Peringatan keamanan - panduan referensi

Artikel
03/17/2024

Artikel ini mencantumkan pemberitahuan keamanan yang mungkin Anda dapatkan dari Microsoft Defender untuk Cloud dan paket Pertahanan Microsoft apa pun yang Anda aktifkan. Peringatan yang ditampilkan pada lingkungan Anda tergantung pada sumber daya dan layanan yang dilindungi, serta konfigurasi yang disesuaikan.

Di bagian bawah halaman ini, ada tabel yang menjelaskan rantai pembunuhan Microsoft Defender untuk Cloud selaras dengan versi 9 matriks MITRE ATT&CK.

Pelajari cara menanggapi pemberitahuan ini.

Pelajari cara mengekspor pemberitahuan.

Catatan

Pemberitahuan dari sumber yang berbeda mungkin membutuhkan waktu yang berbeda untuk muncul. Misalnya, pemberitahuan yang memerlukan analisis lalu lintas jaringan mungkin membutuhkan waktu lebih lama untuk muncul daripada pemberitahuan yang terkait dengan proses mencurigakan yang berjalan pada komputer virtual.

Peringatan untuk komputer Windows

Microsoft Defender untuk Server Paket 2 menyediakan deteksi dan peringatan unik, selain yang disediakan oleh Microsoft Defender untuk Titik Akhir. Peringatan yang diberikan untuk mesin Windows adalah:

Detail dan catatan lebih lanjut

Masuk dari IP berbahaya telah terdeteksi. [dilihat beberapa kali]

Deskripsi: Autentikasi jarak jauh yang berhasil untuk akun [akun] dan proses [proses] terjadi, namun alamat IP masuk (x.x.x.x) sebelumnya telah dilaporkan sebagai berbahaya atau sangat tidak biasa. Serangan yang berhasil mungkin telah terjadi. File dengan ekstensi.scr adalah file pengaman layar dan biasanya berada dan dieksekusi dari direktori sistem Windows.

Taktik MITRE: -

Tingkat keparahan: Tinggi

Pelanggaran kebijakan kontrol aplikasi adaptif diaudit

VM_AdaptiveApplicationControlWindowsViolationAudited

Deskripsi: Pengguna di bawah ini menjalankan aplikasi yang melanggar kebijakan kontrol aplikasi organisasi Anda di komputer ini. Ini mungkin dapat mengekspos mesin ke malware atau kerentanan aplikasi.

Taktik MITRE: Eksekusi

Tingkat keparahan: Informasi

Penambahan akun Tamu ke grup Administrator Lokal

Deskripsi: Analisis data host telah mendeteksi penambahan akun Tamu bawaan ke grup Administrator Lokal pada %{Compromised Host}, yang sangat terkait dengan aktivitas penyerang.

Taktik MITRE: -

Tingkat keparahan: Sedang

Log kejadian telah dibersihkan

Deskripsi: Log mesin menunjukkan operasi penghapusan log peristiwa yang mencurigakan oleh pengguna: '%{nama pengguna}' di Mesin: '%{CompromisedEntity}'. Log %{log channel} telah dibersihkan.

Taktik MITRE: -

Tingkat keparahan: Informasi

Aksi Antimalware Gagal

Deskripsi: Microsoft Antimalware mengalami kesalahan saat mengambil tindakan pada malware atau perangkat lunak lain yang kemungkinan tidak diinginkan.

Taktik MITRE: -

Tingkat keparahan: Sedang

Tindakan Antimalware Diambil

Taktik MITRE: Pengindasan Pertahanan

Tingkat keparahan: Sedang

Antimalware dinonaktifkan sementara di komputer virtual Anda

(VM_AmTemporarilyDisablement)

Deskripsi: Antimalware untuk sementara dinonaktifkan di komputer virtual Anda. Ini terdeteksi dengan menganalisis operasi Azure Resource Manager di langganan Anda. Penyerang mungkin menonaktifkan antimalware pada komputer virtual Anda untuk mencegah deteksi.

Taktik MITRE: -

Tingkat keparahan: Sedang

Pengecualian file antimalware yang tidak biasa di komputer virtual Anda

(VM_UnusualAmFileExclusion)

Deskripsi: Pengecualian file yang tidak biasa dari ekstensi antimalware terdeteksi di komputer virtual Anda dengan menganalisis operasi Azure Resource Manager dalam langganan Anda. Penyerang mungkin mengecualikan file dari pemindaian antimalware di komputer virtual Anda untuk mencegah deteksi saat menjalankan kode arbitrer atau menginfeksi komputer dengan malware.

Taktik MITRE: Pengindasan Pertahanan

Tingkat keparahan: Sedang

Komunikasi dengan domain mencurigakan yang diidentifikasi oleh intelijen ancaman

Deskripsi: Analisis data host pada %{Compromised Host} mendeteksi eksekusi perintah "net.exe berhenti" yang digunakan untuk menghentikan layanan penting seperti SharedAccess atau aplikasi Keamanan Windows. Penghentian salah satu layanan ini dapat menjadi indikasi perilaku jahat.

Taktik MITRE: -

Tingkat keparahan: Sedang

Deskripsi: Analisis data host pada %{Compromised Host} mendeteksi eksekusi proses atau perintah yang biasanya terkait dengan penambangan mata uang digital.

Taktik MITRE: -

Tingkat keparahan: Tinggi

Konstruksi skrip PS dinamis

Deskripsi: Analisis data host pada %{Compromised Host} mendeteksi skrip PowerShell sedang dibangun secara dinamis. Penyerang kadang-kadang menggunakan pendekatan ini secara progresif membangun skrip untuk menghindari sistem IDS. Ini bisa menjadi aktivitas yang sah, atau indikasi bahwa salah satu komputer Anda telah dikompromikan.

Taktik MITRE: -

Tingkat keparahan: Sedang

Executable ditemukan berjalan dari lokasi yang mencurigakan

Deskripsi: Analisis data host mendeteksi file yang dapat dieksekusi pada %{Compromised Host} yang berjalan dari lokasi yang sama dengan file mencurigakan yang diketahui. Executable ini bisa berupa aktivitas yang sah, atau indikasi host yang disusupi.

Taktik MITRE: -

Tingkat keparahan: Tinggi

Perilaku Serangan Tanpa Berkas Terdeteksi

(VM_FilelessAttackBehavior.Windows)

Deskripsi: Memori proses yang ditentukan berisi perilaku yang umum digunakan oleh serangan tanpa file. Perilaku spesifik meliputi:

Shellcode, yang merupakan bagian kecil dari kode yang biasanya digunakan sebagai payload dalam eksploitasi kerentanan perangkat lunak.
Koneksi jaringan aktif. Lihat Sambungan Jaringan di bawah ini untuk detailnya.
Panggilan fungsi ke antarmuka sistem operasi sensitif keamanan. Lihat Kapabilitas di bawah ini untuk kemampuan OS yang direferensikan.
Berisi utas yang dimulai di segmen kode yang dialokasikan secara dinamis. Ini adalah pola umum untuk serangan injeksi proses.

Taktik MITRE: Pengindasan Pertahanan

Tingkat keparahan: Rendah

Teknik serangan tanpa file terdeteksi

(VM_FilelessAttackTechnique.Windows)

Deskripsi: Memori proses yang ditentukan di bawah ini berisi bukti teknik serangan tanpa file. Serangan tanpa file digunakan oleh penyerang untuk mengeksekusi kode saat menghindari deteksi oleh perangkat lunak keamanan. Perilaku spesifik meliputi:

Shellcode, yang merupakan bagian kecil dari kode yang biasanya digunakan sebagai payload dalam eksploitasi kerentanan perangkat lunak.
Gambar yang dapat dieksekusi disuntikkan ke dalam proses, seperti dalam serangan injeksi kode.
Koneksi jaringan aktif. Lihat Sambungan Jaringan di bawah ini untuk detailnya.
Panggilan fungsi ke antarmuka sistem operasi sensitif keamanan. Lihat Kapabilitas di bawah ini untuk kemampuan OS yang direferensikan.
Proses berongga, yang merupakan teknik yang digunakan oleh malware di mana proses yang sah dimuat pada sistem untuk bertindak sebagai kontainer untuk kode bermusuhan.
Berisi utas yang dimulai di segmen kode yang dialokasikan secara dinamis. Ini adalah pola umum untuk serangan injeksi proses.

Taktik MITRE: Penggelembungan Pertahanan, Eksekusi

Tingkat keparahan: Tinggi

Toolkit serangan tanpa file terdeteksi

(VM_FilelessAttackToolkit.Windows)

Deskripsi: Memori proses yang ditentukan berisi toolkit serangan tanpa file: [nama toolkit]. Toolkit serangan tanpa file menggunakan teknik yang meminimalkan atau menghilangkan jejak malware pada disk, dan sangat mengurangi kemungkinan deteksi oleh solusi pemindaian malware berbasis disk. Perilaku spesifik meliputi:

Toolkit terkenal dan perangkat lunak penambangan kripto.
Shellcode, yang merupakan bagian kecil dari kode yang biasanya digunakan sebagai payload dalam eksploitasi kerentanan perangkat lunak.
Disuntikkan berbahaya yang dapat dieksekusi dalam memori proses.

Deskripsi: Proses sistem SVCHOST diamati menjalankan grup layanan langka. Malware sering menggunakan SVCHOST untuk menyamarkan aktivitas berbahayanya.

Taktik MITRE: Penggelembungan Pertahanan, Eksekusi

Tingkat keparahan: Informasi

Serangan tombol lengket terdeteksi

Deskripsi: Analisis data host menunjukkan bahwa penyerang mungkin menumbangkan biner aksesibilitas (misalnya tombol lengket, keyboard pada layar, narator) untuk menyediakan akses backdoor ke host %{Compromised Host}.

Taktik MITRE: -

Tingkat keparahan: Sedang

Serangan brute force yang sukses

(VM_LoginBruteForceSuccess)

Deskripsi: Beberapa upaya masuk terdeteksi dari sumber yang sama. Beberapa berhasil diautentikasi ke host. Ini menyerupai serangan ledakan, di mana penyerang melakukan banyak upaya autentikasi untuk menemukan kredensial akun yang valid.

Taktik MITRE: Eksploitasi

Tingkat keparahan: Sedang/Tinggi

Tingkat integritas tersangka menunjukkan pembajakan RDP

Deskripsi: Analisis data host telah mendeteksi tscon.exe yang berjalan dengan hak istimewa SYSTEM - ini dapat menjadi indikasi penyerang yang menyalahgunakan biner ini untuk beralih konteks ke pengguna lain yang masuk pada host ini; ini adalah teknik penyerang yang dikenal untuk membahayakan lebih banyak akun pengguna dan pindah secara lateral di seluruh jaringan.

Taktik MITRE: -

Tingkat keparahan: Sedang

Instalasi layanan tersangka

Deskripsi: Analisis data host telah mendeteksi penginstalan tscon.exe sebagai layanan: biner ini dimulai sebagai layanan berpotensi memungkinkan penyerang untuk secara sepele beralih ke pengguna lain yang masuk di host ini dengan membajak koneksi RDP; ini adalah teknik penyerang yang dikenal untuk membahayakan lebih banyak akun pengguna dan bergerak secara lateral di seluruh jaringan.

Taktik MITRE: -

Tingkat keparahan: Sedang

Diduga Kerberos Golden Ticket parameter serangan diamati

Deskripsi: Analisis data host mendeteksi parameter commandline yang konsisten dengan serangan Kerberos Golden Ticket.

Taktik MITRE: -

Tingkat keparahan: Sedang

Deskripsi: Menunjukkan bahwa segmen kode telah dialokasikan dengan menggunakan metode non-standar, seperti injeksi reflektif dan proses berongga. Pemberitahuan ini memberikan lebih banyak karakteristik segmen kode yang telah diproses untuk memberikan konteks kemampuan dan perilaku segmen kode yang dilaporkan.

Taktik MITRE: -

Tingkat keparahan: Sedang

Berkas ekstensi ganda mencurigakan dieksekusi

Deskripsi: Analisis data host menunjukkan eksekusi proses dengan ekstensi ganda yang mencurigakan. Ekstensi ini mungkin mengelabui pengguna agar berpikir file aman untuk dibuka dan mungkin menunjukkan adanya malware pada sistem.

Taktik MITRE: -

Tingkat keparahan: Tinggi

Unduhan mencurigakan menggunakan Certutil terdeteksi [terlihat beberapa kali]

Deskripsi: Analisis data host pada %{Compromised Host} mendeteksi penggunaan certutil.exe, utilitas administrator bawaan, untuk pengunduhan biner alih-alih tujuan utamanya yang berkaitan dengan memanipulasi sertifikat dan data sertifikat. Penyerang dikenal untuk menyalahgunakan fungsionalitas alat administrator yang sah untuk melakukan tindakan berbahaya, misalnya menggunakan certutil.exe untuk mengunduh dan mendekode executable berbahaya yang kemudian akan dieksekusi. Perilaku ini terlihat [x] kali hari ini pada komputer berikut: [Nama komputer]

Taktik MITRE: -

Tingkat keparahan: Sedang

Taktik MITRE: -

Tingkat keparahan: Sedang

Setel ulang kunci SSH pengguna yang tidak biasa di komputer virtual Anda

(VM_VMAccessUnusualSSHReset)

Deskripsi: Reset kunci SSH pengguna yang tidak biasa terdeteksi di komputer virtual Anda dengan menganalisis operasi Azure Resource Manager dalam langganan Anda. Meskipun tindakan ini mungkin sah, penyerang dapat mencoba menggunakan ekstensi Akses VM untuk mengatur ulang kunci SSH akun pengguna di komputer virtual Anda dan membahayakannya.

Taktik MITRE: Akses Kredensial

Tingkat keparahan: Sedang

Alokasi objek HTTP VBScript terdeteksi

Deskripsi: Pembuatan file VBScript menggunakan Prompt Perintah telah terdeteksi. Skrip berikut ini memuat perintah alokasi obyek HTTP. Aksi ini bisa digunakan untuk mengunduh berkas berbahaya.

Penginstalan ekstensi GPU yang mencurigakan di komputer virtual Anda (Pratinjau)

(VM_GPUDriverExtensionUnusualExecution)

Deskripsi: Penginstalan ekstensi GPU yang mencurigakan terdeteksi di komputer virtual Anda dengan menganalisis operasi Azure Resource Manager dalam langganan Anda. Penyerang mungkin menggunakan ekstensi driver GPU untuk menginstal driver GPU di komputer virtual Anda melalui Azure Resource Manager untuk melakukan cryptojacking.

Taktik MITRE: Dampak

Tingkat keparahan: Rendah

(VM_AmTempRealtimeProtectionDisablement)

Taktik MITRE: Pengindasan Pertahanan

Tingkat keparahan: Sedang

Perlindungan waktu nyata antimalware dinonaktifkan sementara saat kode dijalankan di komputer virtual Anda

(VM_AmRealtimeProtectionDisablementAndCodeExec)

Taktik MITRE: -

Tingkat keparahan: Tinggi

Taktik MITRE: -

Tingkat keparahan: Rendah

Deskripsi: Analisis data host pada %{Compromised Host} mendeteksi eksekusi proses atau perintah yang biasanya terkait dengan penambangan mata uang digital.

Taktik MITRE: -

Tingkat keparahan: Tinggi

Penonaktifan pencatatan yang diaudit [dilihat beberapa kali]

Deskripsi: Sistem Audit Linux menyediakan cara untuk melacak informasi yang relevan dengan keamanan pada sistem. Ini mencatat sebanyak mungkin informasi tentang peristiwa yang terjadi pada sistem Anda. Menonaktifkan pencatatan yang diaudit dapat menghambat menemukan pelanggaran kebijakan keamanan yang digunakan pada sistem. Perilaku ini terlihat [x] kali hari ini pada komputer berikut: [Nama komputer]

Taktik MITRE: -

Tingkat keparahan: Rendah

Eksploitasi kerentanan Xorg [terlihat beberapa kali]

Deskripsi: Analisis data host pada %{Compromised Host} mendeteksi pengguna Xorg dengan argumen yang mencurigakan. Penyerang mungkin menggunakan teknik ini dalam upaya eskalasi hak istimewa. Perilaku ini terlihat [x] kali hari ini pada komputer berikut: [Nama komputer]

Taktik MITRE: -

Tingkat keparahan: Sedang

Kegagalan SSH serangan brute force

(VM_SshBruteForceFailed)

Deskripsi: Serangan brute force yang gagal terdeteksi dari penyerang berikut: %{Attackers}. Penyerang mencoba mengakses host dengan nama pengguna berikut: %{Akun yang digunakan pada gagal masuk ke upaya host}.

Taktik MITRE: Pemeriksaan

Tingkat keparahan: Sedang

Perilaku Serangan Tanpa Berkas Terdeteksi

(VM_FilelessAttackBehavior.Linux)

Deskripsi: Memori proses yang ditentukan di bawah ini berisi perilaku yang umum digunakan oleh serangan tanpa file. Perilaku spesifik meliputi: {daftar perilaku yang diamati}

Taktik MITRE: Eksekusi

Tingkat keparahan: Rendah

Teknik Serangan Tanpa File Terdeteksi

(VM_FilelessAttackTechnique.Linux)

Taktik MITRE: Eksekusi

Tingkat keparahan: Tinggi

Toolkit Serangan Tanpa File Terdeteksi

(VM_FilelessAttackToolkit.Linux)

Deskripsi: Memori proses yang ditentukan di bawah ini berisi toolkit serangan tanpa file: {ToolKitName}. Toolkit serangan tanpa file biasanya tidak memiliki kehadiran di sistem file, membuat deteksi oleh perangkat lunak anti-virus tradisional sulit. Perilaku spesifik meliputi: {daftar perilaku yang diamati}

Taktik MITRE: Penggelembungan Pertahanan, Eksekusi

Tingkat keparahan: Tinggi

Eksekusi berkas tersembunyi terdeteksi

Deskripsi: Analisis data host menunjukkan bahwa file tersembunyi dijalankan oleh %{nama pengguna}. Kegiatan ini bisa berupa aktivitas yang sah, atau indikasi host yang disusupi.

Taktik MITRE: -

Tingkat keparahan: Informasi

Kunci SSH baru ditambahkan [dilihat beberapa kali]

(VM_SshKeyAddition)

Deskripsi: Kunci SSH baru ditambahkan ke file kunci resmi. Perilaku ini terlihat [x] kali hari ini pada komputer berikut: [Nama komputer]

Taktik MITRE: Persistensi

Tingkat keparahan: Rendah

Kunci SSH baru ditambahkan

Deskripsi: Kunci SSH baru ditambahkan ke file kunci resmi.

Taktik MITRE: -

Tingkat keparahan: Rendah

Kemungkinan backdoor terdeteksi [dilihat beberapa kali]

Deskripsi: Analisis data host telah mendeteksi file mencurigakan yang diunduh lalu berjalan pada %{Compromised Host} di langganan Anda. Kegiatan ini sebelumnya telah dikaitkan dengan pemasangan backdoor. Perilaku ini terlihat [x] kali hari ini pada komputer berikut: [Nama komputer]

Taktik MITRE: -

Tingkat keparahan: Sedang

Kemungkinan eksploitasi maliserver terdeteksi

(VM_MailserverExploitation )

Deskripsi: Analisis data host pada %{Compromised Host} mendeteksi eksekusi yang tidak biasa di bawah akun server email

Taktik MITRE: Eksploitasi

Tingkat keparahan: Sedang

Kemungkinan shell web berbahaya terdeteksi

(VM_KubernetesDashboard)

(AzureDNS_ProtocolAnomaly)

Deskripsi: Analisis transaksi DNS dari %{CompromisedEntity} mendeteksi penggunaan protokol anomali. Lalu lintas seperti itu, meskipun mungkin jinak, mungkin menunjukkan penyalahgunaan protokol umum ini untuk melewati pemfilteran lalu lintas jaringan. Aktivitas penyerang terkait yang khas termasuk menyalin alat administrasi jarak jauh ke host yang disusupi dan mengeluarkan data pengguna darinya.

Taktik MITRE: Eksfiltrasi

Tingkat keparahan: -

Aktivitas jaringan anonimitas

(AzureDNS_DarkWeb)

Deskripsi: Analisis transaksi DNS dari %{CompromisedEntity} mendeteksi aktivitas jaringan anonimitas. Aktivitas seperti itu, meskipun mungkin perilaku pengguna yang sah, sering digunakan oleh penyerang untuk menghindari pelacakan dan sidik jari komunikasi jaringan. Aktivitas penyerang terkait yang umum kemungkinan mencakup pengunduhan dan eksekusi perangkat lunak berbahaya atau alat administrasi jarak jauh.

Taktik MITRE: Eksfiltrasi

Tingkat keparahan: Rendah

Aktivitas jaringan anonimitas menggunakan proxy web

(AzureDNS_DarkWebProxy)

Taktik MITRE: Eksfiltrasi

Tingkat keparahan: Rendah

Upaya komunikasi dengan domain tersembunyi yang mencurigakan

(AzureDNS_SinkholedDomain)

Deskripsi: Analisis transaksi DNS dari %{CompromisedEntity} mendeteksi permintaan untuk domain sinkholed. Aktivitas penyerang terkait yang khas kemungkinan termasuk pengunduhan dan eksekusi perangkat lunak berbahaya lebih lanjut atau alat administrasi jarak jauh. Aktivitas penyerang terkait yang khas kemungkinan termasuk pengunduhan dan eksekusi perangkat lunak berbahaya lebih lanjut atau alat administrasi jarak jauh.

Taktik MITRE: Eksfiltrasi

Tingkat keparahan: Sedang

Communication with possible phishing domain

(AzureDNS_PhishingDomain)

Deskripsi: Analisis transaksi DNS dari %{CompromisedEntity} mendeteksi permintaan untuk kemungkinan domain pengelabuan. Aktivitas seperti itu, meskipun mungkin tidak berbahaya, sering dilakukan oleh penyerang untuk mengumpulkan kredensial ke layanan jarak jauh. Aktivitas seperti itu, meskipun mungkin tidak berbahaya, sering dilakukan oleh penyerang untuk mengumpulkan kredensial ke layanan jarak jauh.

Taktik MITRE: Eksfiltrasi

Tingkat keparahan: Informasi

Komunikasi dengan domain mencurigakan yang dibuat secara algoritme

(AzureDNS_DomainGenerationAlgorithm)

Deskripsi: Analisis transaksi DNS dari %{CompromisedEntity} mendeteksi kemungkinan penggunaan algoritma pembuatan domain. Aktivitas seperti itu, meskipun mungkin tidak berbahaya, sering dilakukan oleh penyerang untuk menghindari pemantauan dan penyaringan jaringan Aktivitas penyerang terkait yang umum kemungkinan mencakup pengunduhan dan eksekusi perangkat lunak berbahaya atau alat administrasi jarak jauh.

Taktik MITRE: Eksfiltrasi

Tingkat keparahan: Informasi

Komunikasi dengan domain mencurigakan yang diidentifikasi oleh intelijen ancaman

(AzureDNS_ThreatIntelSuspectDomain)

Taktik MITRE: Akses Awal

Tingkat keparahan: Sedang

Komunikasi dengan nama domain acak yang mencurigakan

(AzureDNS_RandomizedDomain)

Deskripsi: Analisis transaksi DNS dari %{CompromisedEntity} mendeteksi penggunaan nama domain yang dihasilkan secara acak yang mencurigakan. Aktivitas seperti itu, meskipun mungkin tidak berbahaya, sering dilakukan oleh penyerang untuk menghindari pemantauan dan penyaringan jaringan Aktivitas penyerang terkait yang umum kemungkinan mencakup pengunduhan dan eksekusi perangkat lunak berbahaya atau alat administrasi jarak jauh.

Taktik MITRE: Eksfiltrasi

Tingkat keparahan: Informasi

Aktivitas penambangan mata uang digital

(AzureDNS_CurrencyMining)

Deskripsi: Analisis transaksi DNS dari %{CompromisedEntity} mendeteksi aktivitas penambangan mata uang digital. Aktivitas seperti itu, meskipun mungkin perilaku pengguna yang sah, sering dilakukan oleh penyerang setelah kompromi sumber daya. Aktivitas penyerang terkait yang umum kemungkinan akan mencakup pengunduhan dan eksekusi alat penambangan umum.

Taktik MITRE: Eksfiltrasi

Tingkat keparahan: Rendah

Aktivasi tanda tangan deteksi intrusi jaringan

(AzureDNS_SuspiciousDomain)

Deskripsi: Analisis transaksi DNS dari %{CompromisedEntity} mendeteksi tanda tangan jaringan berbahaya yang diketahui. Aktivitas penyerang terkait yang khas kemungkinan termasuk pengunduhan dan eksekusi perangkat lunak berbahaya lebih lanjut atau alat administrasi jarak jauh. Aktivitas penyerang terkait yang khas kemungkinan termasuk pengunduhan dan eksekusi perangkat lunak berbahaya lebih lanjut atau alat administrasi jarak jauh.

Taktik MITRE: Eksfiltrasi

Tingkat keparahan: Sedang

Kemungkinan pengunduhan data melalui terowongan DNS

(AzureDNS_DataInfiltration)

Deskripsi: Analisis transaksi DNS dari %{CompromisedEntity} mendeteksi kemungkinan terowongan DNS. Aktivitas seperti itu, meskipun mungkin perilaku pengguna yang sah, sering dilakukan oleh penyerang untuk menghindari pemantauan dan penyaringan jaringa. Aktivitas penyerang terkait yang umum kemungkinan mencakup pengunduhan dan eksekusi perangkat lunak berbahaya atau alat administrasi jarak jauh.

Taktik MITRE: Eksfiltrasi

Tingkat keparahan: Rendah

Kemungkinan eksfiltrasi data melalui terowongan DNS

(AzureDNS_DataExfiltration)

Taktik MITRE: Eksfiltrasi

Tingkat keparahan: Rendah

Kemungkinan transfer data melalui terowongan DNS

(AzureDNS_DataObfuscation)

Taktik MITRE: Eksfiltrasi

Tingkat keparahan: Rendah

Pemberitahuan untuk ekstensi Azure VM

Pemberitahuan ini berfokus pada mendeteksi aktivitas mencurigakan ekstensi komputer virtual Azure dan memberikan wawasan tentang upaya penyerang untuk membahayakan dan melakukan aktivitas berbahaya pada komputer virtual Anda.

Ekstensi komputer virtual Azure adalah aplikasi kecil yang menjalankan pasca-penyebaran pada komputer virtual dan menyediakan kemampuan seperti konfigurasi, otomatisasi, pemantauan, keamanan, dan banyak lagi. Meskipun ekstensi adalah alat yang kuat, ekstensi tersebut dapat digunakan oleh pelaku ancaman untuk berbagai niat jahat, misalnya:

Pengumpulan dan pemantauan data
Eksekusi kode dan penyebaran konfigurasi dengan hak istimewa tinggi
Mereset kredensial dan membuat pengguna administratif
Mengenkripsi disk

Pelajari selengkapnya tentang Defender untuk Cloud perlindungan terbaru terhadap penyalahgunaan ekstensi Azure VM.

Kegagalan mencurigakan menginstal ekstensi GPU di langganan Anda (Pratinjau)

(VM_GPUExtensionSuspiciousFailure)

Deskripsi: Niat mencurigakan untuk menginstal ekstensi GPU pada VM yang tidak didukung. Ekstensi ini harus dipasang pada komputer virtual yang dilengkapi dengan prosesor grafis, dan dalam hal ini komputer virtual tidak dilengkapi dengan hal tersebut. Kegagalan ini dapat dilihat ketika iklan berbahaya menjalankan beberapa penginstalan ekstensi tersebut untuk tujuan penambangan kripto.

Taktik MITRE: Dampak

Tingkat keparahan: Sedang

(VM_CustomScriptExtensionSuspiciousPayload)

Deskripsi: Ekstensi skrip kustom dengan payload dari repositori GitHub yang mencurigakan terdeteksi di komputer virtual Anda dengan menganalisis operasi Azure Resource Manager di langganan Anda. Penyerang mungkin menggunakan ekstensi skrip kustom untuk menjalankan kode berbahaya di komputer virtual Anda melalui Azure Resource Manager.

Taktik MITRE: Eksekusi

Tingkat keparahan: Tinggi

Executable diterjemahkan menggunakan certutil

(AppServices_ExecutableDecodedUsingCertutil)

Deskripsi: Analisis data host pada [Entitas yang disusupi] mendeteksi bahwa certutil.exe, utilitas administrator bawaan, digunakan untuk mendekode executable alih-alih tujuan utamanya yang berkaitan dengan memanipulasi sertifikat dan data sertifikat. Penyerang dikenal untuk menyalahgunakan fungsionalitas alat administrator yang sah untuk melakukan tindakan berbahaya, misalnya menggunakan alat seperti certutil.exe untuk memecahkan kode executable berbahaya yang kemudian akan dieksekusi. (Berlaku untuk: App Service di Windows)

Taktik MITRE: Penggelembungan Pertahanan, Eksekusi

Tingkat keparahan: Tinggi

Perilaku Serangan Tanpa Berkas Terdeteksi

(AppServices_FilelessAttackBehaviorDetection)

Deskripsi: Memori proses yang ditentukan di bawah ini berisi perilaku yang umum digunakan oleh serangan tanpa file. Perilaku tertentu meliputi: {daftar perilaku yang diamati} (Berlaku untuk: App Service di Windows dan App Service di Linux)

Taktik MITRE: Eksekusi

Tingkat keparahan: Sedang

Teknik Serangan Tanpa File Terdeteksi

(AppServices_FilelessAttackTechniqueDetection)

Taktik MITRE: Eksekusi

Tingkat keparahan: Tinggi

Toolkit Serangan Tanpa File Terdeteksi

(AppServices_FilelessAttackToolkitDetection)

Taktik MITRE: Penggelembungan Pertahanan, Eksekusi

Tingkat keparahan: Tinggi

Peringatan pengujian Microsoft Defender untuk Cloud untuk App Service (bukan ancaman)

(AppServices_EICAR)

Deskripsi: Ini adalah pemberitahuan pengujian yang dihasilkan oleh Microsoft Defender untuk Cloud. Tidak ada tindakan lebih lanjut yang diperlukan. (Berlaku untuk: App Service di Windows dan App Service di Linux)

Taktik MITRE: -

Tingkat keparahan: Tinggi

Pemindaian NMap terdeteksi

(AppServices_Nmap)

Deskripsi: Log aktivitas Azure App Service menunjukkan kemungkinan aktivitas sidik jari web di sumber daya App Service Anda. Aktivitas mencurigakan yang terdeteksi dikaitkan dengan NMAP. Penyerang sering menggunakan alat ini untuk menyelidiki aplikasi web untuk menemukan kerentanan. (Berlaku untuk: App Service di Windows dan App Service di Linux)

Taktik MITRE: PreAttack

Tingkat keparahan: Informasi

Konten pengelabui yang dihosting di Azure Webapps

(AppServices_PhishingContent)

Deskripsi: URL yang digunakan untuk serangan pengelabuan ditemukan di situs web Azure AppServices. URL ini merupakan bagian dari serangan phishing yang dikirim ke pelanggan Microsoft 365. Konten biasanya memikat pengunjung untuk memasukkan kredensial perusahaan atau informasi keuangan mereka ke situs web yang terlihat sah. (Berlaku untuk: App Service di Windows dan App Service di Linux)

Taktik MITRE: Koleksi

Tingkat keparahan: Tinggi

File PHP di folder unggah

(AppServices_PhpInUploadFolder)

Deskripsi: Log aktivitas Azure App Service menunjukkan akses ke halaman PHP mencurigakan yang terletak di folder unggahan. Tipe folder ini biasanya tidak berisi file PHP. Keberadaan jenis file ini mungkin menunjukkan eksploitasi mengambil keuntungan dari kerentanan unggahan file sewenang-wenang. (Berlaku untuk: App Service di Windows dan App Service di Linux)

Taktik MITRE: Eksekusi

Tingkat keparahan: Sedang

Kemungkinan unduhan Cryptocoinminer terdeteksi

(AppServices_CryptoCoinMinerDownload)

Deskripsi: Analisis data host telah mendeteksi pengunduhan file yang biasanya terkait dengan penambangan mata uang digital. (Berlaku untuk: App Service di Linux)

Taktik MITRE: Penghancuran Pertahanan, Perintah dan Kontrol, Eksploitasi

Tingkat keparahan: Sedang

Kemungkinan eksfiltrasi data terdeteksi

(AppServices_DataEgressArtifacts)

Deskripsi: Analisis data host/perangkat mendeteksi kemungkinan kondisi keluar data. Penyerang akan sering mengeluarkan data dari komputer yang telah mereka susupi. (Berlaku untuk: App Service di Linux)

Taktik MITRE: Koleksi, Eksfiltrasi

Tingkat keparahan: Sedang

Potensi terakhir catatan DNS untuk sumber daya App Service terdeteksi

(AppServices_PotentialDanglingDomain)

Deskripsi: Catatan DNS yang menunjuk ke sumber daya App Service yang baru saja dihapus (juga dikenal sebagai entri "DNS yang menggorung") telah terdeteksi. Ini mungkin membuat Anda rentan terhadap pengambilalihan subdomain. Pengambilalihan subdomain memungkinkan pelaku jahat mengalihkan lalu lintas yang ditujukan untuk domain organisasi ke situs yang melakukan aktivitas berbahaya. Dalam hal ini, catatan teks dengan ID Verifikasi Domain ditemukan. Catatan teks tersebut mencegah pengambilalihan subdomain tetapi kami masih merekomendasikan untuk menghapus domain yang terakhir. Jika Anda meninggalkan catatan DNS yang menunjuk subdomain, Anda berisiko jika ada orang di organisasi Anda yang menghapus file atau rekaman TXT di masa mendatang. (Berlaku untuk: App Service di Windows dan App Service di Linux)

Taktik MITRE: -

Tingkat keparahan: Rendah

Potensi pembalikan shell terdeteksi

(AppServices_ReverseShell)

Deskripsi: Analisis data host mendeteksi potensi shell terbalik. Ini digunakan untuk mendapatkan komputer yang disusupi untuk memanggil kembali ke komputer yang dimiliki penyerang. (Berlaku untuk: App Service di Linux)

Taktik MITRE: Eksfiltrasi, Eksploitasi

Tingkat keparahan: Sedang

Unduhan data mentah terdeteksi

(AppServices_DownloadCodeFromWebsite)

Deskripsi: Analisis proses App Service mendeteksi upaya untuk mengunduh kode dari situs web data mentah seperti Pastebin. Aksi ini dijalankan oleh proses PHP. Perilaku ini dikaitkan dengan upaya untuk mengunduh shell web atau komponen berbahaya lainnya ke App Service. (Berlaku untuk: App Service di Windows)

Taktik MITRE: Eksekusi

Tingkat keparahan: Sedang

Menyimpan keluaran ikal ke cakram yang terdeteksi

(AppServices_CurlToDisk)

Deskripsi: Analisis proses App Service mendeteksi berjalannya perintah curl tempat output disimpan ke disk. Meskipun perilaku ini dapat sah, dalam aplikasi web perilaku ini juga diamati dalam aktivitas berbahaya seperti upaya untuk menginfeksi situs web dengan shell web. (Berlaku untuk: App Service di Windows)

Taktik MITRE: -

Tingkat keparahan: Rendah

Perujuk folder spam terdeteksi

(AppServices_SpamReferrer)

Deskripsi: Log aktivitas Azure App Service menunjukkan aktivitas web yang diidentifikasi berasal dari situs web yang terkait dengan aktivitas spam. Ini dapat terjadi jika situs web Anda disusupi dan digunakan untuk aktivitas spam. (Berlaku untuk: App Service di Windows dan App Service di Linux)

Taktik MITRE: -

Tingkat keparahan: Rendah

Akses mencurigakan ke halaman web yang mungkin rentan terdeteksi

(AppServices_ScanSensitivePage)

Deskripsi: Log aktivitas Azure App Service menunjukkan halaman web yang tampaknya sensitif diakses. Aktivitas mencurigakan ini berasal dari alamat IP sumber yang pola aksesnya menyerupai pemindai web. Aktivitas ini sering dikaitkan dengan upaya penyerang untuk memindai jaringan Anda untuk mencoba mendapatkan akses ke halaman web sensitif atau rentan. (Berlaku untuk: App Service di Windows dan App Service di Linux)

Taktik MITRE: -

Tingkat keparahan: Rendah

Referensi nama domain yang mencurigakan

(AppServices_CommandlineSuspectDomain)

Deskripsi: Analisis data host mendeteksi referensi ke nama domain yang mencurigakan. Aktivitas penyerang terkait yang khas kemungkinan termasuk pengunduhan dan eksekusi perangkat lunak berbahaya lebih lanjut atau alat administrasi jarak jauh. Aktivitas penyerang terkait yang khas kemungkinan termasuk pengunduhan dan eksekusi perangkat lunak berbahaya lebih lanjut atau alat administrasi jarak jauh. (Berlaku untuk: App Service di Linux)

Taktik MITRE: Eksfiltrasi

Tingkat keparahan: Rendah

Unduhan mencurigakan menggunakan Certutil terdeteksi

(AppServices_DownloadUsingCertutil)

Deskripsi: Analisis data host pada {NAME} mendeteksi penggunaan certutil.exe, utilitas administrator bawaan, untuk pengunduhan biner alih-alih tujuan utamanya yang berkaitan dengan memanipulasi sertifikat dan data sertifikat. Penyerang dikenal untuk menyalahgunakan fungsionalitas alat administrator yang sah untuk melakukan tindakan berbahaya, misalnya menggunakan certutil.exe untuk mengunduh dan mendekode executable berbahaya yang kemudian akan dieksekusi. (Berlaku untuk: App Service di Windows)

Taktik MITRE: Eksekusi

Tingkat keparahan: Sedang

Eksekusi PHP mencurigakan terdeteksi

(AppServices_SuspectPhp)

Deskripsi: Log mesin menunjukkan bahwa proses PHP yang mencurigakan sedang berjalan. Tindakan ini mencakup upaya untuk menjalankan perintah sistem operasi atau kode PHP dari baris perintah, dengan menggunakan proses PHP. Meskipun perilaku ini dapat sah, dalam aplikasi web perilaku ini mungkin menunjukkan aktivitas berbahaya, seperti upaya untuk menginfeksi situs web dengan shell web. (Berlaku untuk: App Service di Windows dan App Service di Linux)

Taktik MITRE: Eksekusi

Tingkat keparahan: Sedang

Cmdlet PowerShell mencurigakan dieksekusi

(AppServices_PowerShellPowerSploitScriptExecution)

Deskripsi: Analisis data host menunjukkan eksekusi cmdlet PowerSploit PowerShell berbahaya yang diketahui. (Berlaku untuk: App Service di Windows)

Taktik MITRE: Eksekusi

Tingkat keparahan: Sedang

Proses mencurigakan dijalankan

(AppServices_KnownCredential AccessTools)

Deskripsi: Log mesin menunjukkan bahwa proses mencurigakan: '%{jalur proses}' berjalan pada komputer, sering dikaitkan dengan upaya penyerang untuk mengakses kredensial. (Berlaku untuk: App Service di Windows)

Taktik MITRE: Akses Kredensial

Tingkat keparahan: Tinggi

Nama proses mencurigakan terdeteksi

(AppServices_ProcessWithKnownSuspiciousExtension)

Deskripsi: Analisis data host pada {NAME} mendeteksi proses yang namanya mencurigakan, misalnya sesuai dengan alat penyerang yang diketahui atau dinamai dengan cara yang menyarankan alat penyerang yang mencoba bersembunyi di depan mata. Proses ini bisa menjadi aktivitas yang sah, atau indikasi bahwa salah satu komputer Anda telah disusupi. (Berlaku untuk: App Service di Windows)

Taktik MITRE: Persistensi, Penghancuran Pertahanan

Tingkat keparahan: Sedang

Proses SVCHOST mencurigakan dijalankan

(AppServices_SVCHostFromInvalidPath)

Deskripsi: Proses sistem SVCHOST diamati berjalan dalam konteks abnormal. Malware sering menggunakan SVCHOST untuk menutupi aktivitas berbahayanya. (Berlaku untuk: App Service di Windows)

Taktik MITRE: Penggelembungan Pertahanan, Eksekusi

Tingkat keparahan: Tinggi

Agen Pengguna Mencurigakan terdeteksi

(AppServices_UserAgentInjection)

Deskripsi: Log aktivitas Azure App Service menunjukkan permintaan dengan agen pengguna yang mencurigakan. Perilaku ini dapat mengindikasikan adanya upaya untuk mengeksploitasi kerentanan di aplikasi App Service Anda. (Berlaku untuk: App Service di Windows dan App Service di Linux)

Taktik MITRE: Akses Awal

Tingkat keparahan: Informasi

Pemanggilan tema WordPress yang mencurigakan terdeteksi

(AppServices_WpThemeInjection)

Deskripsi: Log aktivitas Azure App Service menunjukkan kemungkinan aktivitas injeksi kode pada sumber daya App Service Anda. Aktivitas mencurigakan yang terdeteksi menyerupai manipulasi tema WordPress untuk mendukung eksekusi kode sisi server, diikuti dengan permintaan web langsung untuk memanggil file tema yang dimanipulasi. Jenis kegiatan ini terlihat di masa lalu sebagai bagian dari kampanye serangan atas WordPress. Jika sumber daya App Service Anda tidak menghosting situs WordPress, tidak rentan terhadap eksploitasi injeksi kode khusus ini dan Anda dapat dengan aman menekan pemberitahuan ini untuk sumber daya. Untuk mempelajari cara menekan peringatan keamanan, lihat Menekan peringatan dari Microsoft Defender untuk Cloud. (Berlaku untuk: App Service di Windows dan App Service di Linux)

Taktik MITRE: Eksekusi

Tingkat keparahan: Tinggi

Pemindai kerentanan terdeteksi

(AppServices_DrupalScanner)

Deskripsi: Log aktivitas Azure App Service menunjukkan bahwa kemungkinan pemindai kerentanan digunakan pada sumber daya App Service Anda. Aktivitas mencurigakan yang terdeteksi menyerupai alat yang menargetkan sistem manajemen konten (CMS). Jika sumber daya App Service Anda tidak menghosting situs Drupal, sumber daya tersebut tidak rentan terhadap eksploitasi injeksi kode tertentu ini dan Anda dapat dengan aman menekan pemberitahuan ini untuk sumber daya. Untuk mempelajari cara menekan peringatan keamanan, lihat Menekan peringatan dari Microsoft Defender untuk Cloud. (Berlaku untuk: App Service di Windows)

Taktik MITRE: PreAttack

Tingkat keparahan: Rendah

Pemindai kerentanan terdeteksi

(AppServices_JoomlaScanner)

Deskripsi: Log aktivitas Azure App Service menunjukkan bahwa kemungkinan pemindai kerentanan digunakan pada sumber daya App Service Anda. Log aktivitas Azure App Service menunjukkan bahwa kemungkinan pemindai kerentanan digunakan pada sumber daya App Service Anda. Jika sumber daya App Service Anda tidak menghosting situs Joomla, sumber daya tidak rentan terhadap eksploitasi injeksi kode khusus ini dan Anda dapat dengan aman menekan pemberitahuan ini untuk sumber daya. Untuk mempelajari cara menekan peringatan keamanan, lihat Menekan peringatan dari Microsoft Defender untuk Cloud. (Berlaku untuk: App Service di Windows dan App Service di Linux)

Taktik MITRE: PreAttack

Tingkat keparahan: Rendah

Pemindai kerentanan terdeteksi

(AppServices_WpScanner)

Deskripsi: Log aktivitas Azure App Service menunjukkan bahwa kemungkinan pemindai kerentanan digunakan pada sumber daya App Service Anda. Aktivitas mencurigakan yang terdeteksi menyerupai alat yang menargetkan aplikasi WordPress. Jika sumber daya App Service Anda tidak menghosting situs WordPress, tidak rentan terhadap eksploitasi injeksi kode khusus ini dan Anda dapat dengan aman menekan pemberitahuan ini untuk sumber daya. Untuk mempelajari cara menekan peringatan keamanan, lihat Menekan peringatan dari Microsoft Defender untuk Cloud. (Berlaku untuk: App Service di Windows dan App Service di Linux)

Taktik MITRE: PreAttack

Tingkat keparahan: Rendah

Sidik jari web terdeteksi

(AppServices_WebFingerprinting)

Deskripsi: Log aktivitas Azure App Service menunjukkan kemungkinan aktivitas sidik jari web di sumber daya App Service Anda. Aktivitas mencurigakan yang terdeteksi dikaitkan dengan alat bernama Blind Elephant. Alat ini sidik jari server web dan mencoba mendeteksi aplikasi dan versi yang diinstal. Penyerang sering menggunakan alat ini untuk menyelidiki aplikasi web untuk menemukan kerentanan. (Berlaku untuk: App Service di Windows dan App Service di Linux)

Taktik MITRE: PreAttack

Tingkat keparahan: Sedang

Situs web ditandai sebagai berbahaya dalam umpan intelijen ancaman

(AppServices_SmartScreen)

Deskripsi: Situs web Anda seperti yang dijelaskan di bawah ini ditandai sebagai situs berbahaya oleh Windows SmartScreen. Jika Menurut Anda ini adalah positif palsu, hubungi Windows SmartScreen melalui tautan umpan balik laporan yang disediakan. (Berlaku untuk: App Service di Windows dan App Service di Linux)

Taktik MITRE: Koleksi

(K8S.NODE_SuspectUserAddition) ¹

Deskripsi: Analisis proses yang berjalan dalam kontainer atau langsung pada simpul Kubernetes, telah mendeteksi penggunaan perintah useradd yang mencurigakan.

Taktik MITRE: Persistensi

Tingkat keparahan: Sedang

Kontainer penambangan mata uang digital terdeteksi

(K8S_MaliciousContainerImage) ³

Deskripsi: Analisis log audit Kubernetes mendeteksi kontainer yang memiliki gambar yang terkait dengan alat penambangan mata uang digital.

Taktik MITRE: Eksekusi

Tingkat keparahan: Tinggi

Deskripsi: Analisis proses yang berjalan dalam kontainer atau langsung pada simpul Kubernetes, telah mendeteksi proses yang mencurigakan. Ini sering dikaitkan dengan agen MITRE 54ndc47, yang dapat digunakan dengan berbahaya untuk menyerang mesin lain.

Taktik MITRE: Persistensi, PrivilegeEscalation, DefenseEvasion, CredentialAccess, Discovery, LateralMovement, Execution, Collection, Exfiltration, Command And Control, Probing, Exploitation

Tingkat keparahan: Sedang

¹: Pratinjau untuk kluster non-AKS: Pemberitahuan ini umumnya tersedia untuk kluster AKS, tetapi dalam pratinjau untuk lingkungan lain, seperti Azure Arc, EKS, dan GKE.

²: Batasan pada kluster GKE: GKE menggunakan kebijakan audit Kubernetes yang tidak mendukung semua jenis pemberitahuan. Akibatnya, peringatan keamanan ini, yang didasarkan pada peristiwa audit Kubernetes, tidak didukung untuk kluster GKE.

³: Peringatan ini didukung pada node/kontainer Windows.

Peringatan untuk Azure SQL Database dan Azure Synapse Analytics

Detail dan catatan lebih lanjut

Kemungkinan kerentanan terhadap SQL Injection

(SQL. DB_VulnerabilityToSqlInjection SQL. VM_VulnerabilityToSqlInjection SQL.MI_VulnerabilityToSqlInjection SQL. DW_VulnerabilityToSqlInjection Synapse.SQLPool_VulnerabilityToSqlInjection)

Deskripsi: Aplikasi telah menghasilkan pernyataan SQL yang rusak dalam database. Ini dapat menunjukkan kemungkinan kerentanan terhadap serangan injeksi SQL. Ada dua kemungkinan alasan untuk pernyataan yang salah. Cacat kode aplikasi mungkin telah membangun pernyataan SQL yang rusak. Atau, kode aplikasi atau prosedur yang disimpan tidak membersihkan input pengguna saat membuat pernyataan SQL yang rusak, yang dapat dieksploitasi untuk injeksi SQL.

Taktik MITRE: PreAttack

Tingkat keparahan: Sedang

Percobaan log masuk oleh aplikasi yang berpotensi berbahaya

(SQL. DB_HarmfulApplication SQL. VM_HarmfulApplication SQL.MI_HarmfulApplication SQL. DW_HarmfulApplication Synapse.SQLPool_HarmfulApplication)

Deskripsi: Aplikasi yang berpotensi berbahaya mencoba mengakses sumber daya Anda.

Taktik MITRE: PreAttack

Tingkat keparahan: Tinggi

Log masuk dari Pusat Data Azure yang tidak biasa

(SQL. DB_DataCenterAnomaly SQL. VM_DataCenterAnomaly SQL. DW_DataCenterAnomaly SQL.MI_DataCenterAnomaly Synapse.SQLPool_DataCenterAnomaly)

Deskripsi: Ada perubahan pola akses ke SQL Server, di mana seseorang telah masuk ke server dari Azure Data Center yang tidak biasa. Dalam beberapa kasus, peringatan mendeteksi tindakan yang sah (aplikasi baru atau layanan Azure). Dalam kasus lain, peringatan mendeteksi tindakan berbahaya (penyerang yang beroperasi dari sumber daya yang dilanggar di Azure).

Taktik MITRE: Pemeriksaan

Tingkat keparahan: Rendah

Masuk dari lokasi yang tidak biasa

(SQL. DB_GeoAnomaly SQL. VM_GeoAnomaly SQL. DW_GeoAnomaly SQL.MI_GeoAnomaly Synapse.SQLPool_GeoAnomaly)

Deskripsi: Ada perubahan pola akses ke SQL Server, di mana seseorang telah masuk ke server dari lokasi geografis yang tidak biasa. Dalam beberapa kasus, pemberitahuan mendeteksi tindakan yang sah (aplikasi baru atau pemeliharaan pengembang). Dalam kasus lain, peringatan mendeteksi tindakan jahat (mantan karyawan atau penyerang eksternal).

Taktik MITRE: Eksploitasi

Tingkat keparahan: Sedang

(SQL. DB_PrincipalAnomaly SQL. VM_PrincipalAnomaly SQL. DW_PrincipalAnomaly SQL.MI_PrincipalAnomaly Synapse.SQLPool_PrincipalAnomaly)

Deskripsi: Pengguna utama yang tidak terlihat dalam 60 hari terakhir telah masuk ke database Anda. Jika database ini baru atau perilaku yang diharapkan ini disebabkan oleh perubahan terbaru pada pengguna yang mengakses database, Defender untuk Cloud akan mengidentifikasi perubahan signifikan pada pola akses dan berupaya mencegah kesalahan positif di masa mendatang.

Taktik MITRE: Eksploitasi

Tingkat keparahan: Sedang

(SQL. DB_DomainAnomaly SQL. VM_DomainAnomaly SQL. DW_DomainAnomaly SQL.MI_DomainAnomaly Synapse.SQLPool_DomainAnomaly)

Deskripsi: Pengguna telah masuk ke sumber daya Anda dari domain yang tidak tersambung dengan pengguna lain dalam 60 hari terakhir. Jika sumber daya ini baru atau perilaku yang diharapkan ini disebabkan oleh perubahan terbaru pada pengguna yang mengakses sumber daya, Defender untuk Cloud akan mengidentifikasi perubahan signifikan pada pola akses dan berupaya mencegah kesalahan positif di masa mendatang.

Taktik MITRE: Eksploitasi

Tingkat keparahan: Sedang

(SQL. VM_PotentialSqlInjection)

Deskripsi: Seseorang telah memulai payload baru menggunakan lapisan di SQL Server yang berkomunikasi dengan sistem operasi sambil menyembunyikan perintah dalam kueri SQL. Penyerang biasanya menyembunyikan perintah yang berdampak yang populer dipantau seperti xp_cmdshell, sp_add_job dan lainnya. Teknik obfuscation menyalahgunakan perintah yang sah seperti perangkaian string, transmisi, perubahan dasar, dan lainnya, untuk menghindari deteksi regex dan melukai keterbacaan log.

(SQL. PostgreSQL_HarmfulApplication SQL. MariaDB_HarmfulApplication SQL. MySQL_HarmfulApplication)

Deskripsi: Aplikasi yang berpotensi berbahaya mencoba mengakses sumber daya Anda.

Taktik MITRE: PreAttack

Tingkat keparahan: Tinggi

(SQL. PostgreSQL_PrincipalAnomaly SQL. MariaDB_PrincipalAnomaly SQL. MySQL_PrincipalAnomaly)

Taktik MITRE: Eksploitasi

Tingkat keparahan: Sedang

(SQL. MariaDB_DomainAnomaly SQL. PostgreSQL_DomainAnomaly SQL. MySQL_DomainAnomaly)

Taktik MITRE: Eksploitasi

Tingkat keparahan: Sedang

Log masuk dari Pusat Data Azure yang tidak biasa

(SQL. PostgreSQL_DataCenterAnomaly SQL. MariaDB_DataCenterAnomaly SQL. MySQL_DataCenterAnomaly)

(ARM_OperationFromSuspiciousProxyIP)

Deskripsi: Pertahanan Microsoft untuk Resource Manager mendeteksi operasi manajemen sumber daya dari alamat IP yang terkait dengan layanan proksi, seperti TOR. Meskipun perilaku ini bisa jadi sah, perilaku tersebut sering terlihat dalam kegiatan berbahaya, ketika pelaku ancaman mencoba menyembunyikan IP sumber mereka.

Taktik MITRE: Pengindasan Pertahanan

Tingkat keparahan: Sedang

Perangkat eksploitasi MicroBurst yang digunakan untuk menghitung sumber daya dalam langganan Anda

(ARM_MicroBurst.AzDomainInfo)

Deskripsi: Skrip PowerShell dijalankan dalam langganan Anda dan melakukan pola mencurigakan dalam menjalankan operasi pengumpulan informasi untuk menemukan sumber daya, izin, dan struktur jaringan. Pelaku ancaman menggunakan skrip otomatis, seperti MicroBurst, untuk mengumpulkan informasi untuk aktivitas berbahaya. Ini terdeteksi dengan menganalisis operasi Azure Resource Manager di langganan Anda. Operasi ini mungkin menunjukkan bahwa identitas di organisasi Anda dilanggar, dan bahwa pelaku ancaman mencoba membahayakan lingkungan Anda karena niat jahat.

Taktik MITRE: -

Tingkat keparahan: Rendah

(Storage.Blob_SuspiciousApp)

Deskripsi: Menunjukkan bahwa aplikasi yang mencurigakan telah berhasil mengakses kontainer akun penyimpanan dengan autentikasi. Hal ini kemungkinan menunjukkan bahwa penyerang telah memperoleh info masuk yang diperlukan untuk mengakses akun dan sedang mengeksploitasinya. Dan bisa juga menjadi indikasi dari uji penetrasi yang dilakukan organisasi Anda. Berlaku untuk: Azure Blob Storage, Azure Data Lake Storage Gen2

Taktik MITRE: Akses Awal

Tingkat keparahan: Tinggi/Sedang

Akses dari alamat IP yang mencurigakan

(Storage.Blob_SuspiciousIp Storage.Files_SuspiciousIp)

Deskripsi: Menunjukkan bahwa akun penyimpanan ini telah berhasil diakses dari alamat IP yang dianggap mencurigakan. Peringatan ini didukung oleh Microsoft Threat Intelligence. Pelajari lebih lanjut tentang kemampuan intelijen ancaman Microsoft. Berlaku untuk: Microsoft Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2

Taktik MITRE: Pra Serangan

Tingkat keparahan: Tinggi/Sedang/Rendah

Konten pengelabuan yang dihosting di akun penyimpanan

(Storage.Blob_PhishingContent Storage.Files_PhishingContent)

Deskripsi: URL yang digunakan dalam titik serangan pengelabuan ke akun Azure Storage Anda. URL ini adalah bagian dari serangan phishing yang memengaruhi pengguna Microsoft 365. Biasanya, konten yang dihosting di halaman tersebut dirancang untuk mengelabui pengunjung agar memasukkan kredensial perusahaan atau informasi keuangan mereka ke dalam formulir web yang terlihat sah. Peringatan ini didukung oleh Microsoft Threat Intelligence. Pelajari lebih lanjut tentang kemampuan intelijen ancaman Microsoft. Berlaku untuk: Azure Blob Storage, Azure Files

Taktik MITRE: Koleksi

Tingkat keparahan: Tinggi

Akun penyimpanan diidentifikasi sebagai sumber untuk distribusi malware

(Storage.Files_WidespreadeAm)

Deskripsi: Pemberitahuan antimalware menunjukkan bahwa file yang terinfeksi disimpan dalam berbagi file Azure yang dipasang ke beberapa VM. Jika penyerang mendapatkan akses ke VM dengan berbagi Azure Files terpasang, mereka dapat menggunakannya untuk menyebarkan malware ke VM lain yang memasang berbagi yang sama. Berlaku untuk: Azure Files

Taktik MITRE: Eksekusi

Tingkat keparahan: Sedang

Tingkat akses kontainer blob penyimpanan yang berpotensi sensitif diubah untuk memungkinkan akses publik yang tidak diabaikan

(Storage.Blob_OpenACL)

Deskripsi: Pemberitahuan menunjukkan bahwa seseorang telah mengubah tingkat akses kontainer blob di akun penyimpanan, yang mungkin berisi data sensitif, ke tingkat 'Kontainer', untuk memungkinkan akses publik (anonim) yang tidak diatoentikasi. Perubahan dilakukan melalui portal Azure. Berdasarkan analisis statistik, kontainer blob ditandai sebagai mungkin berisi data sensitif. Analisis ini menunjukkan bahwa kontainer blob atau akun penyimpanan dengan nama serupa biasanya tidak terekspos ke akses publik. Berlaku untuk: Akun penyimpanan Azure Blob (Tujuan umum standar v2, Azure Data Lake Storage Gen2, atau blob blok premium).

Taktik MITRE: Koleksi

Tingkat keparahan: Sedang

Akses terautentikasi dari node keluar Tor

(Storage.Blob_TorAnomaly Storage.Files_TorAnomaly)

Deskripsi: Satu atau beberapa kontainer penyimpanan/berbagi file di akun penyimpanan Anda berhasil diakses dari alamat IP yang diketahui sebagai simpul keluar aktif Tor (proksi anonim). Pelaku ancaman menggunakan Tor untuk mempersulit pelacakan aktivitas mereka. Akses yang diautentikasi dari node keluar Tor kemungkinan besar merupakan indikasi bahwa pelaku ancaman berusaha menyembunyikan identitas mereka. Berlaku untuk: Microsoft Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2

Taktik MITRE: Akses Awal / Pre Attack

Tingkat keparahan: Tinggi/Sedang

Akses dari lokasi yang tidak biasa ke akun penyimpanan

(Storage.Blob_GeoAnomaly Storage.Files_GeoAnomaly)

Deskripsi: Menunjukkan bahwa ada perubahan pola akses ke akun Azure Storage. Seseorang telah mengakses akun ini dari alamat IP yang dianggap tidak dikenal jika dibandingkan dengan aktivitas terbaru. Mungkin penyerang telah mendapatkan akses ke akun, atau pengguna yang sah telah terhubung dari lokasi geografis baru atau tidak biasa. Contoh yang terakhir adalah pemeliharaan jarak jauh dari aplikasi atau pengembang baru. Berlaku untuk: Microsoft Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2

Taktik MITRE: Akses Awal

Tingkat keparahan: Tinggi/Sedang/Rendah

Akses tidak diautentikasi yang tidak biasa ke kontainer penyimpanan

(Storage.Blob_AnonymousAccessAnomaly)

Deskripsi: Akun penyimpanan ini diakses tanpa autentikasi, yang merupakan perubahan pola akses umum. Akses baca untuk kontainer ini biasanya diautentikasi. Hal ini mungkin menunjukkan bahwa pelaku ancaman dapat mengeksploitasi akses baca publik ke kontainer penyimpanan dalam akun penyimpanan. Berlaku untuk: Azure Blob Storage

Taktik MITRE: Akses Awal

Tingkat keparahan: Tinggi/Rendah

Potensi perangkat lunak perusak yang diunggah ke akun penyimpanan

(Storage.Blob_MalwareHashReputation Storage.Files_MalwareHashReputation)

Deskripsi: Menunjukkan bahwa blob yang berisi potensi malware telah diunggah ke kontainer blob atau berbagi file di akun penyimpanan. Peringatan ini didasarkan pada analisis reputasi hash yang memanfaatkan kekuatan intelijen ancaman Microsoft, yang mencakup hash untuk virus, trojan, spyware, dan ransomware. Potensi penyebabnya mungkin termasuk unggahan malware yang disengaja oleh penyerang, atau unggahan blob yang berpotensi berbahaya yang tidak disengaja oleh pengguna yang sah. Berlaku untuk: Azure Blob Storage, Azure Files (Hanya untuk transaksi melalui REST API) Pelajari selengkapnya tentang kemampuan inteligensi ancaman Microsoft.

Taktik MITRE: Gerakan Lateral

Tingkat keparahan: Tinggi

Kontainer penyimpanan yang dapat diakses publik berhasil ditemukan

(Storage.Blob_OpenContainersScanning.SuccessfulDiscovery)

Deskripsi: Penemuan kontainer penyimpanan yang terbuka untuk umum di akun penyimpanan Anda dilakukan dalam satu jam terakhir oleh skrip atau alat pemindaian.

Upaya ini biasanya menunjukkan serangan pengintaian, di mana pelaku ancaman berusaha membuat daftar blob dengan menebak nama kontainer, dengan harapan menemukan kontainer penyimpanan terbuka yang salah konfigurasi dengan data sensitif di dalamnya.

Pelaku ancaman mungkin menggunakan skrip mereka sendiri atau menggunakan alat pemindaian yang diketahui seperti Microburst untuk memindai kontainer yang terbuka untuk umum.

✔ Azure Blob Storage ✖ Azure Files ✖ Azure Data Lake Storage Gen2

Taktik MITRE: Koleksi

Tingkat keparahan: Tinggi/Sedang

Kontainer penyimpanan yang dapat diakses publik tidak berhasil dipindai

(Storage.Blob_OpenContainersScanning.FailedAttempt)

Deskripsi: Serangkaian upaya yang gagal untuk memindai kontainer penyimpanan yang terbuka untuk umum dilakukan dalam satu jam terakhir.

Pelaku ancaman mungkin menggunakan skrip mereka sendiri atau menggunakan alat pemindaian yang diketahui seperti Microburst untuk memindai kontainer yang terbuka untuk umum.

✔ Azure Blob Storage ✖ Azure Files ✖ Azure Data Lake Storage Gen2

Taktik MITRE: Koleksi

Tingkat keparahan: Tinggi/Rendah

Pemeriksaan akses yang tidak biasa di akun penyimpanan

(Storage.Blob_AccessInspectionAnomaly Storage.Files_AccessInspectionAnomaly)

Deskripsi: Menunjukkan bahwa izin akses akun penyimpanan telah diperiksa dengan cara yang tidak biasa, dibandingkan dengan aktivitas terbaru di akun ini. Penyebab potensial adalah bahwa penyerang telah melakukan pengintaian untuk serangan di masa depan. Berlaku untuk: Azure Blob Storage, Azure Files

Taktik MITRE: Penemuan

Tingkat keparahan: Tinggi/Sedang

Jumlah data yang tidak biasa yang diekstrak dari akun penyimpanan

(Storage.Blob_DataExfiltration.AmountOfDataAnomaly Storage.Blob_DataExfiltration.NumberOfBlobsAnomaly Storage.Files_DataExfiltration.AmountOfDataAnomaly Storage.Files_DataExfiltration.NumberOfFilesAnomaly)

Deskripsi: Menunjukkan bahwa sejumlah besar data telah diekstraksi dibandingkan dengan aktivitas terbaru pada kontainer penyimpanan ini. Penyebab potensial adalah penyerang telah mengekstrak sejumlah besar data dari wadah yang menyimpan penyimpanan gumpalan. Berlaku untuk: Microsoft Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2

Taktik MITRE: Eksfiltrasi

Tingkat keparahan: Tinggi/Rendah

Aplikasi yang tidak biasa mengakses akun penyimpanan

(Storage.Blob_ApplicationAnomaly Storage.Files_ApplicationAnomaly)

Deskripsi: Menunjukkan bahwa aplikasi yang tidak biasa telah mengakses akun penyimpanan ini. Kemungkinan penyebabnya adalah penyerang telah mengakses akun penyimpanan Anda dengan menggunakan aplikasi baru. Berlaku untuk: Azure Blob Storage, Azure Files

Taktik MITRE: Eksekusi

Tingkat keparahan: Tinggi/Sedang

Eksplorasi data yang tidak biasa di akun penyimpanan

(Storage.Blob_DataExplorationAnomaly Storage.Files_DataExplorationAnomaly)

Deskripsi: Menunjukkan bahwa blob atau kontainer di akun penyimpanan telah dijumlahkan dengan cara yang tidak normal, dibandingkan dengan aktivitas terbaru pada akun ini. Penyebab potensial adalah bahwa penyerang telah melakukan pengintaian untuk serangan di masa depan. Berlaku untuk: Azure Blob Storage, Azure Files

Taktik MITRE: Eksekusi

Tingkat keparahan: Tinggi/Sedang

Penghapusan yang tidak biasa di akun penyimpanan

(Storage.Blob_DeletionAnomaly Storage.Files_DeletionAnomaly)

Deskripsi: Menunjukkan bahwa satu atau beberapa operasi penghapusan tak terduga telah terjadi di akun penyimpanan, dibandingkan dengan aktivitas terbaru pada akun ini. Kemungkinan penyebabnya adalah penyerang telah menghapus data dari akun penyimpanan Anda. Berlaku untuk: Microsoft Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2

Taktik MITRE: Eksfiltrasi

Tingkat keparahan: Tinggi/Sedang

Akses publik yang tidak terauthentikasi yang tidak biasa ke kontainer blob sensitif (Pratinjau)

Storage.Blob_AnonymousAccessAnomaly.Sensitif

Deskripsi: Pemberitahuan menunjukkan bahwa seseorang mengakses kontainer blob dengan data sensitif di akun penyimpanan tanpa autentikasi, menggunakan alamat IP eksternal (publik). Akses ini mencurigakan karena kontainer blob terbuka untuk akses publik dan biasanya hanya diakses dengan autentikasi dari jaringan internal (alamat IP privat). Akses ini dapat menunjukkan bahwa tingkat akses kontainer blob salah dikonfigurasi, dan aktor jahat mungkin telah mengeksploitasi akses publik. Pemberitahuan keamanan mencakup konteks informasi sensitif yang ditemukan (waktu pemindaian, label klasifikasi, jenis informasi, dan jenis file). Pelajari selengkapnya tentang deteksi ancaman data sensitif. Berlaku untuk: Akun penyimpanan Azure Blob (Tujuan umum standar v2, Azure Data Lake Storage Gen2, atau blob blok premium) dengan paket Defender for Storage baru dengan fitur deteksi ancaman sensitivitas data diaktifkan.

Taktik MITRE: Akses Awal

Tingkat keparahan: Tinggi

Jumlah data yang tidak biasa diekstrak dari kontainer blob sensitif (Pratinjau)

Storage.Blob_DataExfiltration.AmountOfDataAnomaly.Sensitive

Deskripsi: Pemberitahuan menunjukkan bahwa seseorang telah mengekstrak data dalam jumlah besar yang luar biasa dari kontainer blob dengan data sensitif di akun penyimpanan. Berlaku untuk: Akun penyimpanan Azure Blob (Tujuan umum standar v2, Azure Data Lake Storage Gen2, atau blob blok premium) dengan paket Defender for Storage baru dengan fitur deteksi ancaman sensitivitas data diaktifkan.

Taktik MITRE: Eksfiltrasi

Tingkat keparahan: Sedang

Jumlah blob yang tidak biasa yang diekstrak dari kontainer blob sensitif (Pratinjau)

Deskripsi: Pemberitahuan menunjukkan bahwa blob berbahaya diunduh dari akun penyimpanan. Kemungkinan penyebabnya mungkin termasuk malware yang diunggah ke akun penyimpanan dan tidak dihapus atau dikarantina, sehingga memungkinkan pelaku ancaman mengunduhnya, atau unduhan malware yang tidak disengaja oleh pengguna atau aplikasi yang sah. Berlaku untuk: Akun penyimpanan Azure Blob (Tujuan umum standar v2, Azure Data Lake Storage Gen2, atau blob blok premium) dengan paket Defender for Storage baru dengan fitur Pemindaian Malware diaktifkan.

Taktik MITRE: Gerakan Lateral

Tingkat keparahan: Tinggi, jika Eicar - rendah

Peringatan untuk Azure Cosmos DB

Detail dan catatan lebih lanjut

Akses dari simpul keluar Tor

(CosmosDB_TorAnomaly)

Deskripsi: Akun Azure Cosmos DB ini berhasil diakses dari alamat IP yang diketahui sebagai simpul keluar aktif Tor, proksi anonim. Akses yang diautentikasi dari node keluar Tor kemungkinan besar merupakan indikasi bahwa pelaku ancaman berusaha menyembunyikan identitas mereka.

Taktik MITRE: Akses Awal

Tingkat keparahan: Tinggi/Sedang

Akses dari IP yang mencurigakan

(CosmosDB_SuspiciousIp)

Deskripsi: Akun Azure Cosmos DB ini berhasil diakses dari alamat IP yang diidentifikasi sebagai ancaman oleh Inteligensi Ancaman Microsoft.

Taktik MITRE: Akses Awal

Tingkat keparahan: Sedang

Akses dari lokasi yang tidak biasa

(CosmosDB_GeoAnomaly)

Deskripsi: Akun Azure Cosmos DB ini diakses dari lokasi yang dianggap tidak dikenal, berdasarkan pola akses biasa.

Mungkin pelaku ancaman telah mendapatkan akses ke akun, atau pengguna yang sah telah terhubung dari lokasi geografis baru atau tidak biasa

Taktik MITRE: Akses Awal

Tingkat keparahan: Rendah

Volume data yang tidak biasa yang diekstraksi

(CosmosDB_DataExfiltrationAnomaly)

Deskripsi: Volume data yang luar biasa besar telah diekstrak dari akun Azure Cosmos DB ini. Ini mungkin menunjukkan bahwa aktor ancaman mengeluarkan data.

Taktik MITRE: Eksfiltrasi

Tingkat keparahan: Sedang

Ekstraksi kunci akun Azure Cosmos DB via skrip yang berpotensi berbahaya

(CosmosDB_SuspiciousListKeys.MaliciousScript)

Deskripsi: Skrip PowerShell dijalankan di langganan Anda dan melakukan pola operasi daftar kunci yang mencurigakan untuk mendapatkan kunci akun Azure Cosmos DB di langganan Anda. Aktor ancaman menggunakan skrip otomatis, seperti Microburst, guna mencantumkan kunci dan menemukan akun Azure Cosmos DB yang dapat mereka akses.

Operasi ini mungkin menunjukkan bahwa identitas di organisasi Anda dilanggar, dan bahwa aktor ancaman mencoba menyusupi akun Azure Cosmos DB di lingkungan Anda untuk niat jahat.

Atau, orang dalam yang berbahaya dapat mencoba mengakses data sensitif dan melakukan gerakan lateral.

Taktik MITRE: Koleksi

Tingkat keparahan: Sedang

Ekstraksi mencurigakan dari kunci akun Azure Cosmos DB (AzureCosmosDB_SuspiciousListKeys.SuspiciousPrincipal)

Deskripsi: Sumber mencurigakan mengekstrak kunci akses akun Azure Cosmos DB dari langganan Anda. Jika sumber ini bukan sumber yang sah, ini mungkin merupakan masalah berdampak tinggi. Kunci akses yang diekstrak memberikan kontrol penuh atas database terkait dan data yang disimpan di dalamnya. Lihat detail setiap pemberitahuan tertentu untuk memahami mengapa sumber ditandai sebagai mencurigakan.

Taktik MITRE: Akses Kredensial

Tingkat keparahan: tinggi

Injeksi SQL: potensi eksfiltrasi data

(CosmosDB_SqlInjection.DataExfiltration)

Deskripsi: Pernyataan SQL yang mencurigakan digunakan untuk mengkueri kontainer di akun Azure Cosmos DB ini.

Pernyataan yang disuntikkan mungkin telah berhasil menyelundupkan data yang tidak diizinkan untuk diakses oleh pelaku ancaman.

Karena struktur dan kemampuan kueri Azure Cosmos DB, banyak serangan injeksi SQL yang diketahui pada akun Azure Cosmos DB tidak dapat berfungsi. Namun, variasi yang digunakan dalam serangan ini mungkin berfungsi dan pelaku ancaman dapat menyelundupkan data.

Taktik MITRE: Eksfiltrasi

Tingkat keparahan: Sedang

Injeksi SQL: upaya fuzzing

(CosmosDB_SqlInjection.FailedFuzzingAttempt)

Deskripsi: Pernyataan SQL yang mencurigakan digunakan untuk mengkueri kontainer di akun Azure Cosmos DB ini.

Seperti serangan injeksi SQL terkenal lainnya, serangan ini tidak akan berhasil mengorbankan akun Azure Cosmos DB.

Namun demikian, ini adalah indikasi bahwa aktor ancaman mencoba menyerang sumber daya di akun ini, dan aplikasi Anda mungkin disusupi.

Beberapa SQL serangan injeksi dapat berhasil dan digunakan untuk mengeksfiltrasi data. Ini berarti bahwa jika penyerang terus melakukan upaya injeksi SQL, mereka mungkin dapat membahayakan akun Azure Cosmos DB Anda dan menyelundupkan data.

Anda dapat mencegah ancaman ini dengan menggunakan kueri parameter.

Tingkat keparahan: Sedang

Peringatan untuk Azure DDoS Protection

Detail dan catatan lebih lanjut

Serangan DDoS terdeteksi untuk IP Publik

(NETWORK_DDOS_DETECTED)

Deskripsi: Serangan DDoS terdeteksi untuk IP Publik (alamat IP) dan sedang dimitigasi.

Taktik MITRE: Pemeriksaan

Tingkat keparahan: Tinggi

Serangan DDoS dimitigasi untuk IP publik

(NETWORK_DDOS_MITIGATED)

Daftar berikut ini mencakup pemberitahuan keamanan Defender for Containers yang tidak digunakan lagi.

Manipulasi firewall host terdeteksi

(K8S.NODE_FirewallDisabled)

Deskripsi: Analisis proses yang berjalan dalam kontainer atau langsung pada simpul Kubernetes, telah mendeteksi kemungkinan manipulasi firewall on-host. Penyerang akan sering menonaktifkan ini untuk mengekstrak data.

Taktik MITRE: DefenseEvasion, Eksfiltrasi

Tingkat keparahan: Sedang

Penggunaan DNS yang mencurigakan melalui HTTPS

(K8S.NODE_SuspiciousDNSOverHttps)

Deskripsi: Analisis proses yang berjalan dalam kontainer atau langsung pada simpul Kubernetes, telah mendeteksi penggunaan panggilan DNS melalui HTTPS dengan cara yang tidak biasa. Teknik ini digunakan oleh penyerang guna menyembunyikan panggilan ke situs yang dicurigai atau berbahaya.

Taktik MITRE: DefenseEvasion, Eksfiltrasi

Tingkat keparahan: Sedang

Kemungkinan koneksi ke lokasi berbahaya telah terdeteksi.

(K8S.NODE_ThreatIntelCommandLineSuspectDomain)

Deskripsi: Analisis proses yang berjalan dalam kontainer atau langsung pada simpul Kubernetes, telah mendeteksi koneksi ke lokasi yang telah dilaporkan berbahaya atau tidak biasa. Ini adalah indikator bahwa kompromi mungkin telah terjadi.

Taktik MITRE: InitialAccess

Tingkat keparahan: Sedang

Aktivitas penambangan mata uang digital

(K8S. NODE_CurrencyMining)

Deskripsi: Analisis transaksi DNS mendeteksi aktivitas penambangan mata uang digital. Aktivitas seperti itu, meskipun mungkin perilaku pengguna yang sah, sering dilakukan oleh penyerang setelah kompromi sumber daya. Aktivitas penyerang terkait yang umum kemungkinan akan mencakup pengunduhan dan eksekusi alat penambangan umum.

Taktik MITRE: Eksfiltrasi

Nama Tampilan Pemberitahuan: Kemungkinan shell web berbahaya terdeteksi

Nama Tampilan Pemberitahuan: Mendeteksi pennonaktifkan layanan penting

Tingkat keparahan: Sedang

niat rantai pembunuhan yang didukung Defender untuk Cloud didasarkan pada versi 9 matriks MITRE ATT&CK dan dijelaskan dalam tabel di bawah ini.

Taktik	Versi ATT&CK	Deskripsi
PraSerangan		PreAttack dapat berupa upaya untuk mengakses sumber daya tertentu terlepas dari niat jahat, atau upaya yang gagal untuk mendapatkan akses ke sistem target demi mengumpulkan informasi sebelum eksploitasi. Langkah ini biasanya terdeteksi sebagai upaya, yang berasal dari luar jaringan, untuk memindai sistem target dan mengidentifikasi titik masuk.
Akses Awal	V7, V9	Akses Awal adalah tahap di mana penyerang berhasil mendapatkan pijakan pada sumber daya yang diserang. Tahap ini relevan untuk host komputer dan sumber daya seperti akun pengguna, sertifikat, dll. Pelaku ancaman seringkali dapat mengontrol sumber daya setelah tahap ini.
Persistensi	V7, V9	Persistensi adalah akses, tindakan, atau perubahan konfigurasi apa pun ke sistem yang memberi aktor ancaman kehadiran terus-menerus pada sistem itu. Pelaku ancaman seringkali perlu mempertahankan akses ke sistem melalui interupsi seperti restart sistem, hilangnya kredensial, atau kegagalan lain yang memerlukan alat akses jarak jauh untuk memulai ulang atau menyediakan pintu belakang alternatif bagi mereka untuk mendapatkan kembali akses.
Eskalasi Hak Istimewa	V7, V9	Eskalasi hak istimewa adalah hasil dari tindakan yang memungkinkan musuh memperoleh tingkat izin yang lebih tinggi pada sistem atau jaringan. Alat atau tindakan tertentu memerlukan hak istimewa dengan tingkat yang lebih tinggi untuk bekerja dan mungkin diperlukan di banyak titik selama operasi. Akun pengguna dengan izin untuk mengakses sistem tertentu atau melakukan fungsi tertentu yang diperlukan agar iklan mencapai tujuan mereka mungkin juga dianggap sebagai eskalasi hak istimewa.
Penghindaran Pertahanan	V7, V9	Penghindarian pertahanan terdiri dari teknik yang mungkin digunakan musuh untuk menghindari deteksi atau menghindari pertahanan lain. Terkadang tindakan ini sama dengan (atau variasi) teknik dalam kategori lain yang memiliki manfaat tambahan untuk menumbangkan pertahanan atau mitigasi tertentu.
Akses Kredensial	V7, V9	Akses kredensial mewakili teknik yang menghasilkan akses ke atau kontrol atas sistem, domain, atau kredensial layanan yang digunakan dalam lingkungan perusahaan. Musuh kemungkinan akan berusaha untuk mendapatkan kredensial yang sah dari pengguna atau akun administrator (administrator sistem lokal atau pengguna domain dengan akses administrator) untuk digunakan dalam jaringan. Dengan akses yang memadai di dalam jaringan, musuh dapat membuat akun untuk digunakan nanti di dalam lingkungan.
Penemuan	V7, V9	Penemuan terdiri dari teknik-teknik yang memungkinkan musuh memperoleh pengetahuan tentang sistem dan jaringan internal. Ketika musuh mendapatkan akses ke sistem baru, mereka harus mengorientasikan diri mereka pada apa yang sekarang mereka kendalikan dan manfaat apa yang diberikan oleh sistem itu untuk tujuan mereka saat ini atau tujuan keseluruhan selama penyusupan. Sistem operasi menyediakan banyak alat bawaan yang membantu fase pengumpulan informasi pasca-kompromi ini.
GerakanLateral	V7, V9	Gerakan lateral terdiri dari teknik yang memungkinkan musuh mengakses dan mengontrol sistem jarak jauh pada jaringan dan dapat, tetapi tidak harus, mencakup eksekusi alat pada sistem jarak jauh. Gerakan lateral terdiri dari teknik yang memungkinkan musuh mengumpulkan informasi dari sistem tanpa perlu banyak alat, seperti alat akses jarak jauh. Adversary dapat menggunakan gerakan lateral untuk banyak tujuan, termasuk Eksekusi alat jarak jauh, melakukan pivot ke lebih banyak sistem, akses ke informasi atau file tertentu, akses ke lebih banyak kredensial, atau untuk menyebabkan efek.
Eksekusi	V7, V9	Taktik eksekusi mewakili teknik yang menghasilkan eksekusi kode yang dapat dikendalikan musuh pada sistem lokal atau jarak jauh. Taktik ini sering digunakan bersama dengan gerakan lateral untuk memperluas akses ke sistem jarak jauh di jaringan.
Koleksi	V7, V9	Koleksi terdiri dari teknik yang digunakan untuk mengidentifikasi dan mengumpulkan informasi, seperti file sensitif, dari jaringan target sebelum penyelundupan. Kategori ini juga mencakup lokasi pada sistem atau jaringan di mana seterusnya mungkin mencari informasi untuk dieksfiltrasi.
Komando dan Kontrol	V7, V9	Taktik perintah dan kontrol mewakili bagaimana musuh berkomunikasi dengan sistem di bawah kendali mereka dalam jaringan target.
Penyelundupan	V7, V9	Exfiltration mengacu pada teknik dan atribut yang menghasilkan atau membantu musuh menghapus file dan informasi dari jaringan target. Kategori ini juga mencakup lokasi pada sistem atau jaringan di mana seterusnya mungkin mencari informasi untuk dieksfiltrasi.
Dampak	V7, V9	Peristiwa dampak terutama mencoba untuk secara langsung mengurangi ketersediaan atau integritas sistem, layanan, atau jaringan; termasuk manipulasi data untuk mempengaruhi bisnis atau proses operasional. Ini sering merujuk pada teknik seperti ransomware, defacement, manipulasi data, dan lainnya.

Catatan

Untuk lansiran yang ada dalam pratinjau: Persyaratan Tambahan Pratinjau Azure mencakup persyaratan hukum tambahan yang berlaku untuk fitur Azure yang masih dalam versi beta, pratinjau, atau belum dirilis ke ketersediaan umum.

Peringatan keamanan - panduan referensi

Peringatan untuk komputer Windows

Masuk dari IP berbahaya telah terdeteksi. [dilihat beberapa kali]

Pelanggaran kebijakan kontrol aplikasi adaptif diaudit

Penambahan akun Tamu ke grup Administrator Lokal

Log kejadian telah dibersihkan

Aksi Antimalware Gagal

Tindakan Antimalware Diambil

Pengecualian file luas antimalware di komputer virtual Anda

Antimalware dinonaktifkan dan eksekusi kode di komputer virtual Anda

Antimalware dinonaktifkan di komputer virtual Anda

Pengecualian file antimalware dan eksekusi kode di komputer virtual Anda

Pengecualian file antimalware dan eksekusi kode di komputer virtual Anda

Pengecualian file antimalware di komputer virtual Anda

Perlindungan waktu nyata antimalware dinonaktifkan di komputer virtual Anda

Perlindungan waktu nyata antimalware dinonaktifkan sementara di komputer virtual Anda

Perlindungan waktu nyata antimalware dinonaktifkan sementara saat kode dijalankan di komputer virtual Anda

Pemindaian antimalware diblokir untuk file yang berpotensi terkait dengan kampanye malware di komputer virtual Anda (Pratinjau)

Antimalware dinonaktifkan sementara di komputer virtual Anda

Pengecualian file antimalware yang tidak biasa di komputer virtual Anda

Komunikasi dengan domain mencurigakan yang diidentifikasi oleh intelijen ancaman

Tindakan yang terdeteksi menunjukkan menonaktifkan dan menghapus file log IIS

Campuran anomali yang terdeteksi dari karakter huruf besar dan kecil dalam baris perintah

Terdeteksi perubahan pada kunci registri yang dapat disalahgunakan untuk melewati UAC

Decoding yang terdeteksi dari executable menggunakan alat certutil.exe bawaan

Terdeteksi mengaktifkan kunci registri WDigest UseLogonCredential

Eksekusi terkodekan yang terdeteksi dalam data baris perintah

Baris perintah obfuscated terdeteksi

Terdeteksi kemungkinan eksekusi keygen dapat dieksekusi

Terdeteksi kemungkinan eksekusi penetes malware

Terdeteksi kemungkinan aktivitas pengintaian lokal

Terdeteksi kemungkinan penggunaan alat Telegram yang berpotensi mencurigakan

Penindasan yang terdeteksi dari pemberitahuan hukum ditampilkan kepada pengguna saat log masuk

Terdeteksi kombinasi mencurigakan dari HTA dan PowerShell

Argumen baris perintah yang terdeteksi mencurigakan

Baris perintah mencurigakan terdeteksi digunakan untuk memulai semua executable dalam direktori

Terdeteksi kredensial mencurigakan dalam baris perintah

Terdeteksi kredensial dokumen yang mencurigakan

Terdeteksi eksekusi mencurigakan dari perintah VBScript.Encode

Terdeteksi eksekusi mencurigakan melalui rundll32.exe

Perintah pembersihan berkas mencurigakan yang terdeteksi

Pembuatan file mencurigakan yang terdeteksi

Terdeteksi mencurigakan bernama pipa komunikasi

Aktivitas jaringan mencurigakan yang terdeteksi

Terdeteksi aturan firewall baru yang mencurigakan

Terdeteksi mencurigakan penggunaan Cacls untuk menurunkan status keamanan sistem

Terdeteksi mencurigakan penggunaan FTP -s Switch

Terdeteksi penggunaan mencurigakan dari Pcalua.exe meluncurkan kode yang dapat dieksekusi

Terdeteksi penonaktifan layanan penting

Perilaku terkait penambangan mata uang digital terdeteksi

Konstruksi skrip PS dinamis

Executable ditemukan berjalan dari lokasi yang mencurigakan

Perilaku Serangan Tanpa Berkas Terdeteksi

Teknik serangan tanpa file terdeteksi

Toolkit serangan tanpa file terdeteksi

Perangkat lunak berisiko tinggi terdeteksi

Anggota grup Administrator Lokal dimaklumi

Aturan firewall berbahaya yang dibuat oleh implan server ZINC [dilihat beberapa kali]

Aktivitas SQL berbahaya

Beberapa Akun Domain Dikueri

Kemungkinan pembuangan kredensial terdeteksi [dilihat beberapa kali]

Potensi upaya untuk melewati AppLocker terdeteksi

Grup layanan SVCHOST langka dijalankan

Serangan tombol lengket terdeteksi

Serangan brute force yang sukses

Tingkat integritas tersangka menunjukkan pembajakan RDP

Instalasi layanan tersangka

Diduga Kerberos Golden Ticket parameter serangan diamati

Pembuatan Akun Mencurigakan Terdeteksi

Aktivitas Mencurigakan Terdeteksi

Aktivitas autentikasi yang mencurigakan

Segmen kode mencurigakan terdeteksi

Berkas ekstensi ganda mencurigakan dieksekusi

Unduhan mencurigakan menggunakan Certutil terdeteksi [terlihat beberapa kali]

Unduhan mencurigakan menggunakan Certutil terdeteksi

Aktivitas PowerShell Mencurigakan Terdeteksi

Cmdlet PowerShell mencurigakan dieksekusi

Proses mencurigakan yang dijalankan [dilihat beberapa kali]

Proses mencurigakan dijalankan

Nama proses mencurigakan terdeteksi [dilihat beberapa kali]