Biztonsági riasztások - – referencia-útmutató
Ez a cikk felsorolja azokat a biztonsági riasztásokat, amelyek Felhőhöz készült Microsoft Defender és az engedélyezett Microsoft Defender-csomagokból származhatnak. A környezetben megjelenő riasztások a védeni kívánt erőforrásoktól és szolgáltatásoktól, valamint a testre szabott konfigurációtól függenek.
A lap alján található egy táblázat, amely a MITRE ATT&CK mátrix 9-es verziójához igazított Felhőhöz készült Microsoft Defender ölési láncot írja le.
Megtudhatja, hogyan válaszolhat ezekre a riasztásokra.
Megtudhatja, hogyan exportálhat riasztásokat.
Feljegyzés
A különböző forrásokból származó riasztások megjelenése különböző időt vehet igénybe. A hálózati forgalom elemzését igénylő riasztások például tovább tarthatnak, mint a virtuális gépeken futó gyanús folyamatokkal kapcsolatos riasztások.
Windows rendszerű gépekre vonatkozó riasztások
A Microsoft Defender 2. csomagja a Végponthoz készült Microsoft Defender által biztosítottakon kívül egyedi észleléseket és riasztásokat is biztosít. A Windows rendszerű gépekre vonatkozó riasztások a következők:
További részletek és megjegyzések
A rendszer rosszindulatú IP-címről való bejelentkezést észlelt. [többször is látható]
Leírás: Sikeres távoli hitelesítés történt a fiók [fiók] és a folyamat [folyamat] esetében, azonban a bejelentkezési IP-cím (x.x.x.x) korábban rosszindulatúként vagy rendkívül szokatlanként jelent meg. Valószínűleg sikeres támadás történt. A .scr kiterjesztésű fájlok képernyőkímélő fájlok, és általában a Windows rendszerkönyvtárából vannak elhelyezve és végrehajtva.
Súlyosság: Magas
Az adaptív alkalmazásvezérlési szabályzat megsértésének naplózása megtörtént
VM_AdaptiveApplicationControlWindowsViolationAudited
Leírás: Az alábbi felhasználók olyan alkalmazásokat futtattak, amelyek megsértik a szervezet alkalmazásvezérlési szabályzatát ezen a gépen. Lehetséges, hogy kártevő vagy alkalmazás sebezhetőségeknek teszi ki a gépet.
MITRE-taktikák: Végrehajtás
Súlyosság: Tájékoztató
Vendégfiók hozzáadása a Helyi Rendszergazda istrators csoporthoz
Leírás: A gazdagépadatok elemzése azt észlelte, hogy a beépített vendégfiók hozzáadódik a helyi Rendszergazda istrators csoporthoz a(z) %{Feltört gazdagép} helyen, amely erősen kapcsolódik a támadó tevékenységéhez.
Súlyosság: Közepes
Az eseménynapló törölve lett
Leírás: A gépnaplók gyanús eseménynapló-törlési műveletet jeleznek felhasználónként: "%{felhasználónév}" a gépben: "%{CompromisedEntity}". A(z) %{log channel} napló törölve lett.
Súlyosság: Tájékoztató
A kártevőirtó művelet nem sikerült
Leírás: A Microsoft Antimalware hibát észlelt a kártevők vagy más potenciálisan nemkívánatos szoftverek elleni művelet során.
Súlyosság: Közepes
Kártevőirtó művelet
Leírás: Az Azure-hoz készült Microsoft Antimalware műveletet hajtott végre, hogy megvédje a gépet a kártevőktől vagy más potenciálisan nemkívánatos szoftverektől.
Súlyosság: Közepes
Kártevőirtó széles körű fájlok kizárása a virtuális gépen
(VM_AmBroadFilesExclusion)
Leírás: A fájlkivételt a kártevőirtó bővítményből, széles körű kizárási szabvánnyal észlelték a virtuális gépen az előfizetés Azure Resource Manager-műveleteinek elemzésével. Ez a kizárás gyakorlatilag letiltja a kártevőirtó-védelmet. A támadók kizárhatják a fájlokat a kártevőirtó-vizsgálatból a virtuális gépen, hogy megakadályozzák az észlelést, miközben tetszőleges kódot futtatnak, vagy kártevőkkel fertőzik meg a gépet.
Súlyosság: Közepes
Letiltott kártevőirtó és kódvégrehajtás a virtuális gépen
(VM_AmDisablementAndCodeExecution)
Leírás: A kártevőirtó a kódvégrehajtással egy időben le van tiltva a virtuális gépen. Ezt az azure Resource Manager-műveletek az előfizetésben való elemzésével észlelte. A támadók letiltják a kártevőirtó szkennereket, hogy megakadályozzák az észlelést, miközben jogosulatlan eszközöket futtatnak, vagy kártevőkkel fertőzik meg a gépet.
Súlyosság: Magas
Kártevőirtó letiltva a virtuális gépen
(VM_AmDisablement)
Leírás: A kártevőirtó le van tiltva a virtuális gépen. Ezt az azure Resource Manager-műveletek az előfizetésben való elemzésével észlelte. A támadók letilthatják a kártevőirtót a virtuális gépen az észlelés megakadályozása érdekében.
MITRE-taktikák: Védelmi kijátszás
Súlyosság: Közepes
Kártevőirtó fájlok kizárása és kódvégrehajtás a virtuális gépen
(VM_AmFileExclusionAndCodeExecution)
Leírás: A kártevőirtó-olvasóból kizárt fájl, amely a kód végrehajtásával egy egyéni szkriptbővítményen keresztül lett végrehajtva a virtuális gépen. Ezt az azure Resource Manager-műveletek az előfizetésben való elemzésével észlelte. A támadók kizárhatják a fájlokat a kártevőirtó-vizsgálatból a virtuális gépen, hogy megakadályozzák az észlelést, miközben jogosulatlan eszközöket futtatnak, vagy kártevőkkel fertőzik meg a gépet.
MITRE-taktikák: Védelmi kijátszás, végrehajtás
Súlyosság: Magas
Kártevőirtó fájlok kizárása és kódvégrehajtás a virtuális gépen
(VM_AmTempFileExclusionAndCodeExecution)
Leírás: Az előfizetés Azure Resource Manager-műveleteinek elemzésével ideiglenes fájlkizárást észleltünk a kártevőirtó bővítményből az egyéni szkriptbővítményen keresztüli kódvégrehajtással párhuzamosan. A támadók kizárhatják a fájlokat a kártevőirtó-vizsgálatból a virtuális gépen, hogy megakadályozzák az észlelést, miközben tetszőleges kódot futtatnak, vagy kártevőkkel fertőzik meg a gépet.
MITRE-taktikák: Védelmi kijátszás, végrehajtás
Súlyosság: Magas
Kártevőirtó fájlok kizárása a virtuális gépen
(VM_AmTempFileExclusion)
Leírás: A fájl ki van zárva a kártevőirtó szkennerből a virtuális gépen. Ezt az azure Resource Manager-műveletek az előfizetésben való elemzésével észlelte. A támadók kizárhatják a fájlokat a kártevőirtó-vizsgálatból a virtuális gépen, hogy megakadályozzák az észlelést, miközben jogosulatlan eszközöket futtatnak, vagy kártevőkkel fertőzik meg a gépet.
MITRE-taktikák: Védelmi kijátszás
Súlyosság: Közepes
A kártevőirtó valós idejű védelme le lett tiltva a virtuális gépen
(VM_AmRealtimeProtectionDisabled)
Leírás: A kártevőirtó bővítmény valós idejű védelmi letiltását észlelte a virtuális gépen az előfizetés Azure Resource Manager-műveleteinek elemzésével. A támadók letilthatják a valós idejű védelmet a kártevőirtó-vizsgálattal szemben a virtuális gépen, hogy elkerüljék az észlelést, miközben tetszőleges kódot futtatnak, vagy kártevőkkel fertőzik meg a gépet.
MITRE-taktikák: Védelmi kijátszás
Súlyosság: Közepes
A kártevőirtó valós idejű védelme ideiglenesen le lett tiltva a virtuális gépen
(VM_AmTempRealtimeProtectionDisablement)
Leírás: A rendszer a kártevőirtó bővítmény valós idejű védelmi ideiglenes letiltását észlelte a virtuális gépen az előfizetés azure Resource Manager-műveleteinek elemzésével. A támadók letilthatják a valós idejű védelmet a kártevőirtó-vizsgálattal szemben a virtuális gépen, hogy elkerüljék az észlelést, miközben tetszőleges kódot futtatnak, vagy kártevőkkel fertőzik meg a gépet.
MITRE-taktikák: Védelmi kijátszás
Súlyosság: Közepes
A kártevőirtó valós idejű védelme ideiglenesen le lett tiltva a kód végrehajtása közben a virtuális gépen
(VM_AmRealtimeProtectionDisablementAndCodeExec)
Leírás: A kártevőirtó bővítmény valós idejű védelmi ideiglenes letiltása az egyéni szkriptbővítményen keresztüli kódvégrehajtással párhuzamosan észlelhető a virtuális gépen az azure Resource Manager-műveletek elemzésével az előfizetésben. A támadók letilthatják a valós idejű védelmet a kártevőirtó-vizsgálattal szemben a virtuális gépen, hogy elkerüljék az észlelést, miközben tetszőleges kódot futtatnak, vagy kártevőkkel fertőzik meg a gépet.
Súlyosság: Magas
Kártevőirtó-vizsgálatok blokkolva vannak a virtuális gépen futó kártevőkampányokhoz kapcsolódó fájlok esetében (előzetes verzió)
(VM_AmMalwareCampaignRelatedExclusion)
Leírás: A rendszer kizárási szabályt észlelt a virtuális gépen, amely megakadályozza, hogy a kártevőirtó bővítmény beolvasson bizonyos fájlokat, amelyek feltehetően egy kártevőkampányhoz kapcsolódnak. A szabályt az előfizetésben lévő Azure Resource Manager-műveletek elemzésével észlelte a rendszer. A támadók kizárhatják a fájlokat a kártevőirtó-vizsgálatokból, hogy megakadályozzák az észlelést tetszőleges kód futtatásakor, vagy kártevőkkel fertőzik meg a gépet.
MITRE-taktikák: Védelmi kijátszás
Súlyosság: Közepes
Kártevőirtó ideiglenesen le van tiltva a virtuális gépen
(VM_AmTemporarilyDisablement)
Leírás: A kártevőirtó ideiglenesen le van tiltva a virtuális gépen. Ezt az azure Resource Manager-műveletek az előfizetésben való elemzésével észlelte. A támadók letilthatják a kártevőirtót a virtuális gépen az észlelés megakadályozása érdekében.
Súlyosság: Közepes
Kártevőirtó – szokatlan fájlkizárás a virtuális gépen
(VM_UnusualAmFileExclusion)
Leírás: A rendszer szokatlan fájlkivételt észlelt a kártevőirtó-bővítményből a virtuális gépen az Előfizetés Azure Resource Manager-műveleteinek elemzésével. A támadók kizárhatják a fájlokat a kártevőirtó-vizsgálatból a virtuális gépen, hogy megakadályozzák az észlelést, miközben tetszőleges kódot futtatnak, vagy kártevőkkel fertőzik meg a gépet.
MITRE-taktikák: Védelmi kijátszás
Súlyosság: Közepes
Kommunikáció a fenyegetésfelderítés által azonosított gyanús tartománnyal
(AzureDNS_ThreatIntelSuspectDomain)
Leírás: A gyanús tartományokkal folytatott kommunikációt az erőforrás DNS-tranzakcióinak elemzésével és a fenyegetésfelderítési hírcsatornák által azonosított ismert rosszindulatú tartományokkal való összehasonlítással észleltük. A rosszindulatú tartományok közötti kommunikációt gyakran hajtják végre a támadók, és ez azt jelentheti, hogy az erőforrás biztonsága sérül.
MITRE-taktikák: Kezdeti hozzáférés, adatmegőrzés, végrehajtás, irányítás és ellenőrzés, kizsákmányolás
Súlyosság: Közepes
Az IIS-naplófájlok letiltására és törlésére utaló észlelt műveletek
Leírás: A gazdagépadatok olyan észlelt műveleteinek elemzése, amelyek azt mutatják, hogy az IIS-naplófájlok le vannak tiltva és/vagy törölve.
Súlyosság: Közepes
Felső és kisbetűs karakterek rendellenes keveredése a parancssorban
Leírás: A(z) %{Feltört gazdagép} gazdagép adatainak elemzése olyan parancssort észlelt, amely a kis- és nagybetűk rendellenes kombinációját tartalmazta. Ez a fajta minta, bár valószínűleg jóindulatú, jellemző arra is, hogy a támadók megpróbálnak elrejteni a kis- és nagybetűkre érzékeny vagy kivonatalapú szabályegyeztetés elől, amikor rendszergazdai feladatokat hajtanak végre egy sérült gazdagépen.
Súlyosság: Közepes
Olyan beállításkulcs módosítása észlelhető, amellyel vissza lehet kerülni az UAC-t
Leírás: A(z) %{Feltört gazdagép} gazdagépadatainak elemzése azt észlelte, hogy módosult egy olyan beállításkulcs, amely visszaélhet a felhasználói fiókok felügyeletének megkerülésével. Az ilyen típusú konfiguráció, bár valószínűleg jóindulatú, a támadói tevékenységre is jellemző, amikor a jogosulatlan (standard) felhasználóról a feltört gazdagépen való jogosultsági (például rendszergazdai) hozzáférésre próbál áttérni.
Súlyosság: Közepes
Végrehajtható fájl dekódolásának észlelése beépített certutil.exe eszközzel
Leírás: A(z) %{Feltört gazdagép} gazdagép adatainak elemzése azt észlelte, hogy a certutil.exe, egy beépített rendszergazdai segédprogram a tanúsítványok és a tanúsítványadatok manipulálásával kapcsolatos általános célú helyett egy végrehajtható kód dekódolására szolgál. A támadók gyakran használják különböző megbízható rendszergazdai eszközök funkcióit rosszindulatú műveletek elvégzésére. Például a certutil.exe vagy a hozzá hasonló eszközök rosszindulatú végrehajtható fájlok dekódolására használhatók, amelyeket aztán a rendszer végrehajt.
Súlyosság: Magas
A WDigest UseLogonCredential beállításkulcs engedélyezése észlelhető
Leírás: A gazdagépadatok elemzése változást észlelt a HKLM\SYSTEM\ CurrentControlSet\Control\SecurityProviders\WDigest\ "UseLogonCredential" beállításkulcsban. Ezt a kulcsot úgy frissítettük, hogy lehetővé tegye a bejelentkezési hitelesítő adatok tiszta szövegben való tárolását az LSA-memóriában. Ha engedélyezve van, a támadó törölhet szöveges jelszavakat az LSA-memóriából olyan hitelesítő adatok begyűjtésével, mint a Mimikatz.
Súlyosság: Közepes
A parancssori adatokban kódolt végrehajtható kóddal észlelt
Leírás: A(z) %{Feltört gazdagép} gazdagépadatainak elemzése egy base-64 kódolású végrehajtható fájlt észlelt. Ez korábban azzal volt társítva, hogy a támadók menet közben próbálnak végrehajtható elemeket létrehozni egy parancssorozaton keresztül, és megpróbálják elkerülni a behatolásészlelési rendszereket, biztosítva, hogy egyetlen parancs sem aktiváljon riasztást. Ez lehet jogszerű tevékenység, vagy egy sérült gazdagép jelzése.
Súlyosság: Magas
Obfuscated parancssor észlelve
Leírás: A támadók egyre összetettebb obfuscation technikákat használnak az alapul szolgáló adatokon futó észlelések megkerülésére. A(z) %{Feltört gazdagép} gazdagépadatainak elemzése gyanús jeleket észlelt a parancsvonalon való elrejtésről.
Súlyosság: Tájékoztató
A keygen végrehajtható végrehajtásának lehetséges észlelése
Leírás: A(z) %{Feltört gazdagép} gazdagép adatainak elemzése olyan folyamat végrehajtását észlelte, amelynek neve keygen eszközre utal. Az ilyen eszközöket általában a szoftverlicencelési mechanizmusok legyőzésére használják, de a letöltésük gyakran más rosszindulatú szoftverekkel van csomagolva. A GOLD tevékenységcsoportról ismert, hogy az ilyen kulcsgeneket arra használja, hogy titkosan hozzáférjenek azokhoz a gazdagépekhez, amelyeket feltörnek.
Súlyosság: Közepes
A kártevő-dropper lehetséges végrehajtását észlelte
Leírás: A(z) %{Feltört gazdagép} gazdagép adatainak elemzése olyan fájlnevet észlelt, amely korábban a GOLD tevékenységcsoport egyik olyan módszeréhez volt társítva, amely kártevőket telepít egy áldozat gazdagépre.
Súlyosság: Magas
Észlelt lehetséges helyi felderítési tevékenység
Leírás: A(z) %{Feltört gazdagép} gazdagép adatainak elemzése olyan systeminfo-parancsok kombinációját észlelte, amelyeket korábban a GOLD tevékenységcsoport felderítési tevékenységének egyik metódusához társítottak. Bár a "systeminfo.exe" egy jogszerű Windows-eszköz, ritkán fordul elő, hogy egymás után kétszer hajtja végre, ahogyan az itt történt.
Súlyosság: Alacsony
A Telegram eszköz potenciálisan gyanús használatát észlelte
Leírás: A gazdagépadatok elemzése a Telegram, egy ingyenes felhőalapú csevegőszolgáltatás telepítését mutatja be, amely mobil és asztali rendszerekhez is létezik. A támadók ismert, hogy visszaélnek ezzel a szolgáltatással, és rosszindulatú bináris fájlokat továbbítanak bármely más számítógépre, telefonra vagy táblagépre.
Súlyosság: Közepes
A felhasználók számára bejelentkezéskor megjelenő jogi közlemények letiltásának észlelése
Leírás: A(z) %{Feltört gazdagép} gazdagép adatainak elemzése a beállításkulcs azon módosításait észlelte, amelyek azt mutatják, hogy a felhasználók a bejelentkezéskor megjelennek-e jogi közleményben. A Microsoft biztonsági elemzése megállapította, hogy ez egy gyakori tevékenység, amelyet a támadók a gazdagép feltörését követően végeznek.
Súlyosság: Alacsony
A HTA és a PowerShell gyanús kombinációját észlelte
Leírás: mshta.exe (Microsoft HTML-alkalmazásgazda), amely egy aláírt Microsoft-bináris, a támadók rosszindulatú PowerShell-parancsok indítására használják. A támadók gyakran folyamodnak egy beágyazott VBScripttel rendelkező HTA-fájlhoz. Amikor egy áldozat megkeresi a HTA-fájlt, és a futtatás mellett dönt, a rendszer végrehajtja a benne található PowerShell-parancsokat és szkripteket. A(z) %{Feltört gazdagép} gazdagépadatainak elemzése mshta.exe PowerShell-parancsok indítását észlelte.
Súlyosság: Közepes
Gyanús parancssori argumentumok észlelhetők
Leírás: A(z) %{Feltört gazdagép} gazdagép adatainak elemzése gyanús parancssori argumentumokat észlelt, amelyeket a HYDROGEN tevékenységcsoport fordított rendszerhéjával együtt használtak.
Súlyosság: Magas
Gyanús parancsvonal észlelhető a címtárban lévő összes végrehajtható fájl elindításához
Leírás: A gazdagépadatok elemzése gyanús folyamatot észlelt, amely a következőn fut: %{Feltört gazdagép}. A parancssor azt jelzi, hogy a címtárban található összes végrehajtható adat (*.exe) elindítható. Ez egy sérült gazdagépre utalhat.
Súlyosság: Közepes
Gyanús hitelesítő adatokat észlelt a parancssorban
Leírás: A(z) %{Feltört gazdagép} gazdagépadatainak elemzése azt észlelte, hogy a rendszer gyanús jelszót használ egy fájl BORON tevékenységcsoport általi végrehajtásához. Ez a tevékenységcsoport már ismert, hogy ezt a jelszót használja a Pirpi-kártevők áldozati gazdagépen való végrehajtásához.
Súlyosság: Magas
Gyanús dokumentum hitelesítő adatainak észlelése
Leírás: A(z) %{Feltört gazdagép} gazdagép adatainak elemzése gyanús, gyakran használt, előre összeállított jelszókivonatot észlelt, amelyet a fájl végrehajtásához használt kártevők használnak. A HYDROGEN tevékenységcsoportról ismert, hogy ezt a jelszót használja a kártevők áldozati gazdagépen való végrehajtásához.
Súlyosság: Magas
A VBScript.Encode parancs gyanús végrehajtását észlelte
Leírás: A(z) %{Feltört gazdagép} gazdagép adatainak elemzése észlelte a VBScript.Encode parancs végrehajtását. Ez olvashatatlan szöveggé kódolja a szkripteket, ami megnehezíti a felhasználók számára a kód vizsgálatát. A Microsoft fenyegetéskutatása azt mutatja, hogy a támadók gyakran kódolt VBscript-fájlokat használnak a támadás részeként az észlelési rendszerek megkerülésére. Ez lehet jogszerű tevékenység, vagy egy sérült gazdagép jelzése.
Súlyosság: Közepes
Gyanús végrehajtás észlelhető rundll32.exe
Leírás: A(z) %{Feltört gazdagép} gazdagép adatainak elemzése azt észlelte, rundll32.exe egy nem gyakori nevű folyamat végrehajtására szolgálnak, összhangban a GOLD tevékenységcsoport által korábban használt folyamatelnevezési sémával, amikor az első fázisú implantátumot egy sérült gazdagépre telepítik.
Súlyosság: Magas
Gyanús fájlkarbantartási parancsok észlelése
Leírás: A gazdagépadatok elemzése a(z) %{Feltört gazdagép} esetében olyan systeminfo-parancsok kombinációját észlelte, amelyek korábban a GOLD tevékenységcsoport egyik tevékenységcsoportjának a feltörése utáni öntisztítási tevékenység végrehajtására vonatkozó módszereihez voltak társítva. Bár a "systeminfo.exe" egy jogszerű Windows-eszköz, kétszer egymás után hajtja végre, majd az itt előforduló törlési parancsok ritkán fordulnak elő.
Súlyosság: Magas
Gyanús fájllétrehozás észlelhető
Leírás: A(z) %{Feltört gazdagép} gazdagépadatainak elemzése olyan folyamat létrehozását vagy végrehajtását észlelte, amely korábban a BARIUM tevékenységcsoport által az áldozat gazdagépen végrehajtott kompromisszumot követő műveletet jelezte. Ez a tevékenységcsoport már ismert, hogy ezzel a technikával több kártevőt tölt le egy feltört gazdagépre egy adathalász dokumentum mellékletének megnyitása után.
Súlyosság: Magas
Gyanús elnevezett csőkommunikációt észlelt
Leírás: A(z) %{Feltört gazdagép} gazdagép adatainak elemzése azt észlelte, hogy az adatok egy windowsos konzolparancsból egy helyi nevesített csőbe íródtak. A nevesített csövekről ismert, hogy a támadók olyan csatornát használnak, amellyel rosszindulatú implantátummal kommunikálhatnak. Ez lehet jogszerű tevékenység, vagy egy sérült gazdagép jelzése.
Súlyosság: Magas
Gyanús hálózati tevékenység észlelhető
Leírás: A(z) %{Feltört gazdagép} hálózati forgalmának elemzése gyanús hálózati tevékenységet észlelt. Az ilyen forgalmat, bár jóindulatú, általában a támadók arra használják, hogy rosszindulatú kiszolgálókkal kommunikáljanak az eszközök letöltéséhez, az adatok parancs- és vezérléséhez és kiszivárgásához. A támadók tipikus tevékenységei közé tartozik a távoli felügyeleti eszközök másolása egy sérült gazdagépre, és a felhasználói adatok kiszűrése belőle.
Súlyosság: Alacsony
Gyanús új tűzfalszabály észlelhető
Leírás: Az észlelt gazdagépadatok elemzése új tűzfalszabályt adott hozzá a netsh.exe a gyanús helyen végrehajtható forgalom engedélyezéséhez.
Súlyosság: Közepes
A Cacls gyanús használatát észlelte a rendszer biztonsági állapotának csökkentéséhez
Leírás: A támadók számtalan módszert használnak, például találgatásos támadásokat, lándzsás adathalászatot stb. a kezdeti kompromisszum eléréséhez, és lábbal járnak a hálózaton. A kezdeti kompromisszum elérése után gyakran lépéseket tesznek a rendszer biztonsági beállításainak csökkentésére. Caclsâ € "rövid változás hozzáférés-vezérlési lista a Microsoft Windows natív parancssori segédprogram gyakran használják a biztonsági engedély módosítására mappák és fájlok. A támadók gyakran használják a bináris fájlt a rendszer biztonsági beállításainak csökkentésére. Ez úgy történik, hogy mindenkinek teljes hozzáférést biztosít a rendszer bináris fájljaihoz, például ftp.exe, net.exe, wscript.exe stb. A(z) %{Feltört gazdagép} gazdagép adatainak elemzése azt észlelte, hogy a Cacls gyanúsan használja a rendszer biztonságát.
Súlyosság: Közepes
Az FTP-kapcsoló gyanús használatát észlelte
Leírás: A(z) %{Feltört gazdagép} folyamatlétrehozási adatainak elemzése észlelte a(z) "-s:filename" FTP-kapcsoló használatát. Ez a kapcsoló egy FTP-szkriptfájl megadására szolgál az ügyfél futtatásához. A kártevők vagy rosszindulatú folyamatok ismertek az FTP-kapcsoló (-s:filename) használatával egy szkriptfájlra mutatnak, amely úgy van konfigurálva, hogy távoli FTP-kiszolgálóhoz csatlakozzon, és több kártékony bináris fájlt töltsön le.
Súlyosság: Közepes
A Pcalua.exe gyanús használatát észlelte a végrehajtható kód elindításához
Leírás: A(z) %{Feltört gazdagép} gazdagépadatainak elemzése azt észlelte, hogy a pcalua.exe használ a végrehajtható kód elindításához. Pcalua.exe a Microsoft Windows "Programkompatibilitási segéd" összetevője, amely kompatibilitási problémákat észlel egy program telepítése vagy végrehajtása során. A támadókról ismert, hogy visszaélnek a megbízható Windows rendszereszközök funkcióival rosszindulatú műveletek végrehajtásához, például a pcalua.exe a -a kapcsolóval a rosszindulatú végrehajtható elemek helyi vagy távoli megosztásokból történő elindításához.
Súlyosság: Közepes
A kritikus szolgáltatások letiltását észlelte
Leírás: A(z) %{Feltört gazdagép} gazdagép adatainak elemzése azt észlelte, hogy a "net.exe stop" parancs végrehajtása olyan kritikus szolgáltatások leállítására szolgál, mint a SharedAccess vagy a Windows biztonság alkalmazás. Bármelyik szolgáltatás leállítása rosszindulatú viselkedést jelezhet.
Súlyosság: Közepes
A digitális pénznembányászattal kapcsolatos viselkedés észlelhető
Leírás: A(z) %{Feltört gazdagép} gazdagép adatainak elemzése észlelte a digitális pénznembányászathoz általában társított folyamat vagy parancs végrehajtását.
Súlyosság: Magas
Dinamikus PS-szkriptek felépítése
Leírás: A(z) %{Feltört gazdagép} gazdagép adatainak elemzése azt észlelte, hogy a PowerShell-szkript dinamikusan lett létrehozva. A támadók néha ezt a módszert használják egy szkript fokozatos létrehozására az IDS-rendszerek megkerülése érdekében. Ez lehet jogszerű tevékenység, vagy azt jelzi, hogy az egyik gépe sérült.
Súlyosság: Közepes
Gyanús helyről futtatott végrehajtható fájl
Leírás: A gazdagépadatok elemzése egy végrehajtható fájlt észlelt a(z) %{Feltört gazdagép} webhelyen, amely egy ismert gyanús fájlokkal közös helyről fut. Ez a végrehajtható művelet lehet jogszerű tevékenység, vagy egy sérült gazdagép jelzése.
Súlyosság: Magas
Fájl nélküli támadási viselkedés észlelhető
(VM_FilelessAttackBehavior.Windows)
Leírás: A megadott folyamat memóriája fájl nélküli támadások által gyakran használt viselkedéseket tartalmaz. Az egyes viselkedések a következők:
- Shellcode, amely egy kis kód, amelyet általában hasznos adatként használnak egy szoftveres biztonsági rés kihasználásához.
- Aktív hálózati kapcsolatok. A részletekért tekintse meg az alábbi Hálózat Csatlakozás ionokat.
- Függvényhívások biztonsági szempontból érzékeny operációsrendszer-felületekre. A hivatkozott operációsrendszer-képességekről az alábbi képességek című témakörben olvashat.
- Egy dinamikusan lefoglalt kódszegmensben elindított szálat tartalmaz. Ez a folyamatinjektálási támadások gyakori mintája.
MITRE-taktikák: Védelmi kijátszás
Súlyosság: Alacsony
Fájl nélküli támadási technika észlelhető
(VM_FilelessAttackTechnique.Windows)
Leírás: Az alább megadott folyamat memóriája fájl nélküli támadási technika bizonyítékát tartalmazza. A fájl nélküli támadásokat a támadók kód végrehajtására használják, miközben elkerülik a biztonsági szoftverek általi észlelést. Az egyes viselkedések a következők:
- Shellcode, amely egy kis kód, amelyet általában hasznos adatként használnak egy szoftveres biztonsági rés kihasználásához.
- A folyamatba injektálható végrehajtható rendszerkép, például kódinjektálási támadás esetén.
- Aktív hálózati kapcsolatok. A részletekért tekintse meg az alábbi Hálózat Csatlakozás ionokat.
- Függvényhívások biztonsági szempontból érzékeny operációsrendszer-felületekre. A hivatkozott operációsrendszer-képességekről az alábbi képességek című témakörben olvashat.
- Folyamatvályúsítás, amely egy olyan módszer, amelyet a kártevők használnak, amelyben egy legitim folyamat töltődik be a rendszerre, hogy ellenséges kód tárolójaként működjön.
- Egy dinamikusan lefoglalt kódszegmensben elindított szálat tartalmaz. Ez a folyamatinjektálási támadások gyakori mintája.
MITRE-taktikák: Védelmi kijátszás, végrehajtás
Súlyosság: Magas
Fájl nélküli támadási eszközkészlet észlelhető
(VM_FilelessAttackToolkit.Windows)
Leírás: A megadott folyamat memóriája fájl nélküli támadási eszközkészletet tartalmaz: [eszközkészlet neve]. A fájl nélküli támadási eszközkészletek olyan technikákat használnak, amelyek minimalizálják vagy megszüntetik a kártevők nyomait a lemezen, és jelentősen csökkentik a lemezalapú kártevő-ellenőrzési megoldások észlelésének esélyét. Az egyes viselkedések a következők:
- Jól ismert eszközkészletek és kriptobányászati szoftverek.
- Shellcode, amely egy kis kód, amelyet általában hasznos adatként használnak egy szoftveres biztonsági rés kihasználásához.
- A folyamatmemóriában injektált rosszindulatú végrehajtható fájl.
MITRE-taktikák: Védelmi kijátszás, végrehajtás
Súlyosság: Közepes
Magas kockázatú szoftver észlelhető
Leírás: A(z) %{Feltört gazdagép} gazdagépadatainak elemzése azt észlelte, hogy a kártevő telepítésével kapcsolatos szoftverek használata a múltban történt. A rosszindulatú szoftverek terjesztésében gyakran használt módszer az, hogy másként jóindulatú eszközökbe csomagolja, például a riasztásban látottakba. Ha ezeket az eszközöket használja, a kártevő csendesen telepíthető a háttérben.
Súlyosság: Közepes
A helyi Rendszergazda istrators csoporttagokat számba vették
Leírás: A gépnaplók sikeres számbavételt jeleznek a(z) %{Enumerated Group Domain Name}%{Enumerated Group Name} csoporton. Pontosabban: %{Enumerating User Domain Name}%{Enumerating User Name} távolról számba írva a(z) %{Enumerated Group Domain Name}%{Enumerated Group Name} csoport tagjait. Ez a tevékenység lehet jogszerű tevékenység, vagy annak jelzése, hogy a szervezet egy gépe sérült, és a(z) %{vmname} felderítésére szolgál.
Súlyosság: Tájékoztató
A ZINC-kiszolgálóimplantátum által létrehozott rosszindulatú tűzfalszabály [többször is látható]
Leírás: Egy tűzfalszabályt olyan technikákkal hoztak létre, amelyek megfelelnek egy ismert aktornak, a CINK-nek. A szabályt valószínűleg arra használták, hogy nyisson meg egy portot a(z) %{Feltört gazdagép} webhelyen, hogy lehetővé tegye a command > control kommunikációt. Ez a viselkedés [x] időpontban jelenik meg a következő gépeken: [Gépnevek]
Súlyosság: Magas
Rosszindulatú SQL-tevékenység
Leírás: A gépnaplók azt jelzik, hogy a(z) %{folyamat neve} a(z) %{felhasználónév} fiók által lett végrehajtva. Ezt a tevékenységet a rendszer rosszindulatúként azonosította.
Súlyosság: Magas
Több tartományfiók lekérdezve
Leírás: A gazdagépadatok elemzése megállapította, hogy a rendszer szokatlan számú különböző tartományfiókot kérdez le rövid időn belül a(z) %{Feltört gazdagép} szolgáltatástól. Ez a fajta tevékenység lehet jogos, de a kompromisszum jele is lehet.
Súlyosság: Közepes
Lehetséges hitelesítőadat-memóriakép észlelése [többször is látható]
Leírás: A gazdagépadatok elemzése azt észlelte, hogy a natív windowsos eszköz (például sqldumper.exe) használata olyan módon történik, amely lehetővé teszi a hitelesítő adatok kinyerét a memóriából. A támadók gyakran használják ezeket a technikákat a hitelesítő adatok kinyerésére, amelyeket aztán tovább használnak az oldalirányú mozgáshoz és a jogosultságok eszkalálásához. Ez a viselkedés [x] időpontban jelenik meg a következő gépeken: [Gépnevek]
Súlyosság: Közepes
Lehetséges kísérlet az AppLocker megkerülésére
Leírás: A(z) %{Feltört gazdagép} gazdagép adatainak elemzése potenciális kísérletet észlelt az AppLocker-korlátozások megkerülésére. Az AppLocker konfigurálható úgy, hogy olyan szabályzatot implementáljon, amely korlátozza, hogy mely végrehajtható fájlok futtathatók Windows rendszeren. A riasztásban azonosítotthoz hasonló parancssori minta korábban az AppLocker-szabályzat megkerülésére tett támadói kísérletekhez volt társítva megbízható végrehajtható elemek (az AppLocker-szabályzat által engedélyezett) használatával a nem megbízható kód végrehajtásához. Ez lehet jogszerű tevékenység, vagy egy sérült gazdagép jelzése.
Súlyosság: Magas
Ritka SVCHOST szolgáltatáscsoport végrehajtása
(VM_SvcHostRunInRareServiceGroup)
Leírás: Az SVCHOST rendszerfolyamat egy ritka szolgáltatáscsoport futtatását észlelte. A kártevők gyakran használják az SVCHOST-t a rosszindulatú tevékenységek álcázására.
MITRE-taktikák: Védelmi kijátszás, végrehajtás
Súlyosság: Tájékoztató
Ragadós kulcsok támadása észlelhető
Leírás: A gazdagépadatok elemzése azt jelzi, hogy a támadók egy akadálymentes bináris fájlt (például ragadós kulcsokat, képernyő-billentyűzetet, narrátort) integrálhatnak a(z) %{Feltört gazdagép} gazdagéphez való backdoor-hozzáférés biztosítása érdekében.
Súlyosság: Közepes
Sikeres találgatásos támadás
(VM_LoginBruteForceSuccess)
Leírás: Több bejelentkezési kísérlet is észlelhető ugyanabból a forrásból. Néhány sikeresen hitelesítve van a gazdagépen. Ez egy kipukkanási támadáshoz hasonlít, amelyben a támadó számos hitelesítési kísérletet hajt végre az érvényes fiók hitelesítő adatainak megkeresésére.
MITRE-taktikák: Hasznosítás
Súlyosság: Közepes/Magas
Az RDP eltérítésére utaló gyanús integritási szint
Leírás: A gazdagépadatok elemzése észlelte a system jogosultságokkal futó tscon.exe – ez arra utalhat, hogy egy támadó visszaél ezzel a bináris fájllal, hogy kontextust váltson a gazdagép bármely más bejelentkezett felhasználójára. Ez egy ismert támadói technika, amellyel több felhasználói fiókot veszélyeztethet, és oldalirányban mozoghat a hálózaton.
Súlyosság: Közepes
Gyanús szolgáltatás telepítése
Leírás: A gazdagépadatok elemzése szolgáltatásként észlelte a tscon.exe telepítését: ez a szolgáltatásként indított bináris fájl lehetővé teszi, hogy a támadó triviálisan váltson a gazdagép bármely más bejelentkezett felhasználójára az RDP-kapcsolatok eltérítésével. Ez egy ismert támadói technika, amellyel több felhasználói fiókot veszélyeztethet, és oldalirányban mozoghat a hálózaton.
Súlyosság: Közepes
Kerberos Golden Ticket-támadási paraméterek megfigyelése
Leírás: A gazdagépadatok által észlelt parancssori paraméterek elemzése összhangban van a Kerberos Golden Ticket-támadással.
Súlyosság: Közepes
Gyanús fióklétrehozás észlelhető
Leírás: A(z) %{Feltört gazdagép} gazdagép adatainak elemzése azt észlelte, hogy a(z) %{Gyanús fiók neve} helyi fiók létrehozása vagy használata történt: ez a fióknév nagyon hasonlít egy szabványos Windows-fiókra vagy csoportnévre (%{Hasonló a fióknévhez}). Ez potenciálisan egy támadó által létrehozott rosszindulatú fiók, amelyet azért neveznek el, hogy elkerülje, hogy egy emberi rendszergazda észrevehesse.
Súlyosság: Közepes
Gyanús tevékenység észlelhető
(VM_SuspiciousActivity)
Leírás: A gazdagépadatok elemzése egy vagy több olyan folyamat sorozatát észlelte, amely a(z) %{machine name} rendszeren fut, és amelyek korábban rosszindulatú tevékenységhez voltak társítva. Bár az egyes parancsok jóindulatúnak tűnhetnek, a riasztás a parancsok összesítése alapján lesz pontozott. Ez lehet jogszerű tevékenység, vagy egy sérült gazdagép jelzése.
MITRE-taktikák: Végrehajtás
Súlyosság: Közepes
Gyanús hitelesítési tevékenység
(VM_LoginBruteForceValidUserFailed)
Leírás: Bár egyik sem sikerült, néhány használt fiókot felismert a gazdagép. Ez egy szótári támadáshoz hasonlít, amelyben a támadó számos hitelesítési kísérletet hajt végre előre definiált fióknevek és jelszavak szótárával, hogy érvényes hitelesítő adatokat találjon a gazdagép eléréséhez. Ez azt jelzi, hogy a gazdagépfiókok nevei egy jól ismert fióknév-szótárban is létezhetnek.
MITRE-taktikák: Próba
Súlyosság: Közepes
Gyanús kódszegmens észlelhető
Leírás: Azt jelzi, hogy egy kódszegmens nem szabványos metódusokkal lett lefoglalva, például tükröző injektálással és folyamatüregesítéssel. A riasztás a feldolgozott kódszegmens további jellemzőit biztosítja, hogy kontextust biztosítson a jelentett kódszegmens képességeihez és viselkedéséhez.
Súlyosság: Közepes
Gyanús dupla kiterjesztésű fájl végrehajtása
Leírás: A gazdagépadatok elemzése gyanús dupla kiterjesztésű folyamat végrehajtását jelzi. Ez a bővítmény arra is ráveheti a felhasználókat, hogy a fájlok biztonságosan megnyithatók, és jelezhetik a kártevő jelenlétét a rendszeren.
Súlyosság: Magas
Gyanús letöltés a Certutil használatával [többször is látható]
Leírás: A(z) %{Feltört gazdagép} gazdagép adatainak elemzése azt észlelte, hogy az certutil.exe, egy beépített rendszergazdai segédprogramot használ egy bináris fájl letöltéséhez a tanúsítványok és a tanúsítványadatok manipulálásával kapcsolatos általános célú helyett. A támadók ismertek a megbízható rendszergazdai eszközök funkcióival való visszaélésről a rosszindulatú műveletek végrehajtásához, például a certutil.exe használatával letölthetnek és dekódolhatnak egy rosszindulatú végrehajtható fájlt, amelyet később végrehajtanak. Ez a viselkedés [x] időpontban jelenik meg a következő gépeken: [Gépnevek]
Súlyosság: Közepes
Gyanús letöltés a Certutil használatával
Leírás: A(z) %{Feltört gazdagép} gazdagép adatainak elemzése azt észlelte, hogy az certutil.exe, egy beépített rendszergazdai segédprogramot használ egy bináris fájl letöltéséhez a tanúsítványok és a tanúsítványadatok manipulálásával kapcsolatos általános célú helyett. A támadók ismertek a megbízható rendszergazdai eszközök funkcióival való visszaélésről a rosszindulatú műveletek végrehajtásához, például a certutil.exe használatával letölthetnek és dekódolhatnak egy rosszindulatú végrehajtható fájlt, amelyet később végrehajtanak.
Súlyosság: Közepes
Gyanús PowerShell-tevékenység észlelhető
Leírás: A gazdagépadatok elemzése olyan PowerShell-szkriptet észlelt, amely a(z) %{Feltört gazdagép} rendszeren fut, és az ismert gyanús szkriptekkel közös funkciókkal rendelkezik. Ez a szkript lehet jogszerű tevékenység, vagy egy sérült gazdagép jelzése.
Súlyosság: Magas
Gyanús PowerShell-parancsmagok végrehajtása
Leírás: A gazdagépadatok elemzése ismert rosszindulatú PowerShell PowerSploit-parancsmagok végrehajtását jelzi.
Súlyosság: Közepes
Gyanús folyamat végrehajtása [többször is látható]
Leírás: A gépnaplók azt jelzik, hogy a(z) %{Gyanús folyamat} gyanús folyamat fut a gépen, amely gyakran a hitelesítő adatok elérésére tett támadói kísérletekkel van társítva. Ez a viselkedés [x] időpontban jelenik meg a következő gépeken: [Gépnevek]
Súlyosság: Magas
Gyanús folyamat végrehajtása
Leírás: A gépnaplók azt jelzik, hogy a(z) %{Gyanús folyamat} gyanús folyamat fut a gépen, amely gyakran a hitelesítő adatok elérésére tett támadói kísérletekkel van társítva.
Súlyosság: Magas
Gyanús folyamatnév észlelhető [többször is látható]
Leírás: A(z) %{Feltört gazdagép} gazdagép adatainak elemzése olyan folyamatot észlelt, amelynek a neve gyanús, például egy ismert támadóeszköznek felel meg, vagy olyan módon van elnevezve, amely olyan támadóeszközökre utal, amelyek egyszerű látásra próbálnak elrejtőzni. Ez a folyamat lehet jogszerű tevékenység, vagy azt jelzi, hogy az egyik gépe sérült. Ez a viselkedés [x] időpontban jelenik meg a következő gépeken: [Gépnevek]
Súlyosság: Közepes
Gyanús folyamatnév észlelhető
Leírás: A(z) %{Feltört gazdagép} gazdagép adatainak elemzése olyan folyamatot észlelt, amelynek a neve gyanús, például egy ismert támadóeszköznek felel meg, vagy olyan módon van elnevezve, amely olyan támadóeszközökre utal, amelyek egyszerű látásra próbálnak elrejtőzni. Ez a folyamat lehet jogszerű tevékenység, vagy azt jelzi, hogy az egyik gépe sérült.
Súlyosság: Közepes
Gyanús SQL-tevékenység
Leírás: A gépnaplók azt jelzik, hogy a(z) %{folyamat neve} a(z) %{felhasználónév} fiók által lett végrehajtva. Ez a tevékenység nem gyakori ebben a fiókban.
Súlyosság: Közepes
Gyanús SVCHOST-folyamat végrehajtása
Leírás: Az SVCHOST rendszerfolyamat rendellenes környezetben fut. A kártevők gyakran használják az SVCHOST-t a rosszindulatú tevékenységek álcázására.
Súlyosság: Magas
Gyanús rendszerfolyamat végrehajtása
(VM_SystemProcessInAbnormalContext)
Leírás: A rendszerfolyamat (%{folyamat neve}) rendellenes környezetben fut. A kártevők gyakran ezt a folyamatnevet használják rosszindulatú tevékenységének álcázására.
MITRE-taktikák: Védelmi kijátszás, végrehajtás
Súlyosság: Magas
Gyanús kötet árnyékmásolati tevékenysége
Leírás: A gazdagépadatok elemzése árnyékmásolat-törlési tevékenységet észlelt az erőforráson. A kötet árnyékmásolata (Volume Shadow Copy, VSC) az adatok pillanatképeit tároló fontos összetevő. Néhány kártevő és különösen a Ransomware a VSC-t célozza a biztonsági mentési stratégiák szabotálására.
Súlyosság: Magas
Gyanús WindowPosition beállításjegyzék-érték észlelhető
Leírás: A(z) %{Feltört gazdagép} gazdagép adatainak elemzése olyan WindowsPosition beállításjegyzék-konfigurációmódosítási kísérletet észlelt, amely az alkalmazásablakok nem láthatatlan részeiben való elrejtését jelezheti. Ez lehet jogszerű tevékenység, vagy egy feltört gép jelzése: ez a tevékenység korábban olyan ismert szoftverekkel (vagy nemkívánatos szoftverekkel) lett társítva, mint a Win32/OneSystemCare és a Win32/SystemHealer, valamint a Win32/Creprote kártevői. Ha a WindowPosition értéke 201329664(Hex: 0x0c00 0c00, amely az X tengely=0c00 és az Y tengely=0c00 értéknek felel meg) ez a beállítás a konzolalkalmazás ablakát a felhasználó képernyőjének nem látható szakaszában helyezi el a látható start menü/tálca alatti nézet elől elrejtett területen. Az ismert gyanús hexa érték tartalmazza, de nem kizárólagosan a c000c000 értéket.
Súlyosság: Alacsony
Gyanúsan elnevezett folyamat észlelhető
Leírás: A(z) %{Feltört gazdagép} gazdagép adatainak elemzése olyan folyamatot észlelt, amelynek a neve nagyon hasonló, de eltér egy nagyon gyakran futó folyamattól (%{Hasonló a folyamat nevéhez}). Bár ez a folyamat lehet jóindulatú támadók is ismert, hogy néha elrejteni egyszerű szem előtt azáltal, hogy a rosszindulatú eszközök hasonlítanak a törvényes folyamatnevek.
Súlyosság: Közepes
Szokatlan konfiguráció alaphelyzetbe állítása a virtuális gépen
(VM_VMAccessUnusualConfigReset)
Leírás: A rendszer szokatlan konfiguráció-visszaállítást észlelt a virtuális gépen az előfizetés Azure Resource Manager-műveleteinek elemzésével. Bár ez a művelet jogos lehet, a támadók megpróbálhatják a virtuális gép hozzáférési bővítményét használni a virtuális gép konfigurációjának alaphelyzetbe állításához és a biztonsági rések elhárításához.
MITRE-taktikák: Hitelesítő adatok elérése
Súlyosság: Közepes
Szokatlan folyamatvégrehajtás észlelhető
Leírás: A(z) %{Feltört gazdagép} gazdagép adatainak elemzése azt észlelte, hogy a(z) %{Felhasználónév} által végrehajtott folyamat szokatlan volt. A(z) %{Felhasználónév} fiókhoz hasonló fiókok általában korlátozott számú műveletet hajtanak végre, ez a végrehajtás nem karakteres, és gyanús lehet.
Súlyosság: Magas
Szokatlan felhasználói jelszó-visszaállítás a virtuális gépen
(VM_VMAccessUnusualPasswordReset)
Leírás: A rendszer szokatlan felhasználói jelszó-visszaállítást észlelt a virtuális gépen az Előfizetés Azure Resource Manager-műveleteinek elemzésével. Bár ez a művelet jogos lehet, a támadók megpróbálhatják használni a virtuálisgép-hozzáférési bővítményt, hogy visszaállítsa egy helyi felhasználó hitelesítő adatait a virtuális gépen, és feltörje azt.
MITRE-taktikák: Hitelesítő adatok elérése
Súlyosság: Közepes
Szokatlan felhasználói SSH-kulcs alaphelyzetbe állítása a virtuális gépen
(VM_VMAccessUnusualSSHReset)
Leírás: A rendszer szokatlan felhasználói SSH-kulcs-visszaállítást észlelt a virtuális gépen az Előfizetés Azure Resource Manager-műveleteinek elemzésével. Bár ez a művelet jogos lehet, a támadók megpróbálhatják a virtuálisgép-hozzáférési bővítményt használni egy felhasználói fiók SSH-kulcsának alaphelyzetbe állításához a virtuális gépen, és veszélyeztethetik azt.
MITRE-taktikák: Hitelesítő adatok elérése
Súlyosság: Közepes
VBScript HTTP-objektumlefoglalás észlelhető
Leírás: VBScript-fájl létrehozása parancssor használatával észlelhető. A következő szkript HTTP-objektumfoglalási parancsot tartalmaz. Ez a művelet rosszindulatú fájlok letöltésére használható.
GPU-bővítmény gyanús telepítése a virtuális gépen (előzetes verzió)
(VM_GPUDriverExtensionUnusualExecution)
Leírás: A rendszer gyanús GPU-bővítmény telepítését észlelte a virtuális gépén az Azure Resource Manager-műveletek elemzésével az előfizetésében. A támadók a GPU-illesztőbővítménnyel telepíthetnek GPU-illesztőprogramokat a virtuális gépre az Azure Resource Manageren keresztül a titkosítás végrehajtásához.
MITRE-taktikák: Hatás
Súlyosság: Alacsony
Linux rendszerű gépekre vonatkozó riasztások
A Microsoft Defender 2. csomagja a Végponthoz készült Microsoft Defender által biztosítottakon kívül egyedi észleléseket és riasztásokat is biztosít. A Linux rendszerű gépekre vonatkozó riasztások a következők:
További részletek és megjegyzések
egy előzményfájl törölve lett
Leírás: A gazdagépadatok elemzése azt jelzi, hogy a parancselőzmények naplófájlja törölve lett. A támadók ezt tehetik a nyomaik eltüntetésére. A műveletet a következő felhasználó hajtotta végre: %{felhasználónév}.
Súlyosság: Közepes
Az adaptív alkalmazásvezérlési szabályzat megsértésének naplózása megtörtént
(VM_AdaptiveApplicationControlLinuxViolationAudited)
Leírás: Az alábbi felhasználók olyan alkalmazásokat futtattak, amelyek megsértik a szervezet alkalmazásvezérlési szabályzatát ezen a gépen. Lehetséges, hogy kártevő vagy alkalmazás sebezhetőségeknek teszi ki a gépet.
MITRE-taktikák: Végrehajtás
Súlyosság: Tájékoztató
Kártevőirtó széles körű fájlok kizárása a virtuális gépen
(VM_AmBroadFilesExclusion)
Leírás: A fájlkivételt a kártevőirtó bővítményből, széles körű kizárási szabvánnyal észlelték a virtuális gépen az előfizetés Azure Resource Manager-műveleteinek elemzésével. Ez a kizárás gyakorlatilag letiltja a kártevőirtó-védelmet. A támadók kizárhatják a fájlokat a kártevőirtó-vizsgálatból a virtuális gépen, hogy megakadályozzák az észlelést, miközben tetszőleges kódot futtatnak, vagy kártevőkkel fertőzik meg a gépet.
Súlyosság: Közepes
Letiltott kártevőirtó és kódvégrehajtás a virtuális gépen
(VM_AmDisablementAndCodeExecution)
Leírás: A kártevőirtó a kódvégrehajtással egy időben le van tiltva a virtuális gépen. Ezt az azure Resource Manager-műveletek az előfizetésben való elemzésével észlelte. A támadók letiltják a kártevőirtó szkennereket, hogy megakadályozzák az észlelést, miközben jogosulatlan eszközöket futtatnak, vagy kártevőkkel fertőzik meg a gépet.
Súlyosság: Magas
Kártevőirtó letiltva a virtuális gépen
(VM_AmDisablement)
Leírás: A kártevőirtó le van tiltva a virtuális gépen. Ezt az azure Resource Manager-műveletek az előfizetésben való elemzésével észlelte. A támadók letilthatják a kártevőirtót a virtuális gépen az észlelés megakadályozása érdekében.
MITRE-taktikák: Védelmi kijátszás
Súlyosság: Közepes
Kártevőirtó fájlok kizárása és kódvégrehajtás a virtuális gépen
(VM_AmFileExclusionAndCodeExecution)
Leírás: A kártevőirtó-olvasóból kizárt fájl, amely a kód végrehajtásával egy egyéni szkriptbővítményen keresztül lett végrehajtva a virtuális gépen. Ezt az azure Resource Manager-műveletek az előfizetésben való elemzésével észlelte. A támadók kizárhatják a fájlokat a kártevőirtó-vizsgálatból a virtuális gépen, hogy megakadályozzák az észlelést, miközben jogosulatlan eszközöket futtatnak, vagy kártevőkkel fertőzik meg a gépet.
MITRE-taktikák: Védelmi kijátszás, végrehajtás
Súlyosság: Magas
Kártevőirtó fájlok kizárása és kódvégrehajtás a virtuális gépen
(VM_AmTempFileExclusionAndCodeExecution)
Leírás: Az előfizetés Azure Resource Manager-műveleteinek elemzésével ideiglenes fájlkizárást észleltünk a kártevőirtó bővítményből az egyéni szkriptbővítményen keresztüli kódvégrehajtással párhuzamosan. A támadók kizárhatják a fájlokat a kártevőirtó-vizsgálatból a virtuális gépen, hogy megakadályozzák az észlelést, miközben tetszőleges kódot futtatnak, vagy kártevőkkel fertőzik meg a gépet.
MITRE-taktikák: Védelmi kijátszás, végrehajtás
Súlyosság: Magas
Kártevőirtó fájlok kizárása a virtuális gépen
(VM_AmTempFileExclusion)
Leírás: A fájl ki van zárva a kártevőirtó szkennerből a virtuális gépen. Ezt az azure Resource Manager-műveletek az előfizetésben való elemzésével észlelte. A támadók kizárhatják a fájlokat a kártevőirtó-vizsgálatból a virtuális gépen, hogy megakadályozzák az észlelést, miközben jogosulatlan eszközöket futtatnak, vagy kártevőkkel fertőzik meg a gépet.
MITRE-taktikák: Védelmi kijátszás
Súlyosság: Közepes
A kártevőirtó valós idejű védelme le lett tiltva a virtuális gépen
(VM_AmRealtimeProtectionDisabled)
Leírás: A kártevőirtó bővítmény valós idejű védelmi letiltását észlelte a virtuális gépen az előfizetés Azure Resource Manager-műveleteinek elemzésével. A támadók letilthatják a valós idejű védelmet a kártevőirtó-vizsgálattal szemben a virtuális gépen, hogy elkerüljék az észlelést, miközben tetszőleges kódot futtatnak, vagy kártevőkkel fertőzik meg a gépet.
MITRE-taktikák: Védelmi kijátszás
Súlyosság: Közepes
A kártevőirtó valós idejű védelme ideiglenesen le lett tiltva a virtuális gépen
(VM_AmTempRealtimeProtectionDisablement)
Leírás: A rendszer a kártevőirtó bővítmény valós idejű védelmi ideiglenes letiltását észlelte a virtuális gépen az előfizetés azure Resource Manager-műveleteinek elemzésével. A támadók letilthatják a valós idejű védelmet a kártevőirtó-vizsgálattal szemben a virtuális gépen, hogy elkerüljék az észlelést, miközben tetszőleges kódot futtatnak, vagy kártevőkkel fertőzik meg a gépet.
MITRE-taktikák: Védelmi kijátszás
Súlyosság: Közepes
A kártevőirtó valós idejű védelme ideiglenesen le lett tiltva a kód végrehajtása közben a virtuális gépen
(VM_AmRealtimeProtectionDisablementAndCodeExec)
Leírás: A kártevőirtó bővítmény valós idejű védelmi ideiglenes letiltása az egyéni szkriptbővítményen keresztüli kódvégrehajtással párhuzamosan észlelhető a virtuális gépen az azure Resource Manager-műveletek elemzésével az előfizetésben. A támadók letilthatják a valós idejű védelmet a kártevőirtó-vizsgálattal szemben a virtuális gépen, hogy elkerüljék az észlelést, miközben tetszőleges kódot futtatnak, vagy kártevőkkel fertőzik meg a gépet.
Súlyosság: Magas
Kártevőirtó-vizsgálatok blokkolva vannak a virtuális gépen futó kártevőkampányokhoz kapcsolódó fájlok esetében (előzetes verzió)
(VM_AmMalwareCampaignRelatedExclusion)
Leírás: A rendszer kizárási szabályt észlelt a virtuális gépen, amely megakadályozza, hogy a kártevőirtó bővítmény beolvasson bizonyos fájlokat, amelyek feltehetően egy kártevőkampányhoz kapcsolódnak. A szabályt az előfizetésben lévő Azure Resource Manager-műveletek elemzésével észlelte a rendszer. A támadók kizárhatják a fájlokat a kártevőirtó-vizsgálatokból, hogy megakadályozzák az észlelést tetszőleges kód futtatásakor, vagy kártevőkkel fertőzik meg a gépet.
MITRE-taktikák: Védelmi kijátszás
Súlyosság: Közepes
Kártevőirtó ideiglenesen le van tiltva a virtuális gépen
(VM_AmTemporarilyDisablement)
Leírás: A kártevőirtó ideiglenesen le van tiltva a virtuális gépen. Ezt az azure Resource Manager-műveletek az előfizetésben való elemzésével észlelte. A támadók letilthatják a kártevőirtót a virtuális gépen az észlelés megakadályozása érdekében.
Súlyosság: Közepes
Kártevőirtó – szokatlan fájlkizárás a virtuális gépen
(VM_UnusualAmFileExclusion)
Leírás: A rendszer szokatlan fájlkivételt észlelt a kártevőirtó-bővítményből a virtuális gépen az Előfizetés Azure Resource Manager-műveleteinek elemzésével. A támadók kizárhatják a fájlokat a kártevőirtó-vizsgálatból a virtuális gépen, hogy megakadályozzák az észlelést, miközben tetszőleges kódot futtatnak, vagy kártevőkkel fertőzik meg a gépet.
MITRE-taktikák: Védelmi kijátszás
Súlyosság: Közepes
A észlelt ransomware-hez hasonló viselkedés [többször is látható]
Leírás: A(z) %{Feltört gazdagép} gazdagép adatainak elemzése olyan fájlok végrehajtását észlelte, amelyek hasonlóak az ismert zsarolóprogramokhoz, amelyek megakadályozhatják, hogy a felhasználók hozzáférjenek a rendszerükhöz vagy személyes fájljaikhoz, és váltságdíjfizetést követelnek a hozzáférés visszanyerése érdekében. Ez a viselkedés [x] időpontban jelenik meg a következő gépeken: [Gépnevek]
Súlyosság: Magas
Kommunikáció a fenyegetésfelderítés által azonosított gyanús tartománnyal
(AzureDNS_ThreatIntelSuspectDomain)
Leírás: A gyanús tartományokkal folytatott kommunikációt az erőforrás DNS-tranzakcióinak elemzésével és a fenyegetésfelderítési hírcsatornák által azonosított ismert rosszindulatú tartományokkal való összehasonlítással észleltük. A rosszindulatú tartományok közötti kommunikációt gyakran hajtják végre a támadók, és ez azt jelentheti, hogy az erőforrás biztonsága sérül.
MITRE-taktikák: Kezdeti hozzáférés, adatmegőrzés, végrehajtás, irányítás és ellenőrzés, kizsákmányolás
Súlyosság: Közepes
Tároló bányász rendszerképpel
(VM_MinerInContainerImage)
Leírás: A gépi naplók egy Docker-tároló végrehajtását jelzik, amely digitális pénznembányászathoz társított rendszerképet futtat.
MITRE-taktikák: Végrehajtás
Súlyosság: Magas
Felső és kisbetűs karakterek rendellenes keveredése észlelhető a parancssorban
Leírás: A(z) %{Feltört gazdagép} gazdagép adatainak elemzése olyan parancssort észlelt, amely a kis- és nagybetűk rendellenes kombinációját tartalmazta. Ez a fajta minta, bár valószínűleg jóindulatú, jellemző arra is, hogy a támadók megpróbálnak elrejteni a kis- és nagybetűkre érzékeny vagy kivonatalapú szabályegyeztetés elől, amikor rendszergazdai feladatokat hajtanak végre egy sérült gazdagépen.
Súlyosság: Közepes
Ismert rosszindulatú forrásból származó fájlletöltés észlelhető
Leírás: A gazdagépadatok elemzése egy fájl letöltését észlelte egy ismert kártevőforrásról a(z) %{Feltört gazdagép} webhelyen.
Súlyosság: Közepes
Gyanús hálózati tevékenység észlelhető
Leírás: A(z) %{Feltört gazdagép} hálózati forgalmának elemzése gyanús hálózati tevékenységet észlelt. Az ilyen forgalmat, bár jóindulatú, általában a támadók arra használják, hogy rosszindulatú kiszolgálókkal kommunikáljanak az eszközök letöltéséhez, az adatok parancs- és vezérléséhez és kiszivárgásához. A támadók tipikus tevékenységei közé tartozik a távoli felügyeleti eszközök másolása egy sérült gazdagépre, és a felhasználói adatok kiszűrése belőle.
Súlyosság: Alacsony
A digitális pénznembányászattal kapcsolatos viselkedés észlelhető
Leírás: A(z) %{Feltört gazdagép} gazdagép adatainak elemzése észlelte a digitális pénznembányászathoz általában társított folyamat vagy parancs végrehajtását.
Súlyosság: Magas
Naplózott naplózás letiltása [többször is látható]
Leírás: A Linux-naplózási rendszer lehetővé teszi a rendszer biztonsági szempontból releváns információinak nyomon követését. A rendszer a lehető legtöbb információt rögzíti a rendszeren zajló eseményekről. Az auditált naplózás letiltása akadályozhatja a rendszeren használt biztonsági szabályzatok megsértésének felderítését. Ez a viselkedés [x] időpontban jelenik meg a következő gépeken: [Gépnevek]
Súlyosság: Alacsony
Xorg sebezhetőség kihasználása [többször is látható]
Leírás: A(z) %{Feltört gazdagép} gazdagép adatainak elemzése gyanús argumentumokkal észlelte az Xorg felhasználóját. A támadók ezt a technikát használhatják a jogosultság-eszkalációs kísérletekben. Ez a viselkedés [x] időpontban jelenik meg a következő gépeken: [Gépnevek]
Súlyosság: Közepes
Sikertelen SSH-találgatásos támadás
(VM_SshBruteForceFailed)
Leírás: Sikertelen találgatásos támadásokat észlelt a rendszer a következő támadóktól: %{Támadók}. A támadók a következő felhasználónevekkel próbálták elérni a gazdagépet: %{A sikertelen bejelentkezéskor használt fiókok a gazdakísérletekhez}.
MITRE-taktikák: Próba
Súlyosság: Közepes
Fájl nélküli támadási viselkedés észlelhető
(VM_FilelessAttackBehavior.Linux)
Leírás: Az alább megadott folyamat memóriája fájl nélküli támadások által gyakran használt viselkedéseket tartalmaz. A konkrét viselkedések a következők: {a megfigyelt viselkedések listája}
MITRE-taktikák: Végrehajtás
Súlyosság: Alacsony
Fájl nélküli támadási technika észlelhető
(VM_FilelessAttackTechnique.Linux)
Leírás: Az alább megadott folyamat memóriája fájl nélküli támadási technika bizonyítékát tartalmazza. A fájl nélküli támadásokat a támadók kód végrehajtására használják, miközben elkerülik a biztonsági szoftverek általi észlelést. A konkrét viselkedések a következők: {a megfigyelt viselkedések listája}
MITRE-taktikák: Végrehajtás
Súlyosság: Magas
Fájl nélküli támadási eszközkészlet észlelhető
(VM_FilelessAttackToolkit.Linux)
Leírás: Az alább megadott folyamat memóriája egy fájl nélküli támadási eszközkészletet tartalmaz: {ToolKitName}. A fájl nélküli támadási eszközkészletek általában nem rendelkeznek jelenléttel a fájlrendszeren, ami megnehezíti a hagyományos víruskereső szoftverek általi észlelést. A konkrét viselkedések a következők: {a megfigyelt viselkedések listája}
MITRE-taktikák: Védelmi kijátszás, végrehajtás
Súlyosság: Magas
Rejtett fájlvégrehajtás észlelhető
Leírás: A gazdagépadatok elemzése azt jelzi, hogy egy rejtett fájlt %{felhasználónév} hajtott végre. Ez a tevékenység lehet jogszerű tevékenység, vagy egy sérült gazdagép jelzése.
Súlyosság: Tájékoztató
Új SSH-kulcs hozzáadva [többször is látható]
(VM_SshKeyAddition)
Leírás: Új SSH-kulcs lett hozzáadva az engedélyezett kulcsfájlhoz. Ez a viselkedés [x] időpontban jelenik meg a következő gépeken: [Gépnevek]
MITRE-taktikák: Állandóság
Súlyosság: Alacsony
Új SSH-kulcs hozzáadva
Leírás: Új SSH-kulcs lett hozzáadva az engedélyezett kulcsfájlhoz.
Súlyosság: Alacsony
Lehetséges backdoor észlelt [többször is látható]
Leírás: A gazdagépadatok elemzése azt észlelte, hogy a rendszer gyanús fájlt tölt le, majd futtatja a(z) %{Compromised Host} fájlt az előfizetésében. Ezt a tevékenységet korábban egy háttérrendszer telepítésével társították. Ez a viselkedés [x] időpontban jelenik meg a következő gépeken: [Gépnevek]
Súlyosság: Közepes
Az észlelt mailserver lehetséges kihasználtsága
(VM_MailserverExploitation )
Leírás: A(z) %{Feltört gazdagép} gazdagépadatainak elemzése szokatlan végrehajtást észlelt a levelezési kiszolgáló fiókja alatt
MITRE-taktikák: Hasznosítás
Súlyosság: Közepes
Lehetséges rosszindulatú webes rendszerhéj észlelhető
Leírás: A(z) %{Feltört gazdagép} gazdagép adatainak elemzése egy lehetséges webes rendszerhéjat észlelt. A támadók gyakran feltöltenek egy webes rendszerhéjat egy olyan gépre, amely biztonságba került, és így megőrizhetik vagy tovább használhatják őket.
Súlyosság: Közepes
Lehetséges jelszómódosítás az észlelt titkosítási módszerrel [többször is látható]
Leírás: A(z) %{Feltört gazdagép} gazdagép adatainak elemzése titkosítási módszerrel észlelt jelszómódosítást. A támadók ezt a módosítást elvégezhetik a hozzáférés folytatásához és a biztonság megőrzéséhez a kompromisszum után. Ez a viselkedés [x] időpontban jelenik meg a következő gépeken: [Gépnevek]
Súlyosság: Közepes
A digitális pénznembányászattal társított folyamat észlelhető [többször is látható]
Leírás: A(z) %{Feltört gazdagép} gazdagép adatainak elemzése észlelte a digitális pénznembányászathoz általában kapcsolódó folyamat végrehajtását. Ez a viselkedés ma több mint 100 alkalommal volt látható a következő gépeken: [Gép neve]
Súlyosság: Közepes
A digitális pénznembányászattal társított folyamat észlelhető
Leírás: A gazdagépadatok elemzése olyan folyamat végrehajtását észlelte, amely általában a digitális pénznembányászathoz van társítva.
MITRE-taktikák: Kizsákmányolás, végrehajtás
Súlyosság: Közepes
Python kódolt letöltő észlelhető [többször is látható]
Leírás: A(z) %{Feltört gazdagép} gazdagép adatainak elemzése észlelte a kódolt Python végrehajtását, amely kódot tölt le és futtat távoli helyről. Ez rosszindulatú tevékenységre utalhat. Ez a viselkedés [x] időpontban jelenik meg a következő gépeken: [Gépnevek]
Súlyosság: Alacsony
Képernyőkép a gazdagépről [többször is látható]
Leírás: A(z) %{Feltört gazdagép} gazdagép adatainak elemzése egy képernyőfelvételi eszköz felhasználóját észlelte. A támadók ezeket az eszközöket használhatják a személyes adatok eléréséhez. Ez a viselkedés [x] időpontban jelenik meg a következő gépeken: [Gépnevek]
Súlyosság: Alacsony
A rendszerhéjkód észlelhető [többször is látható]
Leírás: A(z) %{Feltört gazdagép} gazdagépadatainak elemzése azt észlelte, hogy a parancssorból generált rendszerhéjkód. Ez a folyamat lehet jogszerű tevékenység, vagy azt jelzi, hogy az egyik gépe sérült. Ez a viselkedés [x] időpontban jelenik meg a következő gépeken: [Gépnevek]
Súlyosság: Közepes
Sikeres SSH találgatásos támadás
(VM_SshBruteForceSuccess)
Leírás: A gazdagépadatok elemzése sikeres találgatásos támadást észlelt. A(z) %{Támadó forrás IP} IP-címe több bejelentkezési kísérletet is tett. Az IP-címről a következő felhasználó(k) segítségével sikerült bejelentkezni: %{A gazdagépre való sikeres bejelentkezéshez használt fiókok}. Ez azt jelenti, hogy a gazdagépet egy rosszindulatú szereplő veszélyeztetheti és szabályozhatja.
MITRE-taktikák: Hasznosítás
Súlyosság: Magas
Gyanús fióklétrehozás észlelhető
Leírás: A(z) %{Feltört gazdagép} gazdagép adatainak elemzése azt észlelte, hogy a(z) %{Gyanús fiók neve} helyi fiók létrehozása vagy használata történt: ez a fióknév nagyon hasonlít egy szabványos Windows-fiókra vagy csoportnévre (%{Hasonló a fióknévhez}). Ez potenciálisan egy támadó által létrehozott rosszindulatú fiók, amelyet azért neveznek el, hogy elkerülje, hogy egy emberi rendszergazda észrevehesse.
Súlyosság: Közepes
Gyanús kernelmodul észlelhető [többször is látható]
Leírás: A(z) %{Feltört gazdagép} gazdagépadatainak elemzése azt észlelte, hogy a rendszer kernelmodulként betöltött egy megosztott objektumfájlt. Ez lehet jogszerű tevékenység, vagy azt jelzi, hogy az egyik gépe sérült. Ez a viselkedés [x] időpontban jelenik meg a következő gépeken: [Gépnevek]
Súlyosság: Közepes
Gyanús jelszóhozzáférés [többször is látható]
Leírás: A gazdagépadatok elemzése gyanús hozzáférést észlelt a titkosított felhasználói jelszavakhoz a következőn: %{Feltört gazdagép}. Ez a viselkedés [x] időpontban jelenik meg a következő gépeken: [Gépnevek]
Súlyosság: Tájékoztató
Gyanús jelszóhozzáférés
Leírás: A gazdagépadatok elemzése gyanús hozzáférést észlelt a titkosított felhasználói jelszavakhoz a következőn: %{Feltört gazdagép}.
Súlyosság: Tájékoztató
Gyanús kérés a Kubernetes-irányítópultra
(VM_KubernetesDashboard)
Leírás: A gépnaplók azt jelzik, hogy gyanús kérés érkezett a Kubernetes-irányítópultra. A kérés egy Kubernetes-csomópontról lett elküldve, valószínűleg a csomóponton futó egyik tárolóból. Bár ez a viselkedés szándékos lehet, azt jelezheti, hogy a csomópont feltört tárolót futtat.
MITRE-taktikák: LateralMovement
Súlyosság: Közepes
Szokatlan konfiguráció alaphelyzetbe állítása a virtuális gépen
(VM_VMAccessUnusualConfigReset)
Leírás: A rendszer szokatlan konfiguráció-visszaállítást észlelt a virtuális gépen az előfizetés Azure Resource Manager-műveleteinek elemzésével. Bár ez a művelet jogos lehet, a támadók megpróbálhatják a virtuális gép hozzáférési bővítményét használni a virtuális gép konfigurációjának alaphelyzetbe állításához és a biztonsági rések elhárításához.
MITRE-taktikák: Hitelesítő adatok elérése
Súlyosság: Közepes
Szokatlan felhasználói jelszó-visszaállítás a virtuális gépen
(VM_VMAccessUnusualPasswordReset)
Leírás: A rendszer szokatlan felhasználói jelszó-visszaállítást észlelt a virtuális gépen az Előfizetés Azure Resource Manager-műveleteinek elemzésével. Bár ez a művelet jogos lehet, a támadók megpróbálhatják használni a virtuálisgép-hozzáférési bővítményt, hogy visszaállítsa egy helyi felhasználó hitelesítő adatait a virtuális gépen, és feltörje azt.
MITRE-taktikák: Hitelesítő adatok elérése
Súlyosság: Közepes
Szokatlan felhasználói SSH-kulcs alaphelyzetbe állítása a virtuális gépen
(VM_VMAccessUnusualSSHReset)
Leírás: A rendszer szokatlan felhasználói SSH-kulcs-visszaállítást észlelt a virtuális gépen az Előfizetés Azure Resource Manager-műveleteinek elemzésével. Bár ez a művelet jogos lehet, a támadók megpróbálhatják a virtuálisgép-hozzáférési bővítményt használni egy felhasználói fiók SSH-kulcsának alaphelyzetbe állításához a virtuális gépen, és veszélyeztethetik azt.
MITRE-taktikák: Hitelesítő adatok elérése
Súlyosság: Közepes
GPU-bővítmény gyanús telepítése a virtuális gépen (előzetes verzió)
(VM_GPUDriverExtensionUnusualExecution)
Leírás: A rendszer gyanús GPU-bővítmény telepítését észlelte a virtuális gépén az Azure Resource Manager-műveletek elemzésével az előfizetésében. A támadók a GPU-illesztőbővítménnyel telepíthetnek GPU-illesztőprogramokat a virtuális gépre az Azure Resource Manageren keresztül a titkosítás végrehajtásához.
MITRE-taktikák: Hatás
Súlyosság: Alacsony
DNS-riasztások
Fontos
Augusztus 1-jével a defender for DNS-előfizetéssel rendelkező ügyfelek továbbra is használhatják a szolgáltatást, de az új előfizetők a Defender for Server P2 részeként kapnak riasztásokat a gyanús DNS-tevékenységről.
További részletek és megjegyzések
Rendellenes hálózati protokollhasználat
(AzureDNS_ProtocolAnomaly)
Leírás: A(z) %{CompromisedEntity} DNS-tranzakcióinak elemzése rendellenes protokollhasználatot észlelt. Az ilyen forgalom, bár jóindulatú, utalhat arra, hogy a hálózati forgalom szűrését megkerülő gyakori protokoll visszaélést jelent. A támadók tipikus tevékenységei közé tartozik a távoli felügyeleti eszközök másolása egy sérült gazdagépre, és a felhasználói adatok kiszűrése belőle.
MITRE-taktikák: Exfiltration
Súlyosság: -
Anonimitási hálózati tevékenység
(AzureDNS_DarkWeb)
Leírás: A(z) %{CompromisedEntity} dns-tranzakcióinak elemzése anonimitási hálózati tevékenységet észlelt. A támadók gyakran használják az ilyen tevékenységeket, bár valószínűleg jogos felhasználói viselkedést, hogy elkerülik a hálózati kommunikáció nyomon követését és ujjlenyomatát. A támadók tipikus tevékenységei valószínűleg rosszindulatú szoftverek vagy távoli felügyeleti eszközök letöltését és végrehajtását is magukban foglalják.
MITRE-taktikák: Exfiltration
Súlyosság: Alacsony
Anonimitás hálózati tevékenység webes proxy használatával
(AzureDNS_DarkWebProxy)
Leírás: A(z) %{CompromisedEntity} dns-tranzakcióinak elemzése anonimitási hálózati tevékenységet észlelt. A támadók gyakran használják az ilyen tevékenységeket, bár valószínűleg jogos felhasználói viselkedést, hogy elkerülik a hálózati kommunikáció nyomon követését és ujjlenyomatát. A támadók tipikus tevékenységei valószínűleg rosszindulatú szoftverek vagy távoli felügyeleti eszközök letöltését és végrehajtását is magukban foglalják.
MITRE-taktikák: Exfiltration
Súlyosság: Alacsony
Gyanús elsüllyedt tartománnyal való kommunikációra tett kísérlet
(AzureDNS_SinkholedDomain)
Leírás: A(z) %{CompromisedEntity} dns-tranzakcióinak elemzése elsüllyedt tartományra vonatkozó kérést észlelt. Az ilyen tevékenység, bár valószínűleg jogos felhasználói viselkedés, gyakran jelzi a rosszindulatú szoftverek letöltését vagy végrehajtását. A támadók tipikus tevékenységei valószínűleg további rosszindulatú szoftverek vagy távoli felügyeleti eszközök letöltését és végrehajtását is magukban foglalják.
MITRE-taktikák: Exfiltration
Súlyosság: Közepes
Kommunikáció lehetséges adathalászati tartománnyal
(AzureDNS_PhishingDomain)
Leírás: A(z) %{CompromisedEntity} DNS-tranzakcióinak elemzése egy lehetséges adathalász tartományra vonatkozó kérést észlelt. A támadók gyakran végeznek ilyen tevékenységet, bár jóindulatúak, hogy hitelesítő adatokat gyűjtenek a távoli szolgáltatásokba. A tipikusan kapcsolódó támadói tevékenység valószínűleg magában foglalja a hitelesítő adatok hasznosítását a jogos szolgáltatásban.
MITRE-taktikák: Exfiltration
Súlyosság: Tájékoztató
Kommunikáció gyanús, algoritmussal generált tartománnyal
(AzureDNS_DomainGenerationAlgorithm)
Leírás: A(z) %{CompromisedEntity} DNS-tranzakcióinak elemzése észlelte a tartománygenerálási algoritmus lehetséges használatát. A támadók gyakran végeznek ilyen tevékenységet, bár jóindulatúak is, hogy elkerülik a hálózatfigyelést és -szűrést. A támadók tipikus tevékenységei valószínűleg rosszindulatú szoftverek vagy távoli felügyeleti eszközök letöltését és végrehajtását is magukban foglalják.
MITRE-taktikák: Exfiltration
Súlyosság: Tájékoztató
Kommunikáció a fenyegetésfelderítés által azonosított gyanús tartománnyal
(AzureDNS_ThreatIntelSuspectDomain)
Leírás: A gyanús tartományokkal folytatott kommunikációt az erőforrás DNS-tranzakcióinak elemzésével és a fenyegetésfelderítési hírcsatornák által azonosított ismert rosszindulatú tartományokkal való összehasonlítással észleltük. A rosszindulatú tartományok közötti kommunikációt gyakran hajtják végre a támadók, és ez azt jelentheti, hogy az erőforrás biztonsága sérül.
MITRE-taktikák: Kezdeti hozzáférés
Súlyosság: Közepes
Gyanús véletlenszerű tartománynévvel folytatott kommunikáció
(AzureDNS_RandomizedDomain)
Leírás: A(z) %{CompromisedEntity} DNS-tranzakcióinak elemzése egy gyanús, véletlenszerűen létrehozott tartománynév használatát észlelte. A támadók gyakran végeznek ilyen tevékenységet, bár jóindulatúak is, hogy elkerülik a hálózatfigyelést és -szűrést. A támadók tipikus tevékenységei valószínűleg rosszindulatú szoftverek vagy távoli felügyeleti eszközök letöltését és végrehajtását is magukban foglalják.
MITRE-taktikák: Exfiltration
Súlyosság: Tájékoztató
Digitális pénznembányászati tevékenység
(AzureDNS_CurrencyMining)
Leírás: A(z) %{CompromisedEntity} dns-tranzakcióinak elemzése digitális pénznembányászati tevékenységet észlelt. Az ilyen tevékenységet, bár lehetséges, hogy a felhasználók viselkedése jogszerű, gyakran hajtják végre a támadók az erőforrások feltörése után. A tipikus támadói tevékenység valószínűleg magában foglalja a gyakori bányászati eszközök letöltését és végrehajtását.
MITRE-taktikák: Exfiltration
Súlyosság: Alacsony
Hálózati behatolásészlelési aláírás aktiválása
(AzureDNS_SuspiciousDomain)
Leírás: A(z) %{CompromisedEntity} DNS-tranzakcióinak elemzése ismert rosszindulatú hálózati aláírást észlelt. Az ilyen tevékenység, bár valószínűleg jogos felhasználói viselkedés, gyakran jelzi a rosszindulatú szoftverek letöltését vagy végrehajtását. A támadók tipikus tevékenységei valószínűleg további rosszindulatú szoftverek vagy távoli felügyeleti eszközök letöltését és végrehajtását is magukban foglalják.
MITRE-taktikák: Exfiltration
Súlyosság: Közepes
Lehetséges adatletöltés DNS-alagúton keresztül
(AzureDNS_DataInfiltration)
Leírás: A(z) %{CompromisedEntity} DNS-tranzakcióinak elemzése egy lehetséges DNS-alagutat észlelt. A támadók gyakran végzik el az ilyen tevékenységeket, bár valószínűleg jogos felhasználói viselkedést, hogy elkerülik a hálózatfigyelést és -szűrést. A támadók tipikus tevékenységei valószínűleg rosszindulatú szoftverek vagy távoli felügyeleti eszközök letöltését és végrehajtását is magukban foglalják.
MITRE-taktikák: Exfiltration
Súlyosság: Alacsony
Lehetséges adatszűrés DNS-alagúton keresztül
(AzureDNS_DataExfiltration)
Leírás: A(z) %{CompromisedEntity} DNS-tranzakcióinak elemzése egy lehetséges DNS-alagutat észlelt. A támadók gyakran végzik el az ilyen tevékenységeket, bár valószínűleg jogos felhasználói viselkedést, hogy elkerülik a hálózatfigyelést és -szűrést. A támadók tipikus tevékenységei valószínűleg rosszindulatú szoftverek vagy távoli felügyeleti eszközök letöltését és végrehajtását is magukban foglalják.
MITRE-taktikák: Exfiltration
Súlyosság: Alacsony
Lehetséges adatátvitel DNS-alagúton keresztül
(AzureDNS_DataObfuscation)
Leírás: A(z) %{CompromisedEntity} DNS-tranzakcióinak elemzése egy lehetséges DNS-alagutat észlelt. A támadók gyakran végzik el az ilyen tevékenységeket, bár valószínűleg jogos felhasználói viselkedést, hogy elkerülik a hálózatfigyelést és -szűrést. A támadók tipikus tevékenységei valószínűleg rosszindulatú szoftverek vagy távoli felügyeleti eszközök letöltését és végrehajtását is magukban foglalják.
MITRE-taktikák: Exfiltration
Súlyosság: Alacsony
Riasztások Azure-beli virtuálisgép-bővítményekhez
Ezek a riasztások az Azure-beli virtuálisgép-bővítmények gyanús tevékenységeinek észlelésére összpontosítanak, és betekintést nyújtanak a támadók azon kísérleteibe, amelyek kártékony tevékenységeket próbálnak végrehajtani a virtuális gépeken.
Az Azure-beli virtuálisgép-bővítmények olyan kis alkalmazások, amelyek üzembe helyezés után futnak a virtuális gépeken, és olyan képességeket biztosítanak, mint a konfiguráció, az automatizálás, a monitorozás, a biztonság stb. Bár a bővítmények hatékony eszközök, a fenyegetést javító szereplők különböző rosszindulatú szándékokhoz használhatják őket, például:
Adatgyűjtés és monitorozás
Kódvégrehajtás és konfiguráció üzembe helyezése magas jogosultságokkal
Hitelesítő adatok visszaállítása és rendszergazdai felhasználók létrehozása
Lemezek titkosítása
További információ az Azure-beli virtuálisgép-bővítmények visszaélései elleni legújabb védelemről Felhőhöz készült Defender.
Gyanús hiba a GPU-bővítmény előfizetésben való telepítésekor (előzetes verzió)
(VM_GPUExtensionSuspiciousFailure)
Leírás: A GPU-bővítmény nem támogatott virtuális gépekre való telepítésének gyanús szándéka. Ezt a bővítményt grafikus processzorral felszerelt virtuális gépekre kell telepíteni, és ebben az esetben a virtuális gépek nincsenek ilyennel felszerelve. Ezek a hibák akkor láthatók, ha rosszindulatú támadók több ilyen kiterjesztésű telepítést hajtanak végre titkosítási bányászat céljából.
MITRE-taktikák: Hatás
Súlyosság: Közepes
A rendszer gyanús GPU-bővítmény telepítését észlelte a virtuális gépen (előzetes verzió)
(VM_GPUDriverExtensionUnusualExecution)
Leírás: A rendszer gyanús GPU-bővítmény telepítését észlelte a virtuális gépen az Azure Resource Manager-műveletek elemzésével az előfizetésében. A támadók a GPU-illesztőbővítménnyel telepíthetnek GPU-illesztőprogramokat a virtuális gépre az Azure Resource Manageren keresztül a titkosítás végrehajtásához. Ez a tevékenység gyanúsnak minősül, mivel az ügyfél viselkedése eltér a szokásos mintáktól.
MITRE-taktikák: Hatás
Súlyosság: Alacsony
A rendszer gyanús szkripttel futtatott parancsot észlelt a virtuális gépen (előzetes verzió)
(VM_RunCommandSuspiciousScript)
Leírás: A rendszer gyanús szkripttel rendelkező futtatási parancsot észlelt a virtuális gépen az Előfizetés Azure Resource Manager-műveleteinek elemzésével. A támadók a Futtatás parancs használatával futtathatnak rosszindulatú kódot magas jogosultságokkal a virtuális gépen az Azure Resource Manageren keresztül. A szkript gyanúsnak minősül, mivel egyes részek potenciálisan rosszindulatúnak minősülnek.
MITRE-taktikák: Végrehajtás
Súlyosság: Magas
Gyanús, jogosulatlan futtatási parancshasználatot észlelt a rendszer a virtuális gépen (előzetes verzió)
(VM_RunCommandSuspiciousFailure)
Leírás: A futtatási parancs gyanús jogosulatlan használata sikertelen volt, és a rendszer az előfizetés Azure Resource Manager-műveleteinek elemzésével észlelte a virtuális gépen. Előfordulhat, hogy a támadók a Futtatás parancs használatával próbálnak rosszindulatú kódot végrehajtani magas jogosultságokkal a virtuális gépeken az Azure Resource Manageren keresztül. Ezt a tevékenységet gyanúsnak tekintik, mivel korábban még nem tapasztalták.
MITRE-taktikák: Végrehajtás
Súlyosság: Közepes
Gyanús futtatási parancs használatát észlelte a rendszer a virtuális gépen (előzetes verzió)
(VM_RunCommandSuspiciousUsage)
Leírás: A rendszer gyanúsan használja a futtatási parancsot a virtuális gépen az előfizetés azure Resource Manager-műveleteinek elemzésével. A támadók a Futtatás parancsot használhatják a magas jogosultságokkal rendelkező rosszindulatú kódok végrehajtására a virtuális gépeken az Azure Resource Manageren keresztül. Ezt a tevékenységet gyanúsnak tekintik, mivel korábban még nem tapasztalták.
MITRE-taktikák: Végrehajtás
Súlyosság: Alacsony
Több monitorozási vagy adatgyűjtési bővítmény gyanús használatát észlelte a virtuális gépeken (előzetes verzió)
(VM_SuspiciousMultiExtensionUsage)
Leírás: A rendszer több monitorozási vagy adatgyűjtési bővítmény gyanús használatát észlelte a virtuális gépeken az Előfizetés Azure Resource Manager-műveleteinek elemzésével. Előfordulhat, hogy a támadók visszaélnek az ilyen bővítményekkel az adatgyűjtéshez, a hálózati forgalom monitorozásához és egyebekhez az előfizetésben. Ezt a használatot gyanúsnak tekintik, mivel korábban még nem tapasztalták.
MITRE-taktikák: Felderítés
Súlyosság: Közepes
A rendszer gyanús lemeztitkosítási bővítményeket észlelt a virtuális gépeken (előzetes verzió)
(VM_DiskEncryptionSuspiciousUsage)
Leírás: A rendszer gyanús lemeztitkosítási bővítmények telepítését észlelte a virtuális gépeken az Előfizetés Azure Resource Manager-műveleteinek elemzésével. Előfordulhat, hogy a támadók visszaélnek a lemeztitkosítási bővítménysel, hogy teljes lemeztitkosításokat helyezzenek üzembe a virtuális gépeken az Azure Resource Manageren keresztül, hogy zsarolóprogram-tevékenységet hajtsanak végre. Ez a tevékenység gyanúsnak minősül, mivel korábban és a bővítménytelepítések nagy száma miatt nem volt gyakran látható.
MITRE-taktikák: Hatás
Súlyosság: Közepes
A VMAccess bővítmény gyanús használatát észlelte a virtuális gépeken (előzetes verzió)
(VM_VMAccessSuspiciousUsage)
Leírás: A VMAccess bővítmény gyanús használatát észlelte a virtuális gépeken. Előfordulhat, hogy a támadók visszaélnek a VMAccess bővítménysel, hogy hozzáférést szerezzenek, és magas jogosultságokkal veszélyeztessék a virtuális gépeket a hozzáférés alaphelyzetbe állításával vagy a rendszergazda felhasználók kezelésével. Ez a tevékenység gyanúsnak minősül, mivel az ügyfél viselkedése eltér a szokásos mintáktól, és a bővítménytelepítések nagy száma miatt.
MITRE-taktikák: Állandóság
Súlyosság: Közepes
A rendszer gyanús szkripttel rendelkező kívánt állapotkonfigurációs (DSC) bővítményt észlelt a virtuális gépen (előzetes verzió)
(VM_DSCExtensionSuspiciousScript)
Leírás: A rendszer gyanús szkripttel rendelkező kívánt állapotkonfigurációs (DSC) bővítményt észlelt a virtuális gépen az előfizetés Azure Resource Manager-műveleteinek elemzésével. A támadók a Desired State Configuration (DSC) bővítményt használhatják rosszindulatú konfigurációk, például adatmegőrzési mechanizmusok, rosszindulatú szkriptek és sok más, magas jogosultságokkal rendelkező virtuális gépeken való üzembe helyezéséhez. A szkript gyanúsnak minősül, mivel egyes részek potenciálisan rosszindulatúnak minősülnek.
MITRE-taktikák: Végrehajtás
Súlyosság: Magas
A rendszer gyanúsan használja a kívánt állapotkonfigurációs (DSC) bővítményt a virtuális gépeken (előzetes verzió)
(VM_DSCExtensionSuspiciousUsage)
Leírás: A rendszer a kívánt állapotkonfigurációs (DSC) bővítmény gyanús használatát észlelte a virtuális gépeken az előfizetés Azure Resource Manager-műveleteinek elemzésével. A támadók a Desired State Configuration (DSC) bővítményt használhatják rosszindulatú konfigurációk, például adatmegőrzési mechanizmusok, rosszindulatú szkriptek és sok más, magas jogosultságokkal rendelkező virtuális gépeken való üzembe helyezéséhez. Ez a tevékenység gyanúsnak minősül, mivel az ügyfél viselkedése eltér a szokásos mintáktól, és a bővítménytelepítések nagy száma miatt.
MITRE-taktikák: Végrehajtás
Súlyosság: Alacsony
A rendszer gyanús szkripttel rendelkező egyéni szkriptbővítményt észlelt a virtuális gépen (előzetes verzió)
(VM_CustomScriptExtensionSuspiciousCmd)
Leírás: A rendszer gyanús szkripttel rendelkező egyéni szkriptbővítményt észlelt a virtuális gépen az Előfizetés Azure Resource Manager-műveleteinek elemzésével. A támadók egyéni szkriptbővítményt használhatnak a virtuális gépen magas jogosultságokkal rendelkező rosszindulatú kódok végrehajtására az Azure Resource Manageren keresztül. A szkript gyanúsnak minősül, mivel egyes részek potenciálisan rosszindulatúnak minősülnek.
MITRE-taktikák: Végrehajtás
Súlyosság: Magas
Az egyéni szkriptbővítmény gyanús sikertelen végrehajtása a virtuális gépen
(VM_CustomScriptExtensionSuspiciousFailure)
Leírás: A rendszer gyanús hibát észlelt egy egyéni szkriptbővítményen a virtuális gépen az Előfizetés Azure Resource Manager-műveleteinek elemzésével. Ezek a hibák a bővítmény által futtatott rosszindulatú szkriptekhez lehetnek társítva.
MITRE-taktikák: Végrehajtás
Súlyosság: Közepes
Az egyéni szkriptbővítmény szokatlan törlése a virtuális gépen
(VM_CustomScriptExtensionUnusualDeletion)
Leírás: A rendszer szokatlan módon törölte az egyéni szkriptbővítményt a virtuális gépen az Előfizetés Azure Resource Manager-műveleteinek elemzésével. A támadók egyéni szkriptbővítményekkel végezhetnek rosszindulatú kódot a virtuális gépeken az Azure Resource Manageren keresztül.
MITRE-taktikák: Végrehajtás
Súlyosság: Közepes
Az egyéni szkriptbővítmény szokatlan végrehajtása a virtuális gépen
(VM_CustomScriptExtensionUnusualExecution)
Leírás: Egy egyéni szkriptbővítmény szokatlan végrehajtását észlelte a virtuális gépen az előfizetés Azure Resource Manager-műveleteinek elemzésével. A támadók egyéni szkriptbővítményekkel végezhetnek rosszindulatú kódot a virtuális gépeken az Azure Resource Manageren keresztül.
MITRE-taktikák: Végrehajtás
Súlyosság: Közepes
Egyéni szkriptbővítmény gyanús belépési ponttal a virtuális gépen
(VM_CustomScriptExtensionSuspiciousEntryPoint)
Leírás: A rendszer gyanús belépési ponttal rendelkező egyéni szkriptbővítményt észlelt a virtuális gépen az előfizetés Azure Resource Manager-műveleteinek elemzésével. A belépési pont egy gyanús GitHub-adattárra hivatkozik. A támadók egyéni szkriptbővítményekkel végezhetnek rosszindulatú kódot a virtuális gépeken az Azure Resource Manageren keresztül.
MITRE-taktikák: Végrehajtás
Súlyosság: Közepes
Egyéni szkriptbővítmény gyanús hasznos adatokkal a virtuális gépen
(VM_CustomScriptExtensionSuspiciousPayload)
Leírás: A rendszer egy gyanús GitHub-adattárból származó hasznos adattal rendelkező egyéni szkriptbővítményt észlelt a virtuális gépen az előfizetés Azure Resource Manager-műveleteinek elemzésével. A támadók egyéni szkriptbővítményekkel végezhetnek rosszindulatú kódot a virtuális gépeken az Azure Resource Manageren keresztül.
MITRE-taktikák: Végrehajtás
Súlyosság: Közepes
Riasztások Azure-alkalmazás szolgáltatáshoz
További részletek és megjegyzések
Linux-parancsok futtatása Windows App Service-en
(AppServices_LinuxCommandOnWindows)
Leírás: Az App Service-folyamatok elemzése egy Linux-parancs Windows App Service-en való futtatására tett kísérletet észlelt. Ezt a műveletet a webalkalmazás futtatta. Ez a viselkedés gyakran előfordul olyan kampányok során, amelyek kihasználják a gyakori webalkalmazások biztonsági réseit. (A következőkre vonatkozik: App Service Windows rendszeren)
Súlyosság: Közepes
A Azure-alkalmazás szolgáltatás FTP-adapteréhez csatlakoztatott IP-cím megtalálható a fenyegetésfelderítésben
(AppServices_IncomingTiClientIpFtp)
Leírás: Azure-alkalmazás szolgáltatás FTP-naplója egy, a fenyegetésfelderítési hírcsatornában található forráscímről származó kapcsolatot jelez. A kapcsolat során egy felhasználó hozzáfért a felsorolt lapokhoz. (A következőkre vonatkozik: App Service Windows rendszeren és App Service Linux rendszeren)
MITRE-taktikák: Kezdeti hozzáférés
Súlyosság: Közepes
Magas jogosultsági szintű parancs futtatásának kísérlete
(AppServices_HighPrivilegeCommand)
Leírás: Az App Service-folyamatok elemzése olyan parancs futtatására tett kísérletet észlelt, amely magas jogosultságokat igényel. A parancs a webalkalmazás környezetében futott. Bár ez a viselkedés jogos lehet, a webalkalmazásokban ez a viselkedés a rosszindulatú tevékenységekben is megfigyelhető. (A következőkre vonatkozik: App Service Windows rendszeren)
Súlyosság: Közepes
Kommunikáció a fenyegetésfelderítés által azonosított gyanús tartománnyal
(AzureDNS_ThreatIntelSuspectDomain)
Leírás: A gyanús tartományokkal folytatott kommunikációt az erőforrás DNS-tranzakcióinak elemzésével és a fenyegetésfelderítési hírcsatornák által azonosított ismert rosszindulatú tartományokkal való összehasonlítással észleltük. A rosszindulatú tartományok közötti kommunikációt gyakran hajtják végre a támadók, és ez azt jelentheti, hogy az erőforrás biztonsága sérül.
MITRE-taktikák: Kezdeti hozzáférés, adatmegőrzés, végrehajtás, irányítás és ellenőrzés, kizsákmányolás
Súlyosság: Közepes
Csatlakozás a rendellenes IP-címről a weblapra
(AppServices_AnomalousPageAccess)
Leírás: Azure-alkalmazás szolgáltatástevékenység-napló rendellenes kapcsolatot jelez egy bizalmas weblaphoz a felsorolt forrás IP-címről. Ez azt jelezheti, hogy valaki találgatásos támadást kísérel meg a webalkalmazás-felügyeleti lapokra. Ennek az is lehet az eredménye, hogy egy új IP-címet használ egy megbízható felhasználó. Ha a forrás IP-címe megbízható, nyugodtan letilthatja ezt a riasztást ehhez az erőforráshoz. A biztonsági riasztások letiltásáról további információt a Felhőhöz készült Microsoft Defender riasztások letiltása című témakörben talál. (A következőkre vonatkozik: App Service Windows rendszeren és App Service Linux rendszeren)
MITRE-taktikák: Kezdeti hozzáférés
Súlyosság: Alacsony
Egy App Service-erőforráshoz tartozó DNS-rekord csonkolása észlelhető
(AppServices_DanglingDomain)
Leírás: A rendszer egy nemrég törölt App Service-erőforrásra (más néven "dangling DNS" bejegyzésre) mutató DNS-rekordot észlelt. Ez lehetővé teszi az altartományok átvételét. Az altartomány-átvételek lehetővé teszik a rosszindulatú szereplők számára, hogy átirányítsák a szervezet tartományának szánt forgalmat egy rosszindulatú tevékenységet végző webhelyre. (A következőkre vonatkozik: App Service Windows rendszeren és App Service Linux rendszeren)
Súlyosság: Magas
A parancssori adatokban kódolt végrehajtható kóddal észlelt
(AppServices_Base64EncodedExecutableInCommandLineParams)
Leírás: A(z) {Feltört gazdagép} gazdagép adatainak elemzése egy base-64 kódolású végrehajtható fájlt észlelt. Ez korábban azzal volt társítva, hogy a támadók menet közben próbálnak végrehajtható elemeket létrehozni egy parancssorozaton keresztül, és megpróbálják elkerülni a behatolásészlelési rendszereket, biztosítva, hogy egyetlen parancs sem aktiváljon riasztást. Ez lehet jogszerű tevékenység, vagy egy sérült gazdagép jelzése. (A következőkre vonatkozik: App Service Windows rendszeren)
MITRE-taktikák: Védelmi kijátszás, végrehajtás
Súlyosság: Magas
Ismert rosszindulatú forrásból származó fájlletöltés észlelhető
(AppServices_SuspectDownload)
Leírás: A gazdagépadatok elemzése egy fájl letöltését észlelte egy ismert kártevőforrásról a gazdagépen. (A következőkre vonatkozik: App Service Linux rendszeren)
MITRE-taktikák: Privilege Escalation, Execution, Exfiltration, Command and Control
Súlyosság: Közepes
Gyanús fájlletöltés észlelhető
(AppServices_SuspectDownloadArtifacts)
Leírás: A gazdagépadatok elemzése a távoli fájl gyanús letöltését észlelte. (A következőkre vonatkozik: App Service Linux rendszeren)
MITRE-taktikák: Állandóság
Súlyosság: Közepes
A digitális pénznembányászattal kapcsolatos viselkedés észlelhető
(AppServices_DigitalCurrencyMining)
Leírás: Az Inn-Flow-WebJobs gazdaadatainak elemzése egy, a digitális pénznembányászathoz általában társított folyamat vagy parancs végrehajtását észlelte. (A következőkre vonatkozik: App Service Windows rendszeren és App Service Linux rendszeren)
MITRE-taktikák: Végrehajtás
Súlyosság: Magas
Végrehajtható dekódolás a certutil használatával
(AppServices_ExecutableDecodedUsingCertutil)
Leírás: A [Feltört entitás] gazdagépadatainak elemzése azt észlelte, hogy a certutil.exe, egy beépített rendszergazdai segédprogram, a tanúsítványok és a tanúsítványadatok manipulálásával kapcsolatos általános célú helyett egy végrehajtható kód dekódolására szolgál. A támadók gyakran használják különböző megbízható rendszergazdai eszközök funkcióit rosszindulatú műveletek elvégzésére. Például a certutil.exe vagy a hozzá hasonló eszközök rosszindulatú végrehajtható fájlok dekódolására használhatók, amelyeket aztán a rendszer végrehajt. (A következőkre vonatkozik: App Service Windows rendszeren)
MITRE-taktikák: Védelmi kijátszás, végrehajtás
Súlyosság: Magas
Fájl nélküli támadási viselkedés észlelhető
(AppServices_FilelessAttackBehaviorDetection)
Leírás: Az alább megadott folyamat memóriája fájl nélküli támadások által gyakran használt viselkedéseket tartalmaz. Bizonyos viselkedések a következők: {a megfigyelt viselkedések listája} (a következőkre vonatkozik: App Service Windows rendszeren és App Service Linux rendszeren)
MITRE-taktikák: Végrehajtás
Súlyosság: Közepes
Fájl nélküli támadási technika észlelhető
(AppServices_FilelessAttackTechniqueDetection)
Leírás: Az alább megadott folyamat memóriája fájl nélküli támadási technika bizonyítékát tartalmazza. A fájl nélküli támadásokat a támadók kód végrehajtására használják, miközben elkerülik a biztonsági szoftverek általi észlelést. Bizonyos viselkedések a következők: {a megfigyelt viselkedések listája} (a következőkre vonatkozik: App Service Windows rendszeren és App Service Linux rendszeren)
MITRE-taktikák: Végrehajtás
Súlyosság: Magas
Fájl nélküli támadási eszközkészlet észlelhető
(AppServices_FilelessAttackToolkitDetection)
Leírás: Az alább megadott folyamat memóriája egy fájl nélküli támadási eszközkészletet tartalmaz: {ToolKitName}. A fájl nélküli támadási eszközkészletek általában nem rendelkeznek jelenléttel a fájlrendszeren, ami megnehezíti a hagyományos víruskereső szoftverek általi észlelést. Bizonyos viselkedések a következők: {a megfigyelt viselkedések listája} (a következőkre vonatkozik: App Service Windows rendszeren és App Service Linux rendszeren)
MITRE-taktikák: Védelmi kijátszás, végrehajtás
Súlyosság: Magas
Felhőhöz készült Microsoft Defender App Service-tesztriasztás (nem fenyegetés)
(AppServices_EICAR)
Leírás: Ez a Felhőhöz készült Microsoft Defender által létrehozott tesztriasztás. Nincs szükség további beavatkozásra. (A következőkre vonatkozik: App Service Windows rendszeren és App Service Linux rendszeren)
Súlyosság: Magas
NMap-vizsgálat észlelhető
(AppServices_Nmap)
Leírás: Azure-alkalmazás szolgáltatástevékenység-napló egy lehetséges webes ujjlenyomat-készítési tevékenységet jelez az App Service-erőforráson. Az észlelt gyanús tevékenység az NMAP-hez van társítva. A támadók gyakran használják ezt az eszközt a webalkalmazás biztonsági réseinek felderítésére. (A következőkre vonatkozik: App Service Windows rendszeren és App Service Linux rendszeren)
MITRE-taktikák: PreAttack
Súlyosság: Tájékoztató
Adathalászati tartalom az Azure Webappsben
(AppServices_PhishingContent)
Leírás: A Azure-alkalmazás Services webhelyén található adathalász támadáshoz használt URL-cím. Ez az URL-cím része volt a Microsoft 365-ügyfeleknek küldött adathalász támadásnak. A tartalom általában arra csábítja a látogatókat, hogy a céges hitelesítő adataikat vagy pénzügyi adataikat egy megbízhatónak látszó webhelyre írhassák be. (A következőkre vonatkozik: App Service Windows rendszeren és App Service Linux rendszeren)
MITRE-taktikák: Gyűjtemény
Súlyosság: Magas
PHP-fájl a feltöltési mappában
(AppServices_PhpInUploadFolder)
Leírás: Azure-alkalmazás szolgáltatástevékenység-napló a feltöltési mappában található gyanús PHP-laphoz való hozzáférést jelzi. Ez a mappatípus általában nem tartalmaz PHP-fájlokat. Az ilyen típusú fájlok megléte azt jelezheti, hogy a kihasználtság kihasználja az tetszőleges fájlfeltöltési biztonsági réseket. (A következőkre vonatkozik: App Service Windows rendszeren és App Service Linux rendszeren)
MITRE-taktikák: Végrehajtás
Súlyosság: Közepes
Lehetséges Cryptocoinminer-letöltés észlelhető
(AppServices_CryptoCoinMinerDownload)
Leírás: A gazdagépadatok elemzése a digitális pénznembányászathoz általában társított fájl letöltését észlelte. (A következőkre vonatkozik: App Service Linux rendszeren)
MITRE-taktikák: Védelmi kijátszás, irányítás és ellenőrzés, kizsákmányolás
Súlyosság: Közepes
Lehetséges adatszűrés észlelhető
(AppServices_DataEgressArtifacts)
Leírás: A gazdagép/eszköz adatainak elemzése lehetséges adatforgalom-feltételt észlelt. A támadók gyakran kibocsátják az adatokat a feltört gépekről. (A következőkre vonatkozik: App Service Linux rendszeren)
MITRE-taktikák: Gyűjtemény, Kiszűrés
Súlyosság: Közepes
Egy App Service-erőforrás lehetséges dangling DNS-rekordja észlelhető
(AppServices_PotentialDanglingDomain)
Leírás: A rendszer egy nemrég törölt App Service-erőforrásra (más néven "dangling DNS" bejegyzésre) mutató DNS-rekordot észlelt. Ez érzékenyen befolyásolhatja az altartományok átvételét. Az altartomány-átvételek lehetővé teszik a rosszindulatú szereplők számára, hogy átirányítsák a szervezet tartományának szánt forgalmat egy rosszindulatú tevékenységet végző webhelyre. Ebben az esetben egy, a tartomány-ellenőrzési azonosítóval rendelkező szöveges rekord található. Az ilyen szöveges rekordok megakadályozzák az altartományok átvételét, de továbbra is javasoljuk a dangling tartomány eltávolítását. Ha a DNS-rekord az altartományra mutat, akkor veszélyben van, ha a szervezet bármely tagja a jövőben törli a TXT-fájlt vagy rekordot. (A következőkre vonatkozik: App Service Windows rendszeren és App Service Linux rendszeren)
Súlyosság: Alacsony
Lehetséges fordított rendszerhéj észlelhető
(AppServices_ReverseShell)
Leírás: A gazdagépadatok elemzése potenciális fordított rendszerhéjat észlelt. Ezek arra szolgálnak, hogy feltört gépet kérjenek vissza egy támadó tulajdonában lévő gépre. (A következőkre vonatkozik: App Service Linux rendszeren)
MITRE-taktikák: Exfiltration, Exploitation
Súlyosság: Közepes
Nyers adatletöltés észlelhető
(AppServices_DownloadCodeFromWebsite)
Leírás: Az App Service-folyamatok elemzése kódot próbált letölteni nyers adattal rendelkező webhelyekről, például a Pastebinből. Ezt a műveletet egy PHP-folyamat futtatta. Ez a viselkedés a webhéjak vagy más rosszindulatú összetevők App Service-be való letöltésére tett kísérletekhez van társítva. (A következőkre vonatkozik: App Service Windows rendszeren)
MITRE-taktikák: Végrehajtás
Súlyosság: Közepes
Curl-kimenet mentése lemezre észlelve
(AppServices_CurlToDisk)
Leírás: Az App Service-folyamatok elemzése egy curl-parancs futtatását észlelte, amelyben a kimenetet a lemezre mentette. Bár ez a viselkedés jogos lehet, a webalkalmazásokban ez a viselkedés rosszindulatú tevékenységekben is megfigyelhető, például a webhelyek webes felületekkel való megfertőzésére tett kísérletekben. (A következőkre vonatkozik: App Service Windows rendszeren)
Súlyosság: Alacsony
Levélszemétmappa-hivatkozó észlelve
(AppServices_SpamReferrer)
Leírás: Azure-alkalmazás szolgáltatástevékenység naplója olyan webes tevékenységet jelez, amelyet levélszemét-tevékenységgel társított webhelyről származóként azonosítottak. Ez akkor fordulhat elő, ha a webhelye sérült, és levélszemét-tevékenységhez használják. (A következőkre vonatkozik: App Service Windows rendszeren és App Service Linux rendszeren)
Súlyosság: Alacsony
Gyanús hozzáférés észlelhető a sebezhető weblaphoz
(AppServices_ScanSensitivePage)
Leírás: Azure-alkalmazás szolgáltatástevékenység-napló egy olyan weblapot jelez, amely úgy tűnik, hogy bizalmas. Ez a gyanús tevékenység egy olyan forrás IP-címről származik, amelynek hozzáférési mintája hasonlít egy webolvasóéra. Ezt a tevékenységet gyakran társítják a támadók a hálózat vizsgálatára tett kísérlettel, hogy megpróbálják elérni a bizalmas vagy sebezhető weblapokat. (A következőkre vonatkozik: App Service Windows rendszeren és App Service Linux rendszeren)
Súlyosság: Alacsony
Gyanús tartománynév-hivatkozás
(AppServices_CommandlineSuspectDomain)
Leírás: A gyanús tartománynévre mutató gazdaadatok elemzése. Az ilyen tevékenység, bár valószínűleg jogos felhasználói viselkedés, gyakran jelzi a rosszindulatú szoftverek letöltését vagy végrehajtását. A támadók tipikus tevékenységei valószínűleg további rosszindulatú szoftverek vagy távoli felügyeleti eszközök letöltését és végrehajtását is magukban foglalják. (A következőkre vonatkozik: App Service Linux rendszeren)
MITRE-taktikák: Exfiltration
Súlyosság: Alacsony
Gyanús letöltés a Certutil használatával
(AppServices_DownloadUsingCertutil)
Leírás: A(z) {NAME} gazdagépadatainak elemzése azt észlelte, hogy a tanúsítvány- és tanúsítványadatok manipulálásával kapcsolatos általános célú bináris fájl letöltése helyett a certutil.exe, amely egy beépített rendszergazdai segédprogram. A támadók ismertek a megbízható rendszergazdai eszközök funkcióival való visszaélésről a rosszindulatú műveletek végrehajtásához, például a certutil.exe használatával letölthetnek és dekódolhatnak egy rosszindulatú végrehajtható fájlt, amelyet később végrehajtanak. (A következőkre vonatkozik: App Service Windows rendszeren)
MITRE-taktikák: Végrehajtás
Súlyosság: Közepes
Gyanús PHP-végrehajtás észlelhető
(AppServices_SuspectPhp)
Leírás: A gépnaplók azt jelzik, hogy egy gyanús PHP-folyamat fut. A művelet tartalmazott egy operációsrendszer-parancsok vagy PHP-kód parancssorból történő futtatására tett kísérletet a PHP-folyamat használatával. Bár ez a viselkedés jogos lehet, a webalkalmazásokban ez a viselkedés rosszindulatú tevékenységeket jelezhet, például a webhelyek webes felülettel való megfertőzésére tett kísérleteket. (A következőkre vonatkozik: App Service Windows rendszeren és App Service Linux rendszeren)
MITRE-taktikák: Végrehajtás
Súlyosság: Közepes
Gyanús PowerShell-parancsmagok végrehajtása
(AppServices_PowerShellPowerSploitScriptExecution)
Leírás: A gazdagépadatok elemzése ismert rosszindulatú PowerShell PowerSploit-parancsmagok végrehajtását jelzi. (A következőkre vonatkozik: App Service Windows rendszeren)
MITRE-taktikák: Végrehajtás
Súlyosság: Közepes
Gyanús folyamat végrehajtása
(AppServices_KnownCredential AccessTools)
Leírás: A gépnaplók azt jelzik, hogy a(z) %{folyamat elérési útja} gyanús folyamat fut a gépen, amely gyakran a hitelesítő adatok elérésére tett támadói kísérletekkel van társítva. (A következőkre vonatkozik: App Service Windows rendszeren)
MITRE-taktikák: Hitelesítő adatok elérése
Súlyosság: Magas
Gyanús folyamatnév észlelhető
(AppServices_ProcessWithKnownSuspiciousExtension)
Leírás: A(z) {NAME} gazdaadatainak elemzése olyan folyamatot észlelt, amelynek a neve gyanús, például egy ismert támadóeszköznek felel meg, vagy olyan módon van elnevezve, amely olyan támadóeszközökre utal, amelyek egyszerű látásra próbálnak elrejtőzni. Ez a folyamat lehet jogszerű tevékenység, vagy azt jelzi, hogy az egyik gépe sérült. (A következőkre vonatkozik: App Service Windows rendszeren)
MITRE-taktikák: Perzisztencia, Védelmi kijátszás
Súlyosság: Közepes
Gyanús SVCHOST-folyamat végrehajtása
(AppServices_SVCHostFromInvalidPath)
Leírás: Az SVCHOST rendszerfolyamat rendellenes környezetben fut. A kártevők gyakran használják az SVCHOST-t a rosszindulatú tevékenységek maszkolására. (A következőkre vonatkozik: App Service Windows rendszeren)
MITRE-taktikák: Védelmi kijátszás, végrehajtás
Súlyosság: Magas
Gyanús felhasználói ügynök észlelhető
(AppServices_UserAgentInjection)
Leírás: Azure-alkalmazás szolgáltatástevékenység-napló gyanús felhasználói ügynökkel rendelkező kéréseket jelez. Ez a viselkedés jelezheti az App Service-alkalmazás biztonsági réseinek kihasználására tett kísérleteket. (A következőkre vonatkozik: App Service Windows rendszeren és App Service Linux rendszeren)
MITRE-taktikák: Kezdeti hozzáférés
Súlyosság: Tájékoztató
Gyanús WordPress-témahívás észlelhető
(AppServices_WpThemeInjection)
Leírás: Azure-alkalmazás szolgáltatástevékenység naplója egy lehetséges kódinjektálási tevékenységet jelez az App Service-erőforráson. Az észlelt gyanús tevékenység hasonlít a WordPress-téma manipulálására a kód kiszolgálóoldali végrehajtásának támogatásához, majd egy közvetlen webes kérés a manipulált témafájl meghívására. Ez a tevékenység a múltban a WordPress elleni támadási kampány részeként volt látható. Ha az App Service-erőforrás nem üzemeltet WordPress-webhelyet, nem sebezhető az adott kódinjektálási biztonsági rés miatt, és nyugodtan letilthatja ezt a riasztást az erőforráshoz. A biztonsági riasztások letiltásáról további információt a Felhőhöz készült Microsoft Defender riasztások letiltása című témakörben talál. (A következőkre vonatkozik: App Service Windows rendszeren és App Service Linux rendszeren)
MITRE-taktikák: Végrehajtás
Súlyosság: Magas
Sebezhetőségi ellenőrző észlelve
(AppServices_DrupalScanner)
Leírás: Azure-alkalmazás szolgáltatástevékenység naplója azt jelzi, hogy egy lehetséges biztonságirés-ellenőrzőt használtak az App Service-erőforrásban. Az észlelt gyanús tevékenység hasonlít a tartalomkezelő rendszert (CMS) célzó eszközökre. Ha az App Service-erőforrás nem üzemeltet Drupal-webhelyet, nem sebezhető az adott kódinjektálási kihasználtság miatt, és biztonságosan letilthatja ezt a riasztást az erőforráshoz. A biztonsági riasztások letiltásáról további információt a Felhőhöz készült Microsoft Defender riasztások letiltása című témakörben talál. (A következőkre vonatkozik: App Service Windows rendszeren)
MITRE-taktikák: PreAttack
Súlyosság: Alacsony
Sebezhetőségi ellenőrző észlelve
(AppServices_JoomlaScanner)
Leírás: Azure-alkalmazás szolgáltatástevékenység naplója azt jelzi, hogy egy lehetséges biztonságirés-ellenőrzőt használtak az App Service-erőforrásban. Az észlelt gyanús tevékenység hasonlít a Joomla-alkalmazásokat célzó eszközökre. Ha az App Service-erőforrás nem üzemeltet Joomla-webhelyet, az nem sebezhető az adott kódinjektálási kihasználtság miatt, és biztonságosan letilthatja ezt a riasztást az erőforráshoz. A biztonsági riasztások letiltásáról további információt a Felhőhöz készült Microsoft Defender riasztások letiltása című témakörben talál. (A következőkre vonatkozik: App Service Windows rendszeren és App Service Linux rendszeren)
MITRE-taktikák: PreAttack
Súlyosság: Alacsony
Sebezhetőségi ellenőrző észlelve
(AppServices_WpScanner)
Leírás: Azure-alkalmazás szolgáltatástevékenység naplója azt jelzi, hogy egy lehetséges biztonságirés-ellenőrzőt használtak az App Service-erőforrásban. Az észlelt gyanús tevékenység hasonló a WordPress-alkalmazásokat célzó eszközökhöz. Ha az App Service-erőforrás nem üzemeltet WordPress-webhelyet, nem sebezhető az adott kódinjektálási biztonsági rés miatt, és nyugodtan letilthatja ezt a riasztást az erőforráshoz. A biztonsági riasztások letiltásáról további információt a Felhőhöz készült Microsoft Defender riasztások letiltása című témakörben talál. (A következőkre vonatkozik: App Service Windows rendszeren és App Service Linux rendszeren)
MITRE-taktikák: PreAttack
Súlyosság: Alacsony
Webes ujjlenyomat-észlelés
(AppServices_WebFingerprinting)
Leírás: Azure-alkalmazás szolgáltatástevékenység-napló egy lehetséges webes ujjlenyomat-készítési tevékenységet jelez az App Service-erőforráson. A észlelt gyanús tevékenység egy Vak elefánt nevű eszközzel van társítva. Az eszköz ujjlenyomat-webkiszolgálók, és megpróbálja észlelni a telepített alkalmazásokat és verziót. A támadók gyakran használják ezt az eszközt a webalkalmazás biztonsági réseinek felderítésére. (A következőkre vonatkozik: App Service Windows rendszeren és App Service Linux rendszeren)
MITRE-taktikák: PreAttack
Súlyosság: Közepes
A webhely kártevőként van megjelölve a fenyegetésfelderítési hírcsatornában
(AppServices_SmartScreen)
Leírás: Webhelyét a Windows SmartScreen rosszindulatú webhelyként jelöli meg az alábbiak szerint. Ha úgy véli, hogy ez téves pozitív, lépjen kapcsolatba a Windows SmartScreen szolgáltatással a megadott visszajelzési hivatkozáson keresztül. (A következőkre vonatkozik: App Service Windows rendszeren és App Service Linux rendszeren)
MITRE-taktikák: Gyűjtemény
Súlyosság: Közepes
Tárolókra vonatkozó riasztások – Kubernetes-fürtök
A Microsoft Defender for Containers biztonsági riasztásokat biztosít a fürt szintjén és a mögöttes fürtcsomópontokon a vezérlősík (API-kiszolgáló) és maga a tárolóalapú számítási feladat figyelésével. A vezérlősík biztonsági riasztásait a riasztástípus előtagja K8S_
ismerheti fel. A fürtök futtatókörnyezeti számítási feladataira vonatkozó biztonsági riasztásokat a K8S.NODE_
riasztástípus előtagja ismerheti fel. Az összes riasztás csak Linux rendszeren támogatott, kivéve, ha másként van feltüntetve.
További részletek és megjegyzések
Közzétett Postgres-szolgáltatás megbízhatósági hitelesítési konfigurációval a Kubernetesben (előzetes verzió)
(K8S_ExposedPostgresTrustAuth)
Leírás: A Kubernetes-fürtkonfiguráció elemzése egy Postgres-szolgáltatás terheléselosztó általi expozícióját észlelte. A szolgáltatás megbízhatósági hitelesítési módszerrel van konfigurálva, amely nem igényel hitelesítő adatokat.
MITRE-taktikák: InitialAccess
Súlyosság: Közepes
Közzétett Postgres-szolgáltatás kockázatos konfigurációval a Kubernetesben (előzetes verzió)
(K8S_ExposedPostgresBroadIPRange)
Leírás: A Kubernetes-fürtkonfiguráció elemzése egy Postgres-szolgáltatás expozícióját észlelte egy kockázatos konfigurációjú terheléselosztó által. A szolgáltatás ip-címek széles körének való felfedése biztonsági kockázatot jelent.
MITRE-taktikák: InitialAccess
Súlyosság: Közepes
Új Linux-névtér létrehozása egy észlelt tárolóból
(K8S. NODE_NamespaceCreation) 1
Leírás: A Kubernetes-fürtben egy tárolóban futó folyamatok elemzése egy új Linux-névtér létrehozására tett kísérletet észlelt. Bár ez a viselkedés jogos lehet, azt jelezheti, hogy egy támadó megpróbál menekülni a tárolóból a csomópontra. Egyes CVE-2022-0185-kihasználások ezt a technikát használják.
MITRE-taktikák: PrivilegeEscalation
Súlyosság: Tájékoztató
Törölve lett egy előzményfájl
(K8S. NODE_HistoryFileCleared) 1
Leírás: A tárolón vagy közvetlenül a Kubernetes-csomóponton futó folyamatok elemzése azt észlelte, hogy a parancselőzmények naplófájlja törölve lett. A támadók ezt megtehetik, hogy eltüntetik a nyomaikat. A műveletet a megadott felhasználói fiók hajtotta végre.
MITRE taktika: DefenseEvasion
Súlyosság: Közepes
A Kuberneteshez társított felügyelt identitás rendellenes tevékenysége (előzetes verzió)
(K8S_AbnormalMiActivity)
Leírás: Az Azure Resource Manager-műveletek elemzése egy AKS-bővítmény által használt felügyelt identitás rendellenes viselkedését észlelte. Az észlelt tevékenység nem összhangban van a társított bővítmény viselkedésével. Bár ez a tevékenység jogos lehet, az ilyen viselkedés azt jelezheti, hogy az identitást egy támadó szerezte, esetleg egy sérült tárolóból a Kubernetes-fürtben.
MITRE taktika: Oldalirányú mozgás
Súlyosság: Közepes
Rendellenes Kubernetes-szolgáltatásfiók-művelet észlelhető
(K8S_ServiceAccountRareOperation)
Leírás: A Kubernetes naplózási naplóelemzése rendellenes viselkedést észlelt a Kubernetes-fürt egyik szolgáltatásfiókja által. A szolgáltatásfiókot egy művelethez használták, ami ebben a szolgáltatásfiókban nem gyakori. Bár ez a tevékenység jogos lehet, az ilyen viselkedés azt jelezheti, hogy a szolgáltatásfiókot rosszindulatú célokra használják.
MITRE-taktikák: Lateral Movement, Credential Access
Súlyosság: Közepes
Nem gyakori kapcsolati kísérlet észlelhető
(K8S. NODE_Suspect Csatlakozás ion) 1
Leírás: A tárolón vagy közvetlenül a Kubernetes-csomóponton futó folyamatok elemzése nem gyakori kapcsolati kísérletet észlelt egy zokniprotokoll használatával. Ez a normál műveletekben nagyon ritka, de a hálózati rétegészleléseket megkerülni próbáló támadók egyik ismert technikája.
MITRE-taktikák: Végrehajtás, kiszivárgás, kizsákmányolás
Súlyosság: Közepes
Kísérlet az apt-daily-upgrade.timer szolgáltatás észlelésének leállítására
(K8S. NODE_TimerServiceDisabled) 1
Leírás: A tárolón vagy közvetlenül a Kubernetes-csomóponton futó folyamatok elemzése az apt-daily-upgrade.timer szolgáltatás leállítására tett kísérletet észlelt. A támadók megfigyelték, hogy a szolgáltatás leállítja a rosszindulatú fájlok letöltését, és végrehajtási jogosultságokat adnak a támadásaikhoz. Ez a tevékenység akkor is előfordulhat, ha a szolgáltatás normál felügyeleti műveletekkel frissül.
MITRE taktika: DefenseEvasion
Súlyosság: Tájékoztató
A gyakran észlelt Linux-robotokhoz hasonló viselkedés (előzetes verzió)
(K8S. NODE_CommonBot)
Leírás: A tárolón vagy közvetlenül a Kubernetes-csomóponton futó folyamatok elemzése egy olyan folyamat végrehajtását észlelte, amely általában a gyakori Linux-botnetekhez van társítva.
MITRE-taktikák: Végrehajtás, gyűjtemény, parancs és vezérlés
Súlyosság: Közepes
Parancs magas jogosultságokkal rendelkező tárolón belül
(K8S. NODE_PrivilegedExecutionInContainer) 1
Leírás: A gépnaplók azt jelzik, hogy egy emelt szintű parancsot futtattak egy Docker-tárolóban. A kiemelt parancsok kiterjesztett jogosultságokkal rendelkezik a gazdagépen.
MITRE-taktikák: PrivilegeEscalation
Súlyosság: Tájékoztató
Emelt szintű módban futó tároló
(K8S. NODE_PrivilegedContainerArtifacts) 1
Leírás: A tárolón belül vagy közvetlenül a Kubernetes-csomóponton futó folyamatok elemzése észlelte egy kiemelt tárolót futtató Docker-parancs végrehajtását. A kiemelt tároló teljes hozzáféréssel rendelkezik az üzemeltetési podhoz vagy a gazdagép erőforrásához. Ha sérült, előfordulhat, hogy a támadó a kiemelt tárolóval fér hozzá az üzemeltetési podhoz vagy a gazdagéphez.
MITRE-taktikák: PrivilegeEscalation, Execution
Súlyosság: Tájékoztató
Tároló érzékeny kötet csatlakoztatásával
(K8S_SensitiveMount)
Leírás: A Kubernetes naplózási naplóelemzése egy új tárolót észlelt, amely érzékeny kötet csatlakoztatásával rendelkezik. Az észlelt kötet egy hostPath-típus, amely egy bizalmas fájlt vagy mappát csatlakoztat a csomópontról a tárolóhoz. Ha a tároló megsérül, a támadó ezt a csatlakoztatást használhatja a csomóponthoz való hozzáféréshez.
MITRE-taktikák: Jogosultságok eszkalálása
Súlyosság: Tájékoztató
CoreDNS-módosítás észlelhető a Kubernetesben
Leírás: A Kubernetes naplóelemzése a CoreDNS-konfiguráció módosítását észlelte. A CoreDNS konfigurációja a konfigurációtérkép felülírásával módosítható. Bár ez a tevékenység jogos lehet, ha a támadók rendelkeznek engedéllyel a konfigurációtérkép módosítására, megváltoztathatják a fürt DNS-kiszolgálójának viselkedését, és megmérgezhetik azt.
MITRE taktika: Oldalirányú mozgás
Súlyosság: Alacsony
A beléptetési webhook konfigurációjának létrehozása észlelhető
(K8S_AdmissionController) 3
Leírás: A Kubernetes naplózási naplóelemzése új belépési webhook-konfigurációt észlelt. A Kubernetes két beépített általános beléptető vezérlővel rendelkezik: a MutatingAdmissionWebhook és a ValidatingAdmissionWebhook. Ezeknek a beléptető vezérlőknek a viselkedését a felhasználó által a fürtön üzembe helyezett belépési webhook határozza meg. Az ilyen beléptető vezérlők használata jogos lehet, de a támadók használhatják az ilyen webhookokat a kérések módosításához (a MutatingAdmissionWebhook esetén), vagy megvizsgálhatják a kéréseket, és bizalmas információkat szerezhetnek (ValidatingAdmissionWebhook esetén).
MITRE-taktikák: Hitelesítő adatok elérése, megőrzése
Súlyosság: Tájékoztató
Ismert rosszindulatú forrásból származó fájlletöltés észlelhető
(K8S. NODE_SuspectDownload) 1
Leírás: A tárolón vagy közvetlenül a Kubernetes-csomóponton futó folyamatok elemzése azt észlelte, hogy egy fájl letöltése olyan forrásból származik, amelyet gyakran használnak kártevők terjesztésére.
MITRE-taktikák: PrivilegeEscalation, Execution, Exfiltration, Command and Control
Súlyosság: Közepes
Gyanús fájlletöltés észlelhető
(K8S. NODE_SuspectDownloadArtifacts) 1
Leírás: A tárolón vagy közvetlenül a Kubernetes-csomóponton futó folyamatok elemzése egy távoli fájl gyanús letöltését észlelte.
MITRE-taktikák: Állandóság
Súlyosság: Tájékoztató
A nohup parancs gyanús használatát észlelte
(K8S. NODE_SuspectNohup) 1
Leírás: A tárolón vagy közvetlenül a Kubernetes-csomóponton futó folyamatok elemzése a nohup parancs gyanús használatát észlelte. A támadók a nohup parancs használatával rejtett fájlokat futtathatnak egy ideiglenes könyvtárból, hogy a végrehajtható fájlok a háttérben fussanak. Ritkán látható, hogy ez a parancs egy ideiglenes könyvtárban található rejtett fájlokon fut.
MITRE-taktikák: Perzisztencia, DefenseEvasion
Súlyosság: Közepes
A useradd parancs gyanús használatát észlelte
(K8S. NODE_SuspectUserAddition) 1
Leírás: A tárolón vagy közvetlenül a Kubernetes-csomóponton futó folyamatok elemzése a useradd parancs gyanús használatát észlelte.
MITRE-taktikák: Állandóság
Súlyosság: Közepes
Digitális pénznembányászati tároló észlelhető
(K8S_MaliciousContainerImage) 3
Leírás: A Kubernetes naplózási naplóelemzése olyan tárolót észlelt, amely egy digitális pénznembányászati eszközhöz társított képpel rendelkezik.
MITRE-taktikák: Végrehajtás
Súlyosság: Magas
A digitális pénznembányászattal kapcsolatos viselkedés észlelhető
(K8S. NODE_DigitalCurrencyMining) 1
Leírás: A tárolón vagy közvetlenül a Kubernetes-csomóponton futó folyamatok elemzése olyan folyamat vagy parancs végrehajtását észlelte, amely általában a digitális pénznembányászathoz kapcsolódik.
MITRE-taktikák: Végrehajtás
Súlyosság: Magas
Kubernetes-csomóponton észlelt Docker-buildművelet
(K8S. NODE_ImageBuildOnNode) 1
Leírás: A tárolón vagy közvetlenül a Kubernetes-csomóponton futó folyamatok elemzése egy Kubernetes-csomóponton lévő tárolórendszerkép buildelési műveletét észlelte. Bár ez a viselkedés jogos lehet, előfordulhat, hogy a támadók helyileg építik fel a rosszindulatú rendszerképeiket az észlelés elkerülése érdekében.
MITRE taktika: DefenseEvasion
Súlyosság: Tájékoztató
Közzétett Kubeflow-irányítópult észlelve
(K8S_ExposedKubeflow)
Leírás: A Kubernetes naplózási naplóelemzése a Kubeflow-t futtató fürtön lévő terheléselosztó által észlelt Istio Bejövő forgalom expozícióját észlelte. Ez a művelet elérhetővé teheti a Kubeflow-irányítópultot az interneten. Ha az irányítópult elérhető az interneten, a támadók hozzáférhetnek hozzá, és rosszindulatú tárolókat vagy kódot futtathatnak a fürtön. További részletekért tekintse meg a következő cikket: https://aka.ms/exposedkubeflow-blog
MITRE-taktikák: Kezdeti hozzáférés
Súlyosság: Közepes
Közzétett Kubernetes-irányítópult észlelve
(K8S_ExposedDashboard)
Leírás: A Kubernetes auditnapló-elemzése a Kubernetes-irányítópult terheléselosztási szolgáltatás általi expozícióját észlelte. A közzétett irányítópult nem hitelesített hozzáférést biztosít a fürtkezeléshez, és biztonsági fenyegetést jelent.
MITRE-taktikák: Kezdeti hozzáférés
Súlyosság: Magas
Közzétett Kubernetes-szolgáltatás észlelhető
(K8S_ExposedService)
Leírás: A Kubernetes naplóelemzése egy szolgáltatás terheléselosztó általi expozícióját észlelte. Ez a szolgáltatás egy bizalmas alkalmazáshoz kapcsolódik, amely nagy hatással van a fürtre, például folyamatokat futtat a csomóponton, vagy új tárolókat hoz létre. Bizonyos esetekben ez a szolgáltatás nem igényel hitelesítést. Ha a szolgáltatás nem igényel hitelesítést, az interneten való felfedése biztonsági kockázatot jelent.
MITRE-taktikák: Kezdeti hozzáférés
Súlyosság: Közepes
Közzétett Redis-szolgáltatás észlelhető az AKS-ben
(K8S_ExposedRedis)
Leírás: A Kubernetes auditnapló-elemzése egy Redis-szolgáltatás terheléselosztó általi expozícióját észlelte. Ha a szolgáltatás nem igényel hitelesítést, az interneten való felfedése biztonsági kockázatot jelent.
MITRE-taktikák: Kezdeti hozzáférés
Súlyosság: Alacsony
A DDOS-eszközkészlethez társított jelzők észlelhetők
(K8S. NODE_KnownLinuxDDoSToolkit) 1
Leírás: A tárolón vagy közvetlenül a Kubernetes-csomóponton futó folyamatok elemzése olyan fájlneveket észlelt, amelyek egy olyan kártevőhöz társított eszközkészlet részét képezik, amely képes DDoS-támadások indítására, portok és szolgáltatások megnyitására, valamint a fertőzött rendszer teljes felügyeletére. Ez akár jogos tevékenység is lehet.
MITRE-taktikák: Perzisztencia, LateralMovement, Végrehajtás, Kizsákmányolás
Súlyosság: Közepes
A K8S API-kérések proxy IP-címről észlelhetők
(K8S_TI_Proxy) 3
Leírás: A Kubernetes naplózási naplóelemzése api-kéréseket észlelt a fürthöz a proxyszolgáltatásokhoz, például a TOR-hoz társított IP-címről. Bár ez a viselkedés lehet jogos, gyakran rosszindulatú tevékenységekben látható, amikor a támadók megpróbálják elrejteni a forrás IP-címüket.
MITRE-taktikák: Végrehajtás
Súlyosság: Alacsony
Kubernetes-események törölve
Leírás: Felhőhöz készült Defender észlelte, hogy néhány Kubernetes-esemény törölve lett. A Kubernetes-események olyan objektumok a Kubernetesben, amelyek információkat tartalmaznak a fürt változásairól. A támadók törölhetik ezeket az eseményeket, hogy elrejtsék a műveleteiket a fürtben.
MITRE-taktikák: Védelmi kijátszás
Súlyosság: Alacsony
Kubernetes behatolástesztelő eszköz észlelhető
(K8S_PenTestToolsKubeHunter)
Leírás: A Kubernetes auditnapló-elemzése a Kubernetes behatolástesztelő eszköz használatát észlelte az AKS-fürtben. Bár ez a viselkedés jogos lehet, a támadók rosszindulatú célokra használhatják az ilyen nyilvános eszközöket.
MITRE-taktikák: Végrehajtás
Súlyosság: Alacsony
Felhőhöz készült Microsoft Defender tesztriasztás (nem fenyegetés).
(K8S. NODE_EICAR) 1
Leírás: Ez a Felhőhöz készült Microsoft Defender által létrehozott tesztriasztás. Nincs szükség további beavatkozásra.
MITRE-taktikák: Végrehajtás
Súlyosság: Magas
Új tárolót észlelt a kube-system névtérben
(K8S_KubeSystemContainer) 3
Leírás: A Kubernetes naplózási naplóelemzése egy új tárolót észlelt a kube-system névtérben, amely nem szerepel az ebben a névtérben általában futó tárolók között. A kube-system névterek nem tartalmazhatnak felhasználói erőforrásokat. A támadók ezt a névteret használhatják a rosszindulatú összetevők elrejtéséhez.
MITRE-taktikák: Állandóság
Súlyosság: Tájékoztató
Új magas jogosultsági szerepkör észlelhető
(K8S_HighPrivilegesRole) 3
Leírás: A Kubernetes naplózási naplóelemzése egy új, magas jogosultságokkal rendelkező szerepkört észlelt. A magas jogosultságokkal rendelkező szerepkörhöz való kötés magas jogosultságokat biztosít a felhasználó\csoport számára a fürtben. A szükségtelen jogosultságok jogosultságok eszkalálódását okozhatják a fürtben.
MITRE-taktikák: Állandóság
Súlyosság: Tájékoztató
Lehetséges támadási eszköz észlelhető
(K8S. NODE_KnownLinuxAttackTool) 1
Leírás: A tárolón vagy közvetlenül a Kubernetes-csomóponton futó folyamatok elemzése gyanús eszközhívást észlelt. Ez az eszköz gyakran társítva van másokat támadó rosszindulatú felhasználókkal.
MITRE-taktikák: Végrehajtás, gyűjtemény, parancs és vezérlés, próba
Súlyosság: Közepes
Lehetséges backdoor észlelve
(K8S. NODE_LinuxBackdoorArtifact) 1
Leírás: A tárolón vagy közvetlenül a Kubernetes-csomóponton futó folyamatok elemzése azt észlelte, hogy a rendszer gyanús fájlt tölt le és futtat. Ezt a tevékenységet korábban egy háttérrendszer telepítésével társították.
MITRE-taktikák: Perzisztencia, DefenseEvasion, Végrehajtás, Kizsákmányolás
Súlyosság: Közepes
Lehetséges parancssori kihasználási kísérlet
(K8S. NODE_ExploitAttempt) 1
Leírás: A tárolón vagy közvetlenül a Kubernetes-csomóponton futó folyamatok elemzése lehetséges kihasználási kísérletet észlelt egy ismert biztonsági rés ellen.
MITRE-taktikák: Hasznosítás
Súlyosság: Közepes
Lehetséges hitelesítőadat-hozzáférési eszköz észlelhető
(K8S. NODE_KnownLinuxCredentialAccessTool) 1
Leírás: A tárolón vagy közvetlenül a Kubernetes-csomóponton futó folyamatok elemzése azt észlelte, hogy a tárolón egy lehetséges ismert hitelesítőadat-hozzáférési eszköz fut, amelyet a megadott folyamat- és parancssori előzményelem azonosított. Ez az eszköz gyakran a hitelesítő adatok elérésére tett támadói kísérletekhez van társítva.
MITRE-taktikák: CredentialAccess
Súlyosság: Közepes
Lehetséges Cryptocoinminer-letöltés észlelhető
(K8S. NODE_CryptoCoinMinerDownload) 1
Leírás: A tárolón vagy közvetlenül a Kubernetes-csomóponton futó folyamatok elemzése észlelte a digitális pénznembányászathoz általában társított fájl letöltését.
MITRE-taktikák: DefenseEvasion, Command And Control, Exploitation
Súlyosság: Közepes
Lehetséges naplózási módosítási tevékenység észlelhető
(K8S. NODE_SystemLogRemoval) 1
Leírás: A tárolón vagy közvetlenül a Kubernetes-csomóponton futó folyamatok elemzése észlelte a felhasználók tevékenységét nyomon követő fájlok lehetséges eltávolítását a művelet során. A támadók gyakran megpróbálják elkerülni az észlelést, és az ilyen naplófájlok törlésével nem hagynak nyomot a rosszindulatú tevékenységekben.
MITRE taktika: DefenseEvasion
Súlyosság: Közepes
Lehetséges jelszómódosítás titkosítási módszerrel
(K8S. NODE_SuspectPasswordChange) 1
Leírás: A tárolón vagy közvetlenül a Kubernetes-csomóponton futó folyamatok elemzése jelszómódosítást észlelt a titkosítási módszerrel. A támadók ezt a módosítást elvégezhetik a hozzáférés folytatásához és a biztonság megőrzéséhez a kompromisszum után.
MITRE-taktikák: CredentialAccess
Súlyosság: Közepes
Lehetséges porttovábbítás külső IP-címre
(K8S. NODE_SuspectPortForwarding) 1
Leírás: A tárolón vagy közvetlenül a Kubernetes-csomóponton futó folyamatok elemzése azt észlelte, hogy a porttovábbítás egy külső IP-címre történt.
MITRE-taktikák: Exfiltration, Command and Control
Súlyosság: Közepes
Lehetséges fordított rendszerhéj észlelhető
(K8S. NODE_ReverseShell) 1
Leírás: A tárolón vagy közvetlenül a Kubernetes-csomóponton futó folyamatok elemzése potenciális fordított rendszerhéjat észlelt. Ezek arra szolgálnak, hogy feltört gépet kérjenek vissza egy támadó tulajdonában lévő gépre.
MITRE-taktikák: Exfiltration, Exploitation
Súlyosság: Közepes
Emelt szintű tároló észlelhető
(K8S_PrivilegedContainer)
Leírás: A Kubernetes naplóelemzése új emelt szintű tárolót észlelt. A kiemelt tárolók hozzáférnek a csomópont erőforrásaihoz, és megszakítják a tárolók közötti elkülönítést. Ha sérült, a támadó a kiemelt tárolóval férhet hozzá a csomóponthoz.
MITRE-taktikák: Jogosultságok eszkalálása
Súlyosság: Tájékoztató
A digitális pénznembányászattal társított folyamat észlelhető
(K8S. NODE_CryptoCoinMinerArtifacts) 1
Leírás: A tárolón belül futó folyamatok elemzése egy, a digitális pénznembányászathoz általában kapcsolódó folyamat végrehajtását észlelte.
MITRE-taktikák: Végrehajtás, kizsákmányolás
Súlyosság: Közepes
Az SSH által engedélyezett kulcsfájl szokatlan módon való elérésének folyamata
(K8S. NODE_SshKeyAccess) 1
Leírás: Egy SSH-authorized_keys fájl az ismert kártevőkampányokhoz hasonló módszerrel lett elérve. Ez a hozzáférés azt jelezheti, hogy egy szereplő állandó hozzáférést próbál szerezni egy géphez.
MITRE-taktikák: Ismeretlen
Súlyosság: Tájékoztató
A fürt-rendszergazda szerepkörhöz való szerepkör-kötés észlelhető
(K8S_Cluster Rendszergazda Binding)
Leírás: A Kubernetes naplózási naplóelemzése új kötést észlelt a fürt-rendszergazda szerepkörhöz, amely rendszergazdai jogosultságokat biztosít. A szükségtelen rendszergazdai jogosultságok jogosultságok eszkalálódását okozhatják a fürtben.
MITRE-taktikák: Állandóság
Súlyosság: Tájékoztató
Biztonsági jellegű folyamatvégzítés észlelhető
(K8S. NODE_SuspectProcessTermination) 1
Leírás: A tárolón belül vagy közvetlenül a Kubernetes-csomóponton futó folyamatok elemzése azt észlelte, hogy a tároló biztonsági monitorozásával kapcsolatos folyamatok leállítására tett kísérlet történt. A támadók gyakran megpróbálják megszakítani az ilyen folyamatokat előre definiált szkriptek használatával a feltörés után.
MITRE-taktikák: Állandóság
Súlyosság: Alacsony
Az SSH-kiszolgáló tárolón belül fut
(K8S. NODE_ContainerSSH) 1
Leírás: A tárolón belüli folyamatok elemzése a tárolón belül futó SSH-kiszolgálót észlelt.
MITRE-taktikák: Végrehajtás
Súlyosság: Tájékoztató
Gyanús fájlidőbélyeg módosítása
(K8S. NODE_TimestampTampering) 1
Leírás: A tárolón vagy közvetlenül a Kubernetes-csomóponton futó folyamatok elemzése gyanús időbélyeg-módosítást észlelt. A támadók gyakran átmásolják az időbélyegeket a meglévő megbízható fájlokból az új eszközökre, hogy elkerüljék az újonnan elvetett fájlok észlelését.
MITRE-taktikák: Perzisztencia, DefenseEvasion
Súlyosság: Alacsony
Gyanús kérés a Kubernetes API-hoz
(K8S. NODE_KubernetesAPI) 1
Leírás: A tárolóban futó folyamatok elemzése azt jelzi, hogy gyanús kérés érkezett a Kubernetes API-hoz. A kérés a fürt egyik tárolójából lett elküldve. Bár ez a viselkedés szándékos lehet, azt jelezheti, hogy egy sérült tároló fut a fürtben.
MITRE-taktikák: LateralMovement
Súlyosság: Közepes
Gyanús kérés a Kubernetes-irányítópultra
(K8S. NODE_KubernetesDashboard) 1
Leírás: A tárolón belüli folyamatok elemzése azt jelzi, hogy gyanús kérés érkezett a Kubernetes-irányítópultra. A kérés a fürt egyik tárolójából lett elküldve. Bár ez a viselkedés szándékos lehet, azt jelezheti, hogy egy sérült tároló fut a fürtben.
MITRE-taktikák: LateralMovement
Súlyosság: Közepes
Megkezdődött a potenciális kriptopénz-bányász
(K8S. NODE_CryptoCoinMinerExecution) 1
Leírás: A tárolón vagy közvetlenül a Kubernetes-csomóponton futó folyamatok elemzése azt észlelte, hogy a folyamat a digitális pénznembányászathoz általában kapcsolódó módon indult el.
MITRE-taktikák: Végrehajtás
Súlyosság: Közepes
Gyanús jelszóhozzáférés
(K8S. NODE_SuspectPasswordFileAccess) 1
Leírás: A tárolón vagy közvetlenül a Kubernetes-csomóponton futó folyamatok elemzése gyanús kísérletet észlelt a titkosított felhasználói jelszavak elérésére.
MITRE-taktikák: Állandóság
Súlyosság: Tájékoztató
Lehetséges rosszindulatú webes rendszerhéj észlelhető.
(K8S. NODE_Webshell) 1
Leírás: A tárolón belüli folyamatok elemzése egy lehetséges webes rendszerhéjat észlelt. A támadók gyakran feltöltenek egy webes rendszerhéjat egy olyan számítási erőforrásba, amely biztonsága veszélybe került, hogy megőrizze vagy tovább kiaknázhassa őket.
MITRE-taktikák: Perzisztencia, kizsákmányolás
Súlyosság: Közepes
Több felderítési parancs kipukkadása a sérülés utáni kezdeti tevékenységet jelezheti
(K8S. NODE_ReconnaissanceArtifactsBurst) 1
Leírás: A gazdagép-/eszközadatok elemzése több felderítési parancs végrehajtását észlelte a rendszer vagy a támadók által a kezdeti biztonsági rés után végrehajtott gazdagépadatok gyűjtéséhez kapcsolódóan.
MITRE-taktikák: Felderítés, Gyűjtemény
Súlyosság: Alacsony
Gyanús letöltés, majd tevékenység futtatása
(K8S. NODE_DownloadAndRunCombo) 1
Leírás: A tárolón vagy közvetlenül a Kubernetes-csomóponton futó folyamatok elemzése azt észlelte, hogy a letöltött fájl ugyanabban a parancsban fut. Bár ez nem mindig rosszindulatú, ez egy nagyon gyakori módszer, a támadók rosszindulatú fájlokat kapnak az áldozati gépekre.
MITRE-taktikák: Végrehajtás, CommandAndControl, Kizsákmányolás
Súlyosság: Közepes
A kubelet kubeconfig fájlhoz való hozzáférés észlelhető
(K8S. NODE_KubeConfigAccess) 1
Leírás: A Kubernetes-fürtcsomóponton futó folyamatok elemzése a gazdagép kubeconfig-fájljának hozzáférését észlelte. A Kubelet-folyamat által általában használt kubeconfig fájl a Kubernetes-fürt API-kiszolgálójának hitelesítő adatait tartalmazza. A fájlhoz való hozzáférést gyakran a támadók próbálják elérni, vagy biztonsági ellenőrző eszközökkel, amelyek ellenőrzik, hogy a fájl elérhető-e.
MITRE-taktikák: CredentialAccess
Súlyosság: Közepes
A felhőalapú metaadat-szolgáltatáshoz való hozzáférés észlelhető
(K8S. NODE_ImdsCall) 1
Leírás: A tárolón belül futó folyamatok elemzése a felhő metaadat-szolgáltatáshoz való hozzáférését észlelte az identitásjogkivonat beszerzéséhez. A tároló általában nem végez ilyen műveletet. Bár ez a viselkedés jogos lehet, a támadók ezt a technikát használhatják a felhőbeli erőforrások eléréséhez, miután kezdeti hozzáférést szereznek egy futó tárolóhoz.
MITRE-taktikák: CredentialAccess
Súlyosság: Közepes
MITRE Caldera-ügynök észlelhető
(K8S. NODE_MitreCalderaTools) 1
Leírás: A tárolón vagy közvetlenül a Kubernetes-csomóponton futó folyamatok elemzése gyanús folyamatot észlelt. Ez gyakran a MITRE 54ndc47 ügynökhöz van társítva, amely rosszindulatúan használható más gépek megtámadására.
MITRE-taktikák: Persistence, PrivilegeEscalation, DefenseEvasion, CredentialAccess, Discovery, LateralMovement, Execution, Collection, Exfiltration, Command and Control, Probing, Exploitation
Súlyosság: Közepes
1: Előzetes verzió nem AKS-fürtökhöz: Ez a riasztás általánosan elérhető az AKS-fürtökhöz, de előzetes verzióban érhető el más környezetekhez, például az Azure Archoz, az EKS-hez és a GKE-hez.
2: A GKE-fürtök korlátozásai: A GKE olyan Kubernetes-naplózási szabályzatot használ, amely nem támogatja az összes riasztástípust. Ennek eredményeképpen ez a Kubernetes-naplózási eseményeken alapuló biztonsági riasztás nem támogatott a GKE-fürtök esetében.
3: Ez a riasztás windowsos csomópontokon/tárolókon támogatott.
Riasztások az SQL Database-hez és az Azure Synapse Analyticshez
További részletek és megjegyzések
Az SQL-injektálás lehetséges biztonsági rése
(SQL. DB_VulnerabilityToSqlInjection SQL-t. VM_VulnerabilityToSqlInjection SQL.MI_VulnerabilityToSqlInjection SQL-t. DW_VulnerabilityToSqlInjection Synapse.SQLPool_VulnerabilityToSqlInjection)
Leírás: Egy alkalmazás hibás SQL-utasítást hozott létre az adatbázisban. Ez az SQL-injektálási támadások lehetséges biztonsági rését jelezheti. A hibás állításnak két oka lehet. Előfordulhat, hogy az alkalmazáskód hibája létrehozta a hibás SQL-utasítást. Vagy az alkalmazáskód vagy a tárolt eljárások nem megtisztították a felhasználói bemenetet a hibás SQL-utasítás létrehozásakor, amelyet az SQL-injektáláshoz lehet kihasználni.
MITRE-taktikák: PreAttack
Súlyosság: Közepes
Potenciálisan káros alkalmazás általi bejelentkezés kísérlete
(SQL. DB_HarmfulApplication SQL. VM_HarmfulApplication SQL.MI_HarmfulApplication SQL-t. DW_HarmfulApplication Synapse.SQLPool_HarmfulApplication)
Leírás: Egy potenciálisan káros alkalmazás megkísérelte elérni az erőforrást.
MITRE-taktikák: PreAttack
Súlyosság: Magas
Bejelentkezés szokatlan Azure Data Centerből
(SQL. DB_DataCenterAnomaly SQL. VM_DataCenterAnomaly SQL-t. DW_DataCenterAnomaly SQL.MI_DataCenterAnomaly Synapse.SQLPool_DataCenterAnomaly)
Leírás: Megváltozott a hozzáférési minta egy SQL Serverhez, ahol valaki egy szokatlan Azure Data Centerből jelentkezett be a kiszolgálóra. Bizonyos esetekben a riasztás egy jogszerű műveletet (új alkalmazást vagy Azure-szolgáltatást) észlel. Más esetekben a riasztás rosszindulatú műveletet észlel (az Azure-ban feltört erőforrásból működő támadó).
MITRE-taktikák: Próba
Súlyosság: Alacsony
Bejelentkezés szokatlan helyről
(SQL. DB_GeoAnomaly SQL. VM_GeoAnomaly SQL-t. DW_GeoAnomaly SQL.MI_GeoAnomaly Synapse.SQLPool_GeoAnomaly)
Leírás: Megváltozott az SQL Server hozzáférési mintája, ahol valaki szokatlan földrajzi helyről jelentkezett be a kiszolgálóra. Bizonyos esetekben a riasztás jogszerű műveleteket észlel (egy új alkalmazást vagy fejlesztői karbantartást). Más esetekben a riasztás rosszindulatú műveletet (korábbi alkalmazottat vagy külső támadót) észlel.
MITRE-taktikák: Hasznosítás
Súlyosság: Közepes
Bejelentkezés olyan egyszerű felhasználótól, aki 60 nap alatt nem látható
(SQL. DB_PrincipalAnomaly SQL-t. VM_PrincipalAnomaly SQL-t. DW_PrincipalAnomaly SQL.MI_PrincipalAnomaly Synapse.SQLPool_PrincipalAnomaly)
Leírás: Az elmúlt 60 napban nem látott egyszerű felhasználó bejelentkezett az adatbázisba. Ha ez az adatbázis új, vagy az adatbázishoz hozzáférő felhasználók legutóbbi változásai ezt a viselkedést várják, Felhőhöz készült Defender azonosítja a hozzáférési minták jelentős változásait, és megkísérli megakadályozni a jövőbeli hamis pozitívumokat.
MITRE-taktikák: Hasznosítás
Súlyosság: Közepes
Bejelentkezés olyan tartományból, amely 60 nap alatt nem látható
(SQL. DB_DomainAnomaly SQL-t. VM_DomainAnomaly SQL-t. DW_DomainAnomaly SQL.MI_DomainAnomaly Synapse.SQLPool_DomainAnomaly)
Leírás: Egy felhasználó olyan tartományból jelentkezett be az erőforrásba, amelyről más felhasználók nem csatlakoztak az elmúlt 60 napban. Ha ez az erőforrás új, vagy az erőforráshoz hozzáférő felhasználók legutóbbi változásai ezt a viselkedést várják, Felhőhöz készült Defender azonosítja a hozzáférési minták jelentős változásait, és megkísérli megakadályozni a jövőbeli hamis pozitívumokat.
MITRE-taktikák: Hasznosítás
Súlyosság: Közepes
Bejelentkezés gyanús IP-címről
(SQL. DB_SuspiciousIpAnomaly SQL. VM_SuspiciousIpAnomaly SQL. DW_SuspiciousIpAnomaly SQL.MI_SuspiciousIpAnomaly Synapse.SQLPool_SuspiciousIpAnomaly)
Leírás: Az erőforrás egy olyan IP-címről lett sikeresen elérve, amelyet a Microsoft Threat Intelligence gyanús tevékenységhez társított.
MITRE-taktikák: PreAttack
Súlyosság: Közepes
Lehetséges SQL-injektálás
(SQL. DB_PotentialSqlInjection SQL-t. VM_PotentialSqlInjection SQL.MI_PotentialSqlInjection SQL. DW_PotentialSqlInjection Synapse.SQLPool_PotentialSqlInjection)
Leírás: Aktív biztonsági rés történt az SQL-injektálásnak kitett azonosított alkalmazás ellen. Ez azt jelenti, hogy a támadó rosszindulatú SQL-utasításokat próbál injektálni a sebezhető alkalmazáskód vagy a tárolt eljárások használatával.
MITRE-taktikák: PreAttack
Súlyosság: Magas
Feltételezett találgatásos támadás egy érvényes felhasználóval
(SQL. DB_BruteForce SQL. VM_BruteForce SQL-t. DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)
Leírás: Lehetséges találgatásos támadást észleltek az erőforráson. A támadó az érvényes felhasználót (felhasználónevet) használja, amely rendelkezik a bejelentkezéshez szükséges engedélyekkel.
MITRE-taktikák: PreAttack
Súlyosság: Magas
Feltételezett találgatásos támadás
(SQL. DB_BruteForce SQL. VM_BruteForce SQL-t. DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)
Leírás: Lehetséges találgatásos támadást észleltek az erőforráson.
MITRE-taktikák: PreAttack
Súlyosság: Magas
Feltételezett sikeres találgatásos támadás
(SQL. DB_BruteForce SQL. VM_BruteForce SQL-t. DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)
Leírás: Sikeres bejelentkezés történt, miután egy találgatásos támadás történt az erőforráson.
MITRE-taktikák: PreAttack
Súlyosság: Magas
Az SQL Server potenciálisan windowsos parancshéjat hoz létre, és egy rendellenes külső forráshoz fért hozzá
(SQL. DB_ShellExternalSourceAnomaly SQL-t. VM_ShellExternalSourceAnomaly SQL. DW_ShellExternalSourceAnomaly SQL.MI_ShellExternalSourceAnomaly Synapse.SQLPool_ShellExternalSourceAnomaly)
Leírás: Egy gyanús SQL-utasítás potenciálisan olyan Windows-parancshéjat hozott létre, amely olyan külső forrással rendelkezik, amely korábban még nem volt látható. A külső forráshoz hozzáférő rendszerhéj végrehajtása a támadók által használt módszer a rosszindulatú hasznos adatok letöltésére, majd a gépen való végrehajtására és feltörésére. Ez lehetővé teszi, hogy a támadó rosszindulatú feladatokat végezzen távoli irányban. Másik lehetőségként egy külső forrás elérése is használható az adatok külső célhelyre való kiszűrésére.
MITRE-taktikák: Végrehajtás
Súlyosság: Magas
Az SQL Server szokatlan hasznos adatokat kezdeményezett elhomályosított alkatrészekkel
(SQL. VM_PotentialSqlInjection)
Leírás: Valaki új hasznos adatcsomagot kezdeményezett az SQL Server azon rétegének használatával, amely kommunikál az operációs rendszerrel, miközben elrejti a parancsot az SQL-lekérdezésben. A támadók gyakran rejtik el a népszerűen figyelt, például xp_cmdshell, sp_add_job és más parancsokat. Obfuscation technikák visszaélés jogos parancsok, mint a sztring összefűzés, casting, alap módosítása, és mások, hogy elkerüljék regex észlelés és árt az olvashatóság a naplók.
MITRE-taktikák: Végrehajtás
Súlyosság: Magas
Riasztások nyílt forráskódú relációs adatbázisokhoz
További részletek és megjegyzések
Feltételezett találgatásos támadás egy érvényes felhasználóval
(SQL. PostgreSQL_BruteForce SQL. MariaDB_BruteForce SQL. MySQL_BruteForce)
Leírás: Lehetséges találgatásos támadást észleltek az erőforráson. A támadó az érvényes felhasználót (felhasználónevet) használja, amely rendelkezik a bejelentkezéshez szükséges engedélyekkel.
MITRE-taktikák: PreAttack
Súlyosság: Magas
Feltételezett sikeres találgatásos támadás
(SQL. PostgreSQL_BruteForce SQL. MySQL_BruteForce SQL-t. MariaDB_BruteForce)
Leírás: Sikeres bejelentkezés történt, miután egy találgatásos támadás történt az erőforráson.
MITRE-taktikák: PreAttack
Súlyosság: Magas
Feltételezett találgatásos támadás
(SQL. PostgreSQL_BruteForce SQL. MySQL_BruteForce SQL-t. MariaDB_BruteForce)
Leírás: Lehetséges találgatásos támadást észleltek az erőforráson.
MITRE-taktikák: PreAttack
Súlyosság: Magas
Potenciálisan káros alkalmazás általi bejelentkezés kísérlete
(SQL. PostgreSQL_HarmfulApplication SQL-t. MariaDB_HarmfulApplication SQL-t. MySQL_HarmfulApplication)
Leírás: Egy potenciálisan káros alkalmazás megkísérelte elérni az erőforrást.
MITRE-taktikák: PreAttack
Súlyosság: Magas
Bejelentkezés olyan egyszerű felhasználótól, aki 60 nap alatt nem látható
(SQL. PostgreSQL_PrincipalAnomaly SQL. MariaDB_PrincipalAnomaly SQL. MySQL_PrincipalAnomaly)
Leírás: Az elmúlt 60 napban nem látott egyszerű felhasználó bejelentkezett az adatbázisba. Ha ez az adatbázis új, vagy az adatbázishoz hozzáférő felhasználók legutóbbi változásai ezt a viselkedést várják, Felhőhöz készült Defender azonosítja a hozzáférési minták jelentős változásait, és megkísérli megakadályozni a jövőbeli hamis pozitívumokat.
MITRE-taktikák: Hasznosítás
Súlyosság: Közepes
Bejelentkezés olyan tartományból, amely 60 nap alatt nem látható
(SQL. MariaDB_DomainAnomaly SQL-t. PostgreSQL_DomainAnomaly SQL-t. MySQL_DomainAnomaly)
Leírás: Egy felhasználó olyan tartományból jelentkezett be az erőforrásba, amelyről más felhasználók nem csatlakoztak az elmúlt 60 napban. Ha ez az erőforrás új, vagy az erőforráshoz hozzáférő felhasználók legutóbbi változásai ezt a viselkedést várják, Felhőhöz készült Defender azonosítja a hozzáférési minták jelentős változásait, és megkísérli megakadályozni a jövőbeli hamis pozitívumokat.
MITRE-taktikák: Hasznosítás
Súlyosság: Közepes
Bejelentkezés szokatlan Azure Data Centerből
(SQL. PostgreSQL_DataCenterAnomaly SQL-t. MariaDB_DataCenterAnomaly SQL. MySQL_DataCenterAnomaly)
Leírás: Valaki egy szokatlan Azure-adatközpontból jelentkezett be az erőforrásba.
MITRE-taktikák: Próba
Súlyosság: Alacsony
Bejelentkezés szokatlan felhőszolgáltatótól
(SQL. PostgreSQL_CloudProviderAnomaly SQL. MariaDB_CloudProviderAnomaly SQL-t. MySQL_CloudProviderAnomaly)
Leírás: Valaki olyan felhőszolgáltatótól jelentkezett be az erőforrásba, amely nem látható az elmúlt 60 napban. A fenyegetést kérő szereplők gyorsan és egyszerűen szerezhetnek be eldobható számítási teljesítményt a kampányaikban való használathoz. Ha ez egy új felhőszolgáltató közelmúltbeli bevezetése miatt várható viselkedés, Felhőhöz készült Defender idővel megtanulja, és megkísérli megakadályozni a jövőbeli hamis pozitívumokat.
MITRE-taktikák: Hasznosítás
Súlyosság: Közepes
Bejelentkezés szokatlan helyről
(SQL. MariaDB_GeoAnomaly SQL. PostgreSQL_GeoAnomaly SQL. MySQL_GeoAnomaly)
Leírás: Valaki egy szokatlan Azure-adatközpontból jelentkezett be az erőforrásba.
MITRE-taktikák: Hasznosítás
Súlyosság: Közepes
Bejelentkezés gyanús IP-címről
(SQL. PostgreSQL_SuspiciousIpAnomaly SQL. MariaDB_SuspiciousIpAnomaly SQL. MySQL_SuspiciousIpAnomaly)
Leírás: Az erőforrás egy olyan IP-címről lett sikeresen elérve, amelyet a Microsoft Threat Intelligence gyanús tevékenységhez társított.
MITRE-taktikák: PreAttack
Súlyosság: Közepes
Riasztások a Resource Managerhez
Feljegyzés
A delegált hozzáférés-jelzéssel ellátott riasztások a külső szolgáltatók tevékenysége miatt aktiválódnak. további információ a szolgáltatók tevékenységjelzőiről.
További részletek és megjegyzések
Azure Resource Manager-művelet gyanús IP-címről
(ARM_OperationFromSuspiciousIP)
Leírás: A Microsoft Defender for Resource Manager olyan műveletet észlelt egy IP-címről, amely gyanúsként van megjelölve a fenyegetésfelderítési hírcsatornákban.
MITRE-taktikák: Végrehajtás
Súlyosság: Közepes
Azure Resource Manager-művelet gyanús proxy IP-címről
(ARM_OperationFromSuspiciousProxyIP)
Leírás: A Microsoft Defender for Resource Manager egy olyan IP-címről észlelt erőforrás-kezelési műveletet, amely proxyszolgáltatásokhoz, például TOR-hoz van társítva. Bár ez a viselkedés jogos lehet, gyakran rosszindulatú tevékenységekben is előfordul, amikor a fenyegetést észlelő szereplők megpróbálják elrejteni a forrás IP-címüket.
MITRE-taktikák: Védelmi kijátszás
Súlyosság: Közepes
Az előfizetésekben lévő erőforrások számbavételéhez használt MicroBurst-kihasználási eszközkészlet
(ARM_MicroBurst.AzDomainInfo)
Leírás: Egy PowerShell-szkriptet futtattak az előfizetésben, és gyanús mintát hajtottak végre az erőforrások, engedélyek és hálózati struktúrák felderítésére szolgáló adatgyűjtési műveletek végrehajtásához. A fenyegetést űzők automatizált szkriptek, például a MicroBurst használatával gyűjtenek információkat a rosszindulatú tevékenységekhez. Ezt az azure Resource Manager-műveletek az előfizetésben való elemzésével észlelte. Ez a művelet azt jelezheti, hogy a szervezet egy identitását feltörték, és hogy a fenyegetést okozó szereplő rosszindulatú szándékok miatt próbálja veszélyeztetni a környezetet.
Súlyosság: Alacsony
Az előfizetésekben lévő erőforrások számbavételéhez használt MicroBurst-kihasználási eszközkészlet
(ARM_MicroBurst.AzureDomainInfo)
Leírás: Egy PowerShell-szkriptet futtattak az előfizetésben, és gyanús mintát hajtottak végre az erőforrások, engedélyek és hálózati struktúrák felderítésére szolgáló adatgyűjtési műveletek végrehajtásához. A fenyegetést űzők automatizált szkriptek, például a MicroBurst használatával gyűjtenek információkat a rosszindulatú tevékenységekhez. Ezt az azure Resource Manager-műveletek az előfizetésben való elemzésével észlelte. Ez a művelet azt jelezheti, hogy a szervezet egy identitását feltörték, és hogy a fenyegetést okozó szereplő rosszindulatú szándékok miatt próbálja veszélyeztetni a környezetet.
Súlyosság: Alacsony
A kód virtuális gépen való végrehajtásához használt MicroBurst-kihasználási eszközkészlet
(ARM_MicroBurst.AzVMBulkCMD)
Leírás: Egy PowerShell-szkriptet futtattak az előfizetésben, és gyanús mintát hajtottak végre egy virtuális gépen vagy a virtuális gépek listájában a kód végrehajtásához. A fenyegetéskezelők automatizált szkripteket, például a MicroBurstot használva futtatnak szkripteket egy virtuális gépen rosszindulatú tevékenységekhez. Ezt az azure Resource Manager-műveletek az előfizetésben való elemzésével észlelte. Ez a művelet azt jelezheti, hogy a szervezet egy identitását feltörték, és hogy a fenyegetést okozó szereplő rosszindulatú szándékok miatt próbálja veszélyeztetni a környezetet.
MITRE-taktikák: Végrehajtás
Súlyosság: Magas
A kód virtuális gépen való végrehajtásához használt MicroBurst-kihasználási eszközkészlet
(RM_MicroBurst.AzureRmVMBulkCMD)
Leírás: A MicroBurst kihasználási eszközkészlete kód végrehajtására szolgál a virtuális gépeken. Ezt az azure Resource Manager-műveletek az előfizetésben való elemzésével észlelte.
Súlyosság: Magas
MicroBurst-kihasználási eszközkészlet, amellyel kulcsokat nyerhet ki az Azure-kulcstartókból
(ARM_MicroBurst.AzKeyVaultKeysREST)
Leírás: Egy PowerShell-szkriptet futtattak az előfizetésben, és gyanús mintát hajtottak végre a kulcsok Azure Key Vaultból való kinyerésével. A fenyegetést űzők automatizált szkripteket, például a MicroBurstot használva listázhatják a kulcsokat, és használhatják őket bizalmas adatok eléréséhez vagy oldalirányú mozgáshoz. Ezt az azure Resource Manager-műveletek az előfizetésben való elemzésével észlelte. Ez a művelet azt jelezheti, hogy a szervezet egy identitását feltörték, és hogy a fenyegetést okozó szereplő rosszindulatú szándékok miatt próbálja veszélyeztetni a környezetet.
Súlyosság: Magas
A Tárfiókok kulcsainak kinyeréséhez használt MicroBurst-kihasználási eszközkészlet
(ARM_MicroBurst.AZStorageKeysREST)
Leírás: Egy PowerShell-szkriptet futtattak az előfizetésben, és gyanús mintát hajtottak végre a tárfiók(ok) kulcsainak kinyerésére. A fenyegetéselemzők automatizált szkripteket, például a MicroBurstot használva listázhatják a kulcsokat, és használhatják őket a tárfiók(ok) bizalmas adatainak eléréséhez. Ezt az azure Resource Manager-műveletek az előfizetésben való elemzésével észlelte. Ez a művelet azt jelezheti, hogy a szervezet egy identitását feltörték, és hogy a fenyegetést okozó szereplő rosszindulatú szándékok miatt próbálja veszélyeztetni a környezetet.
MITRE-taktikák: Gyűjtemény
Súlyosság: Magas
MicroBurst-kihasználási eszközkészlet, amellyel titkos kulcsokat nyerhet ki az Azure-kulcstartókból
(ARM_MicroBurst.AzKeyVaultSecretsREST)
Leírás: Egy PowerShell-szkriptet futtattak az előfizetésben, és gyanús mintát hajtottak végre a titkos kulcsok Azure Key Vault(ok)ból való kinyerésével. A veszélyforrás-elemzők automatizált szkripteket használnak, például a MicroBurstot a titkos kódok listázására, valamint bizalmas adatok elérésére vagy oldalirányú mozgásra. Ezt az azure Resource Manager-műveletek az előfizetésben való elemzésével észlelte. Ez a művelet azt jelezheti, hogy a szervezet egy identitását feltörték, és hogy a fenyegetést okozó szereplő rosszindulatú szándékok miatt próbálja veszélyeztetni a környezetet.
Súlyosság: Magas
PowerZure-kihasználó eszközkészlet az Azure AD-ből az Azure-ba való hozzáférés emeléséhez
(ARM_PowerZure.AzureElevatedPrivileges)
Leírás: A PowerZure kihasználtsági eszközkészlete az AzureAD-ből az Azure-ba való hozzáférés emelésére szolgál. Ezt a rendszer az Azure Resource Manager-műveletek bérlőben végzett elemzésével észlelte.
Súlyosság: Magas
Erőforrások számbavételéhez használt PowerZure-kihasználási eszközkészlet
(ARM_PowerZure.GetAzureTargets)
Leírás: A PowerZure kihasználási eszközkészlete az erőforrások számbavételére szolgál egy megbízható felhasználói fiók nevében a szervezetben. Ezt az azure Resource Manager-műveletek az előfizetésben való elemzésével észlelte.
MITRE-taktikák: Gyűjtemény
Súlyosság: Magas
Tárolók, megosztások és táblák számbavételéhez használt PowerZure-kihasználási eszközkészlet
(ARM_PowerZure.ShowStorageContent)
Leírás: A PowerZure kihasználási eszközkészlete a tárolómegosztások, táblák és tárolók számbavételére szolgál. Ezt az azure Resource Manager-műveletek az előfizetésben való elemzésével észlelte.
Súlyosság: Magas
Runbook előfizetésben való végrehajtásához használt PowerZure-kihasználási eszközkészlet
(ARM_PowerZure.StartRunbook)
Leírás: A PowerZure kihasználási eszközkészlete runbook végrehajtására szolgál. Ezt az azure Resource Manager-műveletek az előfizetésben való elemzésével észlelte.
Súlyosság: Magas
Runbookok tartalmának kinyeréséhez használt PowerZure-kihasználási eszközkészlet
(ARM_PowerZure.AzureRunbookContent)
Leírás: A PowerZure kihasználási eszközkészlete runbook-tartalom kinyerésére szolgál. Ezt az azure Resource Manager-műveletek az előfizetésben való elemzésével észlelte.
MITRE-taktikák: Gyűjtemény
Súlyosság: Magas
ELŐZETES VERZIÓ – Azurite-eszközkészlet futtatása észlelhető
(ARM_Azurite)
Leírás: A rendszer egy ismert felhőkörnyezeti felderítési eszközkészlet-futtatást észlelt a környezetben. Az Azurite eszközt egy támadó (vagy behatolástesztelő) használhatja az előfizetések erőforrásainak leképezéséhez és a nem biztonságos konfigurációk azonosításához.
MITRE-taktikák: Gyűjtemény
Súlyosság: Magas
ELŐZETES VERZIÓ – A észlelt számítási erőforrások gyanús létrehozása
(ARM_SuspiciousComputeCreation)
Leírás: A Microsoft Defender for Resource Manager gyanús számítási erőforrások létrehozását észlelte az előfizetésében a virtuális gépek/Azure méretezési csoport használatával. Az azonosított műveletek úgy lettek kialakítva, hogy a rendszergazdák szükség esetén új erőforrások üzembe helyezésével hatékonyan felügyelhessék környezeteiket. Bár ez a tevékenység jogos lehet, a fenyegetést jelentő szereplő az ilyen műveleteket a kriptobányászat végrehajtására használhatja. A tevékenység gyanúsnak minősül, mivel a számítási erőforrások skálázása magasabb az előfizetésben korábban megfigyeltnél. Ez azt jelezheti, hogy a rendszerbiztonsági tag sérült, és rosszindulatú szándékkal használják.
MITRE-taktikák: Hatás
Súlyosság: Közepes
ELŐZETES VERZIÓ – Gyanús kulcstartó-helyreállítás észlelhető
(Arm_Suspicious_Vault_Recovering)
Leírás: A Microsoft Defender for Resource Manager gyanús helyreállítási műveletet észlelt egy helyreállíthatóan törölt kulcstartó-erőforráshoz. Az erőforrást helyreállító felhasználó eltér a törölt felhasználótól. Ez nagyon gyanús, mert a felhasználó ritkán hív meg ilyen műveletet. Emellett a felhasználó többtényezős hitelesítés (MFA) nélkül jelentkezett be. Ez azt jelezheti, hogy a felhasználó sérült, és titkos kulcsokat és kulcsokat próbál felderíteni, hogy hozzáférhessen a bizalmas erőforrásokhoz, vagy oldalirányú mozgást hajt végre a hálózaton.
MITRE-taktikák: Oldalirányú mozgás
Súlyosság: Közepes/magas
ELŐZETES VERZIÓ – Gyanús felügyeleti munkamenet inaktív fiókkal
(ARM_UnusedAccountPersistence)
Leírás: Az előfizetési tevékenységnaplók elemzése gyanús viselkedést észlelt. A hosszú ideig nem használt egyszerű felhasználók mostantól olyan műveleteket hajtanak végre, amelyek biztonságossá tehetik a támadók védelmét.
MITRE-taktikák: Állandóság
Súlyosság: Közepes
ELŐZETES VERZIÓ – A szolgáltatásnév által észlelt magas kockázatú "Hitelesítőadat-hozzáférés" művelet gyanús meghívása
(ARM_AnomalousServiceOperation.CredentialAccess)
Leírás: A Microsoft Defender for Resource Manager gyanús meghívást észlelt egy magas kockázatú művelettel az előfizetésében, ami a hitelesítő adatok elérésére tett kísérletre utalhat. Az azonosított műveletek célja, hogy a rendszergazdák hatékonyan felügyelhessék környezeteiket. Bár ez a tevékenység jogos lehet, a fenyegetést jelölő szereplők ilyen műveleteket használhatnak a korlátozott hitelesítő adatok elérésére és az erőforrások veszélyeztetésére a környezetben. Ez azt jelezheti, hogy a szolgáltatásnév sérült, és rosszindulatú szándékkal használják.
MITRE-taktikák: Hitelesítő adatokhoz való hozzáférés
Súlyosság: Közepes
ELŐZETES VERZIÓ – Egy szolgáltatásnév által észlelt magas kockázatú adatgyűjtési művelet gyanús meghívása
(ARM_AnomalousServiceOperation.Collection)
Leírás: A Microsoft Defender for Resource Manager gyanús meghívást észlelt egy magas kockázatú művelettel az előfizetésében, ami adatgyűjtési kísérletre utalhat. Az azonosított műveletek célja, hogy a rendszergazdák hatékonyan felügyelhessék környezeteiket. Bár ez a tevékenység jogos lehet, a fenyegetést jelentő szereplők ilyen műveleteket használhatnak a környezetben lévő erőforrások bizalmas adatainak gyűjtésére. Ez azt jelezheti, hogy a szolgáltatásnév sérült, és rosszindulatú szándékkal használják.
MITRE-taktikák: Gyűjtemény
Súlyosság: Közepes
ELŐZETES VERZIÓ – A szolgáltatásnév által észlelt magas kockázatú "Védelmi kijátszás" művelet gyanús meghívása
(ARM_AnomalousServiceOperation.DefenseEvasion)
Leírás: A Microsoft Defender for Resource Manager gyanús meghívást észlelt egy magas kockázatú művelettel az előfizetésében, ami a védelem megkerülésére tett kísérletre utalhat. Az azonosított műveletek célja, hogy a rendszergazdák hatékonyan felügyelhessék környezeteik biztonsági állapotát. Bár ez a tevékenység jogos lehet, a fenyegetést észlelő szereplők ilyen műveleteket használhatnak annak elkerülése érdekében, hogy ne legyenek észlelve, miközben veszélyeztetik az erőforrásokat a környezetben. Ez azt jelezheti, hogy a szolgáltatásnév sérült, és rosszindulatú szándékkal használják.
MITRE-taktikák: Védelmi kijátszás
Súlyosság: Közepes
ELŐZETES VERZIÓ – A szolgáltatásnév által észlelt magas kockázatú "végrehajtás" művelet gyanús meghívása
(ARM_AnomalousServiceOperation.Execution)
Leírás: A Microsoft Defender for Resource Manager gyanús meghívást észlelt egy nagy kockázatú műveletről az előfizetésében lévő gépen, ami kód végrehajtására tett kísérletre utalhat. Az azonosított műveletek célja, hogy a rendszergazdák hatékonyan felügyelhessék környezeteiket. Bár ez a tevékenység jogos lehet, a fenyegetést jelölő szereplők ilyen műveleteket használhatnak a korlátozott hitelesítő adatok elérésére és az erőforrások veszélyeztetésére a környezetben. Ez azt jelezheti, hogy a szolgáltatásnév sérült, és rosszindulatú szándékkal használják.
MITRE-taktikák: Védelmi végrehajtás
Súlyosság: Közepes
ELŐZETES VERZIÓ – A szolgáltatásnév által észlelt magas kockázatú "Hatás" művelet gyanús meghívása
(ARM_AnomalousServiceOperation.Impact)
Leírás: A Microsoft Defender for Resource Manager gyanús meghívást észlelt egy magas kockázatú művelettel az előfizetésben, ami konfigurációmódosítási kísérletre utalhat. Az azonosított műveletek célja, hogy a rendszergazdák hatékonyan felügyelhessék környezeteiket. Bár ez a tevékenység jogos lehet, a fenyegetést jelölő szereplők ilyen műveleteket használhatnak a korlátozott hitelesítő adatok elérésére és az erőforrások veszélyeztetésére a környezetben. Ez azt jelezheti, hogy a szolgáltatásnév sérült, és rosszindulatú szándékkal használják.
MITRE-taktikák: Hatás
Súlyosság: Közepes
ELŐZETES VERZIÓ – A szolgáltatásnév által észlelt magas kockázatú "Kezdeti hozzáférés" művelet gyanús meghívása
(ARM_AnomalousServiceOperation.InitialAccess)
Leírás: A Microsoft Defender for Resource Manager gyanús meghívást észlelt egy magas kockázatú művelettel az előfizetésében, ami a korlátozott erőforrások elérésére tett kísérletre utalhat. Az azonosított műveletek célja, hogy a rendszergazdák hatékonyan elérhessék környezetüket. Bár ez a tevékenység jogos lehet, a veszélyforrás-szereplők ilyen műveleteket használhatnak a környezet korlátozott erőforrásaihoz való kezdeti hozzáféréshez. Ez azt jelezheti, hogy a szolgáltatásnév sérült, és rosszindulatú szándékkal használják.
MITRE-taktikák: Kezdeti hozzáférés
Súlyosság: Közepes
ELŐZETES VERZIÓ – Egy szolgáltatásnév által észlelt magas kockázatú "Lateral Movement Access" művelet gyanús meghívása
(ARM_AnomalousServiceOperation.LateralMovement)
Leírás: A Microsoft Defender for Resource Manager gyanús meghívást észlelt egy magas kockázatú műveletre az előfizetésben, ami az oldalirányú mozgásra tett kísérletre utalhat. Az azonosított műveletek célja, hogy a rendszergazdák hatékonyan felügyelhessék környezeteiket. Bár ez a tevékenység jogos lehet, a fenyegetést jelentő szereplő az ilyen műveleteket kihasználva több erőforrást veszélyeztethet a környezetben. Ez azt jelezheti, hogy a szolgáltatásnév sérült, és rosszindulatú szándékkal használják.
MITRE-taktikák: Oldalirányú mozgás
Súlyosság: Közepes
ELŐZETES VERZIÓ – Egy szolgáltatásnév által észlelt magas kockázatú "adatmegőrzési" művelet gyanús meghívása
(ARM_AnomalousServiceOperation.Persistence)
Leírás: A Microsoft Defender for Resource Manager gyanús meghívást észlelt egy magas kockázatú művelettel az előfizetésében, ami a megtartás megállapítására tett kísérletre utalhat. Az azonosított műveletek célja, hogy a rendszergazdák hatékonyan felügyelhessék környezeteiket. Bár ez a tevékenység jogos lehet, a fenyegetést jelentő szereplő felhasználhatja ezeket a műveleteket a környezetben való megőrzés érdekében. Ez azt jelezheti, hogy a szolgáltatásnév sérült, és rosszindulatú szándékkal használják.
MITRE-taktikák: Állandóság
Súlyosság: Közepes
ELŐZETES VERZIÓ – Egy magas kockázatú "Privilege Eszkalation" művelet gyanús meghívása egy szolgáltatásnév által észlelt
(ARM_AnomalousServiceOperation.PrivilegeEscalation)
Leírás: A Microsoft Defender for Resource Manager gyanús meghívást észlelt egy magas kockázatú művelettel az előfizetésében, ami a jogosultságok eszkalálására tett kísérletre utalhat. Az azonosított műveletek célja, hogy a rendszergazdák hatékonyan felügyelhessék környezeteiket. Bár ez a tevékenység jogos lehet, a fenyegetést jelentő szereplő az ilyen műveleteket kihasználva eszkalálhatja a jogosultságokat, miközben veszélyeztetheti az erőforrásokat a környezetben. Ez azt jelezheti, hogy a szolgáltatásnév sérült, és rosszindulatú szándékkal használják.
MITRE-taktikák: Jogosultságok eszkalálása
Súlyosság: Közepes
ELŐZETES VERZIÓ – Gyanús felügyeleti munkamenet inaktív fiókkal
(ARM_UnusedAccountPersistence)
Leírás: Az előfizetési tevékenységnaplók elemzése gyanús viselkedést észlelt. A hosszú ideig nem használt egyszerű felhasználók mostantól olyan műveleteket hajtanak végre, amelyek biztonságossá tehetik a támadók védelmét.
MITRE-taktikák: Állandóság
Súlyosság: Közepes
ELŐZETES VERZIÓ – Gyanús felügyeleti munkamenet a PowerShell-lel
(ARM_UnusedAppPowershellPersistence)
Leírás: Az előfizetési tevékenységnaplók elemzése gyanús viselkedést észlelt. Az előfizetési környezet felügyeletére nem rendszeresen használt egyszerű felhasználó most a PowerShellt használja, és olyan műveleteket hajt végre, amelyek biztonságossá tehetik a támadók védelmét.
MITRE-taktikák: Állandóság
Súlyosság: Közepes
ELŐZETES VERZIÓ – Gyanús felügyeleti munkamenet észlelhető az Azure Portal használatával
(ARM_UnusedAppIbizaPersistence)
Leírás: Az előfizetési tevékenységnaplók elemzése gyanús viselkedést észlelt. Az azure portalt (Ibiza) rendszeresen nem használó egyszerű felhasználó kezeli az előfizetési környezetet (az elmúlt 45 napban nem használta az Azure Portalt, vagy egy olyan előfizetést, amelyet aktívan kezel), most az Azure Portalt használja, és olyan műveleteket hajt végre, amelyek biztonságossá tehetik a támadók védelmét.
MITRE-taktikák: Állandóság
Súlyosság: Közepes
Az előfizetéshez gyanús módon létrehozott emelt szintű egyéni szerepkör (előzetes verzió)
(ARM_PrivilegedRoleDefinitionCreation)
Leírás: A Microsoft Defender for Resource Manager gyanús egyéni szerepkördefiníciót észlelt az előfizetésében. Előfordulhat, hogy ezt a műveletet egy megbízható felhasználó hajtotta végre a szervezetben. Azt is jelezheti, hogy a szervezet egyik fiókját feltörték, és hogy a fenyegetést okozó szereplő egy kiemelt szerepkört próbál létrehozni a jövőben az észlelés megkerüléséhez.
MITRE-taktikák: Privilege Escalation, Defense Evasion
Súlyosság: Tájékoztató
Gyanús Azure-szerepkör-hozzárendelés észlelhető (előzetes verzió)
(ARM_AnomalousRBACRoleAssignment)
Leírás: A Microsoft Defender for Resource Manager gyanús Azure-szerepkör-hozzárendelést azonosított / amelyet a bérlőben a PIM (Privileged Identity Management) használatával hajtottak végre, ami azt jelezheti, hogy a szervezet egyik fiókja sérült. Az azonosított műveletek célja, hogy lehetővé tegyék a rendszergazdák számára az Azure-erőforrásokhoz való hozzáférést. Bár ez a tevékenység jogos lehet, a fenyegetést kérő szereplők szerepkör-hozzárendeléssel eszkalálhatják az engedélyeiket, ami lehetővé teszi számukra a támadás továbblépését.
MITRE taktika: Lateral Movement, Defense Evasion
Súlyosság: Alacsony (PIM) / Magas
Gyanús meghívás egy magas kockázatú "Hitelesítőadat-hozzáférés" művelet észlelésekor (előzetes verzió)
(ARM_AnomalousOperation.CredentialAccess)
Leírás: A Microsoft Defender for Resource Manager gyanús meghívást észlelt egy magas kockázatú művelettel az előfizetésében, ami a hitelesítő adatok elérésére tett kísérletre utalhat. Az azonosított műveletek célja, hogy a rendszergazdák hatékonyan elérhessék környezetüket. Bár ez a tevékenység jogos lehet, a fenyegetést jelölő szereplők ilyen műveleteket használhatnak a korlátozott hitelesítő adatok elérésére és az erőforrások veszélyeztetésére a környezetben. Ez azt jelezheti, hogy a fiók sérült, és rosszindulatú szándékkal használják.
MITRE-taktikák: Hitelesítő adatok elérése
Súlyosság: Közepes
Nagy kockázatú adatgyűjtési művelet gyanús meghívása (előzetes verzió)
(ARM_AnomalousOperation.Collection)
Leírás: A Microsoft Defender for Resource Manager gyanús meghívást észlelt egy magas kockázatú művelettel az előfizetésében, ami adatgyűjtési kísérletre utalhat. Az azonosított műveletek célja, hogy a rendszergazdák hatékonyan felügyelhessék környezeteiket. Bár ez a tevékenység jogos lehet, a fenyegetést jelentő szereplők ilyen műveleteket használhatnak a környezetben lévő erőforrások bizalmas adatainak gyűjtésére. Ez azt jelezheti, hogy a fiók sérült, és rosszindulatú szándékkal használják.
MITRE-taktikák: Gyűjtemény
Súlyosság: Közepes
Gyanús meghívás egy magas kockázatú "Defense Evasion" művelet észlelése (előzetes verzió)
(ARM_AnomalousOperation.DefenseEvasion)
Leírás: A Microsoft Defender for Resource Manager gyanús meghívást észlelt egy magas kockázatú művelettel az előfizetésében, ami a védelem megkerülésére tett kísérletre utalhat. Az azonosított műveletek célja, hogy a rendszergazdák hatékonyan felügyelhessék környezeteik biztonsági állapotát. Bár ez a tevékenység jogos lehet, a fenyegetést észlelő szereplők ilyen műveleteket használhatnak annak elkerülése érdekében, hogy ne legyenek észlelve, miközben veszélyeztetik az erőforrásokat a környezetben. Ez azt jelezheti, hogy a fiók sérült, és rosszindulatú szándékkal használják.
MITRE-taktikák: Védelmi kijátszás
Súlyosság: Közepes
Magas kockázatú végrehajtási művelet gyanús meghívása (előzetes verzió)
(ARM_AnomalousOperation.Execution)
Leírás: A Microsoft Defender for Resource Manager gyanús meghívást észlelt egy nagy kockázatú műveletről az előfizetésében lévő gépen, ami kód végrehajtására tett kísérletre utalhat. Az azonosított műveletek célja, hogy a rendszergazdák hatékonyan felügyelhessék környezeteiket. Bár ez a tevékenység jogos lehet, a fenyegetést jelölő szereplők ilyen műveleteket használhatnak a korlátozott hitelesítő adatok elérésére és az erőforrások veszélyeztetésére a környezetben. Ez azt jelezheti, hogy a fiók sérült, és rosszindulatú szándékkal használják.
MITRE-taktikák: Végrehajtás
Súlyosság: Közepes
Nagy kockázatú "Hatás" művelet gyanús meghívása (előzetes verzió)
(ARM_AnomalousOperation.Impact)
Leírás: A Microsoft Defender for Resource Manager gyanús meghívást észlelt egy magas kockázatú művelettel az előfizetésben, ami konfigurációmódosítási kísérletre utalhat. Az azonosított műveletek célja, hogy a rendszergazdák hatékonyan felügyelhessék környezeteiket. Bár ez a tevékenység jogos lehet, a fenyegetést jelölő szereplők ilyen műveleteket használhatnak a korlátozott hitelesítő adatok elérésére és az erőforrások veszélyeztetésére a környezetben. Ez azt jelezheti, hogy a fiók sérült, és rosszindulatú szándékkal használják.
MITRE-taktikák: Hatás
Súlyosság: Közepes
Gyanús meghívás egy magas kockázatú "Kezdeti hozzáférés" művelet észlelésekor (előzetes verzió)
(ARM_AnomalousOperation.InitialAccess)
Leírás: A Microsoft Defender for Resource Manager gyanús meghívást észlelt egy magas kockázatú művelettel az előfizetésében, ami a korlátozott erőforrások elérésére tett kísérletre utalhat. Az azonosított műveletek célja, hogy a rendszergazdák hatékonyan elérhessék környezetüket. Bár ez a tevékenység jogos lehet, a veszélyforrás-szereplők ilyen műveleteket használhatnak a környezet korlátozott erőforrásaihoz való kezdeti hozzáféréshez. Ez azt jelezheti, hogy a fiók sérült, és rosszindulatú szándékkal használják.
MITRE-taktikák: Kezdeti hozzáférés
Súlyosság: Közepes
Nagy kockázatú oldalirányú mozgást észlelő művelet gyanús meghívása (előzetes verzió)
(ARM_AnomalousOperation.LateralMovement)
Leírás: A Microsoft Defender for Resource Manager gyanús meghívást észlelt egy magas kockázatú műveletre az előfizetésben, ami az oldalirányú mozgásra tett kísérletre utalhat. Az azonosított műveletek célja, hogy a rendszergazdák hatékonyan felügyelhessék környezeteiket. Bár ez a tevékenység jogos lehet, a fenyegetést jelentő szereplő az ilyen műveleteket kihasználva több erőforrást veszélyeztethet a környezetben. Ez azt jelezheti, hogy a fiók sérült, és rosszindulatú szándékkal használják.
MITRE taktika: Oldalirányú mozgás
Súlyosság: Közepes
Gyanús emelési hozzáférési művelet (előzetes verzió)(ARM_AnomalousElevateAccess)
Leírás: A Microsoft Defender for Resource Manager gyanús "Hozzáférés emelése" műveletet észlelt. A tevékenység gyanúsnak minősül, mivel ez a rendszerbiztonsági tag ritkán hív meg ilyen műveleteket. Bár ez a tevékenység jogos lehet, a fenyegetést kezelő szereplő egy "Hozzáférés emelése" művelettel eszkalálhatja a jogosultságok eszkalálását egy sérült felhasználó számára.
MITRE-taktikák: Jogosultságok eszkalálása
Súlyosság: Közepes
Egy magas kockázatú "Adatmegőrzés" művelet gyanús meghívása észlelhető (előzetes verzió)
(ARM_AnomalousOperation.Persistence)
Leírás: A Microsoft Defender for Resource Manager gyanús meghívást észlelt egy magas kockázatú művelettel az előfizetésében, ami a megtartás megállapítására tett kísérletre utalhat. Az azonosított műveletek célja, hogy a rendszergazdák hatékonyan felügyelhessék környezeteiket. Bár ez a tevékenység jogos lehet, a fenyegetést jelentő szereplő felhasználhatja ezeket a műveleteket a környezetben való megőrzés érdekében. Ez azt jelezheti, hogy a fiók sérült, és rosszindulatú szándékkal használják.
MITRE-taktikák: Állandóság
Súlyosság: Közepes
Egy magas kockázatú "Privilege Eszkalation" művelet gyanús meghívása észlelhető (előzetes verzió)
(ARM_AnomalousOperation.PrivilegeEscalation)
Leírás: A Microsoft Defender for Resource Manager gyanús meghívást észlelt egy magas kockázatú művelettel az előfizetésében, ami a jogosultságok eszkalálására tett kísérletre utalhat. Az azonosított műveletek célja, hogy a rendszergazdák hatékonyan felügyelhessék környezeteiket. Bár ez a tevékenység jogos lehet, a fenyegetést jelentő szereplő az ilyen műveleteket kihasználva eszkalálhatja a jogosultságokat, miközben veszélyeztetheti az erőforrásokat a környezetben. Ez azt jelezheti, hogy a fiók sérült, és rosszindulatú szándékkal használják.
MITRE-taktikák: Jogosultságok eszkalálása
Súlyosság: Közepes
A MicroBurst-kihasználási eszközkészlet használata tetszőleges kód futtatásához vagy az Azure Automation-fiók hitelesítő adatainak kiszivárgásához
(ARM_MicroBurst.RunCodeOnBehalf)
Leírás: Egy PowerShell-szkriptet futtattak az előfizetésben, és gyanús mintát hajtottak végre egy tetszőleges kód végrehajtásához vagy az Azure Automation-fiók hitelesítő adatainak kiszivárgásához. A veszélyforrás-szereplők automatizált szkripteket, például a MicroBurstot használnak a rosszindulatú tevékenységek tetszőleges kódjának futtatásához. Ezt az azure Resource Manager-műveletek az előfizetésben való elemzésével észlelte. Ez a művelet azt jelezheti, hogy a szervezet egy identitását feltörték, és hogy a fenyegetést okozó szereplő rosszindulatú szándékok miatt próbálja veszélyeztetni a környezetet.
MITRE-taktikák: Adatmegőrzés, Hitelesítő adatok elérése
Súlyosság: Magas
NetSPI-technikák használata az Azure-környezetben való megőrzés fenntartásához
(ARM_NetSPI.MaintainPersistence)
Leírás: A NetSPI-adatmegőrzési technika használata webhook-háttérrendszer létrehozásához és az Azure-környezetben való megőrzéséhez. Ezt az azure Resource Manager-műveletek az előfizetésben való elemzésével észlelte.
Súlyosság: Magas
A PowerZure kihasználási eszközkészletének használata tetszőleges kód futtatásához vagy az Azure Automation-fiók hitelesítő adatainak kiszivárgásához
(ARM_PowerZure.RunCodeOnBehalf)
Leírás: A PowerZure kihasználási eszközkészlete kódot próbált futtatni vagy kiszúrni az Azure Automation-fiók hitelesítő adatait. Ezt az azure Resource Manager-műveletek az előfizetésben való elemzésével észlelte.
Súlyosság: Magas
A PowerZure függvény használata az Azure-környezetben való megőrzés fenntartásához
(ARM_PowerZure.MaintainPersistence)
Leírás: A PowerZure kihasználó eszközkészlete webhook-háttérrendszer létrehozását észlelte az Azure-környezetben való megőrzés fenntartása érdekében. Ezt az azure Resource Manager-műveletek az előfizetésben való elemzésével észlelte.
Súlyosság: Magas
Gyanús klasszikus szerepkör-hozzárendelés észlelhető (előzetes verzió)
(ARM_AnomalousClassicRoleAssignment)
Leírás: A Microsoft Defender for Resource Manager gyanús klasszikus szerepkör-hozzárendelést észlelt a bérlőben, ami azt jelezheti, hogy a szervezet egyik fiókja sérült. Az azonosított műveletek úgy lettek kialakítva, hogy visszamenőleges kompatibilitást biztosítsanak a már nem gyakran használt klasszikus szerepkörökkel. Bár ez a tevékenység jogos lehet, a fenyegetéselosztó az ilyen hozzárendelést arra használhatja, hogy engedélyeket adjon egy másik felhasználói fióknak az irányításuk alatt.
MITRE taktika: Lateral Movement, Defense Evasion
Súlyosság: Magas
Riasztások az Azure Storage-hoz
További részletek és megjegyzések
Hozzáférés gyanús alkalmazásból
(Storage.Blob_SuspiciousApp)
Leírás: Azt jelzi, hogy egy gyanús alkalmazás sikeresen hozzáfért egy hitelesítéssel rendelkező tárfiók tárolójába. Ez azt jelezheti, hogy a támadó megszerezte a fiók eléréséhez szükséges hitelesítő adatokat, és kihasználja azt. Ez a szervezeten belül végzett behatolási tesztre is utalhat. A következőkre vonatkozik: Azure Blob Storage, Azure Data Lake Storage Gen2
MITRE-taktikák: Kezdeti hozzáférés
Súlyosság: Magas/Közepes
Hozzáférés gyanús IP-címről
(Storage.Blob_SuspiciousIp Storage.Files_SuspiciousIp)
Leírás: Azt jelzi, hogy ezt a tárfiókot egy gyanús IP-címről sikerült elérni. Ezt a riasztást a Microsoft Threat Intelligence működteti. További információ a Microsoft fenyegetésfelderítési képességeiről. A következőkre vonatkozik: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
MITRE-taktikák: Támadás előtti
Súlyosság: Magas/Közepes/Alacsony
Tárfiókban tárolt adathalász tartalom
(Storage.Blob_PhishingContent Storage.Files_PhishingContent)
Leírás: Az adathalász támadásokban használt URL-cím az Azure Storage-fiókra mutat. Ez az URL egy adathalász támadás része volt, amely a Microsoft 365 felhasználóit érintette. Az ilyen oldalakon tárolt tartalmak általában arra szolgálnak, hogy a látogatókat rávegyék arra, hogy a céges hitelesítő adataikat vagy pénzügyi adataikat egy megbízhatónak tűnő webes űrlapon adjanak meg. Ezt a riasztást a Microsoft Threat Intelligence működteti. További információ a Microsoft fenyegetésfelderítési képességeiről. A következőkre vonatkozik: Azure Blob Storage, Azure Files
MITRE-taktikák: Gyűjtemény
Súlyosság: Magas
A kártevők terjesztésének forrásaként azonosított tárfiók
(Storage.Files_WidespreadeAm)
Leírás: A kártevőirtó riasztások azt jelzik, hogy egy fertőzött fájl(ok) egy Azure-fájlmegosztásban tárolódnak, amely több virtuális géphez van csatlakoztatva. Ha a támadók hozzáférnek egy csatlakoztatott Azure-fájlmegosztással rendelkező virtuális géphez, azzal kártevőt terjeszthetnek más olyan virtuális gépekre, amelyek ugyanazt a megosztást csatlakoztatják. A következőkre vonatkozik: Azure Files
MITRE-taktikák: Végrehajtás
Súlyosság: Közepes
Egy potenciálisan bizalmas tároló blobtároló hozzáférési szintje módosult, hogy engedélyezve legyen a hitelesítés nélküli nyilvános hozzáférés
(Storage.Blob_OpenACL)
Leírás: A riasztás azt jelzi, hogy valaki módosította egy blobtároló hozzáférési szintjét a tárfiókban, amely bizalmas adatokat tartalmazhat, "Tároló" szintre, hogy engedélyezhesse a hitelesítés nélküli (névtelen) nyilvános hozzáférést. A módosítás az Azure Portalon történt. Statisztikai elemzés alapján a blobtárolót bizalmas adatokkal jelölik meg. Ez az elemzés arra utal, hogy a hasonló nevű blobtárolók vagy tárfiókok általában nem érhetők el nyilvános hozzáféréssel. A következőkre vonatkozik: Azure Blob (Standard általános célú v2, Azure Data Lake Storage Gen2 vagy prémium szintű blokkblobok) tárfiókok.
MITRE-taktikák: Gyűjtemény
Súlyosság: Közepes
Hitelesített hozzáférés a Tor kilépési csomópontjáról
(Storage.Blob_TorAnomaly Storage.Files_TorAnomaly)
Leírás: A tárfiók egy vagy több tárolótárolója/fájlmegosztása sikeresen el lett érve a Tor aktív kilépési csomópontjának (egy anonimizáló proxynak) nevezett IP-címről. A fenyegetéskezelők a Tor használatával megnehezítik a tevékenység visszakövetését. A Tor kilépési csomópontjáról való hitelesített hozzáférés valószínűleg azt jelzi, hogy egy fenyegetéselosztó megpróbálja elrejteni az identitását. A következőkre vonatkozik: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
MITRE-taktikák: Kezdeti hozzáférés / támadás előtti
Súlyosság: Magas/Közepes
Hozzáférés szokatlan helyről egy tárfiókhoz
(Storage.Blob_GeoAnomaly Storage.Files_GeoAnomaly)
Leírás: Azt jelzi, hogy változás történt egy Azure Storage-fiók hozzáférési mintájában. Valaki egy ismeretlennek tartott IP-címről fért hozzá ehhez a fiókhoz a legutóbbi tevékenységhez képest. A támadó vagy hozzáférést szerzett a fiókhoz, vagy egy megbízható felhasználó új vagy szokatlan földrajzi helyről csatlakozott. Az utóbbira példa az új alkalmazásból vagy fejlesztőtől származó távoli karbantartás. A következőkre vonatkozik: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
MITRE-taktikák: Kezdeti hozzáférés
Súlyosság: Magas/Közepes/Alacsony
Szokatlan, hitelesítés nélküli hozzáférés egy tárolóhoz
(Storage.Blob_AnonymousAccessAnomaly)
Leírás: Ez a tárfiók hitelesítés nélkül lett elérve, ami a gyakori hozzáférési minta módosítása. A tárolóhoz való olvasási hozzáférés általában hitelesítve van. Ez azt jelezheti, hogy a fenyegetést okozó szereplő képes volt kihasználni a tárfiók(ok) tárolóihoz való nyilvános olvasási hozzáférést. A következőkre vonatkozik: Azure Blob Storage
MITRE-taktikák: Kezdeti hozzáférés
Súlyosság: Magas/Alacsony
Tárfiókba feltöltött potenciális kártevők
(Storage.Blob_MalwareHashReputation Storage.Files_MalwareHashReputation)
Leírás: Azt jelzi, hogy egy potenciális kártevőt tartalmazó blob fel lett töltve egy blobtárolóba vagy egy tárfiók fájlmegosztására. Ez a riasztás a Microsoft fenyegetésintelligencia-képességeire támaszkodó kivonatolási hírnévelemzésen alapul, amely vírusokkal, trójaikkal, kémprogramokkal és zsarolóprogramokkal kapcsolatos kivonatokat is tartalmaz. A lehetséges okok közé tartozhat egy támadó által feltöltött szándékos kártevő, vagy egy potenciálisan rosszindulatú blob véletlen feltöltése egy megbízható felhasználó által. A következőkre vonatkozik: Azure Blob Storage, Azure Files (csak REST API-n keresztüli tranzakciókhoz) További információ a Microsoft fenyegetésfelderítési képességeiről.
MITRE taktika: Oldalirányú mozgás
Súlyosság: Magas
A nyilvánosan elérhető tárolók felderítve sikeresen felderítve
(Storage.Blob_OpenContainersScanning.SuccessfulDiscovery)
Leírás: A tárfiók nyilvánosan megnyitott tárolóinak sikeres felderítését az elmúlt órában egy ellenőrző szkript vagy eszköz hajtotta végre.
Ez általában felderítési támadást jelez, ahol a fenyegetést jelző szereplő tárolónevek kitalálásával próbál blobokat listázni, abban a reményben, hogy helytelenül konfigurált, bizalmas adatokat tartalmazó nyílt tárolókat talál bennük.
A veszélyforrás-szereplő használhatja a saját szkriptet, vagy használhatja az ismert ellenőrző eszközöket, például a Microburstot a nyilvánosan megnyitott tárolók kereséséhez.
✔ Azure Blob Storage ✖ Azure Files ✖ Azure Data Lake Storage Gen2
MITRE-taktikák: Gyűjtemény
Súlyosság: Magas/Közepes
A nyilvánosan elérhető tárolók vizsgálata sikertelen
(Storage.Blob_OpenContainersScanning.FailedAttempt)
Leírás: Az elmúlt órában sikertelen kísérleteket hajtottak végre a nyilvánosan megnyitott tárolók keresésére.
Ez általában felderítési támadást jelez, ahol a fenyegetést jelző szereplő tárolónevek kitalálásával próbál blobokat listázni, abban a reményben, hogy helytelenül konfigurált, bizalmas adatokat tartalmazó nyílt tárolókat talál bennük.
A veszélyforrás-szereplő használhatja a saját szkriptet, vagy használhatja az ismert ellenőrző eszközöket, például a Microburstot a nyilvánosan megnyitott tárolók kereséséhez.
✔ Azure Blob Storage ✖ Azure Files ✖ Azure Data Lake Storage Gen2
MITRE-taktikák: Gyűjtemény
Súlyosság: Magas/Alacsony
Szokatlan hozzáférés-ellenőrzés egy tárfiókban
(Storage.Blob_AccessInspectionAnomaly Storage.Files_AccessInspectionAnomaly)
Leírás: Azt jelzi, hogy a tárfiók hozzáférési engedélyeit szokatlan módon vizsgálták meg a fiók legutóbbi tevékenységeihez képest. A lehetséges ok az, hogy a támadó felderítést hajtott végre egy jövőbeli támadáshoz. A következőkre vonatkozik: Azure Blob Storage, Azure Files
MITRE-taktikák: Felderítés
Súlyosság: Magas/Közepes
Tárfiókból kinyert adatok szokatlan mennyisége
(Storage.Blob_DataExfiltration.AmountOfDataAnomaly Storage.Blob_DataExfiltration.NumberOfBlobsAnomaly Storage.Files_DataExfiltration.AmountOfDataAnomaly Storage.Files_DataExfiltration.NumberOfFilesAnomaly)
Leírás: Azt jelzi, hogy szokatlanul nagy mennyiségű adat lett kinyerve a tároló legutóbbi tevékenységeihez képest. Ennek egyik lehetséges oka, hogy a támadó nagy mennyiségű adatot kinyert egy blobtárolót tartalmazó tárolóból. A következőkre vonatkozik: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
MITRE-taktikák: Exfiltration
Súlyosság: Magas/Alacsony
Szokatlan alkalmazás fért hozzá egy tárfiókhoz
(Storage.Blob_ApplicationAnomaly Storage.Files_ApplicationAnomaly)
Leírás: Azt jelzi, hogy egy szokatlan alkalmazás hozzáfért ehhez a tárfiókhoz. Ennek egyik lehetséges oka, hogy a támadó egy új alkalmazással fért hozzá a tárfiókhoz. A következőkre vonatkozik: Azure Blob Storage, Azure Files
MITRE-taktikák: Végrehajtás
Súlyosság: Magas/Közepes
Szokatlan adatfeltárás tárfiókban
(Storage.Blob_DataExplorationAnomaly Storage.Files_DataExplorationAnomaly)
Leírás: Azt jelzi, hogy a tárfiókban lévő blobokat vagy tárolókat rendellenes módon sorolták fel a fiók legutóbbi tevékenységeihez képest. A lehetséges ok az, hogy a támadó felderítést hajtott végre egy jövőbeli támadáshoz. A következőkre vonatkozik: Azure Blob Storage, Azure Files
MITRE-taktikák: Végrehajtás
Súlyosság: Magas/Közepes
Szokatlan törlés egy tárfiókban
(Storage.Blob_DeletionAnomaly Storage.Files_DeletionAnomaly)
Leírás: Azt jelzi, hogy egy tárfiókban egy vagy több váratlan törlési művelet történt a fiók legutóbbi tevékenységeihez képest. Ennek egyik lehetséges oka, hogy a támadó törölte az adatokat a tárfiókból. A következőkre vonatkozik: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
MITRE-taktikák: Exfiltration
Súlyosság: Magas/Közepes
Szokatlan, nem hitelesített nyilvános hozzáférés egy bizalmas blobtárolóhoz (előzetes verzió)
Storage.Blob_AnonymousAccessAnomaly.Sensitive
Leírás: A riasztás azt jelzi, hogy valaki hitelesítés nélkül, külső (nyilvános) IP-címmel fért hozzá egy bizalmas adatokat tartalmazó blobtárolóhoz a tárfiókban. Ez a hozzáférés gyanús, mivel a blobtároló nyilvános hozzáférésre van nyitva, és általában csak belső hálózatokról (privát IP-címekről) származó hitelesítéssel érhető el. Ez a hozzáférés azt jelezheti, hogy a blobtároló hozzáférési szintje helytelenül van konfigurálva, és egy rosszindulatú szereplő kihasználhatta a nyilvános hozzáférést. A biztonsági riasztás tartalmazza a felderített bizalmas információkörnyezetet (vizsgálati idő, besorolási címke, információtípusok és fájltípusok). További információ a bizalmas adatfenyegetések észleléséről. A következőkre vonatkozik: Azure Blob (Standard általános célú v2, Azure Data Lake Storage Gen2 vagy prémium szintű blokkblobok) tárfiókok az új Defender for Storage csomaggal, amelyen engedélyezve van az adatérzékenységi fenyegetésészlelés funkció.
MITRE-taktikák: Kezdeti hozzáférés
Súlyosság: Magas
Szokatlan mennyiségű, bizalmas blobtárolóból kinyert adat (előzetes verzió)
Storage.Blob_DataExfiltration.AmountOfDataAnomaly.Sensitive
Leírás: A riasztás azt jelzi, hogy valaki szokatlanul nagy mennyiségű adatot kinyert egy olyan blobtárolóból, amely bizalmas adatokat tárol a tárfiókban. A következőkre vonatkozik: Azure Blob (Standard általános célú v2, Azure Data Lake Storage Gen2 vagy prémium szintű blokkblobok) tárfiókok az új Defender for Storage csomaggal, amelyen engedélyezve van az adatérzékenységi fenyegetésészlelés funkció.
MITRE-taktikák: Exfiltration
Súlyosság: Közepes
Egy bizalmas blobtárolóból kinyert blobok szokatlan száma (előzetes verzió)
Storage.Blob_DataExfiltration.NumberOfBlobsAnomaly.Sensitive
Leírás: A riasztás azt jelzi, hogy valaki szokatlanul nagy számú blobot vont ki egy olyan blobtárolóból, amely bizalmas adatokat tárol a tárfiókban. A következőkre vonatkozik: Azure Blob (Standard általános célú v2, Azure Data Lake Storage Gen2 vagy prémium szintű blokkblobok) tárfiókok az új Defender for Storage csomaggal, és engedélyezve van az adatérzékenységi fenyegetésészlelési funkció.
MITRE-taktikák: Exfiltration
Hozzáférés egy ismert gyanús alkalmazásból egy bizalmas blobtárolóhoz (előzetes verzió)
Storage.Blob_SuspiciousApp.Sensitive
Leírás: A riasztás azt jelzi, hogy egy ismert gyanús alkalmazással rendelkező személy hozzáfért egy blobtárolóhoz, amely bizalmas adatokat tárol a tárfiókban, és hitelesített műveleteket hajtott végre.
A hozzáférés azt jelezheti, hogy a fenyegetést okozó szereplő hitelesítő adatokat szerzett a tárfiókhoz való hozzáféréshez egy ismert gyanús alkalmazás használatával. A hozzáférés azonban a szervezetben végzett behatolási tesztet is jelezheti.
A következőkre vonatkozik: Azure Blob (Standard általános célú v2, Azure Data Lake Storage Gen2 vagy prémium szintű blokkblobok) tárfiókok az új Defender for Storage csomaggal, és engedélyezve van az adatérzékenységi fenyegetésészlelési funkció.
MITRE-taktikák: Kezdeti hozzáférés
Súlyosság: Magas
Hozzáférés egy ismert gyanús IP-címről egy bizalmas blobtárolóhoz (előzetes verzió)
Storage.Blob_SuspiciousIp.Sensitive
Leírás: A riasztás azt jelzi, hogy valaki bizalmas adatokat tartalmazó blobtárolóhoz fért hozzá a Tárfiókban a Microsoft Threat Intelligence által a fenyegetési adatokkal társított ismert gyanús IP-címről. Mivel a hozzáférés hitelesítése megtörtént, lehetséges, hogy a tárfiókhoz való hozzáférést lehetővé tevő hitelesítő adatok sérültek. További információ a Microsoft fenyegetésfelderítési képességeiről. A következőkre vonatkozik: Azure Blob (Standard általános célú v2, Azure Data Lake Storage Gen2 vagy prémium szintű blokkblobok) tárfiókok az új Defender for Storage csomaggal, amelyen engedélyezve van az adatérzékenységi fenyegetésészlelés funkció.
MITRE-taktikák: Támadás előtti
Súlyosság: Magas
Hozzáférés a Tor kilépési csomópontjáról egy bizalmas blobtárolóhoz (előzetes verzió)
Storage.Blob_TorAnomaly.Sensitive
Leírás: A riasztás azt jelzi, hogy a Tor kilépési csomópontként ismert IP-címmel rendelkező személy egy bizalmas adatokat tartalmazó blobtárolóhoz fért hozzá hitelesített hozzáféréssel a tárfiókban. A Tor kilépési csomópontjának hitelesített hozzáférése erősen azt jelzi, hogy a színész névtelen maradni próbál az esetleges rosszindulatú szándékok miatt. Mivel a hozzáférés hitelesítése megtörtént, lehetséges, hogy a tárfiókhoz való hozzáférést lehetővé tevő hitelesítő adatok sérültek. A következőkre vonatkozik: Azure Blob (Standard általános célú v2, Azure Data Lake Storage Gen2 vagy prémium szintű blokkblobok) tárfiókok az új Defender for Storage csomaggal, amelyen engedélyezve van az adatérzékenységi fenyegetésészlelés funkció.
MITRE-taktikák: Támadás előtti
Súlyosság: Magas
Hozzáférés szokatlan helyről egy bizalmas blobtárolóhoz (előzetes verzió)
Storage.Blob_GeoAnomaly.Sensitive
Leírás: A riasztás azt jelzi, hogy valaki szokatlan helyről származó hitelesítéssel fért hozzá a tárfiók bizalmas adataival rendelkező blobtárolóhoz. Mivel a hozzáférés hitelesítése megtörtént, lehetséges, hogy a tárfiókhoz való hozzáférést lehetővé tevő hitelesítő adatok sérültek. A következőkre vonatkozik: Azure Blob (Standard általános célú v2, Azure Data Lake Storage Gen2 vagy prémium szintű blokkblobok) tárfiókok az új Defender for Storage csomaggal, amelyen engedélyezve van az adatérzékenységi fenyegetésészlelés funkció.
MITRE-taktikák: Kezdeti hozzáférés
Súlyosság: Közepes
A bizalmas tárblobtároló hozzáférési szintje módosult, hogy engedélyezve legyen a hitelesítés nélküli nyilvános hozzáférés (előzetes verzió)
Storage.Blob_OpenACL.Sensitive
Leírás: A riasztás azt jelzi, hogy valaki módosította egy blobtároló hozzáférési szintjét a tárfiókban, amely bizalmas adatokat tartalmaz, "Tároló" szintre, amely lehetővé teszi a hitelesítés nélküli (névtelen) nyilvános hozzáférést. A módosítás az Azure Portalon történt. A hozzáférési szint módosítása veszélyeztetheti az adatok biztonságát. Javasoljuk, hogy azonnal tegyen lépéseket az adatok védelme és a jogosulatlan hozzáférés megakadályozása érdekében, ha a riasztás aktiválódik. A következőkre vonatkozik: Azure Blob (Standard általános célú v2, Azure Data Lake Storage Gen2 vagy prémium szintű blokkblobok) tárfiókok az új Defender for Storage csomaggal, amelyen engedélyezve van az adatérzékenységi fenyegetésészlelés funkció.
MITRE-taktikák: Gyűjtemény
Súlyosság: Magas
Gyanús külső hozzáférés egy Túl megengedő SAS-jogkivonattal rendelkező Azure Storage-fiókhoz (előzetes verzió)
Storage.Blob_AccountSas.InternalSasUsedExternally
Leírás: A riasztás azt jelzi, hogy egy külső (nyilvános) IP-címmel rendelkező személy egy túlzottan megengedő SAS-jogkivonattal, hosszú lejárati dátummal fért hozzá a tárfiókhoz. Az ilyen típusú hozzáférés gyanúsnak minősül, mivel az SAS-jogkivonatot általában csak belső hálózatokban használják (privát IP-címekről). A tevékenység azt jelezheti, hogy egy SAS-jogkivonatot rosszindulatú szereplő szivárgott ki, vagy véletlenül kiszivárogt egy megbízható forrásból. Még ha a hozzáférés jogszerű is, a nagy jogosultságú SAS-jogkivonat hosszú lejárati dátummal való használata ellentmond a biztonsági ajánlott eljárásoknak, és potenciális biztonsági kockázatot jelent. A következőkre vonatkozik: Azure Blob (Standard általános célú v2, Azure Data Lake Storage Gen2 vagy prémium szintű blokkblobok) tárfiókok az új Defender for Storage csomaggal.
MITRE-taktikák: Exfiltration / Resource Development / Impact
Súlyosság: Közepes
Gyanús külső művelet egy Túl megengedő SAS-jogkivonattal rendelkező Azure Storage-fiókon (előzetes verzió)
Storage.Blob_AccountSas.UnusualOperationFromExternalIp
Leírás: A riasztás azt jelzi, hogy egy külső (nyilvános) IP-címmel rendelkező személy egy túlzottan megengedő SAS-jogkivonattal, hosszú lejárati dátummal fért hozzá a tárfiókhoz. A hozzáférés gyanúsnak minősül, mert a hálózaton kívül (nem magánhálózati IP-címekről) ezzel az SAS-jogkivonattal meghívott műveleteket általában olvasási/írási/törlési műveletek meghatározott készletéhez használják, de más műveletek is történtek, ami gyanússá teszi ezt a hozzáférést. Ez a tevékenység azt jelezheti, hogy egy SAS-jogkivonatot egy rosszindulatú szereplő kiszivárogtatott, vagy véletlenül kiszivárogt egy megbízható forrásból. Még ha a hozzáférés jogszerű is, a nagy jogosultságú SAS-jogkivonat hosszú lejárati dátummal való használata ellentmond a biztonsági ajánlott eljárásoknak, és potenciális biztonsági kockázatot jelent. A következőkre vonatkozik: Azure Blob (Standard általános célú v2, Azure Data Lake Storage Gen2 vagy prémium szintű blokkblobok) tárfiókok az új Defender for Storage csomaggal.
MITRE-taktikák: Exfiltration / Resource Development / Impact
Súlyosság: Közepes
Szokatlan SAS-jogkivonattal fért hozzá egy Azure Storage-fiókhoz egy nyilvános IP-címről (előzetes verzió)
Storage.Blob_AccountSas.UnusualExternalAccess
Leírás: A riasztás azt jelzi, hogy egy külső (nyilvános) IP-címmel rendelkező személy egy fiók SAS-jogkivonatával fért hozzá a tárfiókhoz. A hozzáférés rendkívül szokatlan, és gyanúsnak tekinthető, mivel a tárfiókhoz való hozzáférés SAS-jogkivonatokkal általában csak belső (privát) IP-címekről származik. Lehetséges, hogy egy SAS-jogkivonatot kiszivárogtatott vagy létrehozott egy rosszindulatú szereplő a szervezeten belülről vagy külsőleg, hogy hozzáférjen ehhez a tárfiókhoz. A következőkre vonatkozik: Azure Blob (Standard általános célú v2, Azure Data Lake Storage Gen2 vagy prémium szintű blokkblobok) tárfiókok az új Defender for Storage csomaggal.
MITRE-taktikák: Exfiltration / Resource Development / Impact
Súlyosság: Alacsony
Tárfiókba feltöltött rosszindulatú fájl
Storage.Blob_AM. MalwareFound
Leírás: A riasztás azt jelzi, hogy egy rosszindulatú blobot töltöttek fel egy tárfiókba. Ezt a biztonsági riasztást a Defender for Storage kártevő-vizsgálat funkciója hozza létre. A lehetséges okok közé tartozhat például a kártevő szándékos feltöltése egy fenyegetéselkülönítő által, vagy egy rosszindulatú fájl véletlen feltöltése egy megbízható felhasználó által. A következőkre vonatkozik: Azure Blob (Standard általános célú v2, Azure Data Lake Storage Gen2 vagy prémium szintű blokkblobok) tárfiókok az új Defender for Storage csomaggal, amelyen engedélyezve van a kártevő-vizsgálat funkció.
MITRE taktika: Oldalirányú mozgás
Súlyosság: Magas
Rosszindulatú blob lett letöltve egy tárfiókból (előzetes verzió)
Storage.Blob_MalwareDownload
Leírás: A riasztás azt jelzi, hogy egy rosszindulatú blobot töltöttek le egy tárfiókból. A lehetséges okok közé tartozhatnak a tárfiókba feltöltött és nem eltávolított vagy karanténba helyezett kártevők, amelyek lehetővé teszik a fenyegetést okozók számára, hogy letöltsék azt, vagy hogy a kártevőt jogszerű felhasználók vagy alkalmazások véletlenül letöltsék. A következőkre vonatkozik: Azure Blob (Standard általános célú v2, Azure Data Lake Storage Gen2 vagy prémium szintű blokkblobok) tárfiókok az új Defender for Storage csomaggal, amelyen engedélyezve van a kártevő-vizsgálat funkció.
MITRE taktika: Oldalirányú mozgás
Súlyosság: Magas, ha Eicar - alacsony
Riasztások az Azure Cosmos DB-hez
További részletek és megjegyzések
Hozzáférés tor kilépési csomópontról
(CosmosDB_TorAnomaly)
Leírás: Ezt az Azure Cosmos DB-fiókot sikeresen elérték egy ip-címről, amely a Tor aktív kilépési csomópontja, egy anonimizáló proxy. A Tor kilépési csomópontjáról való hitelesített hozzáférés valószínűleg azt jelzi, hogy egy fenyegetéselosztó megpróbálja elrejteni az identitását.
MITRE-taktikák: Kezdeti hozzáférés
Súlyosság: Magas/Közepes
Hozzáférés gyanús IP-címről
(CosmosDB_SuspiciousIp)
Leírás: Ezt az Azure Cosmos DB-fiókot egy olyan IP-címről sikerült elérni, amelyet a Microsoft Threat Intelligence fenyegetésként azonosított.
MITRE-taktikák: Kezdeti hozzáférés
Súlyosság: Közepes
Hozzáférés szokatlan helyről
(CosmosDB_GeoAnomaly)
Leírás: Ez az Azure Cosmos DB-fiók egy ismeretlennek tartott helyről lett elérve a szokásos hozzáférési minta alapján.
Vagy egy fenyegetést kezelő szereplő hozzáfért a fiókhoz, vagy egy megbízható felhasználó új vagy szokatlan földrajzi helyről csatlakozott
MITRE-taktikák: Kezdeti hozzáférés
Súlyosság: Alacsony
Szokatlan mennyiségű kinyert adat
(CosmosDB_DataExfiltrationAnomaly)
Leírás: Szokatlanul nagy mennyiségű adat lett kinyerve ebből az Azure Cosmos DB-fiókból. Ez azt jelezheti, hogy a fenyegetést okozó szereplő adatokat sikkasztott ki.
MITRE-taktikák: Exfiltration
Súlyosság: Közepes
Azure Cosmos DB-fiókkulcsok kinyerése potenciálisan rosszindulatú szkripttel
(CosmosDB_SuspiciousListKeys.MaliciousScript)
Leírás: Egy PowerShell-szkriptet futtattak az előfizetésben, és a kulcslistázási műveletek gyanús mintáját hajtották végre az Azure Cosmos DB-fiókok kulcsainak lekéréséhez az előfizetésben. A fenyegetést űzők automatizált szkriptek, például a Microburst használatával listázzák a kulcsokat, és megkeresik az általuk elérhető Azure Cosmos DB-fiókokat.
Ez a művelet azt jelezheti, hogy a szervezet egy identitását feltörték, és hogy a fenyegetést okozó szereplő rosszindulatú szándékok miatt próbálja feltörni az Azure Cosmos DB-fiókokat a környezetében.
Másik lehetőségként egy rosszindulatú bennfentes megpróbálhat hozzáférni a bizalmas adatokhoz, és oldalirányú mozgást végezni.
MITRE-taktikák: Gyűjtemény
Súlyosság: Közepes
Az Azure Cosmos DB-fiókkulcsok gyanús kinyerése (AzureCosmosDB_SuspiciousListKeys.SuspiciousPrincipal)
Leírás: Gyanús forrás kinyerte az Azure Cosmos DB-fiók hozzáférési kulcsait az előfizetéséből. Ha ez a forrás nem megbízható forrás, ez nagy hatással lehet a problémára. A kinyert hozzáférési kulcs teljes körű ellenőrzést biztosít a társított adatbázisok és a benne tárolt adatok felett. Az egyes riasztások részleteiből megtudhatja, hogy a forrás miért lett gyanúsként megjelölve.
MITRE-taktikák: Hitelesítő adatok elérése
Súlyosság: magas
SQL-injektálás: lehetséges adatkiszivárgás
(CosmosDB_SqlInjection.DataExfiltration)
Leírás: Gyanús SQL-utasítással kérdezték le a tárolót ebben az Azure Cosmos DB-fiókban.
Előfordulhat, hogy az injektált utasításnak sikerült kiszúrnia azokat az adatokat, amelyeket a fenyegetést okozó szereplő nem jogosult a hozzáférésre.
Az Azure Cosmos DB-lekérdezések struktúrája és képességei miatt az Azure Cosmos DB-fiókokra irányuló számos ismert SQL-injektálási támadás nem működik. A támadásban használt változat azonban működhet, és a fenyegetéskezelők kiszűkíthetik az adatokat.
MITRE-taktikák: Exfiltration
Súlyosság: Közepes
SQL-injektálás: elfuzzadási kísérlet
(CosmosDB_SqlInjection.FailedFuzzingAttempt)
Leírás: Gyanús SQL-utasítással kérdezték le a tárolót ebben az Azure Cosmos DB-fiókban.
Más jól ismert SQL-injektálási támadásokhoz hasonlóan ez a támadás sem fogja veszélyeztetni az Azure Cosmos DB-fiókot.
Ennek ellenére ez azt jelzi, hogy a fenyegetést okozó szereplő megpróbálja megtámadni a fiók erőforrásait, és az alkalmazás megsérülhet.
Egyes SQL-injektálási támadások sikeresek lehetnek, és adatok kiszivárgására használhatók. Ez azt jelenti, hogy ha a támadó továbbra is SQL-injektálási kísérleteket hajt végre, előfordulhat, hogy feltörik az Azure Cosmos DB-fiókot, és ki tudják szúrni az adatokat.
Ezt a fenyegetést paraméteres lekérdezésekkel megakadályozhatja.
MITRE-taktikák: Támadás előtti
Súlyosság: Alacsony
Riasztások az Azure hálózati rétegéhez
További részletek és megjegyzések
Hálózati kommunikáció rosszindulatú géppel
(Network_CommunicationWithC2)
Leírás: A hálózati forgalom elemzése azt jelzi, hogy a gépe (IP%{Victim IP}) kommunikált egy adott parancs- és vezérlőközponttal. Ha a feltört erőforrás terheléselosztó vagy application gateway, a feltételezett tevékenység azt jelezheti, hogy a háttérkészlet egy vagy több erőforrása (a terheléselosztó vagy az Application Gateway) kommunikált egy adott parancs- és vezérlőközponttal.
MITRE-taktikák: Parancs és irányítás
Súlyosság: Közepes
Lehetséges sérült gép észlelve
(Network_ResourceIpIndicatedAsMalicious)
Leírás: A fenyegetésintelligencia azt jelzi, hogy a gépet (a(z) %{Machine IP} IP-címen egy Conficker típusú kártevő veszélyeztette. A Conficker egy számítógépes féreg volt, amely a Microsoft Windows operációs rendszert célozza, és először 2008 novemberében észlelték. A Conficker több millió számítógépet fertőzött meg, köztük kormányzati, üzleti és otthoni számítógépeket több mint 200 országban/régióban, így ez a legnagyobb ismert számítógépféreg-fertőzés a 2003-as Welchia féreg óta.
MITRE-taktikák: Parancs és irányítás
Súlyosság: Közepes
Lehetséges bejövő %{Szolgáltatásnév} találgatásos kísérlet észlelhető
(Generic_Incoming_BF_OneToOne)
Leírás: A hálózati forgalomelemzés észlelte a(z) %{Victim IP} felé irányuló bejövő %{Szolgáltatásnév} kommunikációt, amely a(z) %{Támadó IP}-ről származó%{Feltört gazdagép} erőforráshoz van társítva. Ha a feltört erőforrás terheléselosztó vagy application gateway, a feltételezett bejövő forgalom a háttérkészlet egy vagy több erőforrására (a terheléselosztó vagy az application gateway esetében) lett továbbítva. A mintául szolgáló hálózati adatok a(z) %{Start Time} és a(z) %{End Time} közötti gyanús tevékenységeket jelenítik meg a(z) %{Victim Port} porton. Ez a tevékenység összhangban van a(z) %{Service Name} kiszolgálókon tett találgatásos kísérletekkel.
MITRE-taktikák: PreAttack
Súlyosság: Tájékoztató
Lehetséges bejövő SQL-találgatásos kísérletek észlelhetők
(SQL_Incoming_BF_OneToOne)
Leírás: A hálózati forgalomelemzés a(z) %{Victim IP} felé irányuló bejövő SQL-kommunikációt észlelt a(z) %{Feltört gazdagép} erőforráshoz társított %{Támadó IP}-ről. Ha a feltört erőforrás terheléselosztó vagy application gateway, a feltételezett bejövő forgalom a háttérkészlet egy vagy több erőforrására (a terheléselosztó vagy az application gateway esetében) lett továbbítva. A mintául szolgáló hálózati adatok a(z) %{Start Time} és a(z) %{Port Number} porton (%{SQL Service Type}) lévő %{Kezdési idő} és %{Befejezési idő} között gyanús tevékenységet mutatnak. Ez a tevékenység megfelel az SQL-kiszolgálók ellen indított találgatásos támadásoknak.
MITRE-taktikák: PreAttack
Súlyosság: Közepes
Lehetséges kimenő szolgáltatásmegtagadási támadás észlelhető
(DDOS)
Leírás: A hálózati forgalom elemzése a(z) %{Feltört gazdagép} erőforrásból származó rendellenes kimenő tevékenységet észlelt az üzemelő példányban. Ez a tevékenység azt jelezheti, hogy az erőforrás sérült, és most szolgáltatásmegtagadási támadásokat végez külső végpontok ellen. Ha a feltört erőforrás terheléselosztó vagy application gateway, a feltételezett tevékenység azt jelezheti, hogy a háttérkészlet egy vagy több erőforrása (a terheléselosztó vagy az Application Gateway) sérült. A kapcsolatok mennyisége alapján úgy gondoljuk, hogy a doS-támadás célpontjai valószínűleg a következő IP-címek: %{Lehetséges áldozatok}. Vegye figyelembe, hogy előfordulhat, hogy bizonyos IP-címek felé való kommunikáció jogszerű.
MITRE-taktikák: Hatás
Súlyosság: Közepes
Gyanús bejövő RDP-hálózati tevékenység több forrásból
(RDP_Incoming_BF_ManyToOne)
Leírás: A hálózati forgalomelemzés rendellenes bejövő távoli asztali protokoll (RDP) kommunikációt észlelt a(z) %{Victim IP} felé, amely a(z) %{Sérült gazdagép} erőforráshoz van társítva több forrásból. Ha a feltört erőforrás terheléselosztó vagy application gateway, a feltételezett bejövő forgalom a háttérkészlet egy vagy több erőforrására (a terheléselosztó vagy az application gateway esetében) lett továbbítva. A mintául szolgáló hálózati adatok a következőt mutatják: %{A támadó IP-címek száma} egyedi IP-címek, amelyek az erőforráshoz csatlakoznak, és ez a környezet rendellenesnek minősül. Ez a tevékenység azt jelezheti, hogy az RDP-végpontot több gazdagépről (Botnet) próbálják meg találgatásra kényszeríteni.
MITRE-taktikák: PreAttack
Súlyosság: Közepes
Gyanús bejövő RDP-hálózati tevékenység
(RDP_Incoming_BF_OneToOne)
Leírás: A hálózati forgalomelemzés rendellenes bejövő távoli asztali protokoll (RDP) kommunikációt észlelt a(z) %{Victim IP} felé a(z) %{Feltört gazdagép} erőforráshoz társított %{Támadó IP}-ről. Ha a feltört erőforrás terheléselosztó vagy application gateway, a feltételezett bejövő forgalom a háttérkészlet egy vagy több erőforrására (a terheléselosztó vagy az application gateway esetében) lett továbbítva. A mintául szolgáló hálózati adatok a következőt mutatják: %{A Csatlakozás ions} bejövő kapcsolatai az erőforráshoz, amely a környezet szempontjából rendellenesnek minősül. Ez a tevékenység arra utalhat, hogy az RDP-végpontot találgatásra próbálták kényszeríteni
MITRE-taktikák: PreAttack
Súlyosság: Közepes
Gyanús bejövő SSH-hálózati tevékenység több forrásból
(SSH_Incoming_BF_ManyToOne)
Leírás: A hálózati forgalomelemzés rendellenes bejövő SSH-kommunikációt észlelt a(z) %{Victim IP} felé, amely a(z) %{Sérült gazdagép} erőforráshoz van társítva több forrásból. Ha a feltört erőforrás terheléselosztó vagy application gateway, a feltételezett bejövő forgalom a háttérkészlet egy vagy több erőforrására (a terheléselosztó vagy az application gateway esetében) lett továbbítva. A mintául szolgáló hálózati adatok a következőt mutatják: %{A támadó IP-címek száma} egyedi IP-címek, amelyek az erőforráshoz csatlakoznak, és ez a környezet rendellenesnek minősül. Ez a tevékenység azt jelezheti, hogy megpróbálják az SSH-végpontot több gazdagéptől (Botnet) kikényszeríteni
MITRE-taktikák: PreAttack
Súlyosság: Közepes
Gyanús bejövő SSH-hálózati tevékenység
(SSH_Incoming_BF_OneToOne)
Leírás: A hálózati forgalomelemzés rendellenes bejövő SSH-kommunikációt észlelt a(z) %{Victim IP} felé a(z) %{Feltört gazdagép} erőforráshoz társított%{Támadó IP}-ről. Ha a feltört erőforrás terheléselosztó vagy application gateway, a feltételezett bejövő forgalom a háttérkészlet egy vagy több erőforrására (a terheléselosztó vagy az application gateway esetében) lett továbbítva. A mintául szolgáló hálózati adatok a következőt mutatják: %{A Csatlakozás ions} bejövő kapcsolatai az erőforráshoz, amely a környezet szempontjából rendellenesnek minősül. Ez a tevékenység arra utalhat, hogy az SSH-végpontot találgatásra próbálták kényszeríteni
MITRE-taktikák: PreAttack
Súlyosság: Közepes
Gyanús kimenő %{Támadási protokoll} forgalom észlelhető
(PortScanning)
Leírás: A hálózati forgalom elemzése gyanús kimenő forgalmat észlelt a(z) %{Feltört gazdagép} és a célport %{Leggyakoribb port} között. Ha a feltört erőforrás terheléselosztó vagy application gateway, a feltételezett kimenő forgalom a háttérkészlet egy vagy több erőforrásához (a terheléselosztóhoz vagy az application gatewayhez) származik. Ez a viselkedés azt jelezheti, hogy az erőforrás részt vesz a(z) %{Attacked Protocol} találgatásos kísérletekben vagy portsöprő támadásokban.
MITRE-taktikák: Felderítés
Súlyosság: Közepes
Gyanús kimenő RDP-hálózati tevékenység több célhelyre
(RDP_Outgoing_BF_OneToMany)
Leírás: A hálózati forgalomelemzés rendellenes kimenő távoli asztali protokoll (RDP) kommunikációt észlelt több célhely felé, amely a(z) %{Feltört gazdagép} (%{Támadó IP}) nevű erőforrásból származik, amely az üzembe helyezés egyik erőforrása. Ha a feltört erőforrás terheléselosztó vagy application gateway, a feltételezett kimenő forgalom a háttérkészlet egy vagy több erőforrásához (a terheléselosztóhoz vagy az application gatewayhez) származik. A mintául szolgáló hálózati adatok azt mutatják, hogy a gép %{A megtámadott IP-címek száma} egyedi IP-címekhez csatlakozik, és ez a környezet rendellenesnek minősül. Ez a tevékenység azt jelezheti, hogy az erőforrás sérült, és most a külső RDP-végpontok találgatására szolgál. Megjegyzendő, hogy ez a tevékenység külső entitások számára rosszindulatúként sorolhatja be az Ön IP-címét is.
MITRE-taktikák: Felderítés
Súlyosság: Magas
Gyanús kimenő RDP-hálózati tevékenység
(RDP_Outgoing_BF_OneToOne)
Leírás: A hálózati forgalomelemzés rendellenes kimenő távoli asztali protokoll (RDP) kommunikációt észlelt a(z) %{Victim IP} felé, amely a(z) %{Feltört gazdagép} (%{Támadó IP}) nevű erőforrásból származik, amely az üzemelő példány egyik erőforrása. Ha a feltört erőforrás terheléselosztó vagy application gateway, a feltételezett kimenő forgalom a háttérkészlet egy vagy több erőforrásához (a terheléselosztóhoz vagy az application gatewayhez) származik. A mintában szereplő hálózati adatok a következőt mutatják: %{A Csatlakozás ions} kimenő kapcsolatainak száma az erőforrásból, amely a környezet szempontjából rendellenesnek minősül. Ez a tevékenység azt jelezheti, hogy a gép sérült, és most a külső RDP-végpontok találgatására szolgál. Megjegyzendő, hogy ez a tevékenység külső entitások számára rosszindulatúként sorolhatja be az Ön IP-címét is.
MITRE taktika: Oldalirányú mozgás
Súlyosság: Magas
Gyanús kimenő SSH-hálózati tevékenység több célhelyre
(SSH_Outgoing_BF_OneToMany)
Leírás: A hálózati forgalomelemzés rendellenes kimenő SSH-kommunikációt észlelt a(z) %{Feltört gazdagép} (%{Támadó IP}) erőforrásból származó több célhely felé, amely az üzemelő példány egyik erőforrása. Ha a feltört erőforrás terheléselosztó vagy application gateway, a feltételezett kimenő forgalom a háttérkészlet egy vagy több erőforrásához (a terheléselosztóhoz vagy az application gatewayhez) származik. A mintában szereplő hálózati adatok konkrétan azt mutatják, hogy az erőforrás %{A megtámadott IP-címek száma} egyedi IP-címekhez csatlakozik, és ez a környezet rendellenesnek minősül. Ez a tevékenység azt jelezheti, hogy az erőforrás sérült, és most a külső SSH-végpontok találgatására szolgál. Megjegyzendő, hogy ez a tevékenység külső entitások számára rosszindulatúként sorolhatja be az Ön IP-címét is.
MITRE-taktikák: Felderítés
Súlyosság: Közepes
Gyanús kimenő SSH-hálózati tevékenység
(SSH_Outgoing_BF_OneToOne)
Leírás: A hálózati forgalomelemzés rendellenes kimenő SSH-kommunikációt észlelt a(z) %{Victim IP} felé, amely a(z) %{Compromised Host} (%{Támadó IP}) erőforrásból származik az üzemelő példányban. Ha a feltört erőforrás terheléselosztó vagy application gateway, a feltételezett kimenő forgalom a háttérkészlet egy vagy több erőforrásához (a terheléselosztóhoz vagy az application gatewayhez) származik. A mintában szereplő hálózati adatok a következőt mutatják: %{A Csatlakozás ions} kimenő kapcsolatainak száma az erőforrásból, amely a környezet szempontjából rendellenesnek minősül. Ez a tevékenység azt jelezheti, hogy az erőforrás sérült, és most a külső SSH-végpontok találgatására szolgál. Megjegyzendő, hogy ez a tevékenység külső entitások számára rosszindulatúként sorolhatja be az Ön IP-címét is.
MITRE taktika: Oldalirányú mozgás
Súlyosság: Közepes
A blokkoláshoz ajánlott IP-címekről észlelt forgalom
(Network_TrafficFromUnrecommendedIP)
Leírás: Felhőhöz készült Microsoft Defender a letiltandó IP-címekről érkező bejövő forgalmat észlelte. Ez általában akkor fordul elő, ha ez az IP-cím nem kommunikál rendszeresen ezzel az erőforrással. Másik lehetőségként az IP-címet rosszindulatúként jelölte meg Felhőhöz készült Defender fenyegetésfelderítési forrásai.
MITRE-taktikák: Próba
Súlyosság: Tájékoztató
Riasztások az Azure Key Vaulthoz
További részletek és megjegyzések
Hozzáférés gyanús IP-címről kulcstartóhoz
(KV_SuspiciousIPAccess)
Leírás: Egy kulcstartóhoz sikeresen hozzáfért egy IP-cím, amelyet a Microsoft Threat Intelligence gyanús IP-címként azonosított. Ez azt jelezheti, hogy az infrastruktúra sérült. Javasoljuk, hogy további vizsgálatot. További információ a Microsoft fenyegetésfelderítési képességeiről.
MITRE-taktikák: Hitelesítő adatok elérése
Súlyosság: Közepes
Hozzáférés tor kilépési csomópontról kulcstartóhoz
(KV_TORAccess)
Leírás: Egy kulcstartó egy ismert TOR-kilépési csomópontról lett elérve. Ez arra utalhat, hogy a fenyegetést okozó szereplő hozzáfért a kulcstartóhoz, és a TOR-hálózatot használja a forráshely elrejtéséhez. Javasoljuk, hogy további vizsgálatokat.
MITRE-taktikák: Hitelesítő adatok elérése
Súlyosság: Közepes
Nagy mennyiségű művelet egy kulcstartóban
(KV_OperationVolumeAnomaly)
Leírás: Egy felhasználó, szolgáltatásnév és/vagy egy adott kulcstartó rendellenes számú kulcstartóműveletet hajtott végre. Ez a rendellenes tevékenységminta jogos lehet, de azt jelezheti, hogy a fenyegetést okozó szereplő hozzáfért a kulcstartóhoz és a benne lévő titkos kulcsokhoz. Javasoljuk, hogy további vizsgálatokat.
MITRE-taktikák: Hitelesítő adatok elérése
Súlyosság: Közepes
Gyanús szabályzatmódosítás és titkos lekérdezés egy kulcstartóban
(KV_PutGetAnomaly)
Leírás: Egy felhasználó vagy szolgáltatásnév rendellenes tárolóhely-módosítási műveletet hajtott végre, amelyet egy vagy több Titkos kulcs lekérése művelet követ. Ezt a mintát általában nem a megadott felhasználó vagy szolgáltatásnév hajtja végre. Ez lehet jogszerű tevékenység, de azt jelezheti, hogy a fenyegetést okozó szereplő frissítette a key vault szabályzatát a korábban elérhetetlen titkos kódok eléréséhez. Javasoljuk, hogy további vizsgálatokat.
MITRE-taktikák: Hitelesítő adatok elérése
Súlyosság: Közepes
Gyanús titkos listázás és lekérdezés egy kulcstárolóban
(KV_ListGetAnomaly)
Leírás: Egy felhasználó vagy szolgáltatásnév rendellenes titkoslista-műveletet hajtott végre, amelyet egy vagy több Titkos kód lekérése művelet követ. Ezt a mintát általában nem a megadott felhasználó vagy szolgáltatási megbízó hajtja végre, és jellemzően a titokdömpinghez kapcsolódik. Ez lehet jogszerű tevékenység, de azt jelezheti, hogy a fenyegetést okozó szereplő hozzáfért a kulcstartóhoz, és olyan titkos kulcsokat próbál felderíteni, amelyek segítségével oldalirányban mozoghat a hálózaton, és/vagy hozzáférhet a bizalmas erőforrásokhoz. Javasoljuk, hogy további vizsgálatokat.
MITRE-taktikák: Hitelesítő adatok elérése
Súlyosság: Közepes
Szokatlan hozzáférés megtagadva – A nagy mennyiségű kulcstartóhoz hozzáférő felhasználó megtagadva
(KV_AccountVolumeAccessDeniedAnomaly)
Leírás: Egy felhasználó vagy szolgáltatásnév az elmúlt 24 órában rendellenesen nagy mennyiségű kulcstartóhoz próbált hozzáférni. Ez a rendellenes hozzáférési minta lehet jogszerű tevékenység. Bár ez a kísérlet sikertelen volt, a key vault és a benne lévő titkos kulcsok elérésének lehetséges kísérletére utalhat. Javasoljuk, hogy további vizsgálatokat.
MITRE-taktikák: Felderítés
Súlyosság: Alacsony
Szokatlan hozzáférés megtagadva – A key vaulthoz való szokatlan hozzáférés megtagadva
(KV_UserAccessDeniedAnomaly)
Leírás: A kulcstartóhoz való hozzáférést olyan felhasználó kísérelte meg, aki általában nem fér hozzá, ez a rendellenes hozzáférési minta lehet jogszerű tevékenység. Bár ez a kísérlet sikertelen volt, a key vault és a benne lévő titkos kulcsok elérésének lehetséges kísérletére utalhat.
MITRE-taktikák: Kezdeti hozzáférés, Felderítés
Súlyosság: Alacsony
Szokatlan alkalmazás fért hozzá egy kulcstartóhoz
(KV_AppAnomaly)
Leírás: Egy kulcstartóhoz olyan szolgáltatásnév fért hozzá, amely általában nem fér hozzá. Ez a rendellenes hozzáférési minta lehet jogszerű tevékenység, de azt jelezheti, hogy a fenyegetést okozó szereplő hozzáfért a kulcstartóhoz, hogy megpróbálja elérni a benne lévő titkos kulcsokat. Javasoljuk, hogy további vizsgálatokat.
MITRE-taktikák: Hitelesítő adatok elérése
Súlyosság: Közepes
Szokatlan műveleti minta egy kulcstartóban
(KV_OperationPatternAnomaly)
Leírás: A kulcstartó műveleteinek rendellenes mintáját egy felhasználó, egy szolgáltatásnév és/vagy egy adott kulcstartó hajtotta végre. Ez a rendellenes tevékenységminta jogos lehet, de azt jelezheti, hogy a fenyegetést okozó szereplő hozzáfért a kulcstartóhoz és a benne lévő titkos kulcsokhoz. Javasoljuk, hogy további vizsgálatokat.
MITRE-taktikák: Hitelesítő adatok elérése
Súlyosság: Közepes
Szokatlan felhasználó fért hozzá egy kulcstartóhoz
(KV_UserAnomaly)
Leírás: Egy kulcstartóhoz olyan felhasználó fért hozzá, aki általában nem fér hozzá. Ez a rendellenes hozzáférési minta lehet jogszerű tevékenység, de azt jelezheti, hogy a fenyegetést okozó szereplő hozzáfért a kulcstartóhoz, hogy megpróbálja elérni a benne lévő titkos kulcsokat. Javasoljuk, hogy további vizsgálatokat.
MITRE-taktikák: Hitelesítő adatok elérése
Súlyosság: Közepes
Szokatlan felhasználói-alkalmazáspárok fértek hozzá egy kulcstartóhoz
(KV_UserAppAnomaly)
Leírás: A kulcstartóhoz egy olyan felhasználó-szolgáltatás egyszerű párja fért hozzá, amely általában nem fér hozzá. Ez a rendellenes hozzáférési minta lehet jogszerű tevékenység, de azt jelezheti, hogy a fenyegetést okozó szereplő hozzáfért a kulcstartóhoz, hogy megpróbálja elérni a benne lévő titkos kulcsokat. Javasoljuk, hogy további vizsgálatokat.
MITRE-taktikák: Hitelesítő adatok elérése
Súlyosság: Közepes
A felhasználó nagy mennyiségű kulcstartóhoz fért hozzá
(KV_AccountVolumeAnomaly)
Leírás: Egy felhasználó vagy szolgáltatásnév rendellenesen nagy mennyiségű kulcstartóhoz fért hozzá. Ez a rendellenes hozzáférési minta lehet jogszerű tevékenység, de azt jelezheti, hogy a fenyegetést okozó szereplő több kulcstartóhoz is hozzáfért, hogy megpróbálja elérni a bennük lévő titkos kulcsokat. Javasoljuk, hogy további vizsgálatokat.
MITRE-taktikák: Hitelesítő adatok elérése
Súlyosság: Közepes
Hozzáférés megtagadva gyanús IP-címről kulcstartóhoz
(KV_SuspiciousIPAccessDenied)
Leírás: Sikertelen kulcstartó-hozzáférést kísérelt meg egy IP- cím, amelyet a Microsoft Threat Intelligence gyanús IP-címként azonosított. Bár ez a kísérlet sikertelen volt, azt jelzi, hogy az infrastruktúra megsérülhetett. Javasoljuk, hogy további vizsgálatokat.
MITRE-taktikák: Hitelesítő adatok elérése
Súlyosság: Alacsony
Szokatlan hozzáférés a kulcstartóhoz egy gyanús IP-címről (nem Microsoft vagy külső)
(KV_UnusualAccessSuspiciousIP)
Leírás: Egy felhasználó vagy szolgáltatásnév az elmúlt 24 órában nem Microsoft IP-címről próbált rendellenes hozzáférést elérni a kulcstartókhoz. Ez a rendellenes hozzáférési minta lehet jogszerű tevékenység. Ez arra utalhat, hogy lehetséges kísérlet a kulcstartó és a benne lévő titkos kulcsok elérésére. Javasoljuk, hogy további vizsgálatokat.
MITRE-taktikák: Hitelesítő adatok elérése
Súlyosság: Közepes
Riasztások az Azure DDoS Protectionhez
További részletek és megjegyzések
DDoS-támadás észlelhető a nyilvános IP-címhez
(NETWORK_DDOS_DETECTED)
Leírás: A nyilvános IP-címhez (IP-címhez) észlelt DDoS-támadást enyhítik.
MITRE-taktikák: Próba
Súlyosság: Magas
DDoS-támadás elhárítva a nyilvános IP-címhez
(NETWORK_DDOS_MITIGATED)
Leírás: DDoS-támadás elhárítva a nyilvános IP-cím (IP-cím) esetében.
MITRE-taktikák: Próba
Súlyosság: Alacsony
Riasztások az API-khoz készült Defenderhez
Gyanús populációszintű csúcs az API-végpont felé történő API-forgalomban
(API_PopulationSpikeInAPITraffic)
Leírás: Gyanús kiugró API-forgalom észlelhető az egyik API-végponton. Az észlelési rendszer előzményforgalmi mintákat használt az ÖSSZES IP-cím és a végpont közötti rutin API-forgalom mennyiségének alapkonfigurációjának meghatározásához, és az alapkonfiguráció az egyes állapotkódok API-forgalmára jellemző (például 200 Success). Az észlelési rendszer szokatlan eltérést jelölt meg az alapkonfigurációtól, ami gyanús tevékenység észleléséhez vezetett.
MITRE-taktikák: Hatás
Súlyosság: Közepes
Gyanús csúcs az API-forgalomban egyetlen IP-címről egy API-végpontra
(API_SpikeInAPITraffic)
Leírás: Gyanús kiugró API-forgalmat észleltek egy ügyfél IP-címéről az API-végpontra. Az észlelési rendszer előzményforgalmi mintákat használt a rutin API-forgalom mennyiségének alapkonfigurációjának meghatározásához egy adott IP-címről a végpontra érkező végpont felé. Az észlelési rendszer szokatlan eltérést jelölt meg az alapkonfigurációtól, ami gyanús tevékenység észleléséhez vezetett.
MITRE-taktikák: Hatás
Súlyosság: Közepes
Szokatlanul nagy válasz hasznos adat egy IP-cím és egy API-végpont között
(API_SpikeInPayload)
Leírás: Gyanúsan megugrott az API-válasz hasznos adatmérete az egyetlen IP-cím és az EGYIK API-végpont közötti forgalom esetében. Az elmúlt 30 nap korábbi forgalmi mintái alapján a Defender for API-k egy alapkonfigurációt ismernek meg, amely egy adott IP-cím és API-végpont közötti jellemző API-válasz hasznos adatméretét jelöli. A tanult alapkonfiguráció az egyes állapotkódok API-forgalmára vonatkozik (például 200 Sikeresség). A riasztás azért aktiválódott, mert az API-válasz hasznos adatmérete jelentősen eltért az előzménykonfigurációtól.
MITRE-taktikák: Kezdeti hozzáférés
Súlyosság: Közepes
Szokatlanul nagy kérelemtörzs, amely egyetlen IP-cím és EGY API-végpont között van továbbítva
(API_SpikeInPayload)
Leírás: Gyanúsan megugrott az API-kérés törzsmérete az egyetlen IP-cím és az EGYIK API-végpont közötti forgalom esetében. Az elmúlt 30 nap korábbi forgalmi mintái alapján a Defender for API-k olyan alapkonfigurációt ismernek meg, amely egy adott IP-cím és API-végpont közötti tipikus API-kérés törzsméretét jelöli. A tanult alapkonfiguráció az egyes állapotkódok API-forgalmára vonatkozik (például 200 Sikeresség). A riasztás azért lett aktiválva, mert az API-kérések mérete jelentősen eltért a korábbi alapkonfigurációtól.
MITRE-taktikák: Kezdeti hozzáférés
Súlyosság: Közepes
(Előzetes verzió) Gyanús késés az egyetlen IP-cím és egy API-végpont közötti forgalom esetében
(API_SpikeInLatency)
Leírás: Gyanús késési csúcsot észleltek az egyetlen IP-cím és az EGYIK API-végpont közötti forgalom esetében. Az elmúlt 30 nap korábbi forgalmi mintái alapján a Defender for API-k olyan alapkonfigurációt ismernek meg, amely egy adott IP- és API-végpont közötti rutin API-forgalom késését jelzi. A tanult alapkonfiguráció az egyes állapotkódok API-forgalmára vonatkozik (például 200 Sikeresség). A riasztás azért lett aktiválva, mert az API-hívások késése jelentősen eltért az előzménykonfigurációtól.
MITRE-taktikák: Kezdeti hozzáférés
Súlyosság: Közepes
Az API egyetlen IP-címről szokatlanul nagy számú különböző API-végpontra irányuló permetezést kér
(API_SprayInRequests)
Leírás: Egyetlen IP-címet figyeltek meg, amely szokatlanul nagy számú különböző végpontra indított API-hívásokat. Az elmúlt 30 nap korábbi forgalmi mintái alapján a Defenders for API-k olyan alapkonfigurációt ismernek meg, amely az egyetlen IP-cím által 20 perces ablakokon keresztül hívott különböző végpontok tipikus számát jelöli. A riasztás azért aktiválódott, mert egyetlen IP-cím viselkedése jelentősen eltért a korábbi alapkonfigurációtól.
MITRE-taktikák: Felderítés
Súlyosság: Közepes
Paraméterek számbavétele API-végponton
(API_ParameterEnumeration)
Leírás: Egyetlen IP-címet figyeltünk meg, amely paramétereket sorolt fel az EGYIK API-végpont elérésekor. Az elmúlt 30 nap korábbi forgalmi mintái alapján a Defender for API-k egy olyan alapkonfigurációt tanulnak meg, amely az egyetlen IP-cím által a végpont 20 perces ablakok közötti elérésekor használt eltérő paraméterértékek tipikus számát jelöli. A riasztás azért lett aktiválva, mert egy ügyfél IP-címe nemrég szokatlanul nagy számú különböző paraméterérték használatával fért hozzá egy végponthoz.
MITRE-taktikák: Kezdeti hozzáférés
Súlyosság: Közepes
Elosztott paraméter enumerálása API-végponton
(API_DistributedParameterEnumeration)
Leírás: Az összesített felhasználói populáció (az összes IP-cím) a paraméterek számbavételét figyelte meg az API-végpontok egyikének elérésekor. Az elmúlt 30 nap korábbi forgalmi mintái alapján a Defender for API-k egy olyan alapkonfigurációt ismernek meg, amely a felhasználói sokaság (az összes IP-cím) által a végpontok 20 perces ablakok közötti elérésekor használt különböző paraméterértékek tipikus számát jelöli. A riasztás azért lett aktiválva, mert a felhasználói sokaság nemrégiben szokatlanul nagy számú különböző paraméterérték használatával fért hozzá egy végponthoz.
MITRE-taktikák: Kezdeti hozzáférés
Súlyosság: Közepes
Paraméterérték(ek) rendellenes adattípusokkal egy API-hívásban
(API_UnseenParamType)
Leírás: Egyetlen IP-címet figyeltek meg az egyik API-végpont elérésekor, és alacsony valószínűségű adattípus paraméterértékeit használták (például sztring, egész szám stb.). Az elmúlt 30 nap korábbi forgalmi mintái alapján a Defender for API-k megismerik az egyes API-paraméterek várt adattípusait. A riasztás azért lett aktiválva, mert egy IP-cím a közelmúltban egy korábban alacsony valószínűségű adattípust használó végponthoz fért hozzá paraméterbemenetként.
MITRE-taktikák: Hatás
Súlyosság: Közepes
Korábban nem használt paraméter egy API-hívásban
(API_UnseenParam)
Leírás: Egyetlen IP-címet figyeltek meg, amely egy korábban nem látott vagy nem határolt paraméter használatával fért hozzá az EGYIK API-végponthoz a kérelemben. Az elmúlt 30 nap korábbi forgalmi mintái alapján a Defender for API-k megismerik a végpontra irányuló hívásokhoz társított várt paramétereket. A riasztás azért lett aktiválva, mert egy IP-cím nemrég egy korábban nem látott paraméterrel fért hozzá egy végponthoz.
MITRE-taktikák: Hatás
Súlyosság: Közepes
Hozzáférés a Tor kilépési csomópontjáról egy API-végponthoz
(API_AccessFromTorExitNode)
Leírás: A Tor-hálózat egyik IP-címe hozzáfért az egyik API-végponthoz. A Tor egy olyan hálózat, amely lehetővé teszi az emberek számára, hogy hozzáférjenek az internethez, miközben rejtve tartják a valódi IP-címüket. Bár vannak jogos felhasználási módok, a támadók gyakran használják személyazonosságuk elrejtésére, amikor online célba veszi az emberek rendszereit.
MITRE-taktikák: Támadás előtti
Súlyosság: Közepes
API-végpont hozzáférése gyanús IP-címről
(API_AccessFromSuspiciousIP)
Leírás: Az egyik API-végponthoz hozzáférő IP-címet a Microsoft Threat Intelligence nagy valószínűséggel fenyegetésként azonosította. A rosszindulatú internetes forgalom megfigyelése közben ez az IP-cím más online célpontok támadásában is szerepet kapott.
MITRE-taktikák: Támadás előtti
Súlyosság: Magas
Gyanús felhasználói ügynök észlelhető
(API_AccessFromSuspiciousUserAgent)
Leírás: Az egyik API-végpontot elérő kérés felhasználói ügynöke rendellenes értékeket tartalmazott, amelyek távoli kódvégrehajtási kísérletre utalnak. Ez nem jelenti azt, hogy bármelyik API-végpontot feltörték, de arra utal, hogy támadási kísérlet van folyamatban.
MITRE-taktikák: Végrehajtás
Súlyosság: Közepes
Elavult Defender for Containers riasztások
Az alábbi listák tartalmazzák az elavult Defender for Containers biztonsági riasztásokat.
Az észlelt gazdagép tűzfalának kezelése
(K8S. NODE_FirewallDisabled)
Leírás: A tárolón vagy közvetlenül a Kubernetes-csomóponton futó folyamatok elemzése észlelte a gazdagép tűzfalának lehetséges manipulálását. A támadók ezt gyakran letiltják az adatok kiszűréséhez.
MITRE-taktikák: DefenseEvasion, Exfiltration
Súlyosság: Közepes
DNS gyanús használata HTTPS-en keresztül
(K8S. NODE_SuspiciousDNSOverHttps)
Leírás: A tárolón vagy közvetlenül a Kubernetes-csomóponton futó folyamatok elemzése szokatlan módon észlelte a HTTPS-n keresztüli DNS-hívás használatát. Ezt a technikát használják a támadók arra, hogy elrejtsék a gyanús vagy rosszindulatú webhelyekre irányuló hívásokat.
MITRE-taktikák: DefenseEvasion, Exfiltration
Súlyosság: Közepes
A rendszer lehetséges kapcsolatot észlelt a rosszindulatú helyekkel.
(K8S. NODE_ThreatIntelCommandLineSuspectDomain)
Leírás: A tárolón vagy közvetlenül a Kubernetes-csomóponton futó folyamatok elemzése olyan helyhez való kapcsolatot észlelt, amelyről azt jelentették, hogy rosszindulatú vagy szokatlan. Ez azt jelzi, hogy lehetséges, hogy kompromisszum történt.
MITRE-taktikák: InitialAccess
Súlyosság: Közepes
Digitális pénznembányászati tevékenység
(K8S. NODE_CurrencyMining)
Leírás: A digitális pénznembányászati tevékenységet észlelt DNS-tranzakciók elemzése. Az ilyen tevékenységet, bár lehetséges, hogy a felhasználók viselkedése jogszerű, gyakran hajtják végre a támadók az erőforrások feltörése után. A tipikus támadói tevékenység valószínűleg magában foglalja a gyakori bányászati eszközök letöltését és végrehajtását.
MITRE-taktikák: Exfiltration
Súlyosság: Alacsony
Elavult Defender for Servers Linux-riasztások
VM_AbnormalDaemonTermination
Riasztás megjelenítendő neve: Rendellenes megszakítás
Súlyosság: Alacsony
VM_BinaryGeneratedFromCommandLine
Riasztás megjelenítendő neve: Gyanús bináris észlelés
Súlyosság: Közepes
VM_CommandlineSuspectDomain gyanús
Riasztás megjelenítendő neve: tartománynév-hivatkozás
Súlyosság: Alacsony
VM_CommonBot
Riasztás megjelenítendő neve: Az észlelt gyakori Linux-robotokhoz hasonló viselkedés
Súlyosság: Közepes
VM_CompCommonBots
Riasztás megjelenítendő neve: A gyakran észlelt Linux-robotokhoz hasonló parancsok
Súlyosság: Közepes
VM_CompSuspiciousScript
Riasztás megjelenítendő neve: Rendszerhéjszkript észlelve
Súlyosság: Közepes
VM_CompTestRule
Riasztás megjelenítendő neve: Összetett elemzési tesztriasztás
Súlyosság: Alacsony
VM_CronJobAccess
Riasztás megjelenítendő neve: Az észlelt ütemezett tevékenységek kezelése
Súlyosság: Tájékoztató
VM_CryptoCoinMinerArtifacts
Riasztás megjelenítendő neve: A digitális pénznembányászattal társított folyamat észlelhető
Súlyosság: Közepes
VM_CryptoCoinMinerDownload
Riasztás megjelenítendő neve: Lehetséges Cryptocoinminer-letöltés észlelhető
Súlyosság: Közepes
VM_CryptoCoinMinerExecution
Riasztás megjelenítendő neve: Lehetséges kriptopénz-bányász indult
Súlyosság: Közepes
VM_DataEgressArtifacts
Riasztás megjelenítendő neve: Lehetséges adatkiszivárgás észlelhető
Súlyosság: Közepes
VM_DigitalCurrencyMining
Riasztás megjelenítendő neve: Digitális pénznembányászattal kapcsolatos viselkedés észlelhető
Súlyosság: Magas
VM_DownloadAndRunCombo
Riasztás megjelenítendő neve: Gyanús letöltés, majd tevékenység futtatása
Súlyosság: Közepes
VM_EICAR
Riasztás megjelenítendő neve: Felhőhöz készült Microsoft Defender tesztriasztás (nem fenyegetés)
Súlyosság: Magas
VM_ExecuteHiddenFile
Riasztás megjelenítendő neve: Rejtett fájl végrehajtása
Súlyosság: Tájékoztató
VM_ExploitAttempt
Riasztás megjelenítendő neve: Lehetséges parancssori kihasználási kísérlet
Súlyosság: Közepes
VM_ExposedDocker
Riasztás megjelenítendő neve: Közzétett Docker-démon a TCP-szoftvercsatornán
Súlyosság: Közepes
VM_FairwareMalware
Riasztás megjelenítendő neve: Az észlelt Fairware ransomware-hez hasonló viselkedés
Súlyosság: Közepes
VM_FirewallDisabled
Riasztás megjelenítendő neve: Az észlelt gazdagép tűzfalának kezelése
Súlyosság: Közepes
VM_HadoopYarnExploit
Riasztás megjelenítendő neve: A Hadoop Yarn lehetséges kiaknázása
Súlyosság: Közepes
VM_HistoryFileCleared
Riasztás megjelenítendő neve: Törölve lett egy előzményfájl
Súlyosság: Közepes
VM_KnownLinuxAttackTool
Riasztás megjelenítendő neve: Lehetséges támadási eszköz észlelhető
Súlyosság: Közepes
VM_KnownLinuxCredentialAccessTool
Riasztás megjelenítendő neve: Lehetséges hitelesítőadat-hozzáférési eszköz észlelhető
Súlyosság: Közepes
VM_KnownLinuxDDoSToolkit
Riasztás megjelenítendő neve: A DDOS-eszközkészlethez társított jelzők észlelhetők
Súlyosság: Közepes
VM_KnownLinuxScreenshotTool
Riasztás megjelenítendő neve: Képernyőkép a gazdagépen
Súlyosság: Alacsony
VM_LinuxBackdoorArtifact
Riasztás megjelenítendő neve: Lehetséges háttérrendszer észlelhető
Súlyosság: Közepes
VM_LinuxReconnaissance
Riasztás megjelenítendő neve: Helyi gazdagép felderítése észlelhető
Súlyosság: Közepes
VM_MismatchedScriptFeatures
Riasztás megjelenítendő neve: A szkriptbővítmény eltérését észlelte
Súlyosság: Közepes
VM_MitreCalderaTools
Riasztás megjelenítendő neve: MITRE Caldera-ügynök észlelhető
Súlyosság: Közepes
VM_NewSingleUserModeStartupScript
Riasztás megjelenítendő neve: Észlelt adatmegőrzési kísérlet
Súlyosság: Közepes
VM_NewSudoerAccount
Riasztás megjelenítendő neve: Fiók hozzáadva a sudo csoporthoz
Súlyosság: Alacsony
VM_OverridingCommonFiles
Riasztás megjelenítendő neve: Gyakori fájlok lehetséges felülírása
Súlyosság: Közepes
VM_PrivilegedContainerArtifacts
Riasztás megjelenítendő neve: Kiemelt módban futó tároló
Súlyosság: Alacsony
VM_PrivilegedExecutionInContainer
Riasztás megjelenítendő neve: Magas jogosultságokkal rendelkező tárolón belüli parancs
Súlyosság: Alacsony
VM_ReadingHistoryFile
Riasztás megjelenítendő neve: Szokatlan hozzáférés a bash-előzmények fájlhoz
Súlyosság: Tájékoztató
VM_ReverseShell
Riasztás megjelenítendő neve: Lehetséges fordított rendszerhéj észlelhető
Súlyosság: Közepes
VM_SshKeyAccess
Riasztás megjelenítendő neve: Az SSH által engedélyezett kulcsfájl szokatlan módon való elérése
Súlyosság: Alacsony
VM_SshKeyAddition
Riasztás megjelenítendő neve: Új SSH-kulcs hozzáadva
Súlyosság: Alacsony
VM_SuspectCompilation
Riasztás megjelenítendő neve: Gyanús fordítás észlelhető
Súlyosság: Közepes
VM_Suspect Csatlakozás ion
Riasztás megjelenítendő neve: Nem gyakori kapcsolati kísérlet észlelhető
Súlyosság: Közepes
VM_SuspectDownload
Riasztás megjelenítendő neve: Ismert rosszindulatú forrásból származó fájlletöltés észlelhető
Súlyosság: Közepes
VM_SuspectDownloadArtifacts
Riasztás megjelenítendő neve: Gyanús fájlletöltés észlelhető
Súlyosság: Alacsony
VM_SuspectExecutablePath
Riasztás megjelenítendő neve: Gyanús helyről futtatható végrehajtható
Súlyosság: Közepes
VM_SuspectHtaccessFileAccess
Riasztás megjelenítendő neve: Az észlelt htaccess-fájl elérése
Súlyosság: Közepes
VM_SuspectInitialShellCommand
Riasztás megjelenítendő neve: Gyanús első parancs a rendszerhéjban
Súlyosság: Alacsony
VM_SuspectMixedCaseText
Riasztás megjelenítendő neve: A parancssorban lévő nagybetűk és kisbetűk rendellenes keveredése észlelhető
Súlyosság: Közepes
VM_SuspectNetwork Csatlakozás ion
Riasztás megjelenítendő neve: Gyanús hálózati kapcsolat
Súlyosság: Tájékoztató
VM_SuspectNohup
Riasztás megjelenítendő neve: A nohup parancs gyanús használata észlelhető
Súlyosság: Közepes
VM_SuspectPasswordChange
Riasztás megjelenítendő neve: Lehetséges jelszómódosítás az észlelt titkosítási módszerrel
Súlyosság: Közepes
VM_SuspectPasswordFileAccess
Riasztás megjelenítendő neve: Gyanús jelszóhozzáférés
Súlyosság: Tájékoztató
VM_SuspectPhp
Riasztás megjelenítendő neve: Gyanús PHP-végrehajtás észlelhető
Súlyosság: Közepes
VM_SuspectPortForwarding
Riasztás megjelenítendő neve: Lehetséges porttovábbítás külső IP-címre
Súlyosság: Közepes
VM_SuspectProcessAccountPrivilegeCombo
Riasztás megjelenítendő neve: A szolgáltatásfiókban futó folyamat váratlanul gyökerezik
Súlyosság: Közepes
VM_SuspectProcessTermination
Riasztás megjelenítendő neve: Biztonsági folyamat leállítása észlelhető
Súlyosság: Alacsony
VM_SuspectUserAddition
Riasztás megjelenítendő neve: A useradd parancs gyanús használatát észlelte
Súlyosság: Közepes
VM_SuspiciousCommandLineExecution
Riasztás megjelenítendő neve: Gyanús parancs végrehajtása
Súlyosság: Magas
VM_SuspiciousDNSOverHttps
Riasztás megjelenítendő neve: A DNS gyanús használata HTTPS-en keresztül
Súlyosság: Közepes
VM_SystemLogRemoval
Riasztás megjelenítendő neve: Lehetséges naplózási illetéktelen beavatkozási tevékenység észlelhető
Súlyosság: Közepes
VM_ThreatIntelCommandLineSuspectDomain
Riasztás megjelenítendő neve: A rendszer lehetséges kapcsolatot észlelt a rosszindulatú helyekkel
Súlyosság: Közepes
VM_ThreatIntelSuspectLogon
Riasztás megjelenítendő neve: A rendszer rosszindulatú IP-címről származó bejelentkezést észlelt
Súlyosság: Magas
VM_TimerServiceDisabled
Riasztás megjelenítendő neve: Az észlelt apt-daily-upgrade.timer szolgáltatás leállítása
Súlyosság: Tájékoztató
VM_TimestampTampering
Riasztás megjelenítendő neve: Gyanús fájl időbélyegének módosítása
Súlyosság: Alacsony
VM_Webshell
Riasztás megjelenítendő neve: Lehetséges rosszindulatú webes rendszerhéj észlelhető
Súlyosság: Közepes
Elavult Defender for Servers – Windows-riasztások
SCUBA_MULTIPLEACCOUNTCREATE
Riasztás megjelenítendő neve: Fiókok gyanús létrehozása több gazdagépen
Súlyosság: Közepes
SCUBA_PSINSIGHT_CONTEXT
Riasztás megjelenítendő neve: A PowerShell gyanús használata észlelhető
Súlyosság: Tájékoztató
SCUBA_RULE_AddGuestTo Rendszergazda istratorok
Riasztás megjelenítendő neve: Vendégfiók hozzáadása a helyi Rendszergazda istratorok csoporthoz
Súlyosság: Közepes
SCUBA_RULE_Apache_Tomcat_executing_suspicious_commands
Riasztás megjelenítendő neve: Apache_Tomcat_executing_suspicious_commands
Súlyosság: Közepes
SCUBA_RULE_KnownBruteForcingTools
Riasztás megjelenítendő neve: Gyanús folyamat végrehajtása
Súlyosság: Magas
SCUBA_RULE_KnownCollectionTools
Riasztás megjelenítendő neve: Gyanús folyamat végrehajtása
Súlyosság: Magas
SCUBA_RULE_KnownDefenseEvasionTools
Riasztás megjelenítendő neve: Gyanús folyamat végrehajtása
Súlyosság: Magas
SCUBA_RULE_KnownExecutionTools
Riasztás megjelenítendő neve: Gyanús folyamat végrehajtása
Súlyosság: Magas
SCUBA_RULE_KnownPassTheHashTools
Riasztás megjelenítendő neve: Gyanús folyamat végrehajtása
Súlyosság: Magas
SCUBA_RULE_KnownSpammingTools
Riasztás megjelenítendő neve: Gyanús folyamat végrehajtása
Súlyosság: Közepes
SCUBA_RULE_Lowering_Security_Gépház
Riasztás megjelenítendő neve: A kritikus szolgáltatások letiltását észlelte
Súlyosság: Közepes
SCUBA_RULE_OtherKnownHackerTools
Riasztás megjelenítendő neve: Gyanús folyamat végrehajtása
Súlyosság: Magas
SCUBA_RULE_RDP_session_hijacking_via_tscon
Riasztás megjelenítendő neve: Az RDP eltérítésére utaló gyanús integritási szint
Súlyosság: Közepes
SCUBA_RULE_RDP_session_hijacking_via_tscon_service
Riasztás megjelenítendő neve: Gyanús szolgáltatás telepítése
Súlyosság: Közepes
SCUBA_RULE_Suppress_pesky_unauthorized_use_prohibited_notices
Riasztás megjelenítendő neve: A bejelentkezéskor a felhasználók számára megjelenített jogi közlemények letiltásának észlelése
Súlyosság: Alacsony
SCUBA_RULE_WDigest_Enabling
Riasztás megjelenítendő neve: A WDigest UseLogonCredential beállításkulcs engedélyezése észlelhető
Súlyosság: Közepes
VM.Windows_ApplockerBypass
Riasztás megjelenítendő neve: Lehetséges kísérlet az AppLocker megkerülésére
Súlyosság: Magas
VM.Windows_BariumKnownSuspiciousProcessExecution
Riasztás megjelenítendő neve: Gyanús fájllétrehozás észlelhető
Súlyosság: Magas
VM.Windows_Base64EncodedExecutableInCommandLineParams
Riasztás megjelenítendő neve: A parancssori adatokban kódolt végrehajtható
Súlyosság: Magas
VM.Windows_CalcsCommandLineUse
Riasztás megjelenítendő neve: A Cacls gyanús használatát észlelte a rendszer biztonsági állapotának csökkentéséhez
Súlyosság: Közepes
VM.Windows_CommandLineStartingAllExe
Riasztás megjelenítendő neve: A címtárban lévő összes végrehajtható fájl elindításához használt gyanús parancssor
Súlyosság: Közepes
VM.Windows_DisablingAndDeletingIISLogFiles
Riasztás megjelenítendő neve: Az IIS-naplófájlok letiltására és törlésére utaló észlelt műveletek
Súlyosság: Közepes
VM.Windows_DownloadUsingCertutil
Riasztás megjelenítendő neve: Gyanús letöltés a Certutil észlelésekor
Súlyosság: Közepes
VM.Windows_EchoOverPipeOnLocalhost
Riasztás megjelenítendő neve: Gyanús nevesített csőkommunikáció
Súlyosság: Magas
VM.Windows_EchoToConstructPowerShellScript
Riasztás megjelenítendő neve: Dinamikus PowerShell-szkriptek felépítése
Súlyosság: Közepes
VM.Windows_ExecutableDecodedUsingCertutil
Riasztás megjelenítendő neve: Végrehajtható fájl dekódolása a beépített certutil.exe eszközzel
Súlyosság: Közepes
VM.Windows_FileDeletionIsSospisiousLocation
Riasztás megjelenítendő neve: Gyanús fájltörlés észlelhető
Súlyosság: Közepes
VM.Windows_KerberosGoldenTicketAttack
Riasztás megjelenítendő neve: kerberosi aranyjegyes támadási paraméterek megfigyelése
Súlyosság: Közepes
VM.Windows_KeygenToolKnownProcessName
Riasztás megjelenítendő neve: Észlelte a keygen végrehajtható gyanús folyamat lehetséges végrehajtását
Súlyosság: Közepes
VM.Windows_KnownCredentialAccessTools
Riasztás megjelenítendő neve: Gyanús folyamat végrehajtása
Súlyosság: Magas
VM.Windows_KnownSuspiciousPowerShellScript
Riasztás megjelenítendő neve: A PowerShell gyanús használata észlelhető
Súlyosság: Magas
VM.Windows_KnownSuspiciousSoftwareInstallation
Riasztás megjelenítendő neve: Magas kockázatú szoftver észlelhető
Súlyosság: Közepes
VM.Windows_MsHtaAndPowerShellCombination
Riasztás megjelenítendő neve: A HTA és a PowerShell gyanús kombinációja észlelhető
Súlyosság: Közepes
VM.Windows_MultipleAccountsQuery
Riasztás megjelenítendő neve: Több lekérdezett tartományi fiók
Súlyosság: Közepes
VM.Windows_NewAccountCreation
Riasztás megjelenítendő neve: Fióklétrehozás észlelhető
Súlyosság: Tájékoztató
VM.Windows_ObfuscatedCommandLine
Riasztás megjelenítendő neve: Észlelt elhomályosított parancssor.
Súlyosság: Magas
VM.Windows_PcaluaUseToLaunchExecutable
Riasztás megjelenítendő neve: A Pcalua.exe gyanús használata a végrehajtható kód elindításához
Súlyosság: Közepes
VM.Windows_PetyaRansomware
Riasztás megjelenítendő neve: Észlelt Petya ransomware-jelzők
Súlyosság: Magas
VM.Windows_PowerShellPowerSploitScriptExecution
Riasztás megjelenítendő neve: Gyanús PowerShell-parancsmagok végrehajtása
Súlyosság: Közepes
VM.Windows_RansomwareIndication
Riasztás megjelenítendő neve: Zsarolóprogram-jelzők észlelhetők
Súlyosság: Magas
VM.Windows_SqlDumperUsedSuspiciously
Riasztás megjelenítendő neve: Lehetséges hitelesítőadat-memóriakép észlelhető [többször is látható]
Súlyosság: Közepes
VM.Windows_StopCriticalServices
Riasztás megjelenítendő neve: A kritikus szolgáltatások letiltását észlelte
Súlyosság: Közepes
VM.Windows_SubvertingAccessibilityBinary
Riasztás megjelenítendő neve: Ragadós kulcsok támadása észlelt gyanús fióklétrehozás közepes
VM.Windows_SuspiciousAccountCreation
Riasztás megjelenítendő neve: Gyanús fióklétrehozás észlelhető
Súlyosság: Közepes
VM.Windows_SuspiciousFirewallRuleAdded
Riasztás megjelenítendő neve: Gyanús új tűzfalszabály észlelhető
Súlyosság: Közepes
VM.Windows_SuspiciousFTPSSwitchUsage
Riasztás megjelenítendő neve: Észlelték az FTP-kapcsoló gyanús használatát
Súlyosság: Közepes
VM.Windows_SuspiciousSQLActivity
Riasztás megjelenítendő neve: Gyanús SQL-tevékenység
Súlyosság: Közepes
VM.Windows_SVCHostFromInvalidPath
Riasztás megjelenítendő neve: Gyanús folyamat végrehajtása
Súlyosság: Magas
VM.Windows_SystemEventLogCleared
Riasztás megjelenítendő neve: A Windows biztonság napló törölve lett
Súlyosság: Tájékoztató
VM.Windows_TelegramInstallation
Riasztás megjelenítendő neve: A Telegram eszköz potenciálisan gyanús használatát észlelte
Súlyosság: Közepes
VM.Windows_UndercoverProcess
Riasztás megjelenítendő neve: Gyanúsan elnevezett folyamat észlelhető
Súlyosság: Magas
VM.Windows_UserAccountControlBypass
Riasztás megjelenítendő neve: Olyan beállításkulcs észlelt módosítása, amely visszaélhet az UAC megkerülésével
Súlyosság: Közepes
VM.Windows_VBScriptEncoding
Riasztás megjelenítendő neve: A VBScript.Encode parancs gyanús végrehajtása észlelhető
Súlyosság: Közepes
VM.Windows_WindowPositionRegisteryChange
Riasztás megjelenítendő neve: Gyanús WindowPosition beállításjegyzék-érték észlelhető
Súlyosság: Alacsony
VM.Windows_ZincPortOpenningUsingFirewallRule
Riasztás megjelenítendő neve: A ZINC-kiszolgálóimplantátum által létrehozott rosszindulatú tűzfalszabály
Súlyosság: Magas
VM_DigitalCurrencyMining
Riasztás megjelenítendő neve: Digitális pénznembányászattal kapcsolatos viselkedés észlelhető
Súlyosság: Magas
VM_MaliciousSQLActivity
Riasztás megjelenítendő neve: Rosszindulatú SQL-tevékenység
Súlyosság: Magas
VM_ProcessWithDoubleExtensionExecution
Riasztás megjelenítendő neve: Gyanús dupla kiterjesztésű fájl végrehajtása
Súlyosság: Magas
VM_RegistryPersistencyKey
Riasztás megjelenítendő neve: Windows-beállításjegyzék-adatmegőrzési módszer észlelhető
Súlyosság: Alacsony
VM_ShadowCopyDeletion
Riasztás megjelenítendő neve: Gyanús helyen futó gyanús kötet árnyékmásolati tevékenységének végrehajtható példánya
Súlyosság: Magas
VM_SuspectExecutablePath
Riasztás megjelenítendő neve: Gyanús helyről futtatott végrehajtható fájl, amely a parancssorban lévő nagybetűk és kisbetűk rendellenes kombinációját észlelte
Súlyosság: Tájékoztató
Közepes
VM_SuspectPhp
Riasztás megjelenítendő neve: Gyanús PHP-végrehajtás észlelhető
Súlyosság: Közepes
VM_SuspiciousCommandLineExecution
Riasztás megjelenítendő neve: Gyanús parancs végrehajtása
Súlyosság: Magas
VM_SuspiciousScreenSaverExecution
Riasztás megjelenítendő neve: A rendszer végrehajtja a gyanús képernyővédő folyamatot
Súlyosság: Közepes
VM_SvcHostRunInRareServiceGroup
Riasztás megjelenítendő neve: Ritka SVCHOST szolgáltatáscsoport végrehajtása
Súlyosság: Tájékoztató
VM_SystemProcessInAbnormalContext
Riasztás megjelenítendő neve: Gyanús rendszerfolyamat végrehajtása
Súlyosság: Közepes
VM_ThreatIntelCommandLineSuspectDomain
Riasztás megjelenítendő neve: A rendszer lehetséges kapcsolatot észlelt a rosszindulatú helyekkel
Súlyosság: Közepes
VM_ThreatIntelSuspectLogon
Riasztás megjelenítendő neve: A rendszer rosszindulatú IP-címről származó bejelentkezést észlelt
Súlyosság: Magas
VM_VbScriptHttpObjectAllocation
Riasztás megjelenítendő neve: VBScript HTTP-objektumlefoglalás észlelhető
Súlyosság: Magas
VM_TaskkillBurst
Riasztás megjelenítendő neve: Gyanús folyamatkitörés
Súlyosság: Alacsony
VM_RunByPsExec
Riasztás megjelenítendő neve: PsExec-végrehajtás észlelhető
Súlyosság: Tájékoztató
MITRE ATT&CK-taktikák
A támadás szándékának megértése segíthet az esemény kivizsgálásában és jelentésében. Ezen erőfeszítések elősegítése érdekében Felhőhöz készült Microsoft Defender riasztások közé tartoznak a MITRE-taktikák számos riasztással.
A kibertámadásnak a felderítéstől az adatkiszivárgásig történő előrehaladását leíró lépések sorozatát gyakran "gyilkos láncnak" nevezik.
Felhőhöz készült Defender támogatott leölési lánc szándékai a MITRE ATT&CK mátrix 9- es verzióján alapulnak, és az alábbi táblázatban ismertetettek.
Taktika | ATT&CK-verzió | Leírás |
---|---|---|
Előzetes osztás | A PreAttack egy adott erőforrás elérésére tett kísérlet lehet, függetlenül attól, hogy rosszindulatú szándékról van-e szó, vagy egy célrendszerhez való hozzáférés sikertelen kísérlete az információk kinyerése előtt. Ezt a lépést általában a rendszer a hálózaton kívülről érkező kísérletként észleli a célrendszer vizsgálatára és egy belépési pont azonosítására. | |
Kezdeti hozzáférés | V7, V9 | A kezdeti hozzáférés az a szakasz, ahol a támadónak sikerül láblécet szereznie a megtámadott erőforráshoz. Ez a szakasz a számítási gazdagépek és erőforrások, például felhasználói fiókok, tanúsítványok stb. esetében releváns. A veszélyforrás-szereplők gyakran képesek lesznek szabályozni az erőforrást ezen szakasz után. |
Kitartás | V7, V9 | A perzisztencia egy olyan rendszer hozzáférésének, műveletének vagy konfigurációjának módosítása, amely állandó jelenlétet biztosít a fenyegetést okozó szereplőnek a rendszeren. A fenyegetéskezelőknek gyakran olyan megszakításokkal kell fenntartaniuk a rendszerekhez való hozzáférést, mint például a rendszer újraindítása, a hitelesítő adatok elvesztése vagy más olyan hibák, amelyek miatt a távelérési eszköznek újra kell indulnia, vagy alternatív háttérrendszert kell biztosítania a hozzáférés helyreállításához. |
Jogosultság eszkalációja | V7, V9 | A jogosultságok eszkalálása olyan műveletek eredménye, amelyek lehetővé teszik a támadó számára, hogy magasabb szintű engedélyeket szerezzen egy rendszeren vagy hálózaton. Bizonyos eszközök vagy műveletek magasabb szintű jogosultságot igényelnek, és valószínűleg a művelet számos pontján szükségesek. A jogosultságok eszkalálódásának is tekinthetők azok a felhasználói fiókok, amelyek hozzáféréssel rendelkeznek bizonyos rendszerekhez, vagy a támadók számára a cél eléréséhez szükséges bizonyos funkciókat hajtanak végre. |
Védelmi kijátszás | V7, V9 | A védelmi kijátszás olyan technikákból áll, amelyek segítségével a támadók elkerülhetik az észlelést, vagy elkerülhetik a többi védelmet. Néha ezek a műveletek ugyanazok, mint (vagy változatok) technikák más kategóriákban, amelyek hozzáadott előnye a subverting egy adott védelem vagy kockázatcsökkentés. |
Hitelesítő adatok elérése | V7, V9 | A hitelesítő adatokhoz való hozzáférés olyan technikákat jelöl, amelyek a vállalati környezetben használt rendszer-, tartomány- vagy szolgáltatás-hitelesítő adatokhoz való hozzáférést vagy azok ellenőrzését eredményezik. A támadók valószínűleg megkísérelnek hiteles hitelesítő adatokat beszerezni a hálózaton belüli használatra a felhasználóktól vagy rendszergazdai fiókoktól (helyi rendszergazdai vagy tartományi felhasználóktól rendszergazdai hozzáféréssel). A hálózaton belüli megfelelő hozzáféréssel a támadók fiókokat hozhatnak létre későbbi használatra a környezetben. |
Felfedezés | V7, V9 | A felderítés olyan technikákból áll, amelyek lehetővé teszik a támadó számára, hogy ismereteket szerezzen a rendszerről és a belső hálózatról. Amikor a támadók hozzáférést kapnak egy új rendszerhez, tájékozódniuk kell ahhoz, hogy mi az irányításuk, és milyen előnyökkel jár az adott rendszer működtetése a behatolás során a jelenlegi célkitűzésüknek vagy általános céljaiknak. Az operációs rendszer számos natív eszközt biztosít, amelyek segítséget nyújtanak ebben a kompromittálás utáni információgyűjtési fázisban. |
LateralMovement | V7, V9 | Az oldalirányú mozgás olyan technikákból áll, amelyek lehetővé teszik a támadók számára a távoli rendszerek elérését és vezérlését a hálózaton, és nem feltétlenül magukban foglalhatják az eszközök távoli rendszereken történő végrehajtását. Az oldalirányú mozgási technikák lehetővé tehetik, hogy a támadó további eszközök, például távelérési eszközök nélkül gyűjtsön információkat a rendszerből. A támadók számos célra használhatják az oldalirányú mozgást, beleértve az eszközök távoli végrehajtását, a több rendszerhez való pivotingot, adott információkhoz vagy fájlokhoz való hozzáférést, több hitelesítő adathoz való hozzáférést, vagy valamilyen effektust okozhatnak. |
Végrehajtás | V7, V9 | A végrehajtási taktika olyan technikákat jelent, amelyek a támadó által vezérelt kód végrehajtását eredményezik egy helyi vagy távoli rendszeren. Ezt a taktikát gyakran használják az oldalirányú mozgással együtt a hálózat távoli rendszereihez való hozzáférés bővítéséhez. |
Gyűjtemény | V7, V9 | A gyűjtemény olyan technikákat tartalmaz, amelyek a kiszivárgás előtt azonosítják és gyűjtik a célhálózatról származó információkat, például bizalmas fájlokat. Ez a kategória olyan rendszerek vagy hálózatok helyeit is lefedi, ahol a támadó a kiszűrni kívánt információkat keresheti. |
Parancs és vezérlés | V7, V9 | A parancs- és vezérlési taktika azt jelzi, hogy a támadók hogyan kommunikálnak a célhálózaton belüli irányításuk alatt álló rendszerekkel. |
Exfiltration | V7, V9 | A kiszivárgás olyan technikákat és attribútumokat jelent, amelyek a támadó számára fájlokat és információkat távolítanak el a célhálózatról. Ez a kategória olyan rendszerek vagy hálózatok helyeit is lefedi, ahol a támadó a kiszűrni kívánt információkat keresheti. |
Hatás | V7, V9 | A hatásesemények elsősorban a rendszer, szolgáltatás vagy hálózat rendelkezésre állásának vagy integritásának közvetlen csökkentésére törekednek; beleértve az üzleti vagy működési folyamatokat befolyásoló adatok kezelését is. Ez gyakran olyan technikákra utal, mint a zsarolóprogramok, a megtévesztés, az adatmanipuláció és mások. |
Feljegyzés
Előzetes verziójú riasztások esetén: Az Azure Előzetes verzió kiegészítő feltételei további jogi feltételeket tartalmaznak, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.