szokatlan konfiguráció alaphelyzetbe állítása a virtuális gépen

(VM_VMAccessUnusualConfigReset)

Leírás: A rendszer szokatlan konfiguráció-visszaállítást észlelt a virtuális gépen az előfizetés Azure Resource Manager-műveleteinek elemzésével. Bár ez a művelet jogos lehet, a támadók megpróbálhatják a virtuális gép hozzáférési bővítményét használni a virtuális gép konfigurációjának alaphelyzetbe állításához és a biztonsági rések elhárításához.

MITRE-taktikák: Hitelesítő adatok elérése

Súlyosság: Közepes

Szokatlan felhasználói jelszó-visszaállítás a virtuális gépen

(VM_VMAccessUnusualPasswordReset)

Leírás: A rendszer szokatlan felhasználói jelszó-visszaállítást észlelt a virtuális gépen az Előfizetés Azure Resource Manager-műveleteinek elemzésével. Bár ez a művelet jogos lehet, a támadók megpróbálhatják használni a virtuálisgép-hozzáférési bővítményt, hogy visszaállítsa egy helyi felhasználó hitelesítő adatait a virtuális gépen, és feltörje azt.

MITRE-taktikák: Hitelesítő adatok elérése

Súlyosság: Közepes

Szokatlan felhasználói SSH-kulcs alaphelyzetbe állítása a virtuális gépen

(VM_VMAccessUnusualSSHReset)

Leírás: A rendszer szokatlan felhasználói SSH-kulcs-visszaállítást észlelt a virtuális gépen az Előfizetés Azure Resource Manager-műveleteinek elemzésével. Bár ez a művelet jogos lehet, a támadók megpróbálhatják a virtuálisgép-hozzáférési bővítményt használni egy felhasználói fiók SSH-kulcsának alaphelyzetbe állításához a virtuális gépen, és veszélyeztethetik azt.

MITRE-taktikák: Hitelesítő adatok elérése

Súlyosság: Közepes

GPU-bővítmény gyanús telepítése a virtuális gépen (előzetes verzió)

(VM_GPUDriverExtensionUnusualExecution)

Leírás: A rendszer gyanús GPU-bővítmény telepítését észlelte a virtuális gépén az Azure Resource Manager-műveletek elemzésével az előfizetésében. A támadók a GPU-illesztőbővítménnyel telepíthetnek GPU-illesztőprogramokat a virtuális gépre az Azure Resource Manageren keresztül a titkosítás végrehajtásához.

MITRE-taktikák: Hatás

Súlyosság: Alacsony

DNS-riasztások

Fontos

Augusztus 1-jével a defender for DNS-előfizetéssel rendelkező ügyfelek továbbra is használhatják a szolgáltatást, de az új előfizetők a Defender for Server P2 részeként kapnak riasztásokat a gyanús DNS-tevékenységről.

További részletek és megjegyzések

Rendellenes hálózati protokollhasználat

(AzureDNS_ProtocolAnomaly)

Leírás: A(z) %{CompromisedEntity} DNS-tranzakcióinak elemzése rendellenes protokollhasználatot észlelt. Az ilyen forgalom, bár jóindulatú, utalhat arra, hogy a hálózati forgalom szűrését megkerülő gyakori protokoll visszaélést jelent. A támadók tipikus tevékenységei közé tartozik a távoli felügyeleti eszközök másolása egy sérült gazdagépre, és a felhasználói adatok kiszűrése belőle.

MITRE-taktikák: Exfiltration

Súlyosság: -

Anonimitási hálózati tevékenység

(AzureDNS_DarkWeb)

Leírás: A(z) %{CompromisedEntity} dns-tranzakcióinak elemzése anonimitási hálózati tevékenységet észlelt. A támadók gyakran használják az ilyen tevékenységeket, bár valószínűleg jogos felhasználói viselkedést, hogy elkerülik a hálózati kommunikáció nyomon követését és ujjlenyomatát. A támadók tipikus tevékenységei valószínűleg rosszindulatú szoftverek vagy távoli felügyeleti eszközök letöltését és végrehajtását is magukban foglalják.

MITRE-taktikák: Exfiltration

Súlyosság: Alacsony

Anonimitás hálózati tevékenység webes proxy használatával

(AzureDNS_DarkWebProxy)

Leírás: A(z) %{CompromisedEntity} dns-tranzakcióinak elemzése anonimitási hálózati tevékenységet észlelt. A támadók gyakran használják az ilyen tevékenységeket, bár valószínűleg jogos felhasználói viselkedést, hogy elkerülik a hálózati kommunikáció nyomon követését és ujjlenyomatát. A támadók tipikus tevékenységei valószínűleg rosszindulatú szoftverek vagy távoli felügyeleti eszközök letöltését és végrehajtását is magukban foglalják.

MITRE-taktikák: Exfiltration

Súlyosság: Alacsony

Gyanús elsüllyedt tartománnyal való kommunikációra tett kísérlet

(AzureDNS_SinkholedDomain)

Leírás: A(z) %{CompromisedEntity} dns-tranzakcióinak elemzése elsüllyedt tartományra vonatkozó kérést észlelt. Az ilyen tevékenység, bár valószínűleg jogos felhasználói viselkedés, gyakran jelzi a rosszindulatú szoftverek letöltését vagy végrehajtását. A támadók tipikus tevékenységei valószínűleg további rosszindulatú szoftverek vagy távoli felügyeleti eszközök letöltését és végrehajtását is magukban foglalják.

MITRE-taktikák: Exfiltration

Súlyosság: Közepes

Kommunikáció lehetséges adathalászati tartománnyal

(AzureDNS_PhishingDomain)

Leírás: A(z) %{CompromisedEntity} DNS-tranzakcióinak elemzése egy lehetséges adathalász tartományra vonatkozó kérést észlelt. A támadók gyakran végeznek ilyen tevékenységet, bár jóindulatúak, hogy hitelesítő adatokat gyűjtenek a távoli szolgáltatásokba. A tipikusan kapcsolódó támadói tevékenység valószínűleg magában foglalja a hitelesítő adatok hasznosítását a jogos szolgáltatásban.

MITRE-taktikák: Exfiltration

Súlyosság: Tájékoztató

Kommunikáció gyanús, algoritmussal generált tartománnyal

(AzureDNS_DomainGenerationAlgorithm)

Leírás: A(z) %{CompromisedEntity} DNS-tranzakcióinak elemzése észlelte a tartománygenerálási algoritmus lehetséges használatát. A támadók gyakran végeznek ilyen tevékenységet, bár jóindulatúak is, hogy elkerülik a hálózatfigyelést és -szűrést. A támadók tipikus tevékenységei valószínűleg rosszindulatú szoftverek vagy távoli felügyeleti eszközök letöltését és végrehajtását is magukban foglalják.

MITRE-taktikák: Exfiltration

Súlyosság: Tájékoztató

Kommunikáció a fenyegetésfelderítés által azonosított gyanús tartománnyal

(AzureDNS_ThreatIntelSuspectDomain)

Leírás: A gyanús tartományokkal folytatott kommunikációt az erőforrás DNS-tranzakcióinak elemzésével és a fenyegetésfelderítési hírcsatornák által azonosított ismert rosszindulatú tartományokkal való összehasonlítással észleltük. A rosszindulatú tartományok közötti kommunikációt gyakran hajtják végre a támadók, és ez azt jelentheti, hogy az erőforrás biztonsága sérül.

MITRE-taktikák: Kezdeti hozzáférés

Súlyosság: Közepes

Gyanús véletlenszerű tartománynévvel folytatott kommunikáció

(AzureDNS_RandomizedDomain)

Leírás: A(z) %{CompromisedEntity} DNS-tranzakcióinak elemzése egy gyanús, véletlenszerűen létrehozott tartománynév használatát észlelte. A támadók gyakran végeznek ilyen tevékenységet, bár jóindulatúak is, hogy elkerülik a hálózatfigyelést és -szűrést. A támadók tipikus tevékenységei valószínűleg rosszindulatú szoftverek vagy távoli felügyeleti eszközök letöltését és végrehajtását is magukban foglalják.

MITRE-taktikák: Exfiltration

Súlyosság: Tájékoztató

Digitális pénznembányászati tevékenység

(AzureDNS_CurrencyMining)

Leírás: A(z) %{CompromisedEntity} dns-tranzakcióinak elemzése digitális pénznembányászati tevékenységet észlelt. Az ilyen tevékenységet, bár lehetséges, hogy a felhasználók viselkedése jogszerű, gyakran hajtják végre a támadók az erőforrások feltörése után. A tipikus támadói tevékenység valószínűleg magában foglalja a gyakori bányászati eszközök letöltését és végrehajtását.

MITRE-taktikák: Exfiltration

Súlyosság: Alacsony

Hálózati behatolásészlelési aláírás aktiválása

(AzureDNS_SuspiciousDomain)

Leírás: A(z) %{CompromisedEntity} DNS-tranzakcióinak elemzése ismert rosszindulatú hálózati aláírást észlelt. Az ilyen tevékenység, bár valószínűleg jogos felhasználói viselkedés, gyakran jelzi a rosszindulatú szoftverek letöltését vagy végrehajtását. A támadók tipikus tevékenységei valószínűleg további rosszindulatú szoftverek vagy távoli felügyeleti eszközök letöltését és végrehajtását is magukban foglalják.

MITRE-taktikák: Exfiltration

Súlyosság: Közepes

Lehetséges adatletöltés DNS-alagúton keresztül

(AzureDNS_DataInfiltration)

Leírás: A(z) %{CompromisedEntity} DNS-tranzakcióinak elemzése egy lehetséges DNS-alagutat észlelt. A támadók gyakran végzik el az ilyen tevékenységeket, bár valószínűleg jogos felhasználói viselkedést, hogy elkerülik a hálózatfigyelést és -szűrést. A támadók tipikus tevékenységei valószínűleg rosszindulatú szoftverek vagy távoli felügyeleti eszközök letöltését és végrehajtását is magukban foglalják.

MITRE-taktikák: Exfiltration

Súlyosság: Alacsony

Lehetséges adatszűrés DNS-alagúton keresztül

(AzureDNS_DataExfiltration)

Leírás: A(z) %{CompromisedEntity} DNS-tranzakcióinak elemzése egy lehetséges DNS-alagutat észlelt. A támadók gyakran végzik el az ilyen tevékenységeket, bár valószínűleg jogos felhasználói viselkedést, hogy elkerülik a hálózatfigyelést és -szűrést. A támadók tipikus tevékenységei valószínűleg rosszindulatú szoftverek vagy távoli felügyeleti eszközök letöltését és végrehajtását is magukban foglalják.

MITRE-taktikák: Exfiltration

Súlyosság: Alacsony

Lehetséges adatátvitel DNS-alagúton keresztül

(AzureDNS_DataObfuscation)

Leírás: A(z) %{CompromisedEntity} DNS-tranzakcióinak elemzése egy lehetséges DNS-alagutat észlelt. A támadók gyakran végzik el az ilyen tevékenységeket, bár valószínűleg jogos felhasználói viselkedést, hogy elkerülik a hálózatfigyelést és -szűrést. A támadók tipikus tevékenységei valószínűleg rosszindulatú szoftverek vagy távoli felügyeleti eszközök letöltését és végrehajtását is magukban foglalják.

MITRE-taktikák: Exfiltration

Súlyosság: Alacsony

Riasztások Azure-beli virtuálisgép-bővítményekhez

Ezek a riasztások az Azure-beli virtuálisgép-bővítmények gyanús tevékenységeinek észlelésére összpontosítanak, és betekintést nyújtanak a támadók azon kísérleteibe, amelyek kártékony tevékenységeket próbálnak végrehajtani a virtuális gépeken.

Az Azure-beli virtuálisgép-bővítmények olyan kis alkalmazások, amelyek üzembe helyezés után futnak a virtuális gépeken, és olyan képességeket biztosítanak, mint a konfiguráció, az automatizálás, a monitorozás, a biztonság stb. Bár a bővítmények hatékony eszközök, a fenyegetést javító szereplők különböző rosszindulatú szándékokhoz használhatják őket, például:

  • Adatgyűjtés és monitorozás

  • Kódvégrehajtás és konfiguráció üzembe helyezése magas jogosultságokkal

  • Hitelesítő adatok visszaállítása és rendszergazdai felhasználók létrehozása

  • Lemezek titkosítása

További információ az Azure-beli virtuálisgép-bővítmények visszaélései elleni legújabb védelemről Felhőhöz készült Defender.

Gyanús hiba a GPU-bővítmény előfizetésben való telepítésekor (előzetes verzió)

(VM_GPUExtensionSuspiciousFailure)

Leírás: A GPU-bővítmény nem támogatott virtuális gépekre való telepítésének gyanús szándéka. Ezt a bővítményt grafikus processzorral felszerelt virtuális gépekre kell telepíteni, és ebben az esetben a virtuális gépek nincsenek ilyennel felszerelve. Ezek a hibák akkor láthatók, ha rosszindulatú támadók több ilyen kiterjesztésű telepítést hajtanak végre titkosítási bányászat céljából.

MITRE-taktikák: Hatás

Súlyosság: Közepes

A rendszer gyanús GPU-bővítmény telepítését észlelte a virtuális gépen (előzetes verzió)

(VM_GPUDriverExtensionUnusualExecution)

Leírás: A rendszer gyanús GPU-bővítmény telepítését észlelte a virtuális gépen az Azure Resource Manager-műveletek elemzésével az előfizetésében. A támadók a GPU-illesztőbővítménnyel telepíthetnek GPU-illesztőprogramokat a virtuális gépre az Azure Resource Manageren keresztül a titkosítás végrehajtásához. Ez a tevékenység gyanúsnak minősül, mivel az ügyfél viselkedése eltér a szokásos mintáktól.

MITRE-taktikák: Hatás

Súlyosság: Alacsony

A rendszer gyanús szkripttel futtatott parancsot észlelt a virtuális gépen (előzetes verzió)

(VM_RunCommandSuspiciousScript)

Leírás: A rendszer gyanús szkripttel rendelkező futtatási parancsot észlelt a virtuális gépen az Előfizetés Azure Resource Manager-műveleteinek elemzésével. A támadók a Futtatás parancs használatával futtathatnak rosszindulatú kódot magas jogosultságokkal a virtuális gépen az Azure Resource Manageren keresztül. A szkript gyanúsnak minősül, mivel egyes részek potenciálisan rosszindulatúnak minősülnek.

MITRE-taktikák: Végrehajtás

Súlyosság: Magas

Gyanús, jogosulatlan futtatási parancshasználatot észlelt a rendszer a virtuális gépen (előzetes verzió)

(VM_RunCommandSuspiciousFailure)

Leírás: A futtatási parancs gyanús jogosulatlan használata sikertelen volt, és a rendszer az előfizetés Azure Resource Manager-műveleteinek elemzésével észlelte a virtuális gépen. Előfordulhat, hogy a támadók a Futtatás parancs használatával próbálnak rosszindulatú kódot végrehajtani magas jogosultságokkal a virtuális gépeken az Azure Resource Manageren keresztül. Ezt a tevékenységet gyanúsnak tekintik, mivel korábban még nem tapasztalták.

MITRE-taktikák: Végrehajtás

Súlyosság: Közepes

Gyanús futtatási parancs használatát észlelte a rendszer a virtuális gépen (előzetes verzió)

(VM_RunCommandSuspiciousUsage)

Leírás: A rendszer gyanúsan használja a futtatási parancsot a virtuális gépen az előfizetés azure Resource Manager-műveleteinek elemzésével. A támadók a Futtatás parancsot használhatják a magas jogosultságokkal rendelkező rosszindulatú kódok végrehajtására a virtuális gépeken az Azure Resource Manageren keresztül. Ezt a tevékenységet gyanúsnak tekintik, mivel korábban még nem tapasztalták.

MITRE-taktikák: Végrehajtás

Súlyosság: Alacsony

Több monitorozási vagy adatgyűjtési bővítmény gyanús használatát észlelte a virtuális gépeken (előzetes verzió)

(VM_SuspiciousMultiExtensionUsage)

Leírás: A rendszer több monitorozási vagy adatgyűjtési bővítmény gyanús használatát észlelte a virtuális gépeken az Előfizetés Azure Resource Manager-műveleteinek elemzésével. Előfordulhat, hogy a támadók visszaélnek az ilyen bővítményekkel az adatgyűjtéshez, a hálózati forgalom monitorozásához és egyebekhez az előfizetésben. Ezt a használatot gyanúsnak tekintik, mivel korábban még nem tapasztalták.

MITRE-taktikák: Felderítés

Súlyosság: Közepes

A rendszer gyanús lemeztitkosítási bővítményeket észlelt a virtuális gépeken (előzetes verzió)

(VM_DiskEncryptionSuspiciousUsage)

Leírás: A rendszer gyanús lemeztitkosítási bővítmények telepítését észlelte a virtuális gépeken az Előfizetés Azure Resource Manager-műveleteinek elemzésével. Előfordulhat, hogy a támadók visszaélnek a lemeztitkosítási bővítménysel, hogy teljes lemeztitkosításokat helyezzenek üzembe a virtuális gépeken az Azure Resource Manageren keresztül, hogy zsarolóprogram-tevékenységet hajtsanak végre. Ez a tevékenység gyanúsnak minősül, mivel korábban és a bővítménytelepítések nagy száma miatt nem volt gyakran látható.

MITRE-taktikák: Hatás

Súlyosság: Közepes

A VMAccess bővítmény gyanús használatát észlelte a virtuális gépeken (előzetes verzió)

(VM_VMAccessSuspiciousUsage)

Leírás: A VMAccess bővítmény gyanús használatát észlelte a virtuális gépeken. Előfordulhat, hogy a támadók visszaélnek a VMAccess bővítménysel, hogy hozzáférést szerezzenek, és magas jogosultságokkal veszélyeztessék a virtuális gépeket a hozzáférés alaphelyzetbe állításával vagy a rendszergazda felhasználók kezelésével. Ez a tevékenység gyanúsnak minősül, mivel az ügyfél viselkedése eltér a szokásos mintáktól, és a bővítménytelepítések nagy száma miatt.

MITRE-taktikák: Állandóság

Súlyosság: Közepes

A rendszer gyanús szkripttel rendelkező kívánt állapotkonfigurációs (DSC) bővítményt észlelt a virtuális gépen (előzetes verzió)

(VM_DSCExtensionSuspiciousScript)

Leírás: A rendszer gyanús szkripttel rendelkező kívánt állapotkonfigurációs (DSC) bővítményt észlelt a virtuális gépen az előfizetés Azure Resource Manager-műveleteinek elemzésével. A támadók a Desired State Configuration (DSC) bővítményt használhatják rosszindulatú konfigurációk, például adatmegőrzési mechanizmusok, rosszindulatú szkriptek és sok más, magas jogosultságokkal rendelkező virtuális gépeken való üzembe helyezéséhez. A szkript gyanúsnak minősül, mivel egyes részek potenciálisan rosszindulatúnak minősülnek.

MITRE-taktikák: Végrehajtás

Súlyosság: Magas

A rendszer gyanúsan használja a kívánt állapotkonfigurációs (DSC) bővítményt a virtuális gépeken (előzetes verzió)

(VM_DSCExtensionSuspiciousUsage)

Leírás: A rendszer a kívánt állapotkonfigurációs (DSC) bővítmény gyanús használatát észlelte a virtuális gépeken az előfizetés Azure Resource Manager-műveleteinek elemzésével. A támadók a Desired State Configuration (DSC) bővítményt használhatják rosszindulatú konfigurációk, például adatmegőrzési mechanizmusok, rosszindulatú szkriptek és sok más, magas jogosultságokkal rendelkező virtuális gépeken való üzembe helyezéséhez. Ez a tevékenység gyanúsnak minősül, mivel az ügyfél viselkedése eltér a szokásos mintáktól, és a bővítménytelepítések nagy száma miatt.

MITRE-taktikák: Végrehajtás

Súlyosság: Alacsony

A rendszer gyanús szkripttel rendelkező egyéni szkriptbővítményt észlelt a virtuális gépen (előzetes verzió)

(VM_CustomScriptExtensionSuspiciousCmd)

Leírás: A rendszer gyanús szkripttel rendelkező egyéni szkriptbővítményt észlelt a virtuális gépen az Előfizetés Azure Resource Manager-műveleteinek elemzésével. A támadók egyéni szkriptbővítményt használhatnak a virtuális gépen magas jogosultságokkal rendelkező rosszindulatú kódok végrehajtására az Azure Resource Manageren keresztül. A szkript gyanúsnak minősül, mivel egyes részek potenciálisan rosszindulatúnak minősülnek.

MITRE-taktikák: Végrehajtás

Súlyosság: Magas

Az egyéni szkriptbővítmény gyanús sikertelen végrehajtása a virtuális gépen

(VM_CustomScriptExtensionSuspiciousFailure)

Leírás: A rendszer gyanús hibát észlelt egy egyéni szkriptbővítményen a virtuális gépen az Előfizetés Azure Resource Manager-műveleteinek elemzésével. Ezek a hibák a bővítmény által futtatott rosszindulatú szkriptekhez lehetnek társítva.

MITRE-taktikák: Végrehajtás

Súlyosság: Közepes

Az egyéni szkriptbővítmény szokatlan törlése a virtuális gépen

(VM_CustomScriptExtensionUnusualDeletion)

Leírás: A rendszer szokatlan módon törölte az egyéni szkriptbővítményt a virtuális gépen az Előfizetés Azure Resource Manager-műveleteinek elemzésével. A támadók egyéni szkriptbővítményekkel végezhetnek rosszindulatú kódot a virtuális gépeken az Azure Resource Manageren keresztül.

MITRE-taktikák: Végrehajtás

Súlyosság: Közepes

Az egyéni szkriptbővítmény szokatlan végrehajtása a virtuális gépen

(VM_CustomScriptExtensionUnusualExecution)

Leírás: Egy egyéni szkriptbővítmény szokatlan végrehajtását észlelte a virtuális gépen az előfizetés Azure Resource Manager-műveleteinek elemzésével. A támadók egyéni szkriptbővítményekkel végezhetnek rosszindulatú kódot a virtuális gépeken az Azure Resource Manageren keresztül.

MITRE-taktikák: Végrehajtás

Súlyosság: Közepes

Egyéni szkriptbővítmény gyanús belépési ponttal a virtuális gépen

(VM_CustomScriptExtensionSuspiciousEntryPoint)

Leírás: A rendszer gyanús belépési ponttal rendelkező egyéni szkriptbővítményt észlelt a virtuális gépen az előfizetés Azure Resource Manager-műveleteinek elemzésével. A belépési pont egy gyanús GitHub-adattárra hivatkozik. A támadók egyéni szkriptbővítményekkel végezhetnek rosszindulatú kódot a virtuális gépeken az Azure Resource Manageren keresztül.

MITRE-taktikák: Végrehajtás

Súlyosság: Közepes

Egyéni szkriptbővítmény gyanús hasznos adatokkal a virtuális gépen

(VM_CustomScriptExtensionSuspiciousPayload)

Leírás: A rendszer egy gyanús GitHub-adattárból származó hasznos adattal rendelkező egyéni szkriptbővítményt észlelt a virtuális gépen az előfizetés Azure Resource Manager-műveleteinek elemzésével. A támadók egyéni szkriptbővítményekkel végezhetnek rosszindulatú kódot a virtuális gépeken az Azure Resource Manageren keresztül.

MITRE-taktikák: Végrehajtás

Súlyosság: Közepes

Riasztások Azure-alkalmazás szolgáltatáshoz

További részletek és megjegyzések

Linux-parancsok futtatása Windows App Service-en

(AppServices_LinuxCommandOnWindows)

Leírás: Az App Service-folyamatok elemzése egy Linux-parancs Windows App Service-en való futtatására tett kísérletet észlelt. Ezt a műveletet a webalkalmazás futtatta. Ez a viselkedés gyakran előfordul olyan kampányok során, amelyek kihasználják a gyakori webalkalmazások biztonsági réseit. (A következőkre vonatkozik: App Service Windows rendszeren)

MITRE taktika: -

Súlyosság: Közepes

A Azure-alkalmazás szolgáltatás FTP-adapteréhez csatlakoztatott IP-cím megtalálható a fenyegetésfelderítésben

(AppServices_IncomingTiClientIpFtp)

Leírás: Azure-alkalmazás szolgáltatás FTP-naplója egy, a fenyegetésfelderítési hírcsatornában található forráscímről származó kapcsolatot jelez. A kapcsolat során egy felhasználó hozzáfért a felsorolt lapokhoz. (A következőkre vonatkozik: App Service Windows rendszeren és App Service Linux rendszeren)

MITRE-taktikák: Kezdeti hozzáférés

Súlyosság: Közepes

Magas jogosultsági szintű parancs futtatásának kísérlete

(AppServices_HighPrivilegeCommand)

Leírás: Az App Service-folyamatok elemzése olyan parancs futtatására tett kísérletet észlelt, amely magas jogosultságokat igényel. A parancs a webalkalmazás környezetében futott. Bár ez a viselkedés jogos lehet, a webalkalmazásokban ez a viselkedés a rosszindulatú tevékenységekben is megfigyelhető. (A következőkre vonatkozik: App Service Windows rendszeren)

MITRE taktika: -

Súlyosság: Közepes

Kommunikáció a fenyegetésfelderítés által azonosított gyanús tartománnyal

(AzureDNS_ThreatIntelSuspectDomain)

Leírás: A gyanús tartományokkal folytatott kommunikációt az erőforrás DNS-tranzakcióinak elemzésével és a fenyegetésfelderítési hírcsatornák által azonosított ismert rosszindulatú tartományokkal való összehasonlítással észleltük. A rosszindulatú tartományok közötti kommunikációt gyakran hajtják végre a támadók, és ez azt jelentheti, hogy az erőforrás biztonsága sérül.

MITRE-taktikák: Kezdeti hozzáférés, adatmegőrzés, végrehajtás, irányítás és ellenőrzés, kizsákmányolás

Súlyosság: Közepes

Csatlakozás a rendellenes IP-címről a weblapra

(AppServices_AnomalousPageAccess)

Leírás: Azure-alkalmazás szolgáltatástevékenység-napló rendellenes kapcsolatot jelez egy bizalmas weblaphoz a felsorolt forrás IP-címről. Ez azt jelezheti, hogy valaki találgatásos támadást kísérel meg a webalkalmazás-felügyeleti lapokra. Ennek az is lehet az eredménye, hogy egy új IP-címet használ egy megbízható felhasználó. Ha a forrás IP-címe megbízható, nyugodtan letilthatja ezt a riasztást ehhez az erőforráshoz. A biztonsági riasztások letiltásáról további információt a Felhőhöz készült Microsoft Defender riasztások letiltása című témakörben talál. (A következőkre vonatkozik: App Service Windows rendszeren és App Service Linux rendszeren)

MITRE-taktikák: Kezdeti hozzáférés

Súlyosság: Alacsony

Egy App Service-erőforráshoz tartozó DNS-rekord csonkolása észlelhető

(AppServices_DanglingDomain)

Leírás: A rendszer egy nemrég törölt App Service-erőforrásra (más néven "dangling DNS" bejegyzésre) mutató DNS-rekordot észlelt. Ez lehetővé teszi az altartományok átvételét. Az altartomány-átvételek lehetővé teszik a rosszindulatú szereplők számára, hogy átirányítsák a szervezet tartományának szánt forgalmat egy rosszindulatú tevékenységet végző webhelyre. (A következőkre vonatkozik: App Service Windows rendszeren és App Service Linux rendszeren)

MITRE taktika: -

Súlyosság: Magas

A parancssori adatokban kódolt végrehajtható kóddal észlelt

(AppServices_Base64EncodedExecutableInCommandLineParams)

Leírás: A(z) {Feltört gazdagép} gazdagép adatainak elemzése egy base-64 kódolású végrehajtható fájlt észlelt. Ez korábban azzal volt társítva, hogy a támadók menet közben próbálnak végrehajtható elemeket létrehozni egy parancssorozaton keresztül, és megpróbálják elkerülni a behatolásészlelési rendszereket, biztosítva, hogy egyetlen parancs sem aktiváljon riasztást. Ez lehet jogszerű tevékenység, vagy egy sérült gazdagép jelzése. (A következőkre vonatkozik: App Service Windows rendszeren)

MITRE-taktikák: Védelmi kijátszás, végrehajtás

Súlyosság: Magas

Ismert rosszindulatú forrásból származó fájlletöltés észlelhető

(AppServices_SuspectDownload)

Leírás: A gazdagépadatok elemzése egy fájl letöltését észlelte egy ismert kártevőforrásról a gazdagépen. (A következőkre vonatkozik: App Service Linux rendszeren)

MITRE-taktikák: Privilege Escalation, Execution, Exfiltration, Command and Control

Súlyosság: Közepes

Gyanús fájlletöltés észlelhető

(AppServices_SuspectDownloadArtifacts)

Leírás: A gazdagépadatok elemzése a távoli fájl gyanús letöltését észlelte. (A következőkre vonatkozik: App Service Linux rendszeren)

MITRE-taktikák: Állandóság

Súlyosság: Közepes

(AppServices_DigitalCurrencyMining)

Leírás: Az Inn-Flow-WebJobs gazdaadatainak elemzése egy, a digitális pénznembányászathoz általában társított folyamat vagy parancs végrehajtását észlelte. (A következőkre vonatkozik: App Service Windows rendszeren és App Service Linux rendszeren)

MITRE-taktikák: Végrehajtás

Súlyosság: Magas

Végrehajtható dekódolás a certutil használatával

(AppServices_ExecutableDecodedUsingCertutil)

Leírás: A [Feltört entitás] gazdagépadatainak elemzése azt észlelte, hogy a certutil.exe, egy beépített rendszergazdai segédprogram, a tanúsítványok és a tanúsítványadatok manipulálásával kapcsolatos általános célú helyett egy végrehajtható kód dekódolására szolgál. A támadók gyakran használják különböző megbízható rendszergazdai eszközök funkcióit rosszindulatú műveletek elvégzésére. Például a certutil.exe vagy a hozzá hasonló eszközök rosszindulatú végrehajtható fájlok dekódolására használhatók, amelyeket aztán a rendszer végrehajt. (A következőkre vonatkozik: App Service Windows rendszeren)

MITRE-taktikák: Védelmi kijátszás, végrehajtás

Súlyosság: Magas

Fájl nélküli támadási viselkedés észlelhető

(AppServices_FilelessAttackBehaviorDetection)

Leírás: Az alább megadott folyamat memóriája fájl nélküli támadások által gyakran használt viselkedéseket tartalmaz. Bizonyos viselkedések a következők: {a megfigyelt viselkedések listája} (a következőkre vonatkozik: App Service Windows rendszeren és App Service Linux rendszeren)

MITRE-taktikák: Végrehajtás

Súlyosság: Közepes

Fájl nélküli támadási technika észlelhető

(AppServices_FilelessAttackTechniqueDetection)

Leírás: Az alább megadott folyamat memóriája fájl nélküli támadási technika bizonyítékát tartalmazza. A fájl nélküli támadásokat a támadók kód végrehajtására használják, miközben elkerülik a biztonsági szoftverek általi észlelést. Bizonyos viselkedések a következők: {a megfigyelt viselkedések listája} (a következőkre vonatkozik: App Service Windows rendszeren és App Service Linux rendszeren)

MITRE-taktikák: Végrehajtás

Súlyosság: Magas

Fájl nélküli támadási eszközkészlet észlelhető

(AppServices_FilelessAttackToolkitDetection)

Leírás: Az alább megadott folyamat memóriája egy fájl nélküli támadási eszközkészletet tartalmaz: {ToolKitName}. A fájl nélküli támadási eszközkészletek általában nem rendelkeznek jelenléttel a fájlrendszeren, ami megnehezíti a hagyományos víruskereső szoftverek általi észlelést. Bizonyos viselkedések a következők: {a megfigyelt viselkedések listája} (a következőkre vonatkozik: App Service Windows rendszeren és App Service Linux rendszeren)

MITRE-taktikák: Védelmi kijátszás, végrehajtás

Súlyosság: Magas

Felhőhöz készült Microsoft Defender App Service-tesztriasztás (nem fenyegetés)

(AppServices_EICAR)

Leírás: Ez a Felhőhöz készült Microsoft Defender által létrehozott tesztriasztás. Nincs szükség további beavatkozásra. (A következőkre vonatkozik: App Service Windows rendszeren és App Service Linux rendszeren)

MITRE taktika: -

Súlyosság: Magas

NMap-vizsgálat észlelhető

(AppServices_Nmap)

Leírás: Azure-alkalmazás szolgáltatástevékenység-napló egy lehetséges webes ujjlenyomat-készítési tevékenységet jelez az App Service-erőforráson. Az észlelt gyanús tevékenység az NMAP-hez van társítva. A támadók gyakran használják ezt az eszközt a webalkalmazás biztonsági réseinek felderítésére. (A következőkre vonatkozik: App Service Windows rendszeren és App Service Linux rendszeren)

MITRE-taktikák: PreAttack

Súlyosság: Tájékoztató

Adathalászati tartalom az Azure Webappsben

(AppServices_PhishingContent)

Leírás: A Azure-alkalmazás Services webhelyén található adathalász támadáshoz használt URL-cím. Ez az URL-cím része volt a Microsoft 365-ügyfeleknek küldött adathalász támadásnak. A tartalom általában arra csábítja a látogatókat, hogy a céges hitelesítő adataikat vagy pénzügyi adataikat egy megbízhatónak látszó webhelyre írhassák be. (A következőkre vonatkozik: App Service Windows rendszeren és App Service Linux rendszeren)

MITRE-taktikák: Gyűjtemény

Súlyosság: Magas

PHP-fájl a feltöltési mappában

(AppServices_PhpInUploadFolder)

Leírás: Azure-alkalmazás szolgáltatástevékenység-napló a feltöltési mappában található gyanús PHP-laphoz való hozzáférést jelzi. Ez a mappatípus általában nem tartalmaz PHP-fájlokat. Az ilyen típusú fájlok megléte azt jelezheti, hogy a kihasználtság kihasználja az tetszőleges fájlfeltöltési biztonsági réseket. (A következőkre vonatkozik: App Service Windows rendszeren és App Service Linux rendszeren)

MITRE-taktikák: Végrehajtás

Súlyosság: Közepes

Lehetséges Cryptocoinminer-letöltés észlelhető

(AppServices_CryptoCoinMinerDownload)

Leírás: A gazdagépadatok elemzése a digitális pénznembányászathoz általában társított fájl letöltését észlelte. (A következőkre vonatkozik: App Service Linux rendszeren)

MITRE-taktikák: Védelmi kijátszás, irányítás és ellenőrzés, kizsákmányolás

Súlyosság: Közepes

Lehetséges adatszűrés észlelhető

(AppServices_DataEgressArtifacts)

Leírás: A gazdagép/eszköz adatainak elemzése lehetséges adatforgalom-feltételt észlelt. A támadók gyakran kibocsátják az adatokat a feltört gépekről. (A következőkre vonatkozik: App Service Linux rendszeren)

MITRE-taktikák: Gyűjtemény, Kiszűrés

Súlyosság: Közepes

Egy App Service-erőforrás lehetséges dangling DNS-rekordja észlelhető

(AppServices_PotentialDanglingDomain)

Leírás: A rendszer egy nemrég törölt App Service-erőforrásra (más néven "dangling DNS" bejegyzésre) mutató DNS-rekordot észlelt. Ez érzékenyen befolyásolhatja az altartományok átvételét. Az altartomány-átvételek lehetővé teszik a rosszindulatú szereplők számára, hogy átirányítsák a szervezet tartományának szánt forgalmat egy rosszindulatú tevékenységet végző webhelyre. Ebben az esetben egy, a tartomány-ellenőrzési azonosítóval rendelkező szöveges rekord található. Az ilyen szöveges rekordok megakadályozzák az altartományok átvételét, de továbbra is javasoljuk a dangling tartomány eltávolítását. Ha a DNS-rekord az altartományra mutat, akkor veszélyben van, ha a szervezet bármely tagja a jövőben törli a TXT-fájlt vagy rekordot. (A következőkre vonatkozik: App Service Windows rendszeren és App Service Linux rendszeren)

MITRE taktika: -

Súlyosság: Alacsony

Lehetséges fordított rendszerhéj észlelhető

(AppServices_ReverseShell)

Leírás: A gazdagépadatok elemzése potenciális fordított rendszerhéjat észlelt. Ezek arra szolgálnak, hogy feltört gépet kérjenek vissza egy támadó tulajdonában lévő gépre. (A következőkre vonatkozik: App Service Linux rendszeren)

MITRE-taktikák: Exfiltration, Exploitation

Súlyosság: Közepes

Nyers adatletöltés észlelhető

(AppServices_DownloadCodeFromWebsite)

Leírás: Az App Service-folyamatok elemzése kódot próbált letölteni nyers adattal rendelkező webhelyekről, például a Pastebinből. Ezt a műveletet egy PHP-folyamat futtatta. Ez a viselkedés a webhéjak vagy más rosszindulatú összetevők App Service-be való letöltésére tett kísérletekhez van társítva. (A következőkre vonatkozik: App Service Windows rendszeren)

MITRE-taktikák: Végrehajtás

Súlyosság: Közepes

Curl-kimenet mentése lemezre észlelve

(AppServices_CurlToDisk)

Leírás: Az App Service-folyamatok elemzése egy curl-parancs futtatását észlelte, amelyben a kimenetet a lemezre mentette. Bár ez a viselkedés jogos lehet, a webalkalmazásokban ez a viselkedés rosszindulatú tevékenységekben is megfigyelhető, például a webhelyek webes felületekkel való megfertőzésére tett kísérletekben. (A következőkre vonatkozik: App Service Windows rendszeren)

MITRE taktika: -

Súlyosság: Alacsony

Levélszemétmappa-hivatkozó észlelve

(AppServices_SpamReferrer)

Leírás: Azure-alkalmazás szolgáltatástevékenység naplója olyan webes tevékenységet jelez, amelyet levélszemét-tevékenységgel társított webhelyről származóként azonosítottak. Ez akkor fordulhat elő, ha a webhelye sérült, és levélszemét-tevékenységhez használják. (A következőkre vonatkozik: App Service Windows rendszeren és App Service Linux rendszeren)

MITRE taktika: -

Súlyosság: Alacsony

Gyanús hozzáférés észlelhető a sebezhető weblaphoz

(AppServices_ScanSensitivePage)

Leírás: Azure-alkalmazás szolgáltatástevékenység-napló egy olyan weblapot jelez, amely úgy tűnik, hogy bizalmas. Ez a gyanús tevékenység egy olyan forrás IP-címről származik, amelynek hozzáférési mintája hasonlít egy webolvasóéra. Ezt a tevékenységet gyakran társítják a támadók a hálózat vizsgálatára tett kísérlettel, hogy megpróbálják elérni a bizalmas vagy sebezhető weblapokat. (A következőkre vonatkozik: App Service Windows rendszeren és App Service Linux rendszeren)

MITRE taktika: -

Súlyosság: Alacsony

Gyanús tartománynév-hivatkozás

(AppServices_CommandlineSuspectDomain)

Leírás: A gyanús tartománynévre mutató gazdaadatok elemzése. Az ilyen tevékenység, bár valószínűleg jogos felhasználói viselkedés, gyakran jelzi a rosszindulatú szoftverek letöltését vagy végrehajtását. A támadók tipikus tevékenységei valószínűleg további rosszindulatú szoftverek vagy távoli felügyeleti eszközök letöltését és végrehajtását is magukban foglalják. (A következőkre vonatkozik: App Service Linux rendszeren)

MITRE-taktikák: Exfiltration

Súlyosság: Alacsony

Gyanús letöltés a Certutil használatával

(AppServices_DownloadUsingCertutil)

Leírás: A(z) {NAME} gazdagépadatainak elemzése azt észlelte, hogy a tanúsítvány- és tanúsítványadatok manipulálásával kapcsolatos általános célú bináris fájl letöltése helyett a certutil.exe, amely egy beépített rendszergazdai segédprogram. A támadók ismertek a megbízható rendszergazdai eszközök funkcióival való visszaélésről a rosszindulatú műveletek végrehajtásához, például a certutil.exe használatával letölthetnek és dekódolhatnak egy rosszindulatú végrehajtható fájlt, amelyet később végrehajtanak. (A következőkre vonatkozik: App Service Windows rendszeren)

MITRE-taktikák: Végrehajtás

Súlyosság: Közepes

Gyanús PHP-végrehajtás észlelhető

(AppServices_SuspectPhp)

Leírás: A gépnaplók azt jelzik, hogy egy gyanús PHP-folyamat fut. A művelet tartalmazott egy operációsrendszer-parancsok vagy PHP-kód parancssorból történő futtatására tett kísérletet a PHP-folyamat használatával. Bár ez a viselkedés jogos lehet, a webalkalmazásokban ez a viselkedés rosszindulatú tevékenységeket jelezhet, például a webhelyek webes felülettel való megfertőzésére tett kísérleteket. (A következőkre vonatkozik: App Service Windows rendszeren és App Service Linux rendszeren)

MITRE-taktikák: Végrehajtás

Súlyosság: Közepes

Gyanús PowerShell-parancsmagok végrehajtása

(AppServices_PowerShellPowerSploitScriptExecution)

Leírás: A gazdagépadatok elemzése ismert rosszindulatú PowerShell PowerSploit-parancsmagok végrehajtását jelzi. (A következőkre vonatkozik: App Service Windows rendszeren)

MITRE-taktikák: Végrehajtás

Súlyosság: Közepes

Gyanús folyamat végrehajtása

(AppServices_KnownCredential AccessTools)

Leírás: A gépnaplók azt jelzik, hogy a(z) %{folyamat elérési útja} gyanús folyamat fut a gépen, amely gyakran a hitelesítő adatok elérésére tett támadói kísérletekkel van társítva. (A következőkre vonatkozik: App Service Windows rendszeren)

MITRE-taktikák: Hitelesítő adatok elérése

Súlyosság: Magas

Gyanús folyamatnév észlelhető

(AppServices_ProcessWithKnownSuspiciousExtension)

Leírás: A(z) {NAME} gazdaadatainak elemzése olyan folyamatot észlelt, amelynek a neve gyanús, például egy ismert támadóeszköznek felel meg, vagy olyan módon van elnevezve, amely olyan támadóeszközökre utal, amelyek egyszerű látásra próbálnak elrejtőzni. Ez a folyamat lehet jogszerű tevékenység, vagy azt jelzi, hogy az egyik gépe sérült. (A következőkre vonatkozik: App Service Windows rendszeren)

MITRE-taktikák: Perzisztencia, Védelmi kijátszás

Súlyosság: Közepes

Gyanús SVCHOST-folyamat végrehajtása

(AppServices_SVCHostFromInvalidPath)

Leírás: Az SVCHOST rendszerfolyamat rendellenes környezetben fut. A kártevők gyakran használják az SVCHOST-t a rosszindulatú tevékenységek maszkolására. (A következőkre vonatkozik: App Service Windows rendszeren)

MITRE-taktikák: Védelmi kijátszás, végrehajtás

Súlyosság: Magas

Gyanús felhasználói ügynök észlelhető

(AppServices_UserAgentInjection)

Leírás: Azure-alkalmazás szolgáltatástevékenység-napló gyanús felhasználói ügynökkel rendelkező kéréseket jelez. Ez a viselkedés jelezheti az App Service-alkalmazás biztonsági réseinek kihasználására tett kísérleteket. (A következőkre vonatkozik: App Service Windows rendszeren és App Service Linux rendszeren)

MITRE-taktikák: Kezdeti hozzáférés

Súlyosság: Tájékoztató

Gyanús WordPress-témahívás észlelhető

(AppServices_WpThemeInjection)

Leírás: Azure-alkalmazás szolgáltatástevékenység naplója egy lehetséges kódinjektálási tevékenységet jelez az App Service-erőforráson. Az észlelt gyanús tevékenység hasonlít a WordPress-téma manipulálására a kód kiszolgálóoldali végrehajtásának támogatásához, majd egy közvetlen webes kérés a manipulált témafájl meghívására. Ez a tevékenység a múltban a WordPress elleni támadási kampány részeként volt látható. Ha az App Service-erőforrás nem üzemeltet WordPress-webhelyet, nem sebezhető az adott kódinjektálási biztonsági rés miatt, és nyugodtan letilthatja ezt a riasztást az erőforráshoz. A biztonsági riasztások letiltásáról további információt a Felhőhöz készült Microsoft Defender riasztások letiltása című témakörben talál. (A következőkre vonatkozik: App Service Windows rendszeren és App Service Linux rendszeren)

MITRE-taktikák: Végrehajtás

Súlyosság: Magas

Sebezhetőségi ellenőrző észlelve

(AppServices_DrupalScanner)

Leírás: Azure-alkalmazás szolgáltatástevékenység naplója azt jelzi, hogy egy lehetséges biztonságirés-ellenőrzőt használtak az App Service-erőforrásban. Az észlelt gyanús tevékenység hasonlít a tartalomkezelő rendszert (CMS) célzó eszközökre. Ha az App Service-erőforrás nem üzemeltet Drupal-webhelyet, nem sebezhető az adott kódinjektálási kihasználtság miatt, és biztonságosan letilthatja ezt a riasztást az erőforráshoz. A biztonsági riasztások letiltásáról további információt a Felhőhöz készült Microsoft Defender riasztások letiltása című témakörben talál. (A következőkre vonatkozik: App Service Windows rendszeren)

MITRE-taktikák: PreAttack

Súlyosság: Alacsony

Sebezhetőségi ellenőrző észlelve

(AppServices_JoomlaScanner)

Leírás: Azure-alkalmazás szolgáltatástevékenység naplója azt jelzi, hogy egy lehetséges biztonságirés-ellenőrzőt használtak az App Service-erőforrásban. Az észlelt gyanús tevékenység hasonlít a Joomla-alkalmazásokat célzó eszközökre. Ha az App Service-erőforrás nem üzemeltet Joomla-webhelyet, az nem sebezhető az adott kódinjektálási kihasználtság miatt, és biztonságosan letilthatja ezt a riasztást az erőforráshoz. A biztonsági riasztások letiltásáról további információt a Felhőhöz készült Microsoft Defender riasztások letiltása című témakörben talál. (A következőkre vonatkozik: App Service Windows rendszeren és App Service Linux rendszeren)

MITRE-taktikák: PreAttack

Súlyosság: Alacsony

Sebezhetőségi ellenőrző észlelve

(AppServices_WpScanner)

Leírás: Azure-alkalmazás szolgáltatástevékenység naplója azt jelzi, hogy egy lehetséges biztonságirés-ellenőrzőt használtak az App Service-erőforrásban. Az észlelt gyanús tevékenység hasonló a WordPress-alkalmazásokat célzó eszközökhöz. Ha az App Service-erőforrás nem üzemeltet WordPress-webhelyet, nem sebezhető az adott kódinjektálási biztonsági rés miatt, és nyugodtan letilthatja ezt a riasztást az erőforráshoz. A biztonsági riasztások letiltásáról további információt a Felhőhöz készült Microsoft Defender riasztások letiltása című témakörben talál. (A következőkre vonatkozik: App Service Windows rendszeren és App Service Linux rendszeren)

MITRE-taktikák: PreAttack

Súlyosság: Alacsony

Webes ujjlenyomat-észlelés

(AppServices_WebFingerprinting)

Leírás: Azure-alkalmazás szolgáltatástevékenység-napló egy lehetséges webes ujjlenyomat-készítési tevékenységet jelez az App Service-erőforráson. A észlelt gyanús tevékenység egy Vak elefánt nevű eszközzel van társítva. Az eszköz ujjlenyomat-webkiszolgálók, és megpróbálja észlelni a telepített alkalmazásokat és verziót. A támadók gyakran használják ezt az eszközt a webalkalmazás biztonsági réseinek felderítésére. (A következőkre vonatkozik: App Service Windows rendszeren és App Service Linux rendszeren)

MITRE-taktikák: PreAttack

Súlyosság: Közepes

A webhely kártevőként van megjelölve a fenyegetésfelderítési hírcsatornában

(AppServices_SmartScreen)

Leírás: Webhelyét a Windows SmartScreen rosszindulatú webhelyként jelöli meg az alábbiak szerint. Ha úgy véli, hogy ez téves pozitív, lépjen kapcsolatba a Windows SmartScreen szolgáltatással a megadott visszajelzési hivatkozáson keresztül. (A következőkre vonatkozik: App Service Windows rendszeren és App Service Linux rendszeren)

MITRE-taktikák: Gyűjtemény

Súlyosság: Közepes

Tárolókra vonatkozó riasztások – Kubernetes-fürtök

A Microsoft Defender for Containers biztonsági riasztásokat biztosít a fürt szintjén és a mögöttes fürtcsomópontokon a vezérlősík (API-kiszolgáló) és maga a tárolóalapú számítási feladat figyelésével. A vezérlősík biztonsági riasztásait a riasztástípus előtagja K8S_ ismerheti fel. A fürtök futtatókörnyezeti számítási feladataira vonatkozó biztonsági riasztásokat a K8S.NODE_ riasztástípus előtagja ismerheti fel. Az összes riasztás csak Linux rendszeren támogatott, kivéve, ha másként van feltüntetve.

További részletek és megjegyzések

Közzétett Postgres-szolgáltatás megbízhatósági hitelesítési konfigurációval a Kubernetesben (előzetes verzió)

(K8S_ExposedPostgresTrustAuth)

Leírás: A Kubernetes-fürtkonfiguráció elemzése egy Postgres-szolgáltatás terheléselosztó általi expozícióját észlelte. A szolgáltatás megbízhatósági hitelesítési módszerrel van konfigurálva, amely nem igényel hitelesítő adatokat.

MITRE-taktikák: InitialAccess

Súlyosság: Közepes

Közzétett Postgres-szolgáltatás kockázatos konfigurációval a Kubernetesben (előzetes verzió)

(K8S_ExposedPostgresBroadIPRange)

Leírás: A Kubernetes-fürtkonfiguráció elemzése egy Postgres-szolgáltatás expozícióját észlelte egy kockázatos konfigurációjú terheléselosztó által. A szolgáltatás ip-címek széles körének való felfedése biztonsági kockázatot jelent.

MITRE-taktikák: InitialAccess

Súlyosság: Közepes

Új Linux-névtér létrehozása egy észlelt tárolóból

(K8S. NODE_NamespaceCreation) 1

Leírás: A Kubernetes-fürtben egy tárolóban futó folyamatok elemzése egy új Linux-névtér létrehozására tett kísérletet észlelt. Bár ez a viselkedés jogos lehet, azt jelezheti, hogy egy támadó megpróbál menekülni a tárolóból a csomópontra. Egyes CVE-2022-0185-kihasználások ezt a technikát használják.

MITRE-taktikák: PrivilegeEscalation

Súlyosság: Tájékoztató

Törölve lett egy előzményfájl

(K8S. NODE_HistoryFileCleared) 1

Leírás: A tárolón vagy közvetlenül a Kubernetes-csomóponton futó folyamatok elemzése azt észlelte, hogy a parancselőzmények naplófájlja törölve lett. A támadók ezt megtehetik, hogy eltüntetik a nyomaikat. A műveletet a megadott felhasználói fiók hajtotta végre.

MITRE taktika: DefenseEvasion

Súlyosság: Közepes

A Kuberneteshez társított felügyelt identitás rendellenes tevékenysége (előzetes verzió)

(K8S_AbnormalMiActivity)

Leírás: Az Azure Resource Manager-műveletek elemzése egy AKS-bővítmény által használt felügyelt identitás rendellenes viselkedését észlelte. Az észlelt tevékenység nem összhangban van a társított bővítmény viselkedésével. Bár ez a tevékenység jogos lehet, az ilyen viselkedés azt jelezheti, hogy az identitást egy támadó szerezte, esetleg egy sérült tárolóból a Kubernetes-fürtben.

MITRE taktika: Oldalirányú mozgás

Súlyosság: Közepes

Rendellenes Kubernetes-szolgáltatásfiók-művelet észlelhető

(K8S_ServiceAccountRareOperation)

Leírás: A Kubernetes naplózási naplóelemzése rendellenes viselkedést észlelt a Kubernetes-fürt egyik szolgáltatásfiókja által. A szolgáltatásfiókot egy művelethez használták, ami ebben a szolgáltatásfiókban nem gyakori. Bár ez a tevékenység jogos lehet, az ilyen viselkedés azt jelezheti, hogy a szolgáltatásfiókot rosszindulatú célokra használják.

MITRE-taktikák: Lateral Movement, Credential Access

Súlyosság: Közepes

Nem gyakori kapcsolati kísérlet észlelhető

(K8S. NODE_Suspect Csatlakozás ion) 1

Leírás: A tárolón vagy közvetlenül a Kubernetes-csomóponton futó folyamatok elemzése nem gyakori kapcsolati kísérletet észlelt egy zokniprotokoll használatával. Ez a normál műveletekben nagyon ritka, de a hálózati rétegészleléseket megkerülni próbáló támadók egyik ismert technikája.

MITRE-taktikák: Végrehajtás, kiszivárgás, kizsákmányolás

Súlyosság: Közepes

Kísérlet az apt-daily-upgrade.timer szolgáltatás észlelésének leállítására

(K8S. NODE_TimerServiceDisabled) 1

Leírás: A tárolón vagy közvetlenül a Kubernetes-csomóponton futó folyamatok elemzése az apt-daily-upgrade.timer szolgáltatás leállítására tett kísérletet észlelt. A támadók megfigyelték, hogy a szolgáltatás leállítja a rosszindulatú fájlok letöltését, és végrehajtási jogosultságokat adnak a támadásaikhoz. Ez a tevékenység akkor is előfordulhat, ha a szolgáltatás normál felügyeleti műveletekkel frissül.

MITRE taktika: DefenseEvasion

Súlyosság: Tájékoztató

A gyakran észlelt Linux-robotokhoz hasonló viselkedés (előzetes verzió)

(K8S. NODE_CommonBot)

Leírás: A tárolón vagy közvetlenül a Kubernetes-csomóponton futó folyamatok elemzése egy olyan folyamat végrehajtását észlelte, amely általában a gyakori Linux-botnetekhez van társítva.

MITRE-taktikák: Végrehajtás, gyűjtemény, parancs és vezérlés

Súlyosság: Közepes

Parancs magas jogosultságokkal rendelkező tárolón belül

(K8S. NODE_PrivilegedExecutionInContainer) 1

Leírás: A gépnaplók azt jelzik, hogy egy emelt szintű parancsot futtattak egy Docker-tárolóban. A kiemelt parancsok kiterjesztett jogosultságokkal rendelkezik a gazdagépen.

MITRE-taktikák: PrivilegeEscalation

Súlyosság: Tájékoztató

Emelt szintű módban futó tároló

(K8S. NODE_PrivilegedContainerArtifacts) 1

Leírás: A tárolón belül vagy közvetlenül a Kubernetes-csomóponton futó folyamatok elemzése észlelte egy kiemelt tárolót futtató Docker-parancs végrehajtását. A kiemelt tároló teljes hozzáféréssel rendelkezik az üzemeltetési podhoz vagy a gazdagép erőforrásához. Ha sérült, előfordulhat, hogy a támadó a kiemelt tárolóval fér hozzá az üzemeltetési podhoz vagy a gazdagéphez.

MITRE-taktikák: PrivilegeEscalation, Execution

Súlyosság: Tájékoztató

Tároló érzékeny kötet csatlakoztatásával

(K8S_SensitiveMount)

Leírás: A Kubernetes naplózási naplóelemzése egy új tárolót észlelt, amely érzékeny kötet csatlakoztatásával rendelkezik. Az észlelt kötet egy hostPath-típus, amely egy bizalmas fájlt vagy mappát csatlakoztat a csomópontról a tárolóhoz. Ha a tároló megsérül, a támadó ezt a csatlakoztatást használhatja a csomóponthoz való hozzáféréshez.

MITRE-taktikák: Jogosultságok eszkalálása

Súlyosság: Tájékoztató

CoreDNS-módosítás észlelhető a Kubernetesben

(K8S_CoreDnsModification) 23

Leírás: A Kubernetes naplóelemzése a CoreDNS-konfiguráció módosítását észlelte. A CoreDNS konfigurációja a konfigurációtérkép felülírásával módosítható. Bár ez a tevékenység jogos lehet, ha a támadók rendelkeznek engedéllyel a konfigurációtérkép módosítására, megváltoztathatják a fürt DNS-kiszolgálójának viselkedését, és megmérgezhetik azt.

MITRE taktika: Oldalirányú mozgás

Súlyosság: Alacsony

A beléptetési webhook konfigurációjának létrehozása észlelhető

(K8S_AdmissionController) 3

Leírás: A Kubernetes naplózási naplóelemzése új belépési webhook-konfigurációt észlelt. A Kubernetes két beépített általános beléptető vezérlővel rendelkezik: a MutatingAdmissionWebhook és a ValidatingAdmissionWebhook. Ezeknek a beléptető vezérlőknek a viselkedését a felhasználó által a fürtön üzembe helyezett belépési webhook határozza meg. Az ilyen beléptető vezérlők használata jogos lehet, de a támadók használhatják az ilyen webhookokat a kérések módosításához (a MutatingAdmissionWebhook esetén), vagy megvizsgálhatják a kéréseket, és bizalmas információkat szerezhetnek (ValidatingAdmissionWebhook esetén).

MITRE-taktikák: Hitelesítő adatok elérése, megőrzése

Súlyosság: Tájékoztató

Ismert rosszindulatú forrásból származó fájlletöltés észlelhető

(K8S. NODE_SuspectDownload) 1

Leírás: A tárolón vagy közvetlenül a Kubernetes-csomóponton futó folyamatok elemzése azt észlelte, hogy egy fájl letöltése olyan forrásból származik, amelyet gyakran használnak kártevők terjesztésére.

MITRE-taktikák: PrivilegeEscalation, Execution, Exfiltration, Command and Control

Súlyosság: Közepes

Gyanús fájlletöltés észlelhető

(K8S. NODE_SuspectDownloadArtifacts) 1

Leírás: A tárolón vagy közvetlenül a Kubernetes-csomóponton futó folyamatok elemzése egy távoli fájl gyanús letöltését észlelte.

MITRE-taktikák: Állandóság

Súlyosság: Tájékoztató

A nohup parancs gyanús használatát észlelte

(K8S. NODE_SuspectNohup) 1

Leírás: A tárolón vagy közvetlenül a Kubernetes-csomóponton futó folyamatok elemzése a nohup parancs gyanús használatát észlelte. A támadók a nohup parancs használatával rejtett fájlokat futtathatnak egy ideiglenes könyvtárból, hogy a végrehajtható fájlok a háttérben fussanak. Ritkán látható, hogy ez a parancs egy ideiglenes könyvtárban található rejtett fájlokon fut.

MITRE-taktikák: Perzisztencia, DefenseEvasion

Súlyosság: Közepes

A useradd parancs gyanús használatát észlelte

(K8S. NODE_SuspectUserAddition) 1

Leírás: A tárolón vagy közvetlenül a Kubernetes-csomóponton futó folyamatok elemzése a useradd parancs gyanús használatát észlelte.

MITRE-taktikák: Állandóság

Súlyosság: Közepes

Digitális pénznembányászati tároló észlelhető

(K8S_MaliciousContainerImage) 3

Leírás: A Kubernetes naplózási naplóelemzése olyan tárolót észlelt, amely egy digitális pénznembányászati eszközhöz társított képpel rendelkezik.

MITRE-taktikák: Végrehajtás

Súlyosság: Magas

(K8S. NODE_DigitalCurrencyMining) 1

Leírás: A tárolón vagy közvetlenül a Kubernetes-csomóponton futó folyamatok elemzése olyan folyamat vagy parancs végrehajtását észlelte, amely általában a digitális pénznembányászathoz kapcsolódik.

MITRE-taktikák: Végrehajtás

Súlyosság: Magas

Kubernetes-csomóponton észlelt Docker-buildművelet

(K8S. NODE_ImageBuildOnNode) 1

Leírás: A tárolón vagy közvetlenül a Kubernetes-csomóponton futó folyamatok elemzése egy Kubernetes-csomóponton lévő tárolórendszerkép buildelési műveletét észlelte. Bár ez a viselkedés jogos lehet, előfordulhat, hogy a támadók helyileg építik fel a rosszindulatú rendszerképeiket az észlelés elkerülése érdekében.

MITRE taktika: DefenseEvasion

Súlyosság: Tájékoztató

Közzétett Kubeflow-irányítópult észlelve

(K8S_ExposedKubeflow)

Leírás: A Kubernetes naplózási naplóelemzése a Kubeflow-t futtató fürtön lévő terheléselosztó által észlelt Istio Bejövő forgalom expozícióját észlelte. Ez a művelet elérhetővé teheti a Kubeflow-irányítópultot az interneten. Ha az irányítópult elérhető az interneten, a támadók hozzáférhetnek hozzá, és rosszindulatú tárolókat vagy kódot futtathatnak a fürtön. További részletekért tekintse meg a következő cikket: https://aka.ms/exposedkubeflow-blog

MITRE-taktikák: Kezdeti hozzáférés

Súlyosság: Közepes

Közzétett Kubernetes-irányítópult észlelve

(K8S_ExposedDashboard)

Leírás: A Kubernetes auditnapló-elemzése a Kubernetes-irányítópult terheléselosztási szolgáltatás általi expozícióját észlelte. A közzétett irányítópult nem hitelesített hozzáférést biztosít a fürtkezeléshez, és biztonsági fenyegetést jelent.

MITRE-taktikák: Kezdeti hozzáférés

Súlyosság: Magas

Közzétett Kubernetes-szolgáltatás észlelhető

(K8S_ExposedService)

Leírás: A Kubernetes naplóelemzése egy szolgáltatás terheléselosztó általi expozícióját észlelte. Ez a szolgáltatás egy bizalmas alkalmazáshoz kapcsolódik, amely nagy hatással van a fürtre, például folyamatokat futtat a csomóponton, vagy új tárolókat hoz létre. Bizonyos esetekben ez a szolgáltatás nem igényel hitelesítést. Ha a szolgáltatás nem igényel hitelesítést, az interneten való felfedése biztonsági kockázatot jelent.

MITRE-taktikák: Kezdeti hozzáférés

Súlyosság: Közepes

Közzétett Redis-szolgáltatás észlelhető az AKS-ben

(K8S_ExposedRedis)

Leírás: A Kubernetes auditnapló-elemzése egy Redis-szolgáltatás terheléselosztó általi expozícióját észlelte. Ha a szolgáltatás nem igényel hitelesítést, az interneten való felfedése biztonsági kockázatot jelent.

MITRE-taktikák: Kezdeti hozzáférés

Súlyosság: Alacsony

A DDOS-eszközkészlethez társított jelzők észlelhetők

(K8S. NODE_KnownLinuxDDoSToolkit) 1

Leírás: A tárolón vagy közvetlenül a Kubernetes-csomóponton futó folyamatok elemzése olyan fájlneveket észlelt, amelyek egy olyan kártevőhöz társított eszközkészlet részét képezik, amely képes DDoS-támadások indítására, portok és szolgáltatások megnyitására, valamint a fertőzött rendszer teljes felügyeletére. Ez akár jogos tevékenység is lehet.

MITRE-taktikák: Perzisztencia, LateralMovement, Végrehajtás, Kizsákmányolás

Súlyosság: Közepes

A K8S API-kérések proxy IP-címről észlelhetők

(K8S_TI_Proxy) 3

Leírás: A Kubernetes naplózási naplóelemzése api-kéréseket észlelt a fürthöz a proxyszolgáltatásokhoz, például a TOR-hoz társított IP-címről. Bár ez a viselkedés lehet jogos, gyakran rosszindulatú tevékenységekben látható, amikor a támadók megpróbálják elrejteni a forrás IP-címüket.

MITRE-taktikák: Végrehajtás

Súlyosság: Alacsony

Kubernetes-események törölve

(K8S_DeleteEvents) 23

Leírás: Felhőhöz készült Defender észlelte, hogy néhány Kubernetes-esemény törölve lett. A Kubernetes-események olyan objektumok a Kubernetesben, amelyek információkat tartalmaznak a fürt változásairól. A támadók törölhetik ezeket az eseményeket, hogy elrejtsék a műveleteiket a fürtben.

MITRE-taktikák: Védelmi kijátszás

Súlyosság: Alacsony

Kubernetes behatolástesztelő eszköz észlelhető

(K8S_PenTestToolsKubeHunter)

Leírás: A Kubernetes auditnapló-elemzése a Kubernetes behatolástesztelő eszköz használatát észlelte az AKS-fürtben. Bár ez a viselkedés jogos lehet, a támadók rosszindulatú célokra használhatják az ilyen nyilvános eszközöket.

MITRE-taktikák: Végrehajtás

Súlyosság: Alacsony

Felhőhöz készült Microsoft Defender tesztriasztás (nem fenyegetés).

(K8S. NODE_EICAR) 1

Leírás: Ez a Felhőhöz készült Microsoft Defender által létrehozott tesztriasztás. Nincs szükség további beavatkozásra.

MITRE-taktikák: Végrehajtás

Súlyosság: Magas

Új tárolót észlelt a kube-system névtérben

(K8S_KubeSystemContainer) 3

Leírás: A Kubernetes naplózási naplóelemzése egy új tárolót észlelt a kube-system névtérben, amely nem szerepel az ebben a névtérben általában futó tárolók között. A kube-system névterek nem tartalmazhatnak felhasználói erőforrásokat. A támadók ezt a névteret használhatják a rosszindulatú összetevők elrejtéséhez.

MITRE-taktikák: Állandóság

Súlyosság: Tájékoztató

Új magas jogosultsági szerepkör észlelhető

(K8S_HighPrivilegesRole) 3

Leírás: A Kubernetes naplózási naplóelemzése egy új, magas jogosultságokkal rendelkező szerepkört észlelt. A magas jogosultságokkal rendelkező szerepkörhöz való kötés magas jogosultságokat biztosít a felhasználó\csoport számára a fürtben. A szükségtelen jogosultságok jogosultságok eszkalálódását okozhatják a fürtben.

MITRE-taktikák: Állandóság

Súlyosság: Tájékoztató

Lehetséges támadási eszköz észlelhető

(K8S. NODE_KnownLinuxAttackTool) 1

Leírás: A tárolón vagy közvetlenül a Kubernetes-csomóponton futó folyamatok elemzése gyanús eszközhívást észlelt. Ez az eszköz gyakran társítva van másokat támadó rosszindulatú felhasználókkal.

MITRE-taktikák: Végrehajtás, gyűjtemény, parancs és vezérlés, próba

Súlyosság: Közepes

Lehetséges backdoor észlelve

(K8S. NODE_LinuxBackdoorArtifact) 1

Leírás: A tárolón vagy közvetlenül a Kubernetes-csomóponton futó folyamatok elemzése azt észlelte, hogy a rendszer gyanús fájlt tölt le és futtat. Ezt a tevékenységet korábban egy háttérrendszer telepítésével társították.

MITRE-taktikák: Perzisztencia, DefenseEvasion, Végrehajtás, Kizsákmányolás

Súlyosság: Közepes

Lehetséges parancssori kihasználási kísérlet

(K8S. NODE_ExploitAttempt) 1

Leírás: A tárolón vagy közvetlenül a Kubernetes-csomóponton futó folyamatok elemzése lehetséges kihasználási kísérletet észlelt egy ismert biztonsági rés ellen.

MITRE-taktikák: Hasznosítás

Súlyosság: Közepes

Lehetséges hitelesítőadat-hozzáférési eszköz észlelhető

(K8S. NODE_KnownLinuxCredentialAccessTool) 1

Leírás: A tárolón vagy közvetlenül a Kubernetes-csomóponton futó folyamatok elemzése azt észlelte, hogy a tárolón egy lehetséges ismert hitelesítőadat-hozzáférési eszköz fut, amelyet a megadott folyamat- és parancssori előzményelem azonosított. Ez az eszköz gyakran a hitelesítő adatok elérésére tett támadói kísérletekhez van társítva.

MITRE-taktikák: CredentialAccess

Súlyosság: Közepes

Lehetséges Cryptocoinminer-letöltés észlelhető

(K8S. NODE_CryptoCoinMinerDownload) 1

Leírás: A tárolón vagy közvetlenül a Kubernetes-csomóponton futó folyamatok elemzése észlelte a digitális pénznembányászathoz általában társított fájl letöltését.

MITRE-taktikák: DefenseEvasion, Command And Control, Exploitation

Súlyosság: Közepes

Lehetséges naplózási módosítási tevékenység észlelhető

(K8S. NODE_SystemLogRemoval) 1

Leírás: A tárolón vagy közvetlenül a Kubernetes-csomóponton futó folyamatok elemzése észlelte a felhasználók tevékenységét nyomon követő fájlok lehetséges eltávolítását a művelet során. A támadók gyakran megpróbálják elkerülni az észlelést, és az ilyen naplófájlok törlésével nem hagynak nyomot a rosszindulatú tevékenységekben.

MITRE taktika: DefenseEvasion

Súlyosság: Közepes

Lehetséges jelszómódosítás titkosítási módszerrel

(K8S. NODE_SuspectPasswordChange) 1

Leírás: A tárolón vagy közvetlenül a Kubernetes-csomóponton futó folyamatok elemzése jelszómódosítást észlelt a titkosítási módszerrel. A támadók ezt a módosítást elvégezhetik a hozzáférés folytatásához és a biztonság megőrzéséhez a kompromisszum után.

MITRE-taktikák: CredentialAccess

Súlyosság: Közepes

Lehetséges porttovábbítás külső IP-címre

(K8S. NODE_SuspectPortForwarding) 1

Leírás: A tárolón vagy közvetlenül a Kubernetes-csomóponton futó folyamatok elemzése azt észlelte, hogy a porttovábbítás egy külső IP-címre történt.

MITRE-taktikák: Exfiltration, Command and Control

Súlyosság: Közepes

Lehetséges fordított rendszerhéj észlelhető

(K8S. NODE_ReverseShell) 1

Leírás: A tárolón vagy közvetlenül a Kubernetes-csomóponton futó folyamatok elemzése potenciális fordított rendszerhéjat észlelt. Ezek arra szolgálnak, hogy feltört gépet kérjenek vissza egy támadó tulajdonában lévő gépre.

MITRE-taktikák: Exfiltration, Exploitation

Súlyosság: Közepes

Emelt szintű tároló észlelhető

(K8S_PrivilegedContainer)

Leírás: A Kubernetes naplóelemzése új emelt szintű tárolót észlelt. A kiemelt tárolók hozzáférnek a csomópont erőforrásaihoz, és megszakítják a tárolók közötti elkülönítést. Ha sérült, a támadó a kiemelt tárolóval férhet hozzá a csomóponthoz.

MITRE-taktikák: Jogosultságok eszkalálása

Súlyosság: Tájékoztató

A digitális pénznembányászattal társított folyamat észlelhető

(K8S. NODE_CryptoCoinMinerArtifacts) 1

Leírás: A tárolón belül futó folyamatok elemzése egy, a digitális pénznembányászathoz általában kapcsolódó folyamat végrehajtását észlelte.

MITRE-taktikák: Végrehajtás, kizsákmányolás

Súlyosság: Közepes

Az SSH által engedélyezett kulcsfájl szokatlan módon való elérésének folyamata

(K8S. NODE_SshKeyAccess) 1

Leírás: Egy SSH-authorized_keys fájl az ismert kártevőkampányokhoz hasonló módszerrel lett elérve. Ez a hozzáférés azt jelezheti, hogy egy szereplő állandó hozzáférést próbál szerezni egy géphez.

MITRE-taktikák: Ismeretlen

Súlyosság: Tájékoztató

A fürt-rendszergazda szerepkörhöz való szerepkör-kötés észlelhető

(K8S_Cluster Rendszergazda Binding)

Leírás: A Kubernetes naplózási naplóelemzése új kötést észlelt a fürt-rendszergazda szerepkörhöz, amely rendszergazdai jogosultságokat biztosít. A szükségtelen rendszergazdai jogosultságok jogosultságok eszkalálódását okozhatják a fürtben.

MITRE-taktikák: Állandóság

Súlyosság: Tájékoztató

(K8S. NODE_SuspectProcessTermination) 1

Leírás: A tárolón belül vagy közvetlenül a Kubernetes-csomóponton futó folyamatok elemzése azt észlelte, hogy a tároló biztonsági monitorozásával kapcsolatos folyamatok leállítására tett kísérlet történt. A támadók gyakran megpróbálják megszakítani az ilyen folyamatokat előre definiált szkriptek használatával a feltörés után.

MITRE-taktikák: Állandóság

Súlyosság: Alacsony

Az SSH-kiszolgáló tárolón belül fut

(K8S. NODE_ContainerSSH) 1

Leírás: A tárolón belüli folyamatok elemzése a tárolón belül futó SSH-kiszolgálót észlelt.

MITRE-taktikák: Végrehajtás

Súlyosság: Tájékoztató

Gyanús fájlidőbélyeg módosítása

(K8S. NODE_TimestampTampering) 1

Leírás: A tárolón vagy közvetlenül a Kubernetes-csomóponton futó folyamatok elemzése gyanús időbélyeg-módosítást észlelt. A támadók gyakran átmásolják az időbélyegeket a meglévő megbízható fájlokból az új eszközökre, hogy elkerüljék az újonnan elvetett fájlok észlelését.

MITRE-taktikák: Perzisztencia, DefenseEvasion

Súlyosság: Alacsony

Gyanús kérés a Kubernetes API-hoz

(K8S. NODE_KubernetesAPI) 1

Leírás: A tárolóban futó folyamatok elemzése azt jelzi, hogy gyanús kérés érkezett a Kubernetes API-hoz. A kérés a fürt egyik tárolójából lett elküldve. Bár ez a viselkedés szándékos lehet, azt jelezheti, hogy egy sérült tároló fut a fürtben.

MITRE-taktikák: LateralMovement

Súlyosság: Közepes

Gyanús kérés a Kubernetes-irányítópultra

(K8S. NODE_KubernetesDashboard) 1

Leírás: A tárolón belüli folyamatok elemzése azt jelzi, hogy gyanús kérés érkezett a Kubernetes-irányítópultra. A kérés a fürt egyik tárolójából lett elküldve. Bár ez a viselkedés szándékos lehet, azt jelezheti, hogy egy sérült tároló fut a fürtben.

MITRE-taktikák: LateralMovement

Súlyosság: Közepes

Megkezdődött a potenciális kriptopénz-bányász

(K8S. NODE_CryptoCoinMinerExecution) 1

Leírás: A tárolón vagy közvetlenül a Kubernetes-csomóponton futó folyamatok elemzése azt észlelte, hogy a folyamat a digitális pénznembányászathoz általában kapcsolódó módon indult el.

MITRE-taktikák: Végrehajtás

Súlyosság: Közepes

Gyanús jelszóhozzáférés

(K8S. NODE_SuspectPasswordFileAccess) 1

Leírás: A tárolón vagy közvetlenül a Kubernetes-csomóponton futó folyamatok elemzése gyanús kísérletet észlelt a titkosított felhasználói jelszavak elérésére.

MITRE-taktikák: Állandóság

Súlyosság: Tájékoztató

Lehetséges rosszindulatú webes rendszerhéj észlelhető.

(K8S. NODE_Webshell) 1

Leírás: A tárolón belüli folyamatok elemzése egy lehetséges webes rendszerhéjat észlelt. A támadók gyakran feltöltenek egy webes rendszerhéjat egy olyan számítási erőforrásba, amely biztonsága veszélybe került, hogy megőrizze vagy tovább kiaknázhassa őket.

MITRE-taktikák: Perzisztencia, kizsákmányolás

Súlyosság: Közepes

Több felderítési parancs kipukkadása a sérülés utáni kezdeti tevékenységet jelezheti

(K8S. NODE_ReconnaissanceArtifactsBurst) 1

Leírás: A gazdagép-/eszközadatok elemzése több felderítési parancs végrehajtását észlelte a rendszer vagy a támadók által a kezdeti biztonsági rés után végrehajtott gazdagépadatok gyűjtéséhez kapcsolódóan.

MITRE-taktikák: Felderítés, Gyűjtemény

Súlyosság: Alacsony

Gyanús letöltés, majd tevékenység futtatása

(K8S. NODE_DownloadAndRunCombo) 1

Leírás: A tárolón vagy közvetlenül a Kubernetes-csomóponton futó folyamatok elemzése azt észlelte, hogy a letöltött fájl ugyanabban a parancsban fut. Bár ez nem mindig rosszindulatú, ez egy nagyon gyakori módszer, a támadók rosszindulatú fájlokat kapnak az áldozati gépekre.

MITRE-taktikák: Végrehajtás, CommandAndControl, Kizsákmányolás

Súlyosság: Közepes

A kubelet kubeconfig fájlhoz való hozzáférés észlelhető

(K8S. NODE_KubeConfigAccess) 1

Leírás: A Kubernetes-fürtcsomóponton futó folyamatok elemzése a gazdagép kubeconfig-fájljának hozzáférését észlelte. A Kubelet-folyamat által általában használt kubeconfig fájl a Kubernetes-fürt API-kiszolgálójának hitelesítő adatait tartalmazza. A fájlhoz való hozzáférést gyakran a támadók próbálják elérni, vagy biztonsági ellenőrző eszközökkel, amelyek ellenőrzik, hogy a fájl elérhető-e.

MITRE-taktikák: CredentialAccess

Súlyosság: Közepes

A felhőalapú metaadat-szolgáltatáshoz való hozzáférés észlelhető

(K8S. NODE_ImdsCall) 1

Leírás: A tárolón belül futó folyamatok elemzése a felhő metaadat-szolgáltatáshoz való hozzáférését észlelte az identitásjogkivonat beszerzéséhez. A tároló általában nem végez ilyen műveletet. Bár ez a viselkedés jogos lehet, a támadók ezt a technikát használhatják a felhőbeli erőforrások eléréséhez, miután kezdeti hozzáférést szereznek egy futó tárolóhoz.

MITRE-taktikák: CredentialAccess

Súlyosság: Közepes

MITRE Caldera-ügynök észlelhető

(K8S. NODE_MitreCalderaTools) 1

Leírás: A tárolón vagy közvetlenül a Kubernetes-csomóponton futó folyamatok elemzése gyanús folyamatot észlelt. Ez gyakran a MITRE 54ndc47 ügynökhöz van társítva, amely rosszindulatúan használható más gépek megtámadására.

MITRE-taktikák: Persistence, PrivilegeEscalation, DefenseEvasion, CredentialAccess, Discovery, LateralMovement, Execution, Collection, Exfiltration, Command and Control, Probing, Exploitation

Súlyosság: Közepes

1: Előzetes verzió nem AKS-fürtökhöz: Ez a riasztás általánosan elérhető az AKS-fürtökhöz, de előzetes verzióban érhető el más környezetekhez, például az Azure Archoz, az EKS-hez és a GKE-hez.

2: A GKE-fürtök korlátozásai: A GKE olyan Kubernetes-naplózási szabályzatot használ, amely nem támogatja az összes riasztástípust. Ennek eredményeképpen ez a Kubernetes-naplózási eseményeken alapuló biztonsági riasztás nem támogatott a GKE-fürtök esetében.

3: Ez a riasztás windowsos csomópontokon/tárolókon támogatott.

Riasztások az SQL Database-hez és az Azure Synapse Analyticshez

További részletek és megjegyzések

Az SQL-injektálás lehetséges biztonsági rése

(SQL. DB_VulnerabilityToSqlInjection SQL-t. VM_VulnerabilityToSqlInjection SQL.MI_VulnerabilityToSqlInjection SQL-t. DW_VulnerabilityToSqlInjection Synapse.SQLPool_VulnerabilityToSqlInjection)

Leírás: Egy alkalmazás hibás SQL-utasítást hozott létre az adatbázisban. Ez az SQL-injektálási támadások lehetséges biztonsági rését jelezheti. A hibás állításnak két oka lehet. Előfordulhat, hogy az alkalmazáskód hibája létrehozta a hibás SQL-utasítást. Vagy az alkalmazáskód vagy a tárolt eljárások nem megtisztították a felhasználói bemenetet a hibás SQL-utasítás létrehozásakor, amelyet az SQL-injektáláshoz lehet kihasználni.

MITRE-taktikák: PreAttack

Súlyosság: Közepes

Potenciálisan káros alkalmazás általi bejelentkezés kísérlete

(SQL. DB_HarmfulApplication SQL. VM_HarmfulApplication SQL.MI_HarmfulApplication SQL-t. DW_HarmfulApplication Synapse.SQLPool_HarmfulApplication)

Leírás: Egy potenciálisan káros alkalmazás megkísérelte elérni az erőforrást.

MITRE-taktikák: PreAttack

Súlyosság: Magas

Bejelentkezés szokatlan Azure Data Centerből

(SQL. DB_DataCenterAnomaly SQL. VM_DataCenterAnomaly SQL-t. DW_DataCenterAnomaly SQL.MI_DataCenterAnomaly Synapse.SQLPool_DataCenterAnomaly)

Leírás: Megváltozott a hozzáférési minta egy SQL Serverhez, ahol valaki egy szokatlan Azure Data Centerből jelentkezett be a kiszolgálóra. Bizonyos esetekben a riasztás egy jogszerű műveletet (új alkalmazást vagy Azure-szolgáltatást) észlel. Más esetekben a riasztás rosszindulatú műveletet észlel (az Azure-ban feltört erőforrásból működő támadó).

MITRE-taktikák: Próba

Súlyosság: Alacsony

Bejelentkezés szokatlan helyről

(SQL. DB_GeoAnomaly SQL. VM_GeoAnomaly SQL-t. DW_GeoAnomaly SQL.MI_GeoAnomaly Synapse.SQLPool_GeoAnomaly)

Leírás: Megváltozott az SQL Server hozzáférési mintája, ahol valaki szokatlan földrajzi helyről jelentkezett be a kiszolgálóra. Bizonyos esetekben a riasztás jogszerű műveleteket észlel (egy új alkalmazást vagy fejlesztői karbantartást). Más esetekben a riasztás rosszindulatú műveletet (korábbi alkalmazottat vagy külső támadót) észlel.

MITRE-taktikák: Hasznosítás

Súlyosság: Közepes

Bejelentkezés olyan egyszerű felhasználótól, aki 60 nap alatt nem látható

(SQL. DB_PrincipalAnomaly SQL-t. VM_PrincipalAnomaly SQL-t. DW_PrincipalAnomaly SQL.MI_PrincipalAnomaly Synapse.SQLPool_PrincipalAnomaly)

Leírás: Az elmúlt 60 napban nem látott egyszerű felhasználó bejelentkezett az adatbázisba. Ha ez az adatbázis új, vagy az adatbázishoz hozzáférő felhasználók legutóbbi változásai ezt a viselkedést várják, Felhőhöz készült Defender azonosítja a hozzáférési minták jelentős változásait, és megkísérli megakadályozni a jövőbeli hamis pozitívumokat.

MITRE-taktikák: Hasznosítás

Súlyosság: Közepes

Bejelentkezés olyan tartományból, amely 60 nap alatt nem látható

(SQL. DB_DomainAnomaly SQL-t. VM_DomainAnomaly SQL-t. DW_DomainAnomaly SQL.MI_DomainAnomaly Synapse.SQLPool_DomainAnomaly)

Leírás: Egy felhasználó olyan tartományból jelentkezett be az erőforrásba, amelyről más felhasználók nem csatlakoztak az elmúlt 60 napban. Ha ez az erőforrás új, vagy az erőforráshoz hozzáférő felhasználók legutóbbi változásai ezt a viselkedést várják, Felhőhöz készült Defender azonosítja a hozzáférési minták jelentős változásait, és megkísérli megakadályozni a jövőbeli hamis pozitívumokat.

MITRE-taktikák: Hasznosítás

Súlyosság: Közepes

Bejelentkezés gyanús IP-címről

(SQL. DB_SuspiciousIpAnomaly SQL. VM_SuspiciousIpAnomaly SQL. DW_SuspiciousIpAnomaly SQL.MI_SuspiciousIpAnomaly Synapse.SQLPool_SuspiciousIpAnomaly)

Leírás: Az erőforrás egy olyan IP-címről lett sikeresen elérve, amelyet a Microsoft Threat Intelligence gyanús tevékenységhez társított.

MITRE-taktikák: PreAttack

Súlyosság: Közepes

Lehetséges SQL-injektálás

(SQL. DB_PotentialSqlInjection SQL-t. VM_PotentialSqlInjection SQL.MI_PotentialSqlInjection SQL. DW_PotentialSqlInjection Synapse.SQLPool_PotentialSqlInjection)

Leírás: Aktív biztonsági rés történt az SQL-injektálásnak kitett azonosított alkalmazás ellen. Ez azt jelenti, hogy a támadó rosszindulatú SQL-utasításokat próbál injektálni a sebezhető alkalmazáskód vagy a tárolt eljárások használatával.

MITRE-taktikák: PreAttack

Súlyosság: Magas

Feltételezett találgatásos támadás egy érvényes felhasználóval

(SQL. DB_BruteForce SQL. VM_BruteForce SQL-t. DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)

Leírás: Lehetséges találgatásos támadást észleltek az erőforráson. A támadó az érvényes felhasználót (felhasználónevet) használja, amely rendelkezik a bejelentkezéshez szükséges engedélyekkel.

MITRE-taktikák: PreAttack

Súlyosság: Magas

Feltételezett találgatásos támadás

(SQL. DB_BruteForce SQL. VM_BruteForce SQL-t. DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)

Leírás: Lehetséges találgatásos támadást észleltek az erőforráson.

MITRE-taktikák: PreAttack

Súlyosság: Magas

Feltételezett sikeres találgatásos támadás

(SQL. DB_BruteForce SQL. VM_BruteForce SQL-t. DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)

Leírás: Sikeres bejelentkezés történt, miután egy találgatásos támadás történt az erőforráson.

MITRE-taktikák: PreAttack

Súlyosság: Magas

Az SQL Server potenciálisan windowsos parancshéjat hoz létre, és egy rendellenes külső forráshoz fért hozzá

(SQL. DB_ShellExternalSourceAnomaly SQL-t. VM_ShellExternalSourceAnomaly SQL. DW_ShellExternalSourceAnomaly SQL.MI_ShellExternalSourceAnomaly Synapse.SQLPool_ShellExternalSourceAnomaly)

Leírás: Egy gyanús SQL-utasítás potenciálisan olyan Windows-parancshéjat hozott létre, amely olyan külső forrással rendelkezik, amely korábban még nem volt látható. A külső forráshoz hozzáférő rendszerhéj végrehajtása a támadók által használt módszer a rosszindulatú hasznos adatok letöltésére, majd a gépen való végrehajtására és feltörésére. Ez lehetővé teszi, hogy a támadó rosszindulatú feladatokat végezzen távoli irányban. Másik lehetőségként egy külső forrás elérése is használható az adatok külső célhelyre való kiszűrésére.

MITRE-taktikák: Végrehajtás

Súlyosság: Magas

Az SQL Server szokatlan hasznos adatokat kezdeményezett elhomályosított alkatrészekkel

(SQL. VM_PotentialSqlInjection)

Leírás: Valaki új hasznos adatcsomagot kezdeményezett az SQL Server azon rétegének használatával, amely kommunikál az operációs rendszerrel, miközben elrejti a parancsot az SQL-lekérdezésben. A támadók gyakran rejtik el a népszerűen figyelt, például xp_cmdshell, sp_add_job és más parancsokat. Obfuscation technikák visszaélés jogos parancsok, mint a sztring összefűzés, casting, alap módosítása, és mások, hogy elkerüljék regex észlelés és árt az olvashatóság a naplók.

MITRE-taktikák: Végrehajtás

Súlyosság: Magas

Riasztások nyílt forráskódú relációs adatbázisokhoz

További részletek és megjegyzések

Feltételezett találgatásos támadás egy érvényes felhasználóval

(SQL. PostgreSQL_BruteForce SQL. MariaDB_BruteForce SQL. MySQL_BruteForce)

Leírás: Lehetséges találgatásos támadást észleltek az erőforráson. A támadó az érvényes felhasználót (felhasználónevet) használja, amely rendelkezik a bejelentkezéshez szükséges engedélyekkel.

MITRE-taktikák: PreAttack

Súlyosság: Magas

Feltételezett sikeres találgatásos támadás

(SQL. PostgreSQL_BruteForce SQL. MySQL_BruteForce SQL-t. MariaDB_BruteForce)

Leírás: Sikeres bejelentkezés történt, miután egy találgatásos támadás történt az erőforráson.

MITRE-taktikák: PreAttack

Súlyosság: Magas

Feltételezett találgatásos támadás

(SQL. PostgreSQL_BruteForce SQL. MySQL_BruteForce SQL-t. MariaDB_BruteForce)

Leírás: Lehetséges találgatásos támadást észleltek az erőforráson.

MITRE-taktikák: PreAttack

Súlyosság: Magas

Potenciálisan káros alkalmazás általi bejelentkezés kísérlete

(SQL. PostgreSQL_HarmfulApplication SQL-t. MariaDB_HarmfulApplication SQL-t. MySQL_HarmfulApplication)

Leírás: Egy potenciálisan káros alkalmazás megkísérelte elérni az erőforrást.

MITRE-taktikák: PreAttack

Súlyosság: Magas

Bejelentkezés olyan egyszerű felhasználótól, aki 60 nap alatt nem látható

(SQL. PostgreSQL_PrincipalAnomaly SQL. MariaDB_PrincipalAnomaly SQL. MySQL_PrincipalAnomaly)

Leírás: Az elmúlt 60 napban nem látott egyszerű felhasználó bejelentkezett az adatbázisba. Ha ez az adatbázis új, vagy az adatbázishoz hozzáférő felhasználók legutóbbi változásai ezt a viselkedést várják, Felhőhöz készült Defender azonosítja a hozzáférési minták jelentős változásait, és megkísérli megakadályozni a jövőbeli hamis pozitívumokat.

MITRE-taktikák: Hasznosítás

Súlyosság: Közepes

Bejelentkezés olyan tartományból, amely 60 nap alatt nem látható

(SQL. MariaDB_DomainAnomaly SQL-t. PostgreSQL_DomainAnomaly SQL-t. MySQL_DomainAnomaly)

Leírás: Egy felhasználó olyan tartományból jelentkezett be az erőforrásba, amelyről más felhasználók nem csatlakoztak az elmúlt 60 napban. Ha ez az erőforrás új, vagy az erőforráshoz hozzáférő felhasználók legutóbbi változásai ezt a viselkedést várják, Felhőhöz készült Defender azonosítja a hozzáférési minták jelentős változásait, és megkísérli megakadályozni a jövőbeli hamis pozitívumokat.

MITRE-taktikák: Hasznosítás

Súlyosság: Közepes

Bejelentkezés szokatlan Azure Data Centerből

(SQL. PostgreSQL_DataCenterAnomaly SQL-t. MariaDB_DataCenterAnomaly SQL. MySQL_DataCenterAnomaly)

Leírás: Valaki egy szokatlan Azure-adatközpontból jelentkezett be az erőforrásba.

MITRE-taktikák: Próba

Súlyosság: Alacsony

Bejelentkezés szokatlan felhőszolgáltatótól

(SQL. PostgreSQL_CloudProviderAnomaly SQL. MariaDB_CloudProviderAnomaly SQL-t. MySQL_CloudProviderAnomaly)

Leírás: Valaki olyan felhőszolgáltatótól jelentkezett be az erőforrásba, amely nem látható az elmúlt 60 napban. A fenyegetést kérő szereplők gyorsan és egyszerűen szerezhetnek be eldobható számítási teljesítményt a kampányaikban való használathoz. Ha ez egy új felhőszolgáltató közelmúltbeli bevezetése miatt várható viselkedés, Felhőhöz készült Defender idővel megtanulja, és megkísérli megakadályozni a jövőbeli hamis pozitívumokat.

MITRE-taktikák: Hasznosítás

Súlyosság: Közepes

Bejelentkezés szokatlan helyről

(SQL. MariaDB_GeoAnomaly SQL. PostgreSQL_GeoAnomaly SQL. MySQL_GeoAnomaly)

Leírás: Valaki egy szokatlan Azure-adatközpontból jelentkezett be az erőforrásba.

MITRE-taktikák: Hasznosítás

Súlyosság: Közepes

Bejelentkezés gyanús IP-címről

(SQL. PostgreSQL_SuspiciousIpAnomaly SQL. MariaDB_SuspiciousIpAnomaly SQL. MySQL_SuspiciousIpAnomaly)

Leírás: Az erőforrás egy olyan IP-címről lett sikeresen elérve, amelyet a Microsoft Threat Intelligence gyanús tevékenységhez társított.

MITRE-taktikák: PreAttack

Súlyosság: Közepes

Riasztások a Resource Managerhez

Feljegyzés

A delegált hozzáférés-jelzéssel ellátott riasztások a külső szolgáltatók tevékenysége miatt aktiválódnak. további információ a szolgáltatók tevékenységjelzőiről.

További részletek és megjegyzések

Azure Resource Manager-művelet gyanús IP-címről

(ARM_OperationFromSuspiciousIP)

Leírás: A Microsoft Defender for Resource Manager olyan műveletet észlelt egy IP-címről, amely gyanúsként van megjelölve a fenyegetésfelderítési hírcsatornákban.

MITRE-taktikák: Végrehajtás

Súlyosság: Közepes

Azure Resource Manager-művelet gyanús proxy IP-címről

(ARM_OperationFromSuspiciousProxyIP)

Leírás: A Microsoft Defender for Resource Manager egy olyan IP-címről észlelt erőforrás-kezelési műveletet, amely proxyszolgáltatásokhoz, például TOR-hoz van társítva. Bár ez a viselkedés jogos lehet, gyakran rosszindulatú tevékenységekben is előfordul, amikor a fenyegetést észlelő szereplők megpróbálják elrejteni a forrás IP-címüket.

MITRE-taktikák: Védelmi kijátszás

Súlyosság: Közepes

Az előfizetésekben lévő erőforrások számbavételéhez használt MicroBurst-kihasználási eszközkészlet

(ARM_MicroBurst.AzDomainInfo)

Leírás: Egy PowerShell-szkriptet futtattak az előfizetésben, és gyanús mintát hajtottak végre az erőforrások, engedélyek és hálózati struktúrák felderítésére szolgáló adatgyűjtési műveletek végrehajtásához. A fenyegetést űzők automatizált szkriptek, például a MicroBurst használatával gyűjtenek információkat a rosszindulatú tevékenységekhez. Ezt az azure Resource Manager-műveletek az előfizetésben való elemzésével észlelte. Ez a művelet azt jelezheti, hogy a szervezet egy identitását feltörték, és hogy a fenyegetést okozó szereplő rosszindulatú szándékok miatt próbálja veszélyeztetni a környezetet.

MITRE taktika: -

Súlyosság: Alacsony

Az előfizetésekben lévő erőforrások számbavételéhez használt MicroBurst-kihasználási eszközkészlet

(ARM_MicroBurst.AzureDomainInfo)

Leírás: Egy PowerShell-szkriptet futtattak az előfizetésben, és gyanús mintát hajtottak végre az erőforrások, engedélyek és hálózati struktúrák felderítésére szolgáló adatgyűjtési műveletek végrehajtásához. A fenyegetést űzők automatizált szkriptek, például a MicroBurst használatával gyűjtenek információkat a rosszindulatú tevékenységekhez. Ezt az azure Resource Manager-műveletek az előfizetésben való elemzésével észlelte. Ez a művelet azt jelezheti, hogy a szervezet egy identitását feltörték, és hogy a fenyegetést okozó szereplő rosszindulatú szándékok miatt próbálja veszélyeztetni a környezetet.

MITRE taktika: -

Súlyosság: Alacsony

A kód virtuális gépen való végrehajtásához használt MicroBurst-kihasználási eszközkészlet

(ARM_MicroBurst.AzVMBulkCMD)

Leírás: Egy PowerShell-szkriptet futtattak az előfizetésben, és gyanús mintát hajtottak végre egy virtuális gépen vagy a virtuális gépek listájában a kód végrehajtásához. A fenyegetéskezelők automatizált szkripteket, például a MicroBurstot használva futtatnak szkripteket egy virtuális gépen rosszindulatú tevékenységekhez. Ezt az azure Resource Manager-műveletek az előfizetésben való elemzésével észlelte. Ez a művelet azt jelezheti, hogy a szervezet egy identitását feltörték, és hogy a fenyegetést okozó szereplő rosszindulatú szándékok miatt próbálja veszélyeztetni a környezetet.

MITRE-taktikák: Végrehajtás

Súlyosság: Magas

A kód virtuális gépen való végrehajtásához használt MicroBurst-kihasználási eszközkészlet

(RM_MicroBurst.AzureRmVMBulkCMD)

Leírás: A MicroBurst kihasználási eszközkészlete kód végrehajtására szolgál a virtuális gépeken. Ezt az azure Resource Manager-műveletek az előfizetésben való elemzésével észlelte.

MITRE taktika: -

Súlyosság: Magas

MicroBurst-kihasználási eszközkészlet, amellyel kulcsokat nyerhet ki az Azure-kulcstartókból

(ARM_MicroBurst.AzKeyVaultKeysREST)

Leírás: Egy PowerShell-szkriptet futtattak az előfizetésben, és gyanús mintát hajtottak végre a kulcsok Azure Key Vaultból való kinyerésével. A fenyegetést űzők automatizált szkripteket, például a MicroBurstot használva listázhatják a kulcsokat, és használhatják őket bizalmas adatok eléréséhez vagy oldalirányú mozgáshoz. Ezt az azure Resource Manager-műveletek az előfizetésben való elemzésével észlelte. Ez a művelet azt jelezheti, hogy a szervezet egy identitását feltörték, és hogy a fenyegetést okozó szereplő rosszindulatú szándékok miatt próbálja veszélyeztetni a környezetet.

MITRE taktika: -

Súlyosság: Magas

A Tárfiókok kulcsainak kinyeréséhez használt MicroBurst-kihasználási eszközkészlet

(ARM_MicroBurst.AZStorageKeysREST)

Leírás: Egy PowerShell-szkriptet futtattak az előfizetésben, és gyanús mintát hajtottak végre a tárfiók(ok) kulcsainak kinyerésére. A fenyegetéselemzők automatizált szkripteket, például a MicroBurstot használva listázhatják a kulcsokat, és használhatják őket a tárfiók(ok) bizalmas adatainak eléréséhez. Ezt az azure Resource Manager-műveletek az előfizetésben való elemzésével észlelte. Ez a művelet azt jelezheti, hogy a szervezet egy identitását feltörték, és hogy a fenyegetést okozó szereplő rosszindulatú szándékok miatt próbálja veszélyeztetni a környezetet.

MITRE-taktikák: Gyűjtemény

Súlyosság: Magas

MicroBurst-kihasználási eszközkészlet, amellyel titkos kulcsokat nyerhet ki az Azure-kulcstartókból

(ARM_MicroBurst.AzKeyVaultSecretsREST)

Leírás: Egy PowerShell-szkriptet futtattak az előfizetésben, és gyanús mintát hajtottak végre a titkos kulcsok Azure Key Vault(ok)ból való kinyerésével. A veszélyforrás-elemzők automatizált szkripteket használnak, például a MicroBurstot a titkos kódok listázására, valamint bizalmas adatok elérésére vagy oldalirányú mozgásra. Ezt az azure Resource Manager-műveletek az előfizetésben való elemzésével észlelte. Ez a művelet azt jelezheti, hogy a szervezet egy identitását feltörték, és hogy a fenyegetést okozó szereplő rosszindulatú szándékok miatt próbálja veszélyeztetni a környezetet.

MITRE taktika: -

Súlyosság: Magas

PowerZure-kihasználó eszközkészlet az Azure AD-ből az Azure-ba való hozzáférés emeléséhez

(ARM_PowerZure.AzureElevatedPrivileges)

Leírás: A PowerZure kihasználtsági eszközkészlete az AzureAD-ből az Azure-ba való hozzáférés emelésére szolgál. Ezt a rendszer az Azure Resource Manager-műveletek bérlőben végzett elemzésével észlelte.

MITRE taktika: -

Súlyosság: Magas

Erőforrások számbavételéhez használt PowerZure-kihasználási eszközkészlet

(ARM_PowerZure.GetAzureTargets)

Leírás: A PowerZure kihasználási eszközkészlete az erőforrások számbavételére szolgál egy megbízható felhasználói fiók nevében a szervezetben. Ezt az azure Resource Manager-műveletek az előfizetésben való elemzésével észlelte.

MITRE-taktikák: Gyűjtemény

Súlyosság: Magas

Tárolók, megosztások és táblák számbavételéhez használt PowerZure-kihasználási eszközkészlet

(ARM_PowerZure.ShowStorageContent)

Leírás: A PowerZure kihasználási eszközkészlete a tárolómegosztások, táblák és tárolók számbavételére szolgál. Ezt az azure Resource Manager-műveletek az előfizetésben való elemzésével észlelte.

MITRE taktika: -

Súlyosság: Magas

Runbook előfizetésben való végrehajtásához használt PowerZure-kihasználási eszközkészlet

(ARM_PowerZure.StartRunbook)

Leírás: A PowerZure kihasználási eszközkészlete runbook végrehajtására szolgál. Ezt az azure Resource Manager-műveletek az előfizetésben való elemzésével észlelte.

MITRE taktika: -

Súlyosság: Magas

Runbookok tartalmának kinyeréséhez használt PowerZure-kihasználási eszközkészlet

(ARM_PowerZure.AzureRunbookContent)

Leírás: A PowerZure kihasználási eszközkészlete runbook-tartalom kinyerésére szolgál. Ezt az azure Resource Manager-műveletek az előfizetésben való elemzésével észlelte.

MITRE-taktikák: Gyűjtemény

Súlyosság: Magas

ELŐZETES VERZIÓ – Azurite-eszközkészlet futtatása észlelhető

(ARM_Azurite)

Leírás: A rendszer egy ismert felhőkörnyezeti felderítési eszközkészlet-futtatást észlelt a környezetben. Az Azurite eszközt egy támadó (vagy behatolástesztelő) használhatja az előfizetések erőforrásainak leképezéséhez és a nem biztonságos konfigurációk azonosításához.

MITRE-taktikák: Gyűjtemény

Súlyosság: Magas

ELŐZETES VERZIÓ – A észlelt számítási erőforrások gyanús létrehozása

(ARM_SuspiciousComputeCreation)

Leírás: A Microsoft Defender for Resource Manager gyanús számítási erőforrások létrehozását észlelte az előfizetésében a virtuális gépek/Azure méretezési csoport használatával. Az azonosított műveletek úgy lettek kialakítva, hogy a rendszergazdák szükség esetén új erőforrások üzembe helyezésével hatékonyan felügyelhessék környezeteiket. Bár ez a tevékenység jogos lehet, a fenyegetést jelentő szereplő az ilyen műveleteket a kriptobányászat végrehajtására használhatja. A tevékenység gyanúsnak minősül, mivel a számítási erőforrások skálázása magasabb az előfizetésben korábban megfigyeltnél. Ez azt jelezheti, hogy a rendszerbiztonsági tag sérült, és rosszindulatú szándékkal használják.

MITRE-taktikák: Hatás

Súlyosság: Közepes

ELŐZETES VERZIÓ – Gyanús kulcstartó-helyreállítás észlelhető

(Arm_Suspicious_Vault_Recovering)

Leírás: A Microsoft Defender for Resource Manager gyanús helyreállítási műveletet észlelt egy helyreállíthatóan törölt kulcstartó-erőforráshoz. Az erőforrást helyreállító felhasználó eltér a törölt felhasználótól. Ez nagyon gyanús, mert a felhasználó ritkán hív meg ilyen műveletet. Emellett a felhasználó többtényezős hitelesítés (MFA) nélkül jelentkezett be. Ez azt jelezheti, hogy a felhasználó sérült, és titkos kulcsokat és kulcsokat próbál felderíteni, hogy hozzáférhessen a bizalmas erőforrásokhoz, vagy oldalirányú mozgást hajt végre a hálózaton.

MITRE-taktikák: Oldalirányú mozgás

Súlyosság: Közepes/magas

ELŐZETES VERZIÓ – Gyanús felügyeleti munkamenet inaktív fiókkal

(ARM_UnusedAccountPersistence)

Leírás: Az előfizetési tevékenységnaplók elemzése gyanús viselkedést észlelt. A hosszú ideig nem használt egyszerű felhasználók mostantól olyan műveleteket hajtanak végre, amelyek biztonságossá tehetik a támadók védelmét.

MITRE-taktikák: Állandóság

Súlyosság: Közepes

ELŐZETES VERZIÓ – A szolgáltatásnév által észlelt magas kockázatú "Hitelesítőadat-hozzáférés" művelet gyanús meghívása

(ARM_AnomalousServiceOperation.CredentialAccess)

Leírás: A Microsoft Defender for Resource Manager gyanús meghívást észlelt egy magas kockázatú művelettel az előfizetésében, ami a hitelesítő adatok elérésére tett kísérletre utalhat. Az azonosított műveletek célja, hogy a rendszergazdák hatékonyan felügyelhessék környezeteiket. Bár ez a tevékenység jogos lehet, a fenyegetést jelölő szereplők ilyen műveleteket használhatnak a korlátozott hitelesítő adatok elérésére és az erőforrások veszélyeztetésére a környezetben. Ez azt jelezheti, hogy a szolgáltatásnév sérült, és rosszindulatú szándékkal használják.

MITRE-taktikák: Hitelesítő adatokhoz való hozzáférés

Súlyosság: Közepes

ELŐZETES VERZIÓ – Egy szolgáltatásnév által észlelt magas kockázatú adatgyűjtési művelet gyanús meghívása

(ARM_AnomalousServiceOperation.Collection)

Leírás: A Microsoft Defender for Resource Manager gyanús meghívást észlelt egy magas kockázatú művelettel az előfizetésében, ami adatgyűjtési kísérletre utalhat. Az azonosított műveletek célja, hogy a rendszergazdák hatékonyan felügyelhessék környezeteiket. Bár ez a tevékenység jogos lehet, a fenyegetést jelentő szereplők ilyen műveleteket használhatnak a környezetben lévő erőforrások bizalmas adatainak gyűjtésére. Ez azt jelezheti, hogy a szolgáltatásnév sérült, és rosszindulatú szándékkal használják.

MITRE-taktikák: Gyűjtemény

Súlyosság: Közepes

ELŐZETES VERZIÓ – A szolgáltatásnév által észlelt magas kockázatú "Védelmi kijátszás" művelet gyanús meghívása

(ARM_AnomalousServiceOperation.DefenseEvasion)

Leírás: A Microsoft Defender for Resource Manager gyanús meghívást észlelt egy magas kockázatú művelettel az előfizetésében, ami a védelem megkerülésére tett kísérletre utalhat. Az azonosított műveletek célja, hogy a rendszergazdák hatékonyan felügyelhessék környezeteik biztonsági állapotát. Bár ez a tevékenység jogos lehet, a fenyegetést észlelő szereplők ilyen műveleteket használhatnak annak elkerülése érdekében, hogy ne legyenek észlelve, miközben veszélyeztetik az erőforrásokat a környezetben. Ez azt jelezheti, hogy a szolgáltatásnév sérült, és rosszindulatú szándékkal használják.

MITRE-taktikák: Védelmi kijátszás

Súlyosság: Közepes

ELŐZETES VERZIÓ – A szolgáltatásnév által észlelt magas kockázatú "végrehajtás" művelet gyanús meghívása

(ARM_AnomalousServiceOperation.Execution)

Leírás: A Microsoft Defender for Resource Manager gyanús meghívást észlelt egy nagy kockázatú műveletről az előfizetésében lévő gépen, ami kód végrehajtására tett kísérletre utalhat. Az azonosított műveletek célja, hogy a rendszergazdák hatékonyan felügyelhessék környezeteiket. Bár ez a tevékenység jogos lehet, a fenyegetést jelölő szereplők ilyen műveleteket használhatnak a korlátozott hitelesítő adatok elérésére és az erőforrások veszélyeztetésére a környezetben. Ez azt jelezheti, hogy a szolgáltatásnév sérült, és rosszindulatú szándékkal használják.

MITRE-taktikák: Védelmi végrehajtás

Súlyosság: Közepes

ELŐZETES VERZIÓ – A szolgáltatásnév által észlelt magas kockázatú "Hatás" művelet gyanús meghívása

(ARM_AnomalousServiceOperation.Impact)

Leírás: A Microsoft Defender for Resource Manager gyanús meghívást észlelt egy magas kockázatú művelettel az előfizetésben, ami konfigurációmódosítási kísérletre utalhat. Az azonosított műveletek célja, hogy a rendszergazdák hatékonyan felügyelhessék környezeteiket. Bár ez a tevékenység jogos lehet, a fenyegetést jelölő szereplők ilyen műveleteket használhatnak a korlátozott hitelesítő adatok elérésére és az erőforrások veszélyeztetésére a környezetben. Ez azt jelezheti, hogy a szolgáltatásnév sérült, és rosszindulatú szándékkal használják.

MITRE-taktikák: Hatás

Súlyosság: Közepes

ELŐZETES VERZIÓ – A szolgáltatásnév által észlelt magas kockázatú "Kezdeti hozzáférés" művelet gyanús meghívása

(ARM_AnomalousServiceOperation.InitialAccess)

Leírás: A Microsoft Defender for Resource Manager gyanús meghívást észlelt egy magas kockázatú művelettel az előfizetésében, ami a korlátozott erőforrások elérésére tett kísérletre utalhat. Az azonosított műveletek célja, hogy a rendszergazdák hatékonyan elérhessék környezetüket. Bár ez a tevékenység jogos lehet, a veszélyforrás-szereplők ilyen műveleteket használhatnak a környezet korlátozott erőforrásaihoz való kezdeti hozzáféréshez. Ez azt jelezheti, hogy a szolgáltatásnév sérült, és rosszindulatú szándékkal használják.

MITRE-taktikák: Kezdeti hozzáférés

Súlyosság: Közepes

ELŐZETES VERZIÓ – Egy szolgáltatásnév által észlelt magas kockázatú "Lateral Movement Access" művelet gyanús meghívása

(ARM_AnomalousServiceOperation.LateralMovement)

Leírás: A Microsoft Defender for Resource Manager gyanús meghívást észlelt egy magas kockázatú műveletre az előfizetésben, ami az oldalirányú mozgásra tett kísérletre utalhat. Az azonosított műveletek célja, hogy a rendszergazdák hatékonyan felügyelhessék környezeteiket. Bár ez a tevékenység jogos lehet, a fenyegetést jelentő szereplő az ilyen műveleteket kihasználva több erőforrást veszélyeztethet a környezetben. Ez azt jelezheti, hogy a szolgáltatásnév sérült, és rosszindulatú szándékkal használják.

MITRE-taktikák: Oldalirányú mozgás

Súlyosság: Közepes

ELŐZETES VERZIÓ – Egy szolgáltatásnév által észlelt magas kockázatú "adatmegőrzési" művelet gyanús meghívása

(ARM_AnomalousServiceOperation.Persistence)

Leírás: A Microsoft Defender for Resource Manager gyanús meghívást észlelt egy magas kockázatú művelettel az előfizetésében, ami a megtartás megállapítására tett kísérletre utalhat. Az azonosított műveletek célja, hogy a rendszergazdák hatékonyan felügyelhessék környezeteiket. Bár ez a tevékenység jogos lehet, a fenyegetést jelentő szereplő felhasználhatja ezeket a műveleteket a környezetben való megőrzés érdekében. Ez azt jelezheti, hogy a szolgáltatásnév sérült, és rosszindulatú szándékkal használják.

MITRE-taktikák: Állandóság

Súlyosság: Közepes

ELŐZETES VERZIÓ – Egy magas kockázatú "Privilege Eszkalation" művelet gyanús meghívása egy szolgáltatásnév által észlelt

(ARM_AnomalousServiceOperation.PrivilegeEscalation)

Leírás: A Microsoft Defender for Resource Manager gyanús meghívást észlelt egy magas kockázatú művelettel az előfizetésében, ami a jogosultságok eszkalálására tett kísérletre utalhat. Az azonosított műveletek célja, hogy a rendszergazdák hatékonyan felügyelhessék környezeteiket. Bár ez a tevékenység jogos lehet, a fenyegetést jelentő szereplő az ilyen műveleteket kihasználva eszkalálhatja a jogosultságokat, miközben veszélyeztetheti az erőforrásokat a környezetben. Ez azt jelezheti, hogy a szolgáltatásnév sérült, és rosszindulatú szándékkal használják.

MITRE-taktikák: Jogosultságok eszkalálása

Súlyosság: Közepes

ELŐZETES VERZIÓ – Gyanús felügyeleti munkamenet inaktív fiókkal

(ARM_UnusedAccountPersistence)

Leírás: Az előfizetési tevékenységnaplók elemzése gyanús viselkedést észlelt. A hosszú ideig nem használt egyszerű felhasználók mostantól olyan műveleteket hajtanak végre, amelyek biztonságossá tehetik a támadók védelmét.

MITRE-taktikák: Állandóság

Súlyosság: Közepes

ELŐZETES VERZIÓ – Gyanús felügyeleti munkamenet a PowerShell-lel

(ARM_UnusedAppPowershellPersistence)

Leírás: Az előfizetési tevékenységnaplók elemzése gyanús viselkedést észlelt. Az előfizetési környezet felügyeletére nem rendszeresen használt egyszerű felhasználó most a PowerShellt használja, és olyan műveleteket hajt végre, amelyek biztonságossá tehetik a támadók védelmét.

MITRE-taktikák: Állandóság

Súlyosság: Közepes

ELŐZETES VERZIÓ – Gyanús felügyeleti munkamenet észlelhető az Azure Portal használatával

(ARM_UnusedAppIbizaPersistence)

Leírás: Az előfizetési tevékenységnaplók elemzése gyanús viselkedést észlelt. Az azure portalt (Ibiza) rendszeresen nem használó egyszerű felhasználó kezeli az előfizetési környezetet (az elmúlt 45 napban nem használta az Azure Portalt, vagy egy olyan előfizetést, amelyet aktívan kezel), most az Azure Portalt használja, és olyan műveleteket hajt végre, amelyek biztonságossá tehetik a támadók védelmét.

MITRE-taktikák: Állandóság

Súlyosság: Közepes

Az előfizetéshez gyanús módon létrehozott emelt szintű egyéni szerepkör (előzetes verzió)

(ARM_PrivilegedRoleDefinitionCreation)

Leírás: A Microsoft Defender for Resource Manager gyanús egyéni szerepkördefiníciót észlelt az előfizetésében. Előfordulhat, hogy ezt a műveletet egy megbízható felhasználó hajtotta végre a szervezetben. Azt is jelezheti, hogy a szervezet egyik fiókját feltörték, és hogy a fenyegetést okozó szereplő egy kiemelt szerepkört próbál létrehozni a jövőben az észlelés megkerüléséhez.

MITRE-taktikák: Privilege Escalation, Defense Evasion

Súlyosság: Tájékoztató

Gyanús Azure-szerepkör-hozzárendelés észlelhető (előzetes verzió)

(ARM_AnomalousRBACRoleAssignment)

Leírás: A Microsoft Defender for Resource Manager gyanús Azure-szerepkör-hozzárendelést azonosított / amelyet a bérlőben a PIM (Privileged Identity Management) használatával hajtottak végre, ami azt jelezheti, hogy a szervezet egyik fiókja sérült. Az azonosított műveletek célja, hogy lehetővé tegyék a rendszergazdák számára az Azure-erőforrásokhoz való hozzáférést. Bár ez a tevékenység jogos lehet, a fenyegetést kérő szereplők szerepkör-hozzárendeléssel eszkalálhatják az engedélyeiket, ami lehetővé teszi számukra a támadás továbblépését.

MITRE taktika: Lateral Movement, Defense Evasion

Súlyosság: Alacsony (PIM) / Magas

Gyanús meghívás egy magas kockázatú "Hitelesítőadat-hozzáférés" művelet észlelésekor (előzetes verzió)

(ARM_AnomalousOperation.CredentialAccess)

Leírás: A Microsoft Defender for Resource Manager gyanús meghívást észlelt egy magas kockázatú művelettel az előfizetésében, ami a hitelesítő adatok elérésére tett kísérletre utalhat. Az azonosított műveletek célja, hogy a rendszergazdák hatékonyan elérhessék környezetüket. Bár ez a tevékenység jogos lehet, a fenyegetést jelölő szereplők ilyen műveleteket használhatnak a korlátozott hitelesítő adatok elérésére és az erőforrások veszélyeztetésére a környezetben. Ez azt jelezheti, hogy a fiók sérült, és rosszindulatú szándékkal használják.

MITRE-taktikák: Hitelesítő adatok elérése

Súlyosság: Közepes

Nagy kockázatú adatgyűjtési művelet gyanús meghívása (előzetes verzió)

(ARM_AnomalousOperation.Collection)

Leírás: A Microsoft Defender for Resource Manager gyanús meghívást észlelt egy magas kockázatú művelettel az előfizetésében, ami adatgyűjtési kísérletre utalhat. Az azonosított műveletek célja, hogy a rendszergazdák hatékonyan felügyelhessék környezeteiket. Bár ez a tevékenység jogos lehet, a fenyegetést jelentő szereplők ilyen műveleteket használhatnak a környezetben lévő erőforrások bizalmas adatainak gyűjtésére. Ez azt jelezheti, hogy a fiók sérült, és rosszindulatú szándékkal használják.

MITRE-taktikák: Gyűjtemény

Súlyosság: Közepes

Gyanús meghívás egy magas kockázatú "Defense Evasion" művelet észlelése (előzetes verzió)

(ARM_AnomalousOperation.DefenseEvasion)

Leírás: A Microsoft Defender for Resource Manager gyanús meghívást észlelt egy magas kockázatú művelettel az előfizetésében, ami a védelem megkerülésére tett kísérletre utalhat. Az azonosított műveletek célja, hogy a rendszergazdák hatékonyan felügyelhessék környezeteik biztonsági állapotát. Bár ez a tevékenység jogos lehet, a fenyegetést észlelő szereplők ilyen műveleteket használhatnak annak elkerülése érdekében, hogy ne legyenek észlelve, miközben veszélyeztetik az erőforrásokat a környezetben. Ez azt jelezheti, hogy a fiók sérült, és rosszindulatú szándékkal használják.

MITRE-taktikák: Védelmi kijátszás

Súlyosság: Közepes

Magas kockázatú végrehajtási művelet gyanús meghívása (előzetes verzió)

(ARM_AnomalousOperation.Execution)

Leírás: A Microsoft Defender for Resource Manager gyanús meghívást észlelt egy nagy kockázatú műveletről az előfizetésében lévő gépen, ami kód végrehajtására tett kísérletre utalhat. Az azonosított műveletek célja, hogy a rendszergazdák hatékonyan felügyelhessék környezeteiket. Bár ez a tevékenység jogos lehet, a fenyegetést jelölő szereplők ilyen műveleteket használhatnak a korlátozott hitelesítő adatok elérésére és az erőforrások veszélyeztetésére a környezetben. Ez azt jelezheti, hogy a fiók sérült, és rosszindulatú szándékkal használják.

MITRE-taktikák: Végrehajtás

Súlyosság: Közepes

Nagy kockázatú "Hatás" művelet gyanús meghívása (előzetes verzió)

(ARM_AnomalousOperation.Impact)

Leírás: A Microsoft Defender for Resource Manager gyanús meghívást észlelt egy magas kockázatú művelettel az előfizetésben, ami konfigurációmódosítási kísérletre utalhat. Az azonosított műveletek célja, hogy a rendszergazdák hatékonyan felügyelhessék környezeteiket. Bár ez a tevékenység jogos lehet, a fenyegetést jelölő szereplők ilyen műveleteket használhatnak a korlátozott hitelesítő adatok elérésére és az erőforrások veszélyeztetésére a környezetben. Ez azt jelezheti, hogy a fiók sérült, és rosszindulatú szándékkal használják.

MITRE-taktikák: Hatás

Súlyosság: Közepes

Gyanús meghívás egy magas kockázatú "Kezdeti hozzáférés" művelet észlelésekor (előzetes verzió)

(ARM_AnomalousOperation.InitialAccess)

Leírás: A Microsoft Defender for Resource Manager gyanús meghívást észlelt egy magas kockázatú művelettel az előfizetésében, ami a korlátozott erőforrások elérésére tett kísérletre utalhat. Az azonosított műveletek célja, hogy a rendszergazdák hatékonyan elérhessék környezetüket. Bár ez a tevékenység jogos lehet, a veszélyforrás-szereplők ilyen műveleteket használhatnak a környezet korlátozott erőforrásaihoz való kezdeti hozzáféréshez. Ez azt jelezheti, hogy a fiók sérült, és rosszindulatú szándékkal használják.

MITRE-taktikák: Kezdeti hozzáférés

Súlyosság: Közepes

Nagy kockázatú oldalirányú mozgást észlelő művelet gyanús meghívása (előzetes verzió)

(ARM_AnomalousOperation.LateralMovement)

Leírás: A Microsoft Defender for Resource Manager gyanús meghívást észlelt egy magas kockázatú műveletre az előfizetésben, ami az oldalirányú mozgásra tett kísérletre utalhat. Az azonosított műveletek célja, hogy a rendszergazdák hatékonyan felügyelhessék környezeteiket. Bár ez a tevékenység jogos lehet, a fenyegetést jelentő szereplő az ilyen műveleteket kihasználva több erőforrást veszélyeztethet a környezetben. Ez azt jelezheti, hogy a fiók sérült, és rosszindulatú szándékkal használják.

MITRE taktika: Oldalirányú mozgás

Súlyosság: Közepes

Gyanús emelési hozzáférési művelet (előzetes verzió)(ARM_AnomalousElevateAccess)

Leírás: A Microsoft Defender for Resource Manager gyanús "Hozzáférés emelése" műveletet észlelt. A tevékenység gyanúsnak minősül, mivel ez a rendszerbiztonsági tag ritkán hív meg ilyen műveleteket. Bár ez a tevékenység jogos lehet, a fenyegetést kezelő szereplő egy "Hozzáférés emelése" művelettel eszkalálhatja a jogosultságok eszkalálását egy sérült felhasználó számára.

MITRE-taktikák: Jogosultságok eszkalálása

Súlyosság: Közepes

Egy magas kockázatú "Adatmegőrzés" művelet gyanús meghívása észlelhető (előzetes verzió)

(ARM_AnomalousOperation.Persistence)

Leírás: A Microsoft Defender for Resource Manager gyanús meghívást észlelt egy magas kockázatú művelettel az előfizetésében, ami a megtartás megállapítására tett kísérletre utalhat. Az azonosított műveletek célja, hogy a rendszergazdák hatékonyan felügyelhessék környezeteiket. Bár ez a tevékenység jogos lehet, a fenyegetést jelentő szereplő felhasználhatja ezeket a műveleteket a környezetben való megőrzés érdekében. Ez azt jelezheti, hogy a fiók sérült, és rosszindulatú szándékkal használják.

MITRE-taktikák: Állandóság

Súlyosság: Közepes

Egy magas kockázatú "Privilege Eszkalation" művelet gyanús meghívása észlelhető (előzetes verzió)

(ARM_AnomalousOperation.PrivilegeEscalation)

Leírás: A Microsoft Defender for Resource Manager gyanús meghívást észlelt egy magas kockázatú művelettel az előfizetésében, ami a jogosultságok eszkalálására tett kísérletre utalhat. Az azonosított műveletek célja, hogy a rendszergazdák hatékonyan felügyelhessék környezeteiket. Bár ez a tevékenység jogos lehet, a fenyegetést jelentő szereplő az ilyen műveleteket kihasználva eszkalálhatja a jogosultságokat, miközben veszélyeztetheti az erőforrásokat a környezetben. Ez azt jelezheti, hogy a fiók sérült, és rosszindulatú szándékkal használják.

MITRE-taktikák: Jogosultságok eszkalálása

Súlyosság: Közepes

A MicroBurst-kihasználási eszközkészlet használata tetszőleges kód futtatásához vagy az Azure Automation-fiók hitelesítő adatainak kiszivárgásához

(ARM_MicroBurst.RunCodeOnBehalf)

Leírás: Egy PowerShell-szkriptet futtattak az előfizetésben, és gyanús mintát hajtottak végre egy tetszőleges kód végrehajtásához vagy az Azure Automation-fiók hitelesítő adatainak kiszivárgásához. A veszélyforrás-szereplők automatizált szkripteket, például a MicroBurstot használnak a rosszindulatú tevékenységek tetszőleges kódjának futtatásához. Ezt az azure Resource Manager-műveletek az előfizetésben való elemzésével észlelte. Ez a művelet azt jelezheti, hogy a szervezet egy identitását feltörték, és hogy a fenyegetést okozó szereplő rosszindulatú szándékok miatt próbálja veszélyeztetni a környezetet.

MITRE-taktikák: Adatmegőrzés, Hitelesítő adatok elérése

Súlyosság: Magas

NetSPI-technikák használata az Azure-környezetben való megőrzés fenntartásához

(ARM_NetSPI.MaintainPersistence)

Leírás: A NetSPI-adatmegőrzési technika használata webhook-háttérrendszer létrehozásához és az Azure-környezetben való megőrzéséhez. Ezt az azure Resource Manager-műveletek az előfizetésben való elemzésével észlelte.

MITRE taktika: -

Súlyosság: Magas

A PowerZure kihasználási eszközkészletének használata tetszőleges kód futtatásához vagy az Azure Automation-fiók hitelesítő adatainak kiszivárgásához

(ARM_PowerZure.RunCodeOnBehalf)

Leírás: A PowerZure kihasználási eszközkészlete kódot próbált futtatni vagy kiszúrni az Azure Automation-fiók hitelesítő adatait. Ezt az azure Resource Manager-műveletek az előfizetésben való elemzésével észlelte.

MITRE taktika: -

Súlyosság: Magas

A PowerZure függvény használata az Azure-környezetben való megőrzés fenntartásához

(ARM_PowerZure.MaintainPersistence)

Leírás: A PowerZure kihasználó eszközkészlete webhook-háttérrendszer létrehozását észlelte az Azure-környezetben való megőrzés fenntartása érdekében. Ezt az azure Resource Manager-műveletek az előfizetésben való elemzésével észlelte.

MITRE taktika: -

Súlyosság: Magas

Gyanús klasszikus szerepkör-hozzárendelés észlelhető (előzetes verzió)

(ARM_AnomalousClassicRoleAssignment)

Leírás: A Microsoft Defender for Resource Manager gyanús klasszikus szerepkör-hozzárendelést észlelt a bérlőben, ami azt jelezheti, hogy a szervezet egyik fiókja sérült. Az azonosított műveletek úgy lettek kialakítva, hogy visszamenőleges kompatibilitást biztosítsanak a már nem gyakran használt klasszikus szerepkörökkel. Bár ez a tevékenység jogos lehet, a fenyegetéselosztó az ilyen hozzárendelést arra használhatja, hogy engedélyeket adjon egy másik felhasználói fióknak az irányításuk alatt.

MITRE taktika: Lateral Movement, Defense Evasion

Súlyosság: Magas

Riasztások az Azure Storage-hoz

További részletek és megjegyzések

Hozzáférés gyanús alkalmazásból

(Storage.Blob_SuspiciousApp)

Leírás: Azt jelzi, hogy egy gyanús alkalmazás sikeresen hozzáfért egy hitelesítéssel rendelkező tárfiók tárolójába. Ez azt jelezheti, hogy a támadó megszerezte a fiók eléréséhez szükséges hitelesítő adatokat, és kihasználja azt. Ez a szervezeten belül végzett behatolási tesztre is utalhat. A következőkre vonatkozik: Azure Blob Storage, Azure Data Lake Storage Gen2

MITRE-taktikák: Kezdeti hozzáférés

Súlyosság: Magas/Közepes

Hozzáférés gyanús IP-címről

(Storage.Blob_SuspiciousIp Storage.Files_SuspiciousIp)

Leírás: Azt jelzi, hogy ezt a tárfiókot egy gyanús IP-címről sikerült elérni. Ezt a riasztást a Microsoft Threat Intelligence működteti. További információ a Microsoft fenyegetésfelderítési képességeiről. A következőkre vonatkozik: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2

MITRE-taktikák: Támadás előtti

Súlyosság: Magas/Közepes/Alacsony

Tárfiókban tárolt adathalász tartalom

(Storage.Blob_PhishingContent Storage.Files_PhishingContent)

Leírás: Az adathalász támadásokban használt URL-cím az Azure Storage-fiókra mutat. Ez az URL egy adathalász támadás része volt, amely a Microsoft 365 felhasználóit érintette. Az ilyen oldalakon tárolt tartalmak általában arra szolgálnak, hogy a látogatókat rávegyék arra, hogy a céges hitelesítő adataikat vagy pénzügyi adataikat egy megbízhatónak tűnő webes űrlapon adjanak meg. Ezt a riasztást a Microsoft Threat Intelligence működteti. További információ a Microsoft fenyegetésfelderítési képességeiről. A következőkre vonatkozik: Azure Blob Storage, Azure Files

MITRE-taktikák: Gyűjtemény

Súlyosság: Magas

A kártevők terjesztésének forrásaként azonosított tárfiók

(Storage.Files_WidespreadeAm)

Leírás: A kártevőirtó riasztások azt jelzik, hogy egy fertőzött fájl(ok) egy Azure-fájlmegosztásban tárolódnak, amely több virtuális géphez van csatlakoztatva. Ha a támadók hozzáférnek egy csatlakoztatott Azure-fájlmegosztással rendelkező virtuális géphez, azzal kártevőt terjeszthetnek más olyan virtuális gépekre, amelyek ugyanazt a megosztást csatlakoztatják. A következőkre vonatkozik: Azure Files

MITRE-taktikák: Végrehajtás

Súlyosság: Közepes

Egy potenciálisan bizalmas tároló blobtároló hozzáférési szintje módosult, hogy engedélyezve legyen a hitelesítés nélküli nyilvános hozzáférés

(Storage.Blob_OpenACL)

Leírás: A riasztás azt jelzi, hogy valaki módosította egy blobtároló hozzáférési szintjét a tárfiókban, amely bizalmas adatokat tartalmazhat, "Tároló" szintre, hogy engedélyezhesse a hitelesítés nélküli (névtelen) nyilvános hozzáférést. A módosítás az Azure Portalon történt. Statisztikai elemzés alapján a blobtárolót bizalmas adatokkal jelölik meg. Ez az elemzés arra utal, hogy a hasonló nevű blobtárolók vagy tárfiókok általában nem érhetők el nyilvános hozzáféréssel. A következőkre vonatkozik: Azure Blob (Standard általános célú v2, Azure Data Lake Storage Gen2 vagy prémium szintű blokkblobok) tárfiókok.

MITRE-taktikák: Gyűjtemény

Súlyosság: Közepes

Hitelesített hozzáférés a Tor kilépési csomópontjáról

(Storage.Blob_TorAnomaly Storage.Files_TorAnomaly)

Leírás: A tárfiók egy vagy több tárolótárolója/fájlmegosztása sikeresen el lett érve a Tor aktív kilépési csomópontjának (egy anonimizáló proxynak) nevezett IP-címről. A fenyegetéskezelők a Tor használatával megnehezítik a tevékenység visszakövetését. A Tor kilépési csomópontjáról való hitelesített hozzáférés valószínűleg azt jelzi, hogy egy fenyegetéselosztó megpróbálja elrejteni az identitását. A következőkre vonatkozik: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2

MITRE-taktikák: Kezdeti hozzáférés / támadás előtti

Súlyosság: Magas/Közepes

Hozzáférés szokatlan helyről egy tárfiókhoz

(Storage.Blob_GeoAnomaly Storage.Files_GeoAnomaly)

Leírás: Azt jelzi, hogy változás történt egy Azure Storage-fiók hozzáférési mintájában. Valaki egy ismeretlennek tartott IP-címről fért hozzá ehhez a fiókhoz a legutóbbi tevékenységhez képest. A támadó vagy hozzáférést szerzett a fiókhoz, vagy egy megbízható felhasználó új vagy szokatlan földrajzi helyről csatlakozott. Az utóbbira példa az új alkalmazásból vagy fejlesztőtől származó távoli karbantartás. A következőkre vonatkozik: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2

MITRE-taktikák: Kezdeti hozzáférés

Súlyosság: Magas/Közepes/Alacsony

Szokatlan, hitelesítés nélküli hozzáférés egy tárolóhoz

(Storage.Blob_AnonymousAccessAnomaly)

Leírás: Ez a tárfiók hitelesítés nélkül lett elérve, ami a gyakori hozzáférési minta módosítása. A tárolóhoz való olvasási hozzáférés általában hitelesítve van. Ez azt jelezheti, hogy a fenyegetést okozó szereplő képes volt kihasználni a tárfiók(ok) tárolóihoz való nyilvános olvasási hozzáférést. A következőkre vonatkozik: Azure Blob Storage

MITRE-taktikák: Kezdeti hozzáférés

Súlyosság: Magas/Alacsony

Tárfiókba feltöltött potenciális kártevők

(Storage.Blob_MalwareHashReputation Storage.Files_MalwareHashReputation)

Leírás: Azt jelzi, hogy egy potenciális kártevőt tartalmazó blob fel lett töltve egy blobtárolóba vagy egy tárfiók fájlmegosztására. Ez a riasztás a Microsoft fenyegetésintelligencia-képességeire támaszkodó kivonatolási hírnévelemzésen alapul, amely vírusokkal, trójaikkal, kémprogramokkal és zsarolóprogramokkal kapcsolatos kivonatokat is tartalmaz. A lehetséges okok közé tartozhat egy támadó által feltöltött szándékos kártevő, vagy egy potenciálisan rosszindulatú blob véletlen feltöltése egy megbízható felhasználó által. A következőkre vonatkozik: Azure Blob Storage, Azure Files (csak REST API-n keresztüli tranzakciókhoz) További információ a Microsoft fenyegetésfelderítési képességeiről.

MITRE taktika: Oldalirányú mozgás

Súlyosság: Magas

A nyilvánosan elérhető tárolók felderítve sikeresen felderítve

(Storage.Blob_OpenContainersScanning.SuccessfulDiscovery)

Leírás: A tárfiók nyilvánosan megnyitott tárolóinak sikeres felderítését az elmúlt órában egy ellenőrző szkript vagy eszköz hajtotta végre.

Ez általában felderítési támadást jelez, ahol a fenyegetést jelző szereplő tárolónevek kitalálásával próbál blobokat listázni, abban a reményben, hogy helytelenül konfigurált, bizalmas adatokat tartalmazó nyílt tárolókat talál bennük.

A veszélyforrás-szereplő használhatja a saját szkriptet, vagy használhatja az ismert ellenőrző eszközöket, például a Microburstot a nyilvánosan megnyitott tárolók kereséséhez.

✔ Azure Blob Storage ✖ Azure Files ✖ Azure Data Lake Storage Gen2

MITRE-taktikák: Gyűjtemény

Súlyosság: Magas/Közepes

A nyilvánosan elérhető tárolók vizsgálata sikertelen

(Storage.Blob_OpenContainersScanning.FailedAttempt)

Leírás: Az elmúlt órában sikertelen kísérleteket hajtottak végre a nyilvánosan megnyitott tárolók keresésére.

Ez általában felderítési támadást jelez, ahol a fenyegetést jelző szereplő tárolónevek kitalálásával próbál blobokat listázni, abban a reményben, hogy helytelenül konfigurált, bizalmas adatokat tartalmazó nyílt tárolókat talál bennük.

A veszélyforrás-szereplő használhatja a saját szkriptet, vagy használhatja az ismert ellenőrző eszközöket, például a Microburstot a nyilvánosan megnyitott tárolók kereséséhez.

✔ Azure Blob Storage ✖ Azure Files ✖ Azure Data Lake Storage Gen2

MITRE-taktikák: Gyűjtemény

Súlyosság: Magas/Alacsony

Szokatlan hozzáférés-ellenőrzés egy tárfiókban

(Storage.Blob_AccessInspectionAnomaly Storage.Files_AccessInspectionAnomaly)

Leírás: Azt jelzi, hogy a tárfiók hozzáférési engedélyeit szokatlan módon vizsgálták meg a fiók legutóbbi tevékenységeihez képest. A lehetséges ok az, hogy a támadó felderítést hajtott végre egy jövőbeli támadáshoz. A következőkre vonatkozik: Azure Blob Storage, Azure Files

MITRE-taktikák: Felderítés

Súlyosság: Magas/Közepes

Tárfiókból kinyert adatok szokatlan mennyisége

(Storage.Blob_DataExfiltration.AmountOfDataAnomaly Storage.Blob_DataExfiltration.NumberOfBlobsAnomaly Storage.Files_DataExfiltration.AmountOfDataAnomaly Storage.Files_DataExfiltration.NumberOfFilesAnomaly)

Leírás: Azt jelzi, hogy szokatlanul nagy mennyiségű adat lett kinyerve a tároló legutóbbi tevékenységeihez képest. Ennek egyik lehetséges oka, hogy a támadó nagy mennyiségű adatot kinyert egy blobtárolót tartalmazó tárolóból. A következőkre vonatkozik: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2

MITRE-taktikák: Exfiltration

Súlyosság: Magas/Alacsony

Szokatlan alkalmazás fért hozzá egy tárfiókhoz

(Storage.Blob_ApplicationAnomaly Storage.Files_ApplicationAnomaly)

Leírás: Azt jelzi, hogy egy szokatlan alkalmazás hozzáfért ehhez a tárfiókhoz. Ennek egyik lehetséges oka, hogy a támadó egy új alkalmazással fért hozzá a tárfiókhoz. A következőkre vonatkozik: Azure Blob Storage, Azure Files

MITRE-taktikák: Végrehajtás

Súlyosság: Magas/Közepes

Szokatlan adatfeltárás tárfiókban

(Storage.Blob_DataExplorationAnomaly Storage.Files_DataExplorationAnomaly)

Leírás: Azt jelzi, hogy a tárfiókban lévő blobokat vagy tárolókat rendellenes módon sorolták fel a fiók legutóbbi tevékenységeihez képest. A lehetséges ok az, hogy a támadó felderítést hajtott végre egy jövőbeli támadáshoz. A következőkre vonatkozik: Azure Blob Storage, Azure Files

MITRE-taktikák: Végrehajtás

Súlyosság: Magas/Közepes

Szokatlan törlés egy tárfiókban

(Storage.Blob_DeletionAnomaly Storage.Files_DeletionAnomaly)

Leírás: Azt jelzi, hogy egy tárfiókban egy vagy több váratlan törlési művelet történt a fiók legutóbbi tevékenységeihez képest. Ennek egyik lehetséges oka, hogy a támadó törölte az adatokat a tárfiókból. A következőkre vonatkozik: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2

MITRE-taktikák: Exfiltration

Súlyosság: Magas/Közepes

Szokatlan, nem hitelesített nyilvános hozzáférés egy bizalmas blobtárolóhoz (előzetes verzió)

Storage.Blob_AnonymousAccessAnomaly.Sensitive

Leírás: A riasztás azt jelzi, hogy valaki hitelesítés nélkül, külső (nyilvános) IP-címmel fért hozzá egy bizalmas adatokat tartalmazó blobtárolóhoz a tárfiókban. Ez a hozzáférés gyanús, mivel a blobtároló nyilvános hozzáférésre van nyitva, és általában csak belső hálózatokról (privát IP-címekről) származó hitelesítéssel érhető el. Ez a hozzáférés azt jelezheti, hogy a blobtároló hozzáférési szintje helytelenül van konfigurálva, és egy rosszindulatú szereplő kihasználhatta a nyilvános hozzáférést. A biztonsági riasztás tartalmazza a felderített bizalmas információkörnyezetet (vizsgálati idő, besorolási címke, információtípusok és fájltípusok). További információ a bizalmas adatfenyegetések észleléséről. A következőkre vonatkozik: Azure Blob (Standard általános célú v2, Azure Data Lake Storage Gen2 vagy prémium szintű blokkblobok) tárfiókok az új Defender for Storage csomaggal, amelyen engedélyezve van az adatérzékenységi fenyegetésészlelés funkció.

MITRE-taktikák: Kezdeti hozzáférés

Súlyosság: Magas

Szokatlan mennyiségű, bizalmas blobtárolóból kinyert adat (előzetes verzió)

Storage.Blob_DataExfiltration.AmountOfDataAnomaly.Sensitive

Leírás: A riasztás azt jelzi, hogy valaki szokatlanul nagy mennyiségű adatot kinyert egy olyan blobtárolóból, amely bizalmas adatokat tárol a tárfiókban. A következőkre vonatkozik: Azure Blob (Standard általános célú v2, Azure Data Lake Storage Gen2 vagy prémium szintű blokkblobok) tárfiókok az új Defender for Storage csomaggal, amelyen engedélyezve van az adatérzékenységi fenyegetésészlelés funkció.

MITRE-taktikák: Exfiltration

Súlyosság: Közepes

Egy bizalmas blobtárolóból kinyert blobok szokatlan száma (előzetes verzió)

Storage.Blob_DataExfiltration.NumberOfBlobsAnomaly.Sensitive

Leírás: A riasztás azt jelzi, hogy valaki szokatlanul nagy számú blobot vont ki egy olyan blobtárolóból, amely bizalmas adatokat tárol a tárfiókban. A következőkre vonatkozik: Azure Blob (Standard általános célú v2, Azure Data Lake Storage Gen2 vagy prémium szintű blokkblobok) tárfiókok az új Defender for Storage csomaggal, és engedélyezve van az adatérzékenységi fenyegetésészlelési funkció.

MITRE-taktikák: Exfiltration

Hozzáférés egy ismert gyanús alkalmazásból egy bizalmas blobtárolóhoz (előzetes verzió)

Storage.Blob_SuspiciousApp.Sensitive

Leírás: A riasztás azt jelzi, hogy egy ismert gyanús alkalmazással rendelkező személy hozzáfért egy blobtárolóhoz, amely bizalmas adatokat tárol a tárfiókban, és hitelesített műveleteket hajtott végre.
A hozzáférés azt jelezheti, hogy a fenyegetést okozó szereplő hitelesítő adatokat szerzett a tárfiókhoz való hozzáféréshez egy ismert gyanús alkalmazás használatával. A hozzáférés azonban a szervezetben végzett behatolási tesztet is jelezheti. A következőkre vonatkozik: Azure Blob (Standard általános célú v2, Azure Data Lake Storage Gen2 vagy prémium szintű blokkblobok) tárfiókok az új Defender for Storage csomaggal, és engedélyezve van az adatérzékenységi fenyegetésészlelési funkció.

MITRE-taktikák: Kezdeti hozzáférés

Súlyosság: Magas

Hozzáférés egy ismert gyanús IP-címről egy bizalmas blobtárolóhoz (előzetes verzió)

Storage.Blob_SuspiciousIp.Sensitive

Leírás: A riasztás azt jelzi, hogy valaki bizalmas adatokat tartalmazó blobtárolóhoz fért hozzá a Tárfiókban a Microsoft Threat Intelligence által a fenyegetési adatokkal társított ismert gyanús IP-címről. Mivel a hozzáférés hitelesítése megtörtént, lehetséges, hogy a tárfiókhoz való hozzáférést lehetővé tevő hitelesítő adatok sérültek. További információ a Microsoft fenyegetésfelderítési képességeiről. A következőkre vonatkozik: Azure Blob (Standard általános célú v2, Azure Data Lake Storage Gen2 vagy prémium szintű blokkblobok) tárfiókok az új Defender for Storage csomaggal, amelyen engedélyezve van az adatérzékenységi fenyegetésészlelés funkció.

MITRE-taktikák: Támadás előtti

Súlyosság: Magas

Hozzáférés a Tor kilépési csomópontjáról egy bizalmas blobtárolóhoz (előzetes verzió)

Storage.Blob_TorAnomaly.Sensitive

Leírás: A riasztás azt jelzi, hogy a Tor kilépési csomópontként ismert IP-címmel rendelkező személy egy bizalmas adatokat tartalmazó blobtárolóhoz fért hozzá hitelesített hozzáféréssel a tárfiókban. A Tor kilépési csomópontjának hitelesített hozzáférése erősen azt jelzi, hogy a színész névtelen maradni próbál az esetleges rosszindulatú szándékok miatt. Mivel a hozzáférés hitelesítése megtörtént, lehetséges, hogy a tárfiókhoz való hozzáférést lehetővé tevő hitelesítő adatok sérültek. A következőkre vonatkozik: Azure Blob (Standard általános célú v2, Azure Data Lake Storage Gen2 vagy prémium szintű blokkblobok) tárfiókok az új Defender for Storage csomaggal, amelyen engedélyezve van az adatérzékenységi fenyegetésészlelés funkció.

MITRE-taktikák: Támadás előtti

Súlyosság: Magas

Hozzáférés szokatlan helyről egy bizalmas blobtárolóhoz (előzetes verzió)

Storage.Blob_GeoAnomaly.Sensitive

Leírás: A riasztás azt jelzi, hogy valaki szokatlan helyről származó hitelesítéssel fért hozzá a tárfiók bizalmas adataival rendelkező blobtárolóhoz. Mivel a hozzáférés hitelesítése megtörtént, lehetséges, hogy a tárfiókhoz való hozzáférést lehetővé tevő hitelesítő adatok sérültek. A következőkre vonatkozik: Azure Blob (Standard általános célú v2, Azure Data Lake Storage Gen2 vagy prémium szintű blokkblobok) tárfiókok az új Defender for Storage csomaggal, amelyen engedélyezve van az adatérzékenységi fenyegetésészlelés funkció.

MITRE-taktikák: Kezdeti hozzáférés

Súlyosság: Közepes

A bizalmas tárblobtároló hozzáférési szintje módosult, hogy engedélyezve legyen a hitelesítés nélküli nyilvános hozzáférés (előzetes verzió)

Storage.Blob_OpenACL.Sensitive

Leírás: A riasztás azt jelzi, hogy valaki módosította egy blobtároló hozzáférési szintjét a tárfiókban, amely bizalmas adatokat tartalmaz, "Tároló" szintre, amely lehetővé teszi a hitelesítés nélküli (névtelen) nyilvános hozzáférést. A módosítás az Azure Portalon történt. A hozzáférési szint módosítása veszélyeztetheti az adatok biztonságát. Javasoljuk, hogy azonnal tegyen lépéseket az adatok védelme és a jogosulatlan hozzáférés megakadályozása érdekében, ha a riasztás aktiválódik. A következőkre vonatkozik: Azure Blob (Standard általános célú v2, Azure Data Lake Storage Gen2 vagy prémium szintű blokkblobok) tárfiókok az új Defender for Storage csomaggal, amelyen engedélyezve van az adatérzékenységi fenyegetésészlelés funkció.

MITRE-taktikák: Gyűjtemény

Súlyosság: Magas

Gyanús külső hozzáférés egy Túl megengedő SAS-jogkivonattal rendelkező Azure Storage-fiókhoz (előzetes verzió)

Storage.Blob_AccountSas.InternalSasUsedExternally

Leírás: A riasztás azt jelzi, hogy egy külső (nyilvános) IP-címmel rendelkező személy egy túlzottan megengedő SAS-jogkivonattal, hosszú lejárati dátummal fért hozzá a tárfiókhoz. Az ilyen típusú hozzáférés gyanúsnak minősül, mivel az SAS-jogkivonatot általában csak belső hálózatokban használják (privát IP-címekről). A tevékenység azt jelezheti, hogy egy SAS-jogkivonatot rosszindulatú szereplő szivárgott ki, vagy véletlenül kiszivárogt egy megbízható forrásból. Még ha a hozzáférés jogszerű is, a nagy jogosultságú SAS-jogkivonat hosszú lejárati dátummal való használata ellentmond a biztonsági ajánlott eljárásoknak, és potenciális biztonsági kockázatot jelent. A következőkre vonatkozik: Azure Blob (Standard általános célú v2, Azure Data Lake Storage Gen2 vagy prémium szintű blokkblobok) tárfiókok az új Defender for Storage csomaggal.

MITRE-taktikák: Exfiltration / Resource Development / Impact

Súlyosság: Közepes

Gyanús külső művelet egy Túl megengedő SAS-jogkivonattal rendelkező Azure Storage-fiókon (előzetes verzió)

Storage.Blob_AccountSas.UnusualOperationFromExternalIp

Leírás: A riasztás azt jelzi, hogy egy külső (nyilvános) IP-címmel rendelkező személy egy túlzottan megengedő SAS-jogkivonattal, hosszú lejárati dátummal fért hozzá a tárfiókhoz. A hozzáférés gyanúsnak minősül, mert a hálózaton kívül (nem magánhálózati IP-címekről) ezzel az SAS-jogkivonattal meghívott műveleteket általában olvasási/írási/törlési műveletek meghatározott készletéhez használják, de más műveletek is történtek, ami gyanússá teszi ezt a hozzáférést. Ez a tevékenység azt jelezheti, hogy egy SAS-jogkivonatot egy rosszindulatú szereplő kiszivárogtatott, vagy véletlenül kiszivárogt egy megbízható forrásból. Még ha a hozzáférés jogszerű is, a nagy jogosultságú SAS-jogkivonat hosszú lejárati dátummal való használata ellentmond a biztonsági ajánlott eljárásoknak, és potenciális biztonsági kockázatot jelent. A következőkre vonatkozik: Azure Blob (Standard általános célú v2, Azure Data Lake Storage Gen2 vagy prémium szintű blokkblobok) tárfiókok az új Defender for Storage csomaggal.

MITRE-taktikák: Exfiltration / Resource Development / Impact

Súlyosság: Közepes

Szokatlan SAS-jogkivonattal fért hozzá egy Azure Storage-fiókhoz egy nyilvános IP-címről (előzetes verzió)

Storage.Blob_AccountSas.UnusualExternalAccess

Leírás: A riasztás azt jelzi, hogy egy külső (nyilvános) IP-címmel rendelkező személy egy fiók SAS-jogkivonatával fért hozzá a tárfiókhoz. A hozzáférés rendkívül szokatlan, és gyanúsnak tekinthető, mivel a tárfiókhoz való hozzáférés SAS-jogkivonatokkal általában csak belső (privát) IP-címekről származik. Lehetséges, hogy egy SAS-jogkivonatot kiszivárogtatott vagy létrehozott egy rosszindulatú szereplő a szervezeten belülről vagy külsőleg, hogy hozzáférjen ehhez a tárfiókhoz. A következőkre vonatkozik: Azure Blob (Standard általános célú v2, Azure Data Lake Storage Gen2 vagy prémium szintű blokkblobok) tárfiókok az új Defender for Storage csomaggal.

MITRE-taktikák: Exfiltration / Resource Development / Impact

Súlyosság: Alacsony

Tárfiókba feltöltött rosszindulatú fájl

Storage.Blob_AM. MalwareFound

Leírás: A riasztás azt jelzi, hogy egy rosszindulatú blobot töltöttek fel egy tárfiókba. Ezt a biztonsági riasztást a Defender for Storage kártevő-vizsgálat funkciója hozza létre. A lehetséges okok közé tartozhat például a kártevő szándékos feltöltése egy fenyegetéselkülönítő által, vagy egy rosszindulatú fájl véletlen feltöltése egy megbízható felhasználó által. A következőkre vonatkozik: Azure Blob (Standard általános célú v2, Azure Data Lake Storage Gen2 vagy prémium szintű blokkblobok) tárfiókok az új Defender for Storage csomaggal, amelyen engedélyezve van a kártevő-vizsgálat funkció.

MITRE taktika: Oldalirányú mozgás

Súlyosság: Magas

Rosszindulatú blob lett letöltve egy tárfiókból (előzetes verzió)

Storage.Blob_MalwareDownload

Leírás: A riasztás azt jelzi, hogy egy rosszindulatú blobot töltöttek le egy tárfiókból. A lehetséges okok közé tartozhatnak a tárfiókba feltöltött és nem eltávolított vagy karanténba helyezett kártevők, amelyek lehetővé teszik a fenyegetést okozók számára, hogy letöltsék azt, vagy hogy a kártevőt jogszerű felhasználók vagy alkalmazások véletlenül letöltsék. A következőkre vonatkozik: Azure Blob (Standard általános célú v2, Azure Data Lake Storage Gen2 vagy prémium szintű blokkblobok) tárfiókok az új Defender for Storage csomaggal, amelyen engedélyezve van a kártevő-vizsgálat funkció.

MITRE taktika: Oldalirányú mozgás

Súlyosság: Magas, ha Eicar - alacsony

Riasztások az Azure Cosmos DB-hez

További részletek és megjegyzések

Hozzáférés tor kilépési csomópontról

(CosmosDB_TorAnomaly)

Leírás: Ezt az Azure Cosmos DB-fiókot sikeresen elérték egy ip-címről, amely a Tor aktív kilépési csomópontja, egy anonimizáló proxy. A Tor kilépési csomópontjáról való hitelesített hozzáférés valószínűleg azt jelzi, hogy egy fenyegetéselosztó megpróbálja elrejteni az identitását.

MITRE-taktikák: Kezdeti hozzáférés

Súlyosság: Magas/Közepes

Hozzáférés gyanús IP-címről

(CosmosDB_SuspiciousIp)

Leírás: Ezt az Azure Cosmos DB-fiókot egy olyan IP-címről sikerült elérni, amelyet a Microsoft Threat Intelligence fenyegetésként azonosított.

MITRE-taktikák: Kezdeti hozzáférés

Súlyosság: Közepes

Hozzáférés szokatlan helyről

(CosmosDB_GeoAnomaly)

Leírás: Ez az Azure Cosmos DB-fiók egy ismeretlennek tartott helyről lett elérve a szokásos hozzáférési minta alapján.

Vagy egy fenyegetést kezelő szereplő hozzáfért a fiókhoz, vagy egy megbízható felhasználó új vagy szokatlan földrajzi helyről csatlakozott

MITRE-taktikák: Kezdeti hozzáférés

Súlyosság: Alacsony

Szokatlan mennyiségű kinyert adat

(CosmosDB_DataExfiltrationAnomaly)

Leírás: Szokatlanul nagy mennyiségű adat lett kinyerve ebből az Azure Cosmos DB-fiókból. Ez azt jelezheti, hogy a fenyegetést okozó szereplő adatokat sikkasztott ki.

MITRE-taktikák: Exfiltration

Súlyosság: Közepes

Azure Cosmos DB-fiókkulcsok kinyerése potenciálisan rosszindulatú szkripttel

(CosmosDB_SuspiciousListKeys.MaliciousScript)

Leírás: Egy PowerShell-szkriptet futtattak az előfizetésben, és a kulcslistázási műveletek gyanús mintáját hajtották végre az Azure Cosmos DB-fiókok kulcsainak lekéréséhez az előfizetésben. A fenyegetést űzők automatizált szkriptek, például a Microburst használatával listázzák a kulcsokat, és megkeresik az általuk elérhető Azure Cosmos DB-fiókokat.

Ez a művelet azt jelezheti, hogy a szervezet egy identitását feltörték, és hogy a fenyegetést okozó szereplő rosszindulatú szándékok miatt próbálja feltörni az Azure Cosmos DB-fiókokat a környezetében.

Másik lehetőségként egy rosszindulatú bennfentes megpróbálhat hozzáférni a bizalmas adatokhoz, és oldalirányú mozgást végezni.

MITRE-taktikák: Gyűjtemény

Súlyosság: Közepes

Az Azure Cosmos DB-fiókkulcsok gyanús kinyerése (AzureCosmosDB_SuspiciousListKeys.SuspiciousPrincipal)

Leírás: Gyanús forrás kinyerte az Azure Cosmos DB-fiók hozzáférési kulcsait az előfizetéséből. Ha ez a forrás nem megbízható forrás, ez nagy hatással lehet a problémára. A kinyert hozzáférési kulcs teljes körű ellenőrzést biztosít a társított adatbázisok és a benne tárolt adatok felett. Az egyes riasztások részleteiből megtudhatja, hogy a forrás miért lett gyanúsként megjelölve.

MITRE-taktikák: Hitelesítő adatok elérése

Súlyosság: magas

SQL-injektálás: lehetséges adatkiszivárgás

(CosmosDB_SqlInjection.DataExfiltration)

Leírás: Gyanús SQL-utasítással kérdezték le a tárolót ebben az Azure Cosmos DB-fiókban.

Előfordulhat, hogy az injektált utasításnak sikerült kiszúrnia azokat az adatokat, amelyeket a fenyegetést okozó szereplő nem jogosult a hozzáférésre.

Az Azure Cosmos DB-lekérdezések struktúrája és képességei miatt az Azure Cosmos DB-fiókokra irányuló számos ismert SQL-injektálási támadás nem működik. A támadásban használt változat azonban működhet, és a fenyegetéskezelők kiszűkíthetik az adatokat.

MITRE-taktikák: Exfiltration

Súlyosság: Közepes

SQL-injektálás: elfuzzadási kísérlet

(CosmosDB_SqlInjection.FailedFuzzingAttempt)

Leírás: Gyanús SQL-utasítással kérdezték le a tárolót ebben az Azure Cosmos DB-fiókban.

Más jól ismert SQL-injektálási támadásokhoz hasonlóan ez a támadás sem fogja veszélyeztetni az Azure Cosmos DB-fiókot.

Ennek ellenére ez azt jelzi, hogy a fenyegetést okozó szereplő megpróbálja megtámadni a fiók erőforrásait, és az alkalmazás megsérülhet.

Egyes SQL-injektálási támadások sikeresek lehetnek, és adatok kiszivárgására használhatók. Ez azt jelenti, hogy ha a támadó továbbra is SQL-injektálási kísérleteket hajt végre, előfordulhat, hogy feltörik az Azure Cosmos DB-fiókot, és ki tudják szúrni az adatokat.

Ezt a fenyegetést paraméteres lekérdezésekkel megakadályozhatja.

MITRE-taktikák: Támadás előtti

Súlyosság: Alacsony

Riasztások az Azure hálózati rétegéhez

További részletek és megjegyzések

Hálózati kommunikáció rosszindulatú géppel

(Network_CommunicationWithC2)

Leírás: A hálózati forgalom elemzése azt jelzi, hogy a gépe (IP%{Victim IP}) kommunikált egy adott parancs- és vezérlőközponttal. Ha a feltört erőforrás terheléselosztó vagy application gateway, a feltételezett tevékenység azt jelezheti, hogy a háttérkészlet egy vagy több erőforrása (a terheléselosztó vagy az Application Gateway) kommunikált egy adott parancs- és vezérlőközponttal.

MITRE-taktikák: Parancs és irányítás

Súlyosság: Közepes

Lehetséges sérült gép észlelve

(Network_ResourceIpIndicatedAsMalicious)

Leírás: A fenyegetésintelligencia azt jelzi, hogy a gépet (a(z) %{Machine IP} IP-címen egy Conficker típusú kártevő veszélyeztette. A Conficker egy számítógépes féreg volt, amely a Microsoft Windows operációs rendszert célozza, és először 2008 novemberében észlelték. A Conficker több millió számítógépet fertőzött meg, köztük kormányzati, üzleti és otthoni számítógépeket több mint 200 országban/régióban, így ez a legnagyobb ismert számítógépféreg-fertőzés a 2003-as Welchia féreg óta.

MITRE-taktikák: Parancs és irányítás

Súlyosság: Közepes

Lehetséges bejövő %{Szolgáltatásnév} találgatásos kísérlet észlelhető

(Generic_Incoming_BF_OneToOne)

Leírás: A hálózati forgalomelemzés észlelte a(z) %{Victim IP} felé irányuló bejövő %{Szolgáltatásnév} kommunikációt, amely a(z) %{Támadó IP}-ről származó%{Feltört gazdagép} erőforráshoz van társítva. Ha a feltört erőforrás terheléselosztó vagy application gateway, a feltételezett bejövő forgalom a háttérkészlet egy vagy több erőforrására (a terheléselosztó vagy az application gateway esetében) lett továbbítva. A mintául szolgáló hálózati adatok a(z) %{Start Time} és a(z) %{End Time} közötti gyanús tevékenységeket jelenítik meg a(z) %{Victim Port} porton. Ez a tevékenység összhangban van a(z) %{Service Name} kiszolgálókon tett találgatásos kísérletekkel.

MITRE-taktikák: PreAttack

Súlyosság: Tájékoztató

Lehetséges bejövő SQL-találgatásos kísérletek észlelhetők

(SQL_Incoming_BF_OneToOne)

Leírás: A hálózati forgalomelemzés a(z) %{Victim IP} felé irányuló bejövő SQL-kommunikációt észlelt a(z) %{Feltört gazdagép} erőforráshoz társított %{Támadó IP}-ről. Ha a feltört erőforrás terheléselosztó vagy application gateway, a feltételezett bejövő forgalom a háttérkészlet egy vagy több erőforrására (a terheléselosztó vagy az application gateway esetében) lett továbbítva. A mintául szolgáló hálózati adatok a(z) %{Start Time} és a(z) %{Port Number} porton (%{SQL Service Type}) lévő %{Kezdési idő} és %{Befejezési idő} között gyanús tevékenységet mutatnak. Ez a tevékenység megfelel az SQL-kiszolgálók ellen indított találgatásos támadásoknak.

MITRE-taktikák: PreAttack

Súlyosság: Közepes

Lehetséges kimenő szolgáltatásmegtagadási támadás észlelhető

(DDOS)

Leírás: A hálózati forgalom elemzése a(z) %{Feltört gazdagép} erőforrásból származó rendellenes kimenő tevékenységet észlelt az üzemelő példányban. Ez a tevékenység azt jelezheti, hogy az erőforrás sérült, és most szolgáltatásmegtagadási támadásokat végez külső végpontok ellen. Ha a feltört erőforrás terheléselosztó vagy application gateway, a feltételezett tevékenység azt jelezheti, hogy a háttérkészlet egy vagy több erőforrása (a terheléselosztó vagy az Application Gateway) sérült. A kapcsolatok mennyisége alapján úgy gondoljuk, hogy a doS-támadás célpontjai valószínűleg a következő IP-címek: %{Lehetséges áldozatok}. Vegye figyelembe, hogy előfordulhat, hogy bizonyos IP-címek felé való kommunikáció jogszerű.

MITRE-taktikák: Hatás

Súlyosság: Közepes

Gyanús bejövő RDP-hálózati tevékenység több forrásból

(RDP_Incoming_BF_ManyToOne)

Leírás: A hálózati forgalomelemzés rendellenes bejövő távoli asztali protokoll (RDP) kommunikációt észlelt a(z) %{Victim IP} felé, amely a(z) %{Sérült gazdagép} erőforráshoz van társítva több forrásból. Ha a feltört erőforrás terheléselosztó vagy application gateway, a feltételezett bejövő forgalom a háttérkészlet egy vagy több erőforrására (a terheléselosztó vagy az application gateway esetében) lett továbbítva. A mintául szolgáló hálózati adatok a következőt mutatják: %{A támadó IP-címek száma} egyedi IP-címek, amelyek az erőforráshoz csatlakoznak, és ez a környezet rendellenesnek minősül. Ez a tevékenység azt jelezheti, hogy az RDP-végpontot több gazdagépről (Botnet) próbálják meg találgatásra kényszeríteni.

MITRE-taktikák: PreAttack

Súlyosság: Közepes

Gyanús bejövő RDP-hálózati tevékenység

(RDP_Incoming_BF_OneToOne)

Leírás: A hálózati forgalomelemzés rendellenes bejövő távoli asztali protokoll (RDP) kommunikációt észlelt a(z) %{Victim IP} felé a(z) %{Feltört gazdagép} erőforráshoz társított %{Támadó IP}-ről. Ha a feltört erőforrás terheléselosztó vagy application gateway, a feltételezett bejövő forgalom a háttérkészlet egy vagy több erőforrására (a terheléselosztó vagy az application gateway esetében) lett továbbítva. A mintául szolgáló hálózati adatok a következőt mutatják: %{A Csatlakozás ions} bejövő kapcsolatai az erőforráshoz, amely a környezet szempontjából rendellenesnek minősül. Ez a tevékenység arra utalhat, hogy az RDP-végpontot találgatásra próbálták kényszeríteni

MITRE-taktikák: PreAttack

Súlyosság: Közepes

Gyanús bejövő SSH-hálózati tevékenység több forrásból

(SSH_Incoming_BF_ManyToOne)

Leírás: A hálózati forgalomelemzés rendellenes bejövő SSH-kommunikációt észlelt a(z) %{Victim IP} felé, amely a(z) %{Sérült gazdagép} erőforráshoz van társítva több forrásból. Ha a feltört erőforrás terheléselosztó vagy application gateway, a feltételezett bejövő forgalom a háttérkészlet egy vagy több erőforrására (a terheléselosztó vagy az application gateway esetében) lett továbbítva. A mintául szolgáló hálózati adatok a következőt mutatják: %{A támadó IP-címek száma} egyedi IP-címek, amelyek az erőforráshoz csatlakoznak, és ez a környezet rendellenesnek minősül. Ez a tevékenység azt jelezheti, hogy megpróbálják az SSH-végpontot több gazdagéptől (Botnet) kikényszeríteni

MITRE-taktikák: PreAttack

Súlyosság: Közepes

Gyanús bejövő SSH-hálózati tevékenység

(SSH_Incoming_BF_OneToOne)

Leírás: A hálózati forgalomelemzés rendellenes bejövő SSH-kommunikációt észlelt a(z) %{Victim IP} felé a(z) %{Feltört gazdagép} erőforráshoz társított%{Támadó IP}-ről. Ha a feltört erőforrás terheléselosztó vagy application gateway, a feltételezett bejövő forgalom a háttérkészlet egy vagy több erőforrására (a terheléselosztó vagy az application gateway esetében) lett továbbítva. A mintául szolgáló hálózati adatok a következőt mutatják: %{A Csatlakozás ions} bejövő kapcsolatai az erőforráshoz, amely a környezet szempontjából rendellenesnek minősül. Ez a tevékenység arra utalhat, hogy az SSH-végpontot találgatásra próbálták kényszeríteni

MITRE-taktikák: PreAttack

Súlyosság: Közepes

Gyanús kimenő %{Támadási protokoll} forgalom észlelhető

(PortScanning)

Leírás: A hálózati forgalom elemzése gyanús kimenő forgalmat észlelt a(z) %{Feltört gazdagép} és a célport %{Leggyakoribb port} között. Ha a feltört erőforrás terheléselosztó vagy application gateway, a feltételezett kimenő forgalom a háttérkészlet egy vagy több erőforrásához (a terheléselosztóhoz vagy az application gatewayhez) származik. Ez a viselkedés azt jelezheti, hogy az erőforrás részt vesz a(z) %{Attacked Protocol} találgatásos kísérletekben vagy portsöprő támadásokban.

MITRE-taktikák: Felderítés

Súlyosság: Közepes

Gyanús kimenő RDP-hálózati tevékenység több célhelyre

(RDP_Outgoing_BF_OneToMany)

Leírás: A hálózati forgalomelemzés rendellenes kimenő távoli asztali protokoll (RDP) kommunikációt észlelt több célhely felé, amely a(z) %{Feltört gazdagép} (%{Támadó IP}) nevű erőforrásból származik, amely az üzembe helyezés egyik erőforrása. Ha a feltört erőforrás terheléselosztó vagy application gateway, a feltételezett kimenő forgalom a háttérkészlet egy vagy több erőforrásához (a terheléselosztóhoz vagy az application gatewayhez) származik. A mintául szolgáló hálózati adatok azt mutatják, hogy a gép %{A megtámadott IP-címek száma} egyedi IP-címekhez csatlakozik, és ez a környezet rendellenesnek minősül. Ez a tevékenység azt jelezheti, hogy az erőforrás sérült, és most a külső RDP-végpontok találgatására szolgál. Megjegyzendő, hogy ez a tevékenység külső entitások számára rosszindulatúként sorolhatja be az Ön IP-címét is.

MITRE-taktikák: Felderítés

Súlyosság: Magas

Gyanús kimenő RDP-hálózati tevékenység

(RDP_Outgoing_BF_OneToOne)

Leírás: A hálózati forgalomelemzés rendellenes kimenő távoli asztali protokoll (RDP) kommunikációt észlelt a(z) %{Victim IP} felé, amely a(z) %{Feltört gazdagép} (%{Támadó IP}) nevű erőforrásból származik, amely az üzemelő példány egyik erőforrása. Ha a feltört erőforrás terheléselosztó vagy application gateway, a feltételezett kimenő forgalom a háttérkészlet egy vagy több erőforrásához (a terheléselosztóhoz vagy az application gatewayhez) származik. A mintában szereplő hálózati adatok a következőt mutatják: %{A Csatlakozás ions} kimenő kapcsolatainak száma az erőforrásból, amely a környezet szempontjából rendellenesnek minősül. Ez a tevékenység azt jelezheti, hogy a gép sérült, és most a külső RDP-végpontok találgatására szolgál. Megjegyzendő, hogy ez a tevékenység külső entitások számára rosszindulatúként sorolhatja be az Ön IP-címét is.

MITRE taktika: Oldalirányú mozgás

Súlyosság: Magas

Gyanús kimenő SSH-hálózati tevékenység több célhelyre

(SSH_Outgoing_BF_OneToMany)

Leírás: A hálózati forgalomelemzés rendellenes kimenő SSH-kommunikációt észlelt a(z) %{Feltört gazdagép} (%{Támadó IP}) erőforrásból származó több célhely felé, amely az üzemelő példány egyik erőforrása. Ha a feltört erőforrás terheléselosztó vagy application gateway, a feltételezett kimenő forgalom a háttérkészlet egy vagy több erőforrásához (a terheléselosztóhoz vagy az application gatewayhez) származik. A mintában szereplő hálózati adatok konkrétan azt mutatják, hogy az erőforrás %{A megtámadott IP-címek száma} egyedi IP-címekhez csatlakozik, és ez a környezet rendellenesnek minősül. Ez a tevékenység azt jelezheti, hogy az erőforrás sérült, és most a külső SSH-végpontok találgatására szolgál. Megjegyzendő, hogy ez a tevékenység külső entitások számára rosszindulatúként sorolhatja be az Ön IP-címét is.

MITRE-taktikák: Felderítés

Súlyosság: Közepes

Gyanús kimenő SSH-hálózati tevékenység

(SSH_Outgoing_BF_OneToOne)

Leírás: A hálózati forgalomelemzés rendellenes kimenő SSH-kommunikációt észlelt a(z) %{Victim IP} felé, amely a(z) %{Compromised Host} (%{Támadó IP}) erőforrásból származik az üzemelő példányban. Ha a feltört erőforrás terheléselosztó vagy application gateway, a feltételezett kimenő forgalom a háttérkészlet egy vagy több erőforrásához (a terheléselosztóhoz vagy az application gatewayhez) származik. A mintában szereplő hálózati adatok a következőt mutatják: %{A Csatlakozás ions} kimenő kapcsolatainak száma az erőforrásból, amely a környezet szempontjából rendellenesnek minősül. Ez a tevékenység azt jelezheti, hogy az erőforrás sérült, és most a külső SSH-végpontok találgatására szolgál. Megjegyzendő, hogy ez a tevékenység külső entitások számára rosszindulatúként sorolhatja be az Ön IP-címét is.

MITRE taktika: Oldalirányú mozgás

Súlyosság: Közepes

(Network_TrafficFromUnrecommendedIP)

Leírás: Felhőhöz készült Microsoft Defender a letiltandó IP-címekről érkező bejövő forgalmat észlelte. Ez általában akkor fordul elő, ha ez az IP-cím nem kommunikál rendszeresen ezzel az erőforrással. Másik lehetőségként az IP-címet rosszindulatúként jelölte meg Felhőhöz készült Defender fenyegetésfelderítési forrásai.

MITRE-taktikák: Próba

Súlyosság: Tájékoztató

Riasztások az Azure Key Vaulthoz

További részletek és megjegyzések

Hozzáférés gyanús IP-címről kulcstartóhoz

(KV_SuspiciousIPAccess)

Leírás: Egy kulcstartóhoz sikeresen hozzáfért egy IP-cím, amelyet a Microsoft Threat Intelligence gyanús IP-címként azonosított. Ez azt jelezheti, hogy az infrastruktúra sérült. Javasoljuk, hogy további vizsgálatot. További információ a Microsoft fenyegetésfelderítési képességeiről.

MITRE-taktikák: Hitelesítő adatok elérése

Súlyosság: Közepes

Hozzáférés tor kilépési csomópontról kulcstartóhoz

(KV_TORAccess)

Leírás: Egy kulcstartó egy ismert TOR-kilépési csomópontról lett elérve. Ez arra utalhat, hogy a fenyegetést okozó szereplő hozzáfért a kulcstartóhoz, és a TOR-hálózatot használja a forráshely elrejtéséhez. Javasoljuk, hogy további vizsgálatokat.

MITRE-taktikák: Hitelesítő adatok elérése

Súlyosság: Közepes

Nagy mennyiségű művelet egy kulcstartóban

(KV_OperationVolumeAnomaly)

Leírás: Egy felhasználó, szolgáltatásnév és/vagy egy adott kulcstartó rendellenes számú kulcstartóműveletet hajtott végre. Ez a rendellenes tevékenységminta jogos lehet, de azt jelezheti, hogy a fenyegetést okozó szereplő hozzáfért a kulcstartóhoz és a benne lévő titkos kulcsokhoz. Javasoljuk, hogy további vizsgálatokat.

MITRE-taktikák: Hitelesítő adatok elérése

Súlyosság: Közepes

Gyanús szabályzatmódosítás és titkos lekérdezés egy kulcstartóban

(KV_PutGetAnomaly)

Leírás: Egy felhasználó vagy szolgáltatásnév rendellenes tárolóhely-módosítási műveletet hajtott végre, amelyet egy vagy több Titkos kulcs lekérése művelet követ. Ezt a mintát általában nem a megadott felhasználó vagy szolgáltatásnév hajtja végre. Ez lehet jogszerű tevékenység, de azt jelezheti, hogy a fenyegetést okozó szereplő frissítette a key vault szabályzatát a korábban elérhetetlen titkos kódok eléréséhez. Javasoljuk, hogy további vizsgálatokat.

MITRE-taktikák: Hitelesítő adatok elérése

Súlyosság: Közepes

Gyanús titkos listázás és lekérdezés egy kulcstárolóban

(KV_ListGetAnomaly)

Leírás: Egy felhasználó vagy szolgáltatásnév rendellenes titkoslista-műveletet hajtott végre, amelyet egy vagy több Titkos kód lekérése művelet követ. Ezt a mintát általában nem a megadott felhasználó vagy szolgáltatási megbízó hajtja végre, és jellemzően a titokdömpinghez kapcsolódik. Ez lehet jogszerű tevékenység, de azt jelezheti, hogy a fenyegetést okozó szereplő hozzáfért a kulcstartóhoz, és olyan titkos kulcsokat próbál felderíteni, amelyek segítségével oldalirányban mozoghat a hálózaton, és/vagy hozzáférhet a bizalmas erőforrásokhoz. Javasoljuk, hogy további vizsgálatokat.

MITRE-taktikák: Hitelesítő adatok elérése

Súlyosság: Közepes

Szokatlan hozzáférés megtagadva – A nagy mennyiségű kulcstartóhoz hozzáférő felhasználó megtagadva

(KV_AccountVolumeAccessDeniedAnomaly)

Leírás: Egy felhasználó vagy szolgáltatásnév az elmúlt 24 órában rendellenesen nagy mennyiségű kulcstartóhoz próbált hozzáférni. Ez a rendellenes hozzáférési minta lehet jogszerű tevékenység. Bár ez a kísérlet sikertelen volt, a key vault és a benne lévő titkos kulcsok elérésének lehetséges kísérletére utalhat. Javasoljuk, hogy további vizsgálatokat.

MITRE-taktikák: Felderítés

Súlyosság: Alacsony

Szokatlan hozzáférés megtagadva – A key vaulthoz való szokatlan hozzáférés megtagadva

(KV_UserAccessDeniedAnomaly)

Leírás: A kulcstartóhoz való hozzáférést olyan felhasználó kísérelte meg, aki általában nem fér hozzá, ez a rendellenes hozzáférési minta lehet jogszerű tevékenység. Bár ez a kísérlet sikertelen volt, a key vault és a benne lévő titkos kulcsok elérésének lehetséges kísérletére utalhat.

MITRE-taktikák: Kezdeti hozzáférés, Felderítés

Súlyosság: Alacsony

Szokatlan alkalmazás fért hozzá egy kulcstartóhoz

(KV_AppAnomaly)

Leírás: Egy kulcstartóhoz olyan szolgáltatásnév fért hozzá, amely általában nem fér hozzá. Ez a rendellenes hozzáférési minta lehet jogszerű tevékenység, de azt jelezheti, hogy a fenyegetést okozó szereplő hozzáfért a kulcstartóhoz, hogy megpróbálja elérni a benne lévő titkos kulcsokat. Javasoljuk, hogy további vizsgálatokat.

MITRE-taktikák: Hitelesítő adatok elérése

Súlyosság: Közepes

Szokatlan műveleti minta egy kulcstartóban

(KV_OperationPatternAnomaly)

Leírás: A kulcstartó műveleteinek rendellenes mintáját egy felhasználó, egy szolgáltatásnév és/vagy egy adott kulcstartó hajtotta végre. Ez a rendellenes tevékenységminta jogos lehet, de azt jelezheti, hogy a fenyegetést okozó szereplő hozzáfért a kulcstartóhoz és a benne lévő titkos kulcsokhoz. Javasoljuk, hogy további vizsgálatokat.

MITRE-taktikák: Hitelesítő adatok elérése

Súlyosság: Közepes

Szokatlan felhasználó fért hozzá egy kulcstartóhoz

(KV_UserAnomaly)

Leírás: Egy kulcstartóhoz olyan felhasználó fért hozzá, aki általában nem fér hozzá. Ez a rendellenes hozzáférési minta lehet jogszerű tevékenység, de azt jelezheti, hogy a fenyegetést okozó szereplő hozzáfért a kulcstartóhoz, hogy megpróbálja elérni a benne lévő titkos kulcsokat. Javasoljuk, hogy további vizsgálatokat.

MITRE-taktikák: Hitelesítő adatok elérése

Súlyosság: Közepes

Szokatlan felhasználói-alkalmazáspárok fértek hozzá egy kulcstartóhoz

(KV_UserAppAnomaly)

Leírás: A kulcstartóhoz egy olyan felhasználó-szolgáltatás egyszerű párja fért hozzá, amely általában nem fér hozzá. Ez a rendellenes hozzáférési minta lehet jogszerű tevékenység, de azt jelezheti, hogy a fenyegetést okozó szereplő hozzáfért a kulcstartóhoz, hogy megpróbálja elérni a benne lévő titkos kulcsokat. Javasoljuk, hogy további vizsgálatokat.

MITRE-taktikák: Hitelesítő adatok elérése

Súlyosság: Közepes

A felhasználó nagy mennyiségű kulcstartóhoz fért hozzá

(KV_AccountVolumeAnomaly)

Leírás: Egy felhasználó vagy szolgáltatásnév rendellenesen nagy mennyiségű kulcstartóhoz fért hozzá. Ez a rendellenes hozzáférési minta lehet jogszerű tevékenység, de azt jelezheti, hogy a fenyegetést okozó szereplő több kulcstartóhoz is hozzáfért, hogy megpróbálja elérni a bennük lévő titkos kulcsokat. Javasoljuk, hogy további vizsgálatokat.

MITRE-taktikák: Hitelesítő adatok elérése

Súlyosság: Közepes

Hozzáférés megtagadva gyanús IP-címről kulcstartóhoz

(KV_SuspiciousIPAccessDenied)

Leírás: Sikertelen kulcstartó-hozzáférést kísérelt meg egy IP- cím, amelyet a Microsoft Threat Intelligence gyanús IP-címként azonosított. Bár ez a kísérlet sikertelen volt, azt jelzi, hogy az infrastruktúra megsérülhetett. Javasoljuk, hogy további vizsgálatokat.

MITRE-taktikák: Hitelesítő adatok elérése

Súlyosság: Alacsony

Szokatlan hozzáférés a kulcstartóhoz egy gyanús IP-címről (nem Microsoft vagy külső)

(KV_UnusualAccessSuspiciousIP)

Leírás: Egy felhasználó vagy szolgáltatásnév az elmúlt 24 órában nem Microsoft IP-címről próbált rendellenes hozzáférést elérni a kulcstartókhoz. Ez a rendellenes hozzáférési minta lehet jogszerű tevékenység. Ez arra utalhat, hogy lehetséges kísérlet a kulcstartó és a benne lévő titkos kulcsok elérésére. Javasoljuk, hogy további vizsgálatokat.

MITRE-taktikák: Hitelesítő adatok elérése

Súlyosság: Közepes

Riasztások az Azure DDoS Protectionhez

További részletek és megjegyzések

DDoS-támadás észlelhető a nyilvános IP-címhez

(NETWORK_DDOS_DETECTED)

Leírás: A nyilvános IP-címhez (IP-címhez) észlelt DDoS-támadást enyhítik.

MITRE-taktikák: Próba

Súlyosság: Magas

DDoS-támadás elhárítva a nyilvános IP-címhez

(NETWORK_DDOS_MITIGATED)

Leírás: DDoS-támadás elhárítva a nyilvános IP-cím (IP-cím) esetében.

MITRE-taktikák: Próba

Súlyosság: Alacsony

Riasztások az API-khoz készült Defenderhez

Gyanús populációszintű csúcs az API-végpont felé történő API-forgalomban

(API_PopulationSpikeInAPITraffic)

Leírás: Gyanús kiugró API-forgalom észlelhető az egyik API-végponton. Az észlelési rendszer előzményforgalmi mintákat használt az ÖSSZES IP-cím és a végpont közötti rutin API-forgalom mennyiségének alapkonfigurációjának meghatározásához, és az alapkonfiguráció az egyes állapotkódok API-forgalmára jellemző (például 200 Success). Az észlelési rendszer szokatlan eltérést jelölt meg az alapkonfigurációtól, ami gyanús tevékenység észleléséhez vezetett.

MITRE-taktikák: Hatás

Súlyosság: Közepes

Gyanús csúcs az API-forgalomban egyetlen IP-címről egy API-végpontra

(API_SpikeInAPITraffic)

Leírás: Gyanús kiugró API-forgalmat észleltek egy ügyfél IP-címéről az API-végpontra. Az észlelési rendszer előzményforgalmi mintákat használt a rutin API-forgalom mennyiségének alapkonfigurációjának meghatározásához egy adott IP-címről a végpontra érkező végpont felé. Az észlelési rendszer szokatlan eltérést jelölt meg az alapkonfigurációtól, ami gyanús tevékenység észleléséhez vezetett.

MITRE-taktikák: Hatás

Súlyosság: Közepes

Szokatlanul nagy válasz hasznos adat egy IP-cím és egy API-végpont között

(API_SpikeInPayload)

Leírás: Gyanúsan megugrott az API-válasz hasznos adatmérete az egyetlen IP-cím és az EGYIK API-végpont közötti forgalom esetében. Az elmúlt 30 nap korábbi forgalmi mintái alapján a Defender for API-k egy alapkonfigurációt ismernek meg, amely egy adott IP-cím és API-végpont közötti jellemző API-válasz hasznos adatméretét jelöli. A tanult alapkonfiguráció az egyes állapotkódok API-forgalmára vonatkozik (például 200 Sikeresség). A riasztás azért aktiválódott, mert az API-válasz hasznos adatmérete jelentősen eltért az előzménykonfigurációtól.

MITRE-taktikák: Kezdeti hozzáférés

Súlyosság: Közepes

Szokatlanul nagy kérelemtörzs, amely egyetlen IP-cím és EGY API-végpont között van továbbítva

(API_SpikeInPayload)

Leírás: Gyanúsan megugrott az API-kérés törzsmérete az egyetlen IP-cím és az EGYIK API-végpont közötti forgalom esetében. Az elmúlt 30 nap korábbi forgalmi mintái alapján a Defender for API-k olyan alapkonfigurációt ismernek meg, amely egy adott IP-cím és API-végpont közötti tipikus API-kérés törzsméretét jelöli. A tanult alapkonfiguráció az egyes állapotkódok API-forgalmára vonatkozik (például 200 Sikeresség). A riasztás azért lett aktiválva, mert az API-kérések mérete jelentősen eltért a korábbi alapkonfigurációtól.

MITRE-taktikák: Kezdeti hozzáférés

Súlyosság: Közepes

(Előzetes verzió) Gyanús késés az egyetlen IP-cím és egy API-végpont közötti forgalom esetében

(API_SpikeInLatency)

Leírás: Gyanús késési csúcsot észleltek az egyetlen IP-cím és az EGYIK API-végpont közötti forgalom esetében. Az elmúlt 30 nap korábbi forgalmi mintái alapján a Defender for API-k olyan alapkonfigurációt ismernek meg, amely egy adott IP- és API-végpont közötti rutin API-forgalom késését jelzi. A tanult alapkonfiguráció az egyes állapotkódok API-forgalmára vonatkozik (például 200 Sikeresség). A riasztás azért lett aktiválva, mert az API-hívások késése jelentősen eltért az előzménykonfigurációtól.

MITRE-taktikák: Kezdeti hozzáférés

Súlyosság: Közepes

Az API egyetlen IP-címről szokatlanul nagy számú különböző API-végpontra irányuló permetezést kér

(API_SprayInRequests)

Leírás: Egyetlen IP-címet figyeltek meg, amely szokatlanul nagy számú különböző végpontra indított API-hívásokat. Az elmúlt 30 nap korábbi forgalmi mintái alapján a Defenders for API-k olyan alapkonfigurációt ismernek meg, amely az egyetlen IP-cím által 20 perces ablakokon keresztül hívott különböző végpontok tipikus számát jelöli. A riasztás azért aktiválódott, mert egyetlen IP-cím viselkedése jelentősen eltért a korábbi alapkonfigurációtól.

MITRE-taktikák: Felderítés

Súlyosság: Közepes

Paraméterek számbavétele API-végponton

(API_ParameterEnumeration)

Leírás: Egyetlen IP-címet figyeltünk meg, amely paramétereket sorolt fel az EGYIK API-végpont elérésekor. Az elmúlt 30 nap korábbi forgalmi mintái alapján a Defender for API-k egy olyan alapkonfigurációt tanulnak meg, amely az egyetlen IP-cím által a végpont 20 perces ablakok közötti elérésekor használt eltérő paraméterértékek tipikus számát jelöli. A riasztás azért lett aktiválva, mert egy ügyfél IP-címe nemrég szokatlanul nagy számú különböző paraméterérték használatával fért hozzá egy végponthoz.

MITRE-taktikák: Kezdeti hozzáférés

Súlyosság: Közepes

Elosztott paraméter enumerálása API-végponton

(API_DistributedParameterEnumeration)

Leírás: Az összesített felhasználói populáció (az összes IP-cím) a paraméterek számbavételét figyelte meg az API-végpontok egyikének elérésekor. Az elmúlt 30 nap korábbi forgalmi mintái alapján a Defender for API-k egy olyan alapkonfigurációt ismernek meg, amely a felhasználói sokaság (az összes IP-cím) által a végpontok 20 perces ablakok közötti elérésekor használt különböző paraméterértékek tipikus számát jelöli. A riasztás azért lett aktiválva, mert a felhasználói sokaság nemrégiben szokatlanul nagy számú különböző paraméterérték használatával fért hozzá egy végponthoz.

MITRE-taktikák: Kezdeti hozzáférés

Súlyosság: Közepes

Paraméterérték(ek) rendellenes adattípusokkal egy API-hívásban

(API_UnseenParamType)

Leírás: Egyetlen IP-címet figyeltek meg az egyik API-végpont elérésekor, és alacsony valószínűségű adattípus paraméterértékeit használták (például sztring, egész szám stb.). Az elmúlt 30 nap korábbi forgalmi mintái alapján a Defender for API-k megismerik az egyes API-paraméterek várt adattípusait. A riasztás azért lett aktiválva, mert egy IP-cím a közelmúltban egy korábban alacsony valószínűségű adattípust használó végponthoz fért hozzá paraméterbemenetként.

MITRE-taktikák: Hatás

Súlyosság: Közepes

Korábban nem használt paraméter egy API-hívásban

(API_UnseenParam)

Leírás: Egyetlen IP-címet figyeltek meg, amely egy korábban nem látott vagy nem határolt paraméter használatával fért hozzá az EGYIK API-végponthoz a kérelemben. Az elmúlt 30 nap korábbi forgalmi mintái alapján a Defender for API-k megismerik a végpontra irányuló hívásokhoz társított várt paramétereket. A riasztás azért lett aktiválva, mert egy IP-cím nemrég egy korábban nem látott paraméterrel fért hozzá egy végponthoz.

MITRE-taktikák: Hatás

Súlyosság: Közepes

Hozzáférés a Tor kilépési csomópontjáról egy API-végponthoz

(API_AccessFromTorExitNode)

Leírás: A Tor-hálózat egyik IP-címe hozzáfért az egyik API-végponthoz. A Tor egy olyan hálózat, amely lehetővé teszi az emberek számára, hogy hozzáférjenek az internethez, miközben rejtve tartják a valódi IP-címüket. Bár vannak jogos felhasználási módok, a támadók gyakran használják személyazonosságuk elrejtésére, amikor online célba veszi az emberek rendszereit.

MITRE-taktikák: Támadás előtti

Súlyosság: Közepes

API-végpont hozzáférése gyanús IP-címről

(API_AccessFromSuspiciousIP)

Leírás: Az egyik API-végponthoz hozzáférő IP-címet a Microsoft Threat Intelligence nagy valószínűséggel fenyegetésként azonosította. A rosszindulatú internetes forgalom megfigyelése közben ez az IP-cím más online célpontok támadásában is szerepet kapott.

MITRE-taktikák: Támadás előtti

Súlyosság: Magas

Gyanús felhasználói ügynök észlelhető

(API_AccessFromSuspiciousUserAgent)

Leírás: Az egyik API-végpontot elérő kérés felhasználói ügynöke rendellenes értékeket tartalmazott, amelyek távoli kódvégrehajtási kísérletre utalnak. Ez nem jelenti azt, hogy bármelyik API-végpontot feltörték, de arra utal, hogy támadási kísérlet van folyamatban.

MITRE-taktikák: Végrehajtás

Súlyosság: Közepes

Elavult Defender for Containers riasztások

Az alábbi listák tartalmazzák az elavult Defender for Containers biztonsági riasztásokat.

Az észlelt gazdagép tűzfalának kezelése

(K8S. NODE_FirewallDisabled)

Leírás: A tárolón vagy közvetlenül a Kubernetes-csomóponton futó folyamatok elemzése észlelte a gazdagép tűzfalának lehetséges manipulálását. A támadók ezt gyakran letiltják az adatok kiszűréséhez.

MITRE-taktikák: DefenseEvasion, Exfiltration

Súlyosság: Közepes

DNS gyanús használata HTTPS-en keresztül

(K8S. NODE_SuspiciousDNSOverHttps)

Leírás: A tárolón vagy közvetlenül a Kubernetes-csomóponton futó folyamatok elemzése szokatlan módon észlelte a HTTPS-n keresztüli DNS-hívás használatát. Ezt a technikát használják a támadók arra, hogy elrejtsék a gyanús vagy rosszindulatú webhelyekre irányuló hívásokat.

MITRE-taktikák: DefenseEvasion, Exfiltration

Súlyosság: Közepes

A rendszer lehetséges kapcsolatot észlelt a rosszindulatú helyekkel.

(K8S. NODE_ThreatIntelCommandLineSuspectDomain)

Leírás: A tárolón vagy közvetlenül a Kubernetes-csomóponton futó folyamatok elemzése olyan helyhez való kapcsolatot észlelt, amelyről azt jelentették, hogy rosszindulatú vagy szokatlan. Ez azt jelzi, hogy lehetséges, hogy kompromisszum történt.

MITRE-taktikák: InitialAccess

Súlyosság: Közepes

Digitális pénznembányászati tevékenység

(K8S. NODE_CurrencyMining)

Leírás: A digitális pénznembányászati tevékenységet észlelt DNS-tranzakciók elemzése. Az ilyen tevékenységet, bár lehetséges, hogy a felhasználók viselkedése jogszerű, gyakran hajtják végre a támadók az erőforrások feltörése után. A tipikus támadói tevékenység valószínűleg magában foglalja a gyakori bányászati eszközök letöltését és végrehajtását.

MITRE-taktikák: Exfiltration

Súlyosság: Alacsony

Elavult Defender for Servers Linux-riasztások

VM_AbnormalDaemonTermination

Riasztás megjelenítendő neve: Rendellenes megszakítás

Súlyosság: Alacsony

VM_BinaryGeneratedFromCommandLine

Riasztás megjelenítendő neve: Gyanús bináris észlelés

Súlyosság: Közepes

VM_CommandlineSuspectDomain gyanús

Riasztás megjelenítendő neve: tartománynév-hivatkozás

Súlyosság: Alacsony

VM_CommonBot

Riasztás megjelenítendő neve: Az észlelt gyakori Linux-robotokhoz hasonló viselkedés

Súlyosság: Közepes

VM_CompCommonBots

Riasztás megjelenítendő neve: A gyakran észlelt Linux-robotokhoz hasonló parancsok

Súlyosság: Közepes

VM_CompSuspiciousScript

Riasztás megjelenítendő neve: Rendszerhéjszkript észlelve

Súlyosság: Közepes

VM_CompTestRule

Riasztás megjelenítendő neve: Összetett elemzési tesztriasztás

Súlyosság: Alacsony

VM_CronJobAccess

Riasztás megjelenítendő neve: Az észlelt ütemezett tevékenységek kezelése

Súlyosság: Tájékoztató

VM_CryptoCoinMinerArtifacts

Riasztás megjelenítendő neve: A digitális pénznembányászattal társított folyamat észlelhető

Súlyosság: Közepes

VM_CryptoCoinMinerDownload

Riasztás megjelenítendő neve: Lehetséges Cryptocoinminer-letöltés észlelhető

Súlyosság: Közepes

VM_CryptoCoinMinerExecution

Riasztás megjelenítendő neve: Lehetséges kriptopénz-bányász indult

Súlyosság: Közepes

VM_DataEgressArtifacts

Riasztás megjelenítendő neve: Lehetséges adatkiszivárgás észlelhető

Súlyosság: Közepes

VM_DigitalCurrencyMining

Riasztás megjelenítendő neve: Digitális pénznembányászattal kapcsolatos viselkedés észlelhető

Súlyosság: Magas

VM_DownloadAndRunCombo

Riasztás megjelenítendő neve: Gyanús letöltés, majd tevékenység futtatása

Súlyosság: Közepes

VM_EICAR

Riasztás megjelenítendő neve: Felhőhöz készült Microsoft Defender tesztriasztás (nem fenyegetés)

Súlyosság: Magas

VM_ExecuteHiddenFile

Riasztás megjelenítendő neve: Rejtett fájl végrehajtása

Súlyosság: Tájékoztató

VM_ExploitAttempt

Riasztás megjelenítendő neve: Lehetséges parancssori kihasználási kísérlet

Súlyosság: Közepes

VM_ExposedDocker

Riasztás megjelenítendő neve: Közzétett Docker-démon a TCP-szoftvercsatornán

Súlyosság: Közepes

VM_FairwareMalware

Riasztás megjelenítendő neve: Az észlelt Fairware ransomware-hez hasonló viselkedés

Súlyosság: Közepes

VM_FirewallDisabled

Riasztás megjelenítendő neve: Az észlelt gazdagép tűzfalának kezelése

Súlyosság: Közepes

VM_HadoopYarnExploit

Riasztás megjelenítendő neve: A Hadoop Yarn lehetséges kiaknázása

Súlyosság: Közepes

VM_HistoryFileCleared

Riasztás megjelenítendő neve: Törölve lett egy előzményfájl

Súlyosság: Közepes

VM_KnownLinuxAttackTool

Riasztás megjelenítendő neve: Lehetséges támadási eszköz észlelhető

Súlyosság: Közepes

VM_KnownLinuxCredentialAccessTool

Riasztás megjelenítendő neve: Lehetséges hitelesítőadat-hozzáférési eszköz észlelhető

Súlyosság: Közepes

VM_KnownLinuxDDoSToolkit

Riasztás megjelenítendő neve: A DDOS-eszközkészlethez társított jelzők észlelhetők

Súlyosság: Közepes

VM_KnownLinuxScreenshotTool

Riasztás megjelenítendő neve: Képernyőkép a gazdagépen

Súlyosság: Alacsony

VM_LinuxBackdoorArtifact

Riasztás megjelenítendő neve: Lehetséges háttérrendszer észlelhető

Súlyosság: Közepes

VM_LinuxReconnaissance

Riasztás megjelenítendő neve: Helyi gazdagép felderítése észlelhető

Súlyosság: Közepes

VM_MismatchedScriptFeatures

Riasztás megjelenítendő neve: A szkriptbővítmény eltérését észlelte

Súlyosság: Közepes

VM_MitreCalderaTools

Riasztás megjelenítendő neve: MITRE Caldera-ügynök észlelhető

Súlyosság: Közepes

VM_NewSingleUserModeStartupScript

Riasztás megjelenítendő neve: Észlelt adatmegőrzési kísérlet

Súlyosság: Közepes

VM_NewSudoerAccount

Riasztás megjelenítendő neve: Fiók hozzáadva a sudo csoporthoz

Súlyosság: Alacsony

VM_OverridingCommonFiles

Riasztás megjelenítendő neve: Gyakori fájlok lehetséges felülírása

Súlyosság: Közepes

VM_PrivilegedContainerArtifacts

Riasztás megjelenítendő neve: Kiemelt módban futó tároló

Súlyosság: Alacsony

VM_PrivilegedExecutionInContainer

Riasztás megjelenítendő neve: Magas jogosultságokkal rendelkező tárolón belüli parancs

Súlyosság: Alacsony

VM_ReadingHistoryFile

Riasztás megjelenítendő neve: Szokatlan hozzáférés a bash-előzmények fájlhoz

Súlyosság: Tájékoztató

VM_ReverseShell

Riasztás megjelenítendő neve: Lehetséges fordított rendszerhéj észlelhető

Súlyosság: Közepes

VM_SshKeyAccess

Riasztás megjelenítendő neve: Az SSH által engedélyezett kulcsfájl szokatlan módon való elérése

Súlyosság: Alacsony

VM_SshKeyAddition

Riasztás megjelenítendő neve: Új SSH-kulcs hozzáadva

Súlyosság: Alacsony

VM_SuspectCompilation

Riasztás megjelenítendő neve: Gyanús fordítás észlelhető

Súlyosság: Közepes

VM_Suspect Csatlakozás ion

Riasztás megjelenítendő neve: Nem gyakori kapcsolati kísérlet észlelhető

Súlyosság: Közepes

VM_SuspectDownload

Riasztás megjelenítendő neve: Ismert rosszindulatú forrásból származó fájlletöltés észlelhető

Súlyosság: Közepes

VM_SuspectDownloadArtifacts

Riasztás megjelenítendő neve: Gyanús fájlletöltés észlelhető

Súlyosság: Alacsony

VM_SuspectExecutablePath

Riasztás megjelenítendő neve: Gyanús helyről futtatható végrehajtható

Súlyosság: Közepes

VM_SuspectHtaccessFileAccess

Riasztás megjelenítendő neve: Az észlelt htaccess-fájl elérése

Súlyosság: Közepes

VM_SuspectInitialShellCommand

Riasztás megjelenítendő neve: Gyanús első parancs a rendszerhéjban

Súlyosság: Alacsony

VM_SuspectMixedCaseText

Riasztás megjelenítendő neve: A parancssorban lévő nagybetűk és kisbetűk rendellenes keveredése észlelhető

Súlyosság: Közepes

VM_SuspectNetwork Csatlakozás ion

Riasztás megjelenítendő neve: Gyanús hálózati kapcsolat

Súlyosság: Tájékoztató

VM_SuspectNohup

Riasztás megjelenítendő neve: A nohup parancs gyanús használata észlelhető

Súlyosság: Közepes

VM_SuspectPasswordChange

Riasztás megjelenítendő neve: Lehetséges jelszómódosítás az észlelt titkosítási módszerrel

Súlyosság: Közepes

VM_SuspectPasswordFileAccess

Riasztás megjelenítendő neve: Gyanús jelszóhozzáférés

Súlyosság: Tájékoztató

VM_SuspectPhp

Riasztás megjelenítendő neve: Gyanús PHP-végrehajtás észlelhető

Súlyosság: Közepes

VM_SuspectPortForwarding

Riasztás megjelenítendő neve: Lehetséges porttovábbítás külső IP-címre

Súlyosság: Közepes

VM_SuspectProcessAccountPrivilegeCombo

Riasztás megjelenítendő neve: A szolgáltatásfiókban futó folyamat váratlanul gyökerezik

Súlyosság: Közepes

VM_SuspectProcessTermination

Riasztás megjelenítendő neve: Biztonsági folyamat leállítása észlelhető

Súlyosság: Alacsony

VM_SuspectUserAddition

Riasztás megjelenítendő neve: A useradd parancs gyanús használatát észlelte

Súlyosság: Közepes

VM_SuspiciousCommandLineExecution

Riasztás megjelenítendő neve: Gyanús parancs végrehajtása

Súlyosság: Magas

VM_SuspiciousDNSOverHttps

Riasztás megjelenítendő neve: A DNS gyanús használata HTTPS-en keresztül

Súlyosság: Közepes

VM_SystemLogRemoval

Riasztás megjelenítendő neve: Lehetséges naplózási illetéktelen beavatkozási tevékenység észlelhető

Súlyosság: Közepes

VM_ThreatIntelCommandLineSuspectDomain

Riasztás megjelenítendő neve: A rendszer lehetséges kapcsolatot észlelt a rosszindulatú helyekkel

Súlyosság: Közepes

VM_ThreatIntelSuspectLogon

Riasztás megjelenítendő neve: A rendszer rosszindulatú IP-címről származó bejelentkezést észlelt

Súlyosság: Magas

VM_TimerServiceDisabled

Riasztás megjelenítendő neve: Az észlelt apt-daily-upgrade.timer szolgáltatás leállítása

Súlyosság: Tájékoztató

VM_TimestampTampering

Riasztás megjelenítendő neve: Gyanús fájl időbélyegének módosítása

Súlyosság: Alacsony

VM_Webshell

Riasztás megjelenítendő neve: Lehetséges rosszindulatú webes rendszerhéj észlelhető

Súlyosság: Közepes

Elavult Defender for Servers – Windows-riasztások

SCUBA_MULTIPLEACCOUNTCREATE

Riasztás megjelenítendő neve: Fiókok gyanús létrehozása több gazdagépen

Súlyosság: Közepes

SCUBA_PSINSIGHT_CONTEXT

Riasztás megjelenítendő neve: A PowerShell gyanús használata észlelhető

Súlyosság: Tájékoztató

SCUBA_RULE_AddGuestTo Rendszergazda istratorok

Riasztás megjelenítendő neve: Vendégfiók hozzáadása a helyi Rendszergazda istratorok csoporthoz

Súlyosság: Közepes

SCUBA_RULE_Apache_Tomcat_executing_suspicious_commands

Riasztás megjelenítendő neve: Apache_Tomcat_executing_suspicious_commands

Súlyosság: Közepes

SCUBA_RULE_KnownBruteForcingTools

Riasztás megjelenítendő neve: Gyanús folyamat végrehajtása

Súlyosság: Magas

SCUBA_RULE_KnownCollectionTools

Riasztás megjelenítendő neve: Gyanús folyamat végrehajtása

Súlyosság: Magas

SCUBA_RULE_KnownDefenseEvasionTools

Riasztás megjelenítendő neve: Gyanús folyamat végrehajtása

Súlyosság: Magas

SCUBA_RULE_KnownExecutionTools

Riasztás megjelenítendő neve: Gyanús folyamat végrehajtása

Súlyosság: Magas

SCUBA_RULE_KnownPassTheHashTools

Riasztás megjelenítendő neve: Gyanús folyamat végrehajtása

Súlyosság: Magas

SCUBA_RULE_KnownSpammingTools

Riasztás megjelenítendő neve: Gyanús folyamat végrehajtása

Súlyosság: Közepes

SCUBA_RULE_Lowering_Security_Gépház

Riasztás megjelenítendő neve: A kritikus szolgáltatások letiltását észlelte

Súlyosság: Közepes

SCUBA_RULE_OtherKnownHackerTools

Riasztás megjelenítendő neve: Gyanús folyamat végrehajtása

Súlyosság: Magas

SCUBA_RULE_RDP_session_hijacking_via_tscon

Riasztás megjelenítendő neve: Az RDP eltérítésére utaló gyanús integritási szint

Súlyosság: Közepes

SCUBA_RULE_RDP_session_hijacking_via_tscon_service

Riasztás megjelenítendő neve: Gyanús szolgáltatás telepítése

Súlyosság: Közepes

SCUBA_RULE_Suppress_pesky_unauthorized_use_prohibited_notices

Riasztás megjelenítendő neve: A bejelentkezéskor a felhasználók számára megjelenített jogi közlemények letiltásának észlelése

Súlyosság: Alacsony

SCUBA_RULE_WDigest_Enabling

Riasztás megjelenítendő neve: A WDigest UseLogonCredential beállításkulcs engedélyezése észlelhető

Súlyosság: Közepes

VM.Windows_ApplockerBypass

Riasztás megjelenítendő neve: Lehetséges kísérlet az AppLocker megkerülésére

Súlyosság: Magas

VM.Windows_BariumKnownSuspiciousProcessExecution

Riasztás megjelenítendő neve: Gyanús fájllétrehozás észlelhető

Súlyosság: Magas

VM.Windows_Base64EncodedExecutableInCommandLineParams

Riasztás megjelenítendő neve: A parancssori adatokban kódolt végrehajtható

Súlyosság: Magas

VM.Windows_CalcsCommandLineUse

Riasztás megjelenítendő neve: A Cacls gyanús használatát észlelte a rendszer biztonsági állapotának csökkentéséhez

Súlyosság: Közepes

VM.Windows_CommandLineStartingAllExe

Riasztás megjelenítendő neve: A címtárban lévő összes végrehajtható fájl elindításához használt gyanús parancssor

Súlyosság: Közepes

VM.Windows_DisablingAndDeletingIISLogFiles

Riasztás megjelenítendő neve: Az IIS-naplófájlok letiltására és törlésére utaló észlelt műveletek

Súlyosság: Közepes

VM.Windows_DownloadUsingCertutil

Riasztás megjelenítendő neve: Gyanús letöltés a Certutil észlelésekor

Súlyosság: Közepes

VM.Windows_EchoOverPipeOnLocalhost

Riasztás megjelenítendő neve: Gyanús nevesített csőkommunikáció

Súlyosság: Magas

VM.Windows_EchoToConstructPowerShellScript

Riasztás megjelenítendő neve: Dinamikus PowerShell-szkriptek felépítése

Súlyosság: Közepes

VM.Windows_ExecutableDecodedUsingCertutil

Riasztás megjelenítendő neve: Végrehajtható fájl dekódolása a beépített certutil.exe eszközzel

Súlyosság: Közepes

VM.Windows_FileDeletionIsSospisiousLocation

Riasztás megjelenítendő neve: Gyanús fájltörlés észlelhető

Súlyosság: Közepes

VM.Windows_KerberosGoldenTicketAttack

Riasztás megjelenítendő neve: kerberosi aranyjegyes támadási paraméterek megfigyelése

Súlyosság: Közepes

VM.Windows_KeygenToolKnownProcessName

Riasztás megjelenítendő neve: Észlelte a keygen végrehajtható gyanús folyamat lehetséges végrehajtását

Súlyosság: Közepes

VM.Windows_KnownCredentialAccessTools

Riasztás megjelenítendő neve: Gyanús folyamat végrehajtása

Súlyosság: Magas

VM.Windows_KnownSuspiciousPowerShellScript

Riasztás megjelenítendő neve: A PowerShell gyanús használata észlelhető

Súlyosság: Magas

VM.Windows_KnownSuspiciousSoftwareInstallation

Riasztás megjelenítendő neve: Magas kockázatú szoftver észlelhető

Súlyosság: Közepes

VM.Windows_MsHtaAndPowerShellCombination

Riasztás megjelenítendő neve: A HTA és a PowerShell gyanús kombinációja észlelhető

Súlyosság: Közepes

VM.Windows_MultipleAccountsQuery

Riasztás megjelenítendő neve: Több lekérdezett tartományi fiók

Súlyosság: Közepes

VM.Windows_NewAccountCreation

Riasztás megjelenítendő neve: Fióklétrehozás észlelhető

Súlyosság: Tájékoztató

VM.Windows_ObfuscatedCommandLine

Riasztás megjelenítendő neve: Észlelt elhomályosított parancssor.

Súlyosság: Magas

VM.Windows_PcaluaUseToLaunchExecutable

Riasztás megjelenítendő neve: A Pcalua.exe gyanús használata a végrehajtható kód elindításához

Súlyosság: Közepes

VM.Windows_PetyaRansomware

Riasztás megjelenítendő neve: Észlelt Petya ransomware-jelzők

Súlyosság: Magas

VM.Windows_PowerShellPowerSploitScriptExecution

Riasztás megjelenítendő neve: Gyanús PowerShell-parancsmagok végrehajtása

Súlyosság: Közepes

VM.Windows_RansomwareIndication

Riasztás megjelenítendő neve: Zsarolóprogram-jelzők észlelhetők

Súlyosság: Magas

VM.Windows_SqlDumperUsedSuspiciously

Riasztás megjelenítendő neve: Lehetséges hitelesítőadat-memóriakép észlelhető [többször is látható]

Súlyosság: Közepes

VM.Windows_StopCriticalServices

Riasztás megjelenítendő neve: A kritikus szolgáltatások letiltását észlelte

Súlyosság: Közepes

VM.Windows_SubvertingAccessibilityBinary

Riasztás megjelenítendő neve: Ragadós kulcsok támadása észlelt gyanús fióklétrehozás közepes

VM.Windows_SuspiciousAccountCreation

Riasztás megjelenítendő neve: Gyanús fióklétrehozás észlelhető

Súlyosság: Közepes

VM.Windows_SuspiciousFirewallRuleAdded

Riasztás megjelenítendő neve: Gyanús új tűzfalszabály észlelhető

Súlyosság: Közepes

VM.Windows_SuspiciousFTPSSwitchUsage

Riasztás megjelenítendő neve: Észlelték az FTP-kapcsoló gyanús használatát

Súlyosság: Közepes

VM.Windows_SuspiciousSQLActivity

Riasztás megjelenítendő neve: Gyanús SQL-tevékenység

Súlyosság: Közepes

VM.Windows_SVCHostFromInvalidPath

Riasztás megjelenítendő neve: Gyanús folyamat végrehajtása

Súlyosság: Magas

VM.Windows_SystemEventLogCleared

Riasztás megjelenítendő neve: A Windows biztonság napló törölve lett

Súlyosság: Tájékoztató

VM.Windows_TelegramInstallation

Riasztás megjelenítendő neve: A Telegram eszköz potenciálisan gyanús használatát észlelte

Súlyosság: Közepes

VM.Windows_UndercoverProcess

Riasztás megjelenítendő neve: Gyanúsan elnevezett folyamat észlelhető

Súlyosság: Magas

VM.Windows_UserAccountControlBypass

Riasztás megjelenítendő neve: Olyan beállításkulcs észlelt módosítása, amely visszaélhet az UAC megkerülésével

Súlyosság: Közepes

VM.Windows_VBScriptEncoding

Riasztás megjelenítendő neve: A VBScript.Encode parancs gyanús végrehajtása észlelhető

Súlyosság: Közepes

VM.Windows_WindowPositionRegisteryChange

Riasztás megjelenítendő neve: Gyanús WindowPosition beállításjegyzék-érték észlelhető

Súlyosság: Alacsony

VM.Windows_ZincPortOpenningUsingFirewallRule

Riasztás megjelenítendő neve: A ZINC-kiszolgálóimplantátum által létrehozott rosszindulatú tűzfalszabály

Súlyosság: Magas

VM_DigitalCurrencyMining

Riasztás megjelenítendő neve: Digitális pénznembányászattal kapcsolatos viselkedés észlelhető

Súlyosság: Magas

VM_MaliciousSQLActivity

Riasztás megjelenítendő neve: Rosszindulatú SQL-tevékenység

Súlyosság: Magas

VM_ProcessWithDoubleExtensionExecution

Riasztás megjelenítendő neve: Gyanús dupla kiterjesztésű fájl végrehajtása

Súlyosság: Magas

VM_RegistryPersistencyKey

Riasztás megjelenítendő neve: Windows-beállításjegyzék-adatmegőrzési módszer észlelhető

Súlyosság: Alacsony

VM_ShadowCopyDeletion

Riasztás megjelenítendő neve: Gyanús helyen futó gyanús kötet árnyékmásolati tevékenységének végrehajtható példánya

Súlyosság: Magas

VM_SuspectExecutablePath

Riasztás megjelenítendő neve: Gyanús helyről futtatott végrehajtható fájl, amely a parancssorban lévő nagybetűk és kisbetűk rendellenes kombinációját észlelte

Súlyosság: Tájékoztató

Közepes

VM_SuspectPhp

Riasztás megjelenítendő neve: Gyanús PHP-végrehajtás észlelhető

Súlyosság: Közepes

VM_SuspiciousCommandLineExecution

Riasztás megjelenítendő neve: Gyanús parancs végrehajtása

Súlyosság: Magas

VM_SuspiciousScreenSaverExecution

Riasztás megjelenítendő neve: A rendszer végrehajtja a gyanús képernyővédő folyamatot

Súlyosság: Közepes

VM_SvcHostRunInRareServiceGroup

Riasztás megjelenítendő neve: Ritka SVCHOST szolgáltatáscsoport végrehajtása

Súlyosság: Tájékoztató

VM_SystemProcessInAbnormalContext

Riasztás megjelenítendő neve: Gyanús rendszerfolyamat végrehajtása

Súlyosság: Közepes

VM_ThreatIntelCommandLineSuspectDomain

Riasztás megjelenítendő neve: A rendszer lehetséges kapcsolatot észlelt a rosszindulatú helyekkel

Súlyosság: Közepes

VM_ThreatIntelSuspectLogon

Riasztás megjelenítendő neve: A rendszer rosszindulatú IP-címről származó bejelentkezést észlelt

Súlyosság: Magas

VM_VbScriptHttpObjectAllocation

Riasztás megjelenítendő neve: VBScript HTTP-objektumlefoglalás észlelhető

Súlyosság: Magas

VM_TaskkillBurst

Riasztás megjelenítendő neve: Gyanús folyamatkitörés

Súlyosság: Alacsony

VM_RunByPsExec

Riasztás megjelenítendő neve: PsExec-végrehajtás észlelhető

Súlyosság: Tájékoztató

MITRE ATT&CK-taktikák

A támadás szándékának megértése segíthet az esemény kivizsgálásában és jelentésében. Ezen erőfeszítések elősegítése érdekében Felhőhöz készült Microsoft Defender riasztások közé tartoznak a MITRE-taktikák számos riasztással.

A kibertámadásnak a felderítéstől az adatkiszivárgásig történő előrehaladását leíró lépések sorozatát gyakran "gyilkos láncnak" nevezik.

Felhőhöz készült Defender támogatott leölési lánc szándékai a MITRE ATT&CK mátrix 9- es verzióján alapulnak, és az alábbi táblázatban ismertetettek.

Taktika ATT&CK-verzió Leírás
Előzetes osztás A PreAttack egy adott erőforrás elérésére tett kísérlet lehet, függetlenül attól, hogy rosszindulatú szándékról van-e szó, vagy egy célrendszerhez való hozzáférés sikertelen kísérlete az információk kinyerése előtt. Ezt a lépést általában a rendszer a hálózaton kívülről érkező kísérletként észleli a célrendszer vizsgálatára és egy belépési pont azonosítására.
Kezdeti hozzáférés V7, V9 A kezdeti hozzáférés az a szakasz, ahol a támadónak sikerül láblécet szereznie a megtámadott erőforráshoz. Ez a szakasz a számítási gazdagépek és erőforrások, például felhasználói fiókok, tanúsítványok stb. esetében releváns. A veszélyforrás-szereplők gyakran képesek lesznek szabályozni az erőforrást ezen szakasz után.
Kitartás V7, V9 A perzisztencia egy olyan rendszer hozzáférésének, műveletének vagy konfigurációjának módosítása, amely állandó jelenlétet biztosít a fenyegetést okozó szereplőnek a rendszeren. A fenyegetéskezelőknek gyakran olyan megszakításokkal kell fenntartaniuk a rendszerekhez való hozzáférést, mint például a rendszer újraindítása, a hitelesítő adatok elvesztése vagy más olyan hibák, amelyek miatt a távelérési eszköznek újra kell indulnia, vagy alternatív háttérrendszert kell biztosítania a hozzáférés helyreállításához.
Jogosultság eszkalációja V7, V9 A jogosultságok eszkalálása olyan műveletek eredménye, amelyek lehetővé teszik a támadó számára, hogy magasabb szintű engedélyeket szerezzen egy rendszeren vagy hálózaton. Bizonyos eszközök vagy műveletek magasabb szintű jogosultságot igényelnek, és valószínűleg a művelet számos pontján szükségesek. A jogosultságok eszkalálódásának is tekinthetők azok a felhasználói fiókok, amelyek hozzáféréssel rendelkeznek bizonyos rendszerekhez, vagy a támadók számára a cél eléréséhez szükséges bizonyos funkciókat hajtanak végre.
Védelmi kijátszás V7, V9 A védelmi kijátszás olyan technikákból áll, amelyek segítségével a támadók elkerülhetik az észlelést, vagy elkerülhetik a többi védelmet. Néha ezek a műveletek ugyanazok, mint (vagy változatok) technikák más kategóriákban, amelyek hozzáadott előnye a subverting egy adott védelem vagy kockázatcsökkentés.
Hitelesítő adatok elérése V7, V9 A hitelesítő adatokhoz való hozzáférés olyan technikákat jelöl, amelyek a vállalati környezetben használt rendszer-, tartomány- vagy szolgáltatás-hitelesítő adatokhoz való hozzáférést vagy azok ellenőrzését eredményezik. A támadók valószínűleg megkísérelnek hiteles hitelesítő adatokat beszerezni a hálózaton belüli használatra a felhasználóktól vagy rendszergazdai fiókoktól (helyi rendszergazdai vagy tartományi felhasználóktól rendszergazdai hozzáféréssel). A hálózaton belüli megfelelő hozzáféréssel a támadók fiókokat hozhatnak létre későbbi használatra a környezetben.
Felfedezés V7, V9 A felderítés olyan technikákból áll, amelyek lehetővé teszik a támadó számára, hogy ismereteket szerezzen a rendszerről és a belső hálózatról. Amikor a támadók hozzáférést kapnak egy új rendszerhez, tájékozódniuk kell ahhoz, hogy mi az irányításuk, és milyen előnyökkel jár az adott rendszer működtetése a behatolás során a jelenlegi célkitűzésüknek vagy általános céljaiknak. Az operációs rendszer számos natív eszközt biztosít, amelyek segítséget nyújtanak ebben a kompromittálás utáni információgyűjtési fázisban.
LateralMovement V7, V9 Az oldalirányú mozgás olyan technikákból áll, amelyek lehetővé teszik a támadók számára a távoli rendszerek elérését és vezérlését a hálózaton, és nem feltétlenül magukban foglalhatják az eszközök távoli rendszereken történő végrehajtását. Az oldalirányú mozgási technikák lehetővé tehetik, hogy a támadó további eszközök, például távelérési eszközök nélkül gyűjtsön információkat a rendszerből. A támadók számos célra használhatják az oldalirányú mozgást, beleértve az eszközök távoli végrehajtását, a több rendszerhez való pivotingot, adott információkhoz vagy fájlokhoz való hozzáférést, több hitelesítő adathoz való hozzáférést, vagy valamilyen effektust okozhatnak.
Végrehajtás V7, V9 A végrehajtási taktika olyan technikákat jelent, amelyek a támadó által vezérelt kód végrehajtását eredményezik egy helyi vagy távoli rendszeren. Ezt a taktikát gyakran használják az oldalirányú mozgással együtt a hálózat távoli rendszereihez való hozzáférés bővítéséhez.
Gyűjtemény V7, V9 A gyűjtemény olyan technikákat tartalmaz, amelyek a kiszivárgás előtt azonosítják és gyűjtik a célhálózatról származó információkat, például bizalmas fájlokat. Ez a kategória olyan rendszerek vagy hálózatok helyeit is lefedi, ahol a támadó a kiszűrni kívánt információkat keresheti.
Parancs és vezérlés V7, V9 A parancs- és vezérlési taktika azt jelzi, hogy a támadók hogyan kommunikálnak a célhálózaton belüli irányításuk alatt álló rendszerekkel.
Exfiltration V7, V9 A kiszivárgás olyan technikákat és attribútumokat jelent, amelyek a támadó számára fájlokat és információkat távolítanak el a célhálózatról. Ez a kategória olyan rendszerek vagy hálózatok helyeit is lefedi, ahol a támadó a kiszűrni kívánt információkat keresheti.
Hatás V7, V9 A hatásesemények elsősorban a rendszer, szolgáltatás vagy hálózat rendelkezésre állásának vagy integritásának közvetlen csökkentésére törekednek; beleértve az üzleti vagy működési folyamatokat befolyásoló adatok kezelését is. Ez gyakran olyan technikákra utal, mint a zsarolóprogramok, a megtévesztés, az adatmanipuláció és mások.

Feljegyzés

Előzetes verziójú riasztások esetén: Az Azure Előzetes verzió kiegészítő feltételei további jogi feltételeket tartalmaznak, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.

Következő lépések