Informazioni sugli avvisi di sicurezza nel Centro sicurezza di AzureUnderstanding security alerts in Azure Security Center

Questo articolo consente di comprendere i diversi tipi di avvisi di sicurezza e le informazioni significative che ne derivano disponibili nel Centro sicurezza di Azure.This article helps you to understand the different types of security alerts and related insights that are available in Azure Security Center. Per altre informazioni sulla gestione degli avvisi e degli eventi imprevisti, vedere Gestione e risposta agli avvisi di sicurezza nel Centro sicurezza di Azure.For more information on how to manage alerts and incidents, see Managing and responding to security alerts in Azure Security Center.

Per configurare le funzionalità di rilevamento avanzato, eseguire l'aggiornamento al livello Standard del Centro sicurezza di Azure.To set up advanced detections, upgrade to Azure Security Center Standard. È disponibile una versione di valutazione gratuita di 60 giorni.A free 60-day trial is available. Per eseguire l'aggiornamento, selezionare il Piano tariffario nei criteri di sicurezza.To upgrade, select Pricing Tier in the security policy. Per altre informazioni, vedere la pagina dei prezzi.To learn more, see the pricing page.

Nota

Il Centro sicurezza ha rilasciato un'anteprima limitata di un nuovo set di strumenti di rilevamento, che sfruttano i record di controllo, un framework di controllo comune, per rilevare comportamenti dannosi nei computer Linux.Security Center has released to limited preview a new set of detections that leverage auditd records, a common auditing framework, to detect malicious behaviors on Linux machines. Inviare un messaggio di posta elettronica con l'ID sottoscrizione a Microsoft per accedere all'anteprima.Send an email with your subscription IDs to us to join the preview.

Quali tipi di avvisi sono disponibili?What type of alerts are available?

Il Centro sicurezza di Azure usa una serie di funzionalità di rilevamento per avvisare i clienti riguardo a potenziali attacchi contro gli ambienti in cui operano.Azure Security Center uses a variety of detection capabilities to alert customers to potential attacks targeting their environments. Questi avvisi contengono informazioni importanti relative a cosa ha attivato l'avviso, alle risorse interessate e all'origine dell'attacco.These alerts contain valuable information about what triggered the alert, the resources targeted, and the source of the attack. Le informazioni incluse in un avviso variano in base al tipo di analisi usata per rilevare la minaccia.The information included in an alert varies based on the type of analytics used to detect the threat. Anche gli eventi imprevisti possono contenere ulteriori informazioni contestuali utili nel corso dell'analisi di una minaccia.Incidents may also contain additional contextual information that can be useful when investigating a threat. Questo articolo fornisce informazioni sui tipi di avvisi seguenti:This article provides information about the following alert types:

  • Analisi del comportamento delle macchine virtuali (VMBA)Virtual Machine Behavioral Analysis (VMBA)
  • Analisi di reteNetwork Analysis
  • Analisi di database SQL e SQL Data WarehouseSQL Database and SQL Data Warehouse Analysis
  • Informazioni contestualiContextual Information

Analisi del comportamento delle macchine virtualiVirtual machine behavioral analysis

Il Centro sicurezza di Azure può usare le analisi del comportamento per identificare le risorse compromesse in base all'analisi del registro eventi delle macchine virtuali,Azure Security Center can use behavioral analytics to identify compromised resources based on analysis of virtual machine event logs. ad esempio eventi di creazione di processi ed eventi di accesso.For example, Process Creation Events and Login Events. Esiste inoltre una correlazione con altri segnali per verificare la presenza di elementi a riprova di una campagna su larga scala.In addition, there is correlation with other signals to check for supporting evidence of a widespread campaign.

Nota

Per altre informazioni sulle funzionalità di rilevamento del Centro sicurezza, vedere Funzionalità di rilevamento del Centro sicurezza di Azure.For more information on how Security Center detection capabilities work, see Azure Security Center detection capabilities.

Analisi di eventiEvent analysis

Il Centro sicurezza usa l'analisi avanzata per identificare le risorse compromesse in base all'analisi del registro eventi delle macchine virtuali,Security Center uses advanced analytics to identify compromised resources based on analysis of virtual machine event logs. ad esempio eventi di creazione di processi ed eventi di accesso.For example, Process Creation Events and Login Events. Esiste inoltre una correlazione con altri segnali per verificare la presenza di elementi a riprova di una campagna su larga scala.In addition, there is correlation with other signals to check for supporting evidence of a widespread campaign.

  • Esecuzione di processo sospetto rilevata: gli utenti malintenzionati provano spesso a eseguire malware senza rilevamento mascherandolo da processo non dannoso.Suspicious process execution detected: Attackers often try to execute malicious code without detection by masquerading as benign processes. Avvisi simili a questi indicano che l'esecuzione di un processo corrispondeva a uno dei modelli seguenti:These alerts indicate that a process execution matched one of the following patterns:

    • È stato eseguito un processo usato per scopi dannosi.A process known to be used for malicious purposes was executed. Anche se i singoli comandi possono sembrare non dannosi, l'avviso viene classificato in base a un'aggregazione di questi comandi.While individual commands may appear benign the alert is scored based on an aggregation of these commands.
    • È stato eseguito un processo da una posizione non comune.A process was executed from an uncommon location.
    • È stato eseguito un processo da una posizione in comune con file sospetti noti.A process was executed from a location in common with known suspicious files.
    • È stato eseguito un processo da un percorso sospetto.A process was executed from a suspicious path.
    • È stato eseguito un processo in un contesto anomalo.A process was executed in an abnormal context.
    • È stato eseguito un processo da un account insolitoA process was executed by an unusual account
    • È stato eseguito un processo con un'estensione sospetta.A process with a suspicious extension was executed.
    • È stato eseguito un processo con un'estensione doppia sospetta.A process with a suspicious double extension was executed.
    • È stato eseguito un processo con un carattere da destra a sinistra sospetto nel nome del file.A process with a suspicious right-to-left (RLO) character in its filename was executed.
    • È stato eseguito un processo con un nome molto simile, anche se diverso, a quello di un processo di uso molto frequenteA process whose name is very similar to but different from a very commonly run process was executed
    • È stato eseguito un processo il cui nome corrisponde a quello di uno strumento di attacco noto.A process whose name corresponds to a known attacker tool was executed.
    • È stato eseguito un processo con un nome casuale.A process with a random name was executed.
    • È stato eseguito un processo con un'estensione sospetta.A process with a suspicious extension was executed.
    • È stato eseguito un file nascosto.A hidden file was executed.
    • È stato eseguito un processo come figlio di un altro processo non correlato.A process was executed as a child of another unrelated process.
    • Un processo insolito è stato creato da un processo di sistema.An unusual process was created by a system process.
    • Un processo anomalo è stato avviato dal servizio Windows Update.An anomalous process was launched by the Windows update service.
    • È stato eseguito un processo con una riga di comando insolita,A process was executed with an unusual command line. il che è stato associato al fatto che viene assunto il controllo di processi legittimi per l'esecuzione di contenuto dannoso.This has been associated with legitimate processes being hijacked for execution of malicious content.
    • È stato eseguito un tentativo dalla riga di comando di avviare tutti i file eseguibili (*.exe) in una directory.An attempt to start all executables (*.exe) in a directory was executed from the command line.
    • Un processo è stato eseguito dall'utilità PsExec, che può essere usata per eseguire processi in remoto.A process was executed by PsExec utility, which can be used to run processes remotely.
    • Il file eseguibile padre di Apache Tomcat® (Tomcat#.exe) è stato usato per avviare processi figlio sospetti, che possono ospitare o avviare comandi dannosi.The Apache Tomcat® Parent executable (Tomcat#.exe) was used to launch suspicious child processes, which can host or launch malicious commands.
    • "Risoluzione problemi compatibilità programmi" di Microsoft Windows (pcalua.exe) è stato usato per avviare un codice eseguibile, che potrebbe essere dannoso.The Microsoft Windows "Program Compatibility Assistant" (pcalua.exe) was used to launch executable code, which could be malicious.
    • È stato rilevato un burst di terminazione di un processo sospetto.A suspicious process termination burst was detected.
    • Il processo di sistema SVCHOST è stato eseguito in un contesto anomalo.The system process SVCHOST was executed in an abnormal context.
    • Il processo di sistema SVCHOST è stato eseguito in un gruppo di servizi raro.The system process SVCHOST was executed in a rare service group.
    • È stata eseguita una riga di comando sospetta.A suspicious command line was executed.
    • Uno script di PowerShell ha caratteristiche in comune con script sospetti noti.A PowerShell script has characteristics in common with known suspicious scripts.
    • È stato eseguito un cmdlet di PowerShell Powersploit dannoso noto.A known malicious PowerShell Powersploit cmdlet was executed.
    • Un utente SQL predefinito ha eseguito un processo insolitoA built-in SQL user executed a process it normally wouldn't
    • È stato rilevato un file eseguibile con codifica in base 64, che potrebbe indicare che un utente malintenzionato sta provando a evitare il rilevamento creando un file eseguibile in tempo reale tramite una sequenza di comandi.A base-64 encoded executable was detected, which could indicate an attacker attempting to void detection by constructing an executable on-the-fly through a sequence of commands.
  • Attività della risorsa RDP sospetta: gli utenti malintenzionati sottopongono spesso ad attacchi di forza bruta le porte di gestione aperte, ad esempio RDP.Suspicious RDP resource activity: Attackers often target open management ports like RDP with brute force attacks. Avvisi simili a questi indicano un'attività di accesso Desktop remoto sospetta:These alerts indicate suspicious Remote Desktop login activity indicating:

    • Sono stati tentati accessi Desktop remoto.Remote Desktop logins were attempted.
    • Sono stati tentati accessi Desktop remoto usando account non validi.Remote Desktop logins were attempted using invalid accounts.
    • Sono stati tentati accessi Desktop remoto al computer, alcuni dei quali hanno avuto esito positivo.Remote Desktop logins were attempted, some of which were able to successfully login to the machine.
  • Attività della risorsa SSH sospetta: gli utenti malintenzionati sottopongono spesso ad attacchi di forza bruta le porte di gestione aperte, ad esempio SSH.Suspicious SSH resource activity: Attackers often target open management ports like SSH with brute force attacks. Avvisi simili a questi indicano un'attività di accesso SSH sospetta:These alerts indicate suspicious SSH login activity indicating:
    • Sono stati tentati accessi SSH non riusciti.Failed SSH logins were attempted.
    • Sono stati tentati accessi SSH, alcuni dei quali hanno avuto esito positivo.SSH logins were attempted, some of which were successful.
  • Valore del Registro di sistema WindowPosition sospetto: un avviso simile a questo indica che è stata tentata una modifica alla configurazione del Registro di sistema WindowPosition, che potrebbe rivelare che le finestre dell'applicazione vengono nascoste in sezioni non visibili del desktop.Suspicious WindowPosition registry value: This alert indicates that a WindowPosition registry configuration change was attempted, which could be indicative of hiding application windows in non-visible sections of the desktop.
  • Potenziale tentativo di ignorare AppLocker: AppLocker può essere usato per limitare i processi che possono essere eseguiti in Windows, limitando l'esposizione al malware.Potential attempt to bypass AppLocker: AppLocker can be used to limit the processes that can run on Windows, limiting exposure to malware. Un avviso simile a questo indica un possibile tentativo di ignorare le restrizioni di AppLocker usando file eseguibili considerati attendibili (consentiti dai criteri di AppLocker) per eseguire un codice non attendibile.This alert indicates a possible attempt to bypass AppLocker restrictions by using trusted executables (allowed by AppLocker policy) to execute untrusted code.
  • Comunicazioni della named pipe sospette: un avviso simile a questo indica che sono stati scritti dati in una named pipe locale da un comando della console di Windows.Suspicious named pipe communications: This alert indicates that data was written to a local named pipe from a Windows console command. È noto che le named pipe vengono usate dagli utenti malintenzionati per comunicare con una struttura dannosa e gestirla.Named pipes are known to be used by attackers to task and communicate with a malicious implant.
  • Decodifica di un file eseguibile con lo strumento certutil.exe predefinito: un avviso simile a questo indica che un'utilità dell'account predefinito Administrator, certutil.exe, è stata usata per decodificare un file eseguibile.Decoding of an executable using built-in certutil.exe tool: This alert indicates that a built-in administrator utility, certutil.exe, was used to decode an executable. È noto che gli utenti malintenzionati usano in modo improprio la funzionalità degli strumenti di amministrazione legittimi per eseguire azioni dannose, ad esempio usando uno strumento come certutil.exe per decodificare un file eseguibile dannoso che verrà quindi eseguito successivamente.Attackers are known to abuse functionality of legitimate administrator tools to perform malicious actions, for example using a tool such as certutil.exe to decode a malicious executable that will then be subsequently executed.
  • Un log eventi è stato cancellato: un avviso simile a questo indica un'operazione sospetta di cancellazione di un log eventi, che viene spesso usata dagli utenti malintenzionati per cercare di coprire le proprie tracce.An event log was cleared: This alert indicates a suspicious event log clearing operation, which is often used by attackers to try to cover their tracks.
  • Disabilitazione ed eliminazione di file di log IIS: un avviso simile a questo indica che i file di log IIS sono stati disabilitati e/o eliminati. Tale operazione viene spesso usata dagli utenti malintenzionati per cercare di coprire le proprie tracce.Disabling and deleting IIS log files: This alert indicates that IIS log file were disabled and/or deleted, which is often used by attackers to try to cover their tracks.
  • Eliminazione sospetta di file: un avviso simile a questo indica un'eliminazione sospetta di file, che può essere usata da un utente malintenzionato per rimuovere la prova di file binari dannosi.Suspicious file deletion: This alert indicates suspicious deletion of files, which can be used by an attacker to remove evidence of malicious binaries.
  • Tutte le copie shadow dei file sono state eliminate: un avviso simile a questo indica che le copie shadow sono state eliminate.All file shadow copies have been deleted: This alert indicates that shadow copies have been deleted.
  • Comandi sospetti di pulizia file: un avviso simile a questo indica una combinazione di comandi systeminfo usati per eseguire un'attività di pulizia automatica successiva a una compromissione.Suspicious file cleanup commands: This alert indicates a combination of systeminfo commands used to perform post-compromise self-cleanup activity. Anche se systeminfo.exe è uno strumento legittimo di Windows, è raro che venga eseguito due volte in successione, seguito da una comando di eliminazione come in questo caso.While systeminfo.exe is a legitimate Windows tool, executing it twice in succession, followed by a delete command in the way that has occurred here is rare.
  • Creazione sospetta di account: un avviso simile a questo indica che è stato creato un account molto somigliante a un account predefinito esistente con privilegi amministrativi.Suspicious account creation: This alert indicates that an account was created with a close resemblance of an existing built in administrative privilege account. Questa tecnica può essere usata da utenti malintenzionati per creare un account non autorizzato senza essere rilevati.This technique can be used by attackers to create a rogue account without being detected.
  • Attività di copia Shadow del volume sospetta: un avviso simile a questo indica un'attività di eliminazione della copia shadow sulla risorsa.Suspicious volume shadow copy activity: This alert indicates shadow copy deletion activity on the resource. Copia Shadow del volume è un importante elemento che archivia gli snapshot di dati.Volume Shadow Copy (VSC) is an important artifact that stores data snapshots. Questa attività, anche se in genere è associata a Ransowmare, può tuttavia essere legittima.This activity is usually associated with Ransowmare, but it could also be legitimate.
  • Metodo di salvataggio permanente del Registro di sistema di Windows: un avviso simile a questo indica un tentativo di salvare in modo permanente un file eseguibile nel Registro di sistema di Windows.Windows registry persistence method: This alert indicates an attempt to persist an executable in the Windows registry. Il malware usa spesso tale tecnica per superare un avvio.Malware often uses such a technique to survive a boot.
  • Nuova regola del firewall sospetta: un avviso simile a questo indica che è stata aggiunta una nuova regola del firewall tramite netsh.exe per consentire il traffico da un file eseguibile in una posizione sospetta.Suspicious new firewall rule: This alert indicates that a new Firewall rule has been added via netsh.exe to allow traffic from an executable in a suspicious location.
  • Esecuzioni XCOPY sospette: un avviso simile a questo indica una serie di esecuzioni XCOPY che potrebbero segnalare che uno dei computer è stato compromesso ed è stato usato per propagare il malware.Suspicious XCOPY executions: This alert indicates a series of XCOPY executions which could signal that one of your machines has been compromised and was used to propagate malware.
  • Eliminazione delle note legali visualizzate dagli utenti all'accesso: un avviso simile a questo indica una modifica alla chiave del Registro di sistema che determina se le note legali vengono visualizzate dagli utenti quando effettuano l'accesso.Suppression of legal notice displayed to users at logon: This alert indicates a change to the registry key that controls whether a legal notice is displayed to users when they log on. Si tratta di un'attività comunemente eseguita dagli utenti malintenzionati dopo avere compromesso un host.This is a common activity undertaken by attackers after having compromised a host.
  • Rilevata combinazione anomala di caratteri maiuscoli e minuscoli nella riga di comando: un avviso simile a questo indica l'uso di una combinazione di caratteri maiuscoli e minuscoli nella riga di comando, che è una tecnica usata dagli utenti malintenzionati per nascondersi da regole del computer con distinzione tra maiuscole e minuscole o basate su hash.Detected anomalous mix of upper and lower case characters in command line: This alert indicates the use of a mix of upper and lower case characters at the command line, which is a technique used by attackers to hide from case-sensitive or hash-based machine rule.
  • Riga di comando offuscata: un avviso simile a questo indica che indicatori sospetti di offuscamento sono stati rilevati nella riga di comando.Obfuscated command line: This alert indicates that suspicious indicators of obfuscation were detected at the command line.
  • Tentativi ripetuti di query sugli account di dominio: gli utenti malintenzionati spesso eseguono query sugli account di dominio AD mentre eseguono una ricognizione degli utenti, degli account amministratore di dominio, dei controller di dominio e delle relazioni di trust tra i domini.Multiple domain accounts queried: Attackers often query AD domain accounts while performing reconnaissance on users, domain admin accounts, domain controllers, and trust relationships between domains. Questo avviso indica che sono state eseguite query su un numero insolito di account di dominio distinti in un breve periodo di tempo.This alert indicates that an unusual number of distinct domain accounts were queried within a short time period.
  • Possibile attività di ricognizione locale: un avviso simile a questo indica che è stata eseguita una combinazione di comandi systeminfo associati a un'attività di ricognizione.Possible local reconnaissance activity: This alert indicates that a combination of systeminfo commands associated with reconnaissance activity have been executed. Anche se systeminfo.exe è uno strumento legittimo di Windows, è raro che venga eseguito due volte in successione.While systeminfo.exe is a legitimate Windows tool, executing it twice in succession is rare.
  • Possibile esecuzione del file eseguibile keygen: un avviso simile a questo indica che è stato eseguito un processo il cui nome può indicare uno strumento keygen.Possible execution of keygen executable: This alert indicates that a process whose name is indicative of a keygen tool has been executed. Tali strumenti vengono in genere usati per vanificare i meccanismi di gestione licenze software, ma il download è spesso in bundle con altro software dannoso.Such tools are typically used to defeat software licensing mechanisms, but their download is often bundled with other malicious software.
  • Esecuzione sospetta tramite rundll32.exe: un avviso simile a questo indica che è stato usato rundll32.exe per eseguire un processo con un nome non comune, coerente con lo schema di denominazione dei processi usato dagli utenti malintenzionati per installare un impianto di prima fase in un host compromesso.Suspicious execution via rundll32.exe: This alert indicates that rundll32.exe was used to execute a process with an uncommon name, consistent with the process naming scheme used by attackers to install a first stage implant on a compromised host.
  • Combinazione sospetta di HTA e PowerShell: un avviso simile a questo indica che un host applicazioni HTML Microsoft (HTA) sta avviando comandi di PowerShell.Suspicious combination of HTA and PowerShell: This alert indicates that a Microsoft HTML Application Host (HTA) is launching PowerShell commands. Si tratta di una tecnica usata dagli utenti malintenzionati per avviare script di PowerShell dannosi.This is a technique used by attackers to launch malicious PowerShell scripts.
  • Modifica a una chiave del Registro di sistema che può essere usata in modo improprio per ignorare il controllo dell'account utente: un avviso simile a questo indica che è stata modificata una chiave del Registro di sistema che può essere usata in modo improprio per ignorare il controllo dell'account utente. Tale operazione viene spesso usata dagli utenti malintenzionati per passare dall'accesso senza privilegi (utente standard) a quello con privilegi (ad esempio, amministratore) in un host compromesso.Change to a registry key that can be abused to bypass UAC: This alert indicates that a registry key that can be abused to bypass UAC (User Account Control) was changed, which is often used by attackers to move from unprivileged (standard user) to privileged (for example administrator) access on a compromised host.
  • Uso di nome di dominio sospetto nella riga di comando: un avviso simile a questo indica che è stato usato un nome di dominio sospetto, che può dimostrare che un utente malintenzionato sta ospitando strumenti dannosi e ha gli endpoint per il comando, il controllo e l'esfiltrazione dei dati.Use of suspicious domain name within command line: This alert indicates that a suspicious domain name was used, which can be evidence of an attacker is hosting malicious tools and as end-points for command-and-control and exfiltration of data.
  • Un account è stato creato in più host nell'arco di 24 ore: un avviso simile a questo indica che è stato fatto un tentativo di creare lo stesso account utente in più host. Tale tentativo può suggerire che un utente malintenzionato si sta muovendo lateralmente nella rete dopo che una o più entità di rete sono state compromesse.An account was created on multiple hosts within a 24-hour time period: This alert indicates that an attempt was made to create the same user account on multiple hosts, which can be evidence of an attacker moving laterally across the network after one or more network entities have been compromised.
  • Uso sospetto di CACLS per ridurre lo stato di sicurezza del sistema: un avviso simile a questo indica che l'elenco di controllo di accesso delle modifiche (CACLS) è stato modificato.Suspicious use of CACLS to lower the security state of the system: This alert indicates that the change access control list (CACLS) was changed. Questa tecnica viene spesso usata dagli utenti malintenzionati per concedere l'accesso completo ai file binari di sistema, ad esempio ftp.exe, net.exe, wscript.exe e così via.This technique is often used by attackers to give full access system binaries like ftp.exe, net.exe, wscript.exe etc.
  • Sospetti parametri di attacco con Golden Ticket Kerberos: un avviso simile a questo indica che sono stati eseguiti parametri della riga di comando coerenti con un attacco con Golden Ticket Kerberos.Suspected Kerberos Golden Ticket attack parameters: This alert indicates that command line parameters consistent with a Kerberos Golden Ticket attack were executed. Una chiave krbtgt compromessa può essere usata da un utente malintenzionato per rappresentare qualsiasi utente.A compromised krbtgt key can be used by an attacker to impersonate any user they wish.
  • Abilitazione della chiave del Registro di sistema WDigest UseLogonCredential: un avviso simile a questo indica che la chiave del Registro di sistema è stata modificata per consentire l'archiviazione delle credenziali di accesso come testo non crittografato nella memoria LSA, da dove possono quindi essere raccolte.Enabling of the WDigest UseLogonCredential registry key: This alert indicates that the registry key was changed to allow logon credentials to be stored in clear text in LSA memory, which can then be harvested from memory.
  • Uso potenzialmente sospetto dello strumento Telegram: un avviso simile a questo indica l'installazione di Telegram, un servizio di messaggistica istantanea gratuito basato sul cloud usato dagli utenti malintenzionati per trasferire file binari dannosi in un altro computer, telefono o tablet.Potentially suspicious use of Telegram tool: This alert indicates the installation of Telegram, a free cloud-based instant messaging service used by attackers to transfer malicious binaries to any other computer, phone, or tablet.
  • Creazione di un nuovo punto di estendibilità di avvio automatico: un avviso simile a questo indica la creazione di un nuovo punto di estendibilità di avvio automatico, che causa l'avvio automatico del nome di processo identificato nella riga di comando e che può essere usato da un utente malintenzionato per eseguire il salvataggio permanente.New ASEP creation: This alert indicates the creation of a new ASEP (Auto Start Extensibility Point), which causes the process name identified in the command line to be automatically started and can be used by an attacker to achieve persistence.
  • Modifiche sospette a Set-ExecutionPolicy e WinRM: un avviso simile a questo indica modifiche di configurazione, associate all'uso della shell Web ChinaChopper dannosa.Suspicious Set-ExecutionPolicy and WinRM changes: This alert indicates configuration changes, which are associated with the use of the malicious ChinaChopper webshell.
  • Disabilitazione di servizi critici: un avviso simile a questo indica che il comando "net.exe stop" è stato usato per arrestare servizi critici, ad esempio SharedAccess o il Centro sicurezza PC Windows.Disabling of critical services: This alert indicates that "net.exe stop" command was used to stop critical services like SharedAccess or Windows Security Center.
  • Uso sospetto dell'opzione -s dell'FTP: un avviso simile a questo indica l'uso dell'opzione "-s" dell'FTP, che può essere usata dal malware per connettersi a un server FTP remoto e scaricare file binari dannosi aggiuntivi.Suspicious use of FTP -s switch: This alert indicates use of FTP's "-s" switch, which can be used by malware to connect to a remote FTP server and download additional malicious binaries.
  • Esecuzione sospetta del comando VBScript.Encode: un avviso simile a questo indica che è stato eseguito il comando VBScript.Encode, che codifica gli script in testo non leggibile, rendendo più difficile agli utenti esaminare il codice.Suspicious execution of VBScript.Encode command: This alert indicates the VBScript.Encode command was executed, which encodes scripts into unreadable text, making it more difficult for users to examine the code.
  • Allocazione di un oggetto HTTP VBScript: un avviso simile a questo indica la creazione di un file VBScript tramite il prompt dei comandi, che può essere usato per scaricare file dannosi.VBScript HTTP object allocation: This alert indicates the creation of a VBScript file using Command Prompt; which can be used to download malicious files.
  • Attacco basato su tasti permanenti: un avviso simile a questo indica che è possibile che un utente malintenzionato stia compromettendo un elemento binario di accessibilità (ad esempio, tasti permanenti, tastiera su schermo, assistente vocale) per fornire l'accesso tramite backdoor.Sticky keys attack: This alert indicates that an attacker may be subverting an accessibility binary (for example sticky keys, onscreen keyboard, narrator) in order to provide backdoor access.
  • Indicatori ransomware Petya: un avviso simile a questo indica che sono state osservate le tecniche associate al ransomware Petya.Petya ransomware indicators: This alert indicates the techniques associated with the Petya ransomware were observed.
  • Tentativo di disabilitare l'interfaccia di analisi antimalware: un avviso simile a questo indica un tentativo di disabilitare l'interfaccia di analisi antimalware per disabilitare il rilevamento antimalware.Attempt to disable AMSI: This alert indicates an attempt to disable the antimalware scan interface (AMSI), which would disable antimalware detection.
  • Indicatori ransomware: un avviso simile a questo indica un'attività sospetta in genere associata a un ransomware relativo alla schermata di blocco e alla crittografia.Ransomware indicators: This alert indicates suspicious activity traditionally associated with lock-screen and encryption ransomware.
  • File di output di raccolta delle tracce sospetto: un avviso simile a questo indica che una traccia (ad esempio, di un'attività di rete) è stata raccolta e visualizzata in un tipo di file insolito.Suspicious trace collection output file: This alert indicates that a trace (for example of network activity) was collected and output to an unusual file type.
  • Software a rischio elevato: un avviso simile a questo indica l'uso di software associato all'installazione di malware.High risk software: This alert indicates use of software that has been associated with the installation of malware. Gli utenti malintenzionati spesso inseriscono il malware in un pacchetto con strumenti di per sé non dannosi, come quello mostrato in questo avviso, ed eseguono un'installazione invisibile all'utente del malware in background.Attackers often package malware with otherwise benign tools such as the one seen in this alert and silently install the malware in the background.
  • Creazione di file sospetta: un avviso simile a questo indica la creazione o l'esecuzione di un processo usato dagli utenti malintenzionati per scaricare malware aggiuntivo in un host compromesso dopo l'apertura di un allegato in un documento di phishing.Suspicious file creation: This alert indicates creation or execution of a process used by attackers to download additional malware to a compromised host after an attachment in a phishing doc has been opened.
  • Credenziali sospette nella riga di comando: un avviso simile a questo indica una password sospetta usata per eseguire un file.Suspicious credentials in command line: This alert indicates a suspicious password used to execute a file. Questa tecnica è stata usata dagli utenti malintenzionati per eseguire il malware Pirpi.This technique has been used by attackers to execute the Pirpi malware.
  • Possibile esecuzione di dropper di malware: un avviso simile a questo indica un nome di file usato da utenti malintenzionati per installare il malware.Possible execution of malware dropper: This alert indicates a filename that has been used by attackers to install malware.
  • Esecuzione sospetta tramite rundll32.exe: un avviso simile a questo indica l'uso di rundll32.exe per eseguire notepad.exe o reg.exe, in modo coerente con la tecnica di inserimento processi usata dagli utenti malintenzionati.Suspicious execution via rundll32.exe: This alert indicates rundll32.exe being used to execute a notepad.exe or reg.exe, consistent with the process injection technique used by attackers.
  • Argomenti della riga di comando sospetti: un avviso simile a questo indica argomenti della riga di comando sospetti usati insieme a una shell inversa usata dal gruppo di attività HYDROGEN.Suspicious command line arguments: This alert indicates suspicious command line arguments that have been used in conjunction with a reverse shell used by activity group HYDROGEN.
  • Credenziali di documento sospette: un avviso simile a questo indica un hash delle password pre-calcolato comune sospetto usato dal malware usato per eseguire un file.Suspicious document credentials: This alert indicates a suspicious, common precomputed password hash used by malware being used to execute a file.
  • Costruzione di script di PowerShell dinamica: un avviso simile a questo indica che è in corso la costruzione dinamica di uno script di PowerShell.Dynamic PS script construction: This alert indicates a PowerShell script being constructed dynamically. Gli utenti malintenzionati usano questa tecnica per la compilazione progressiva di uno script per potersi sottrarre ai sistemi di rilevamento delle intrusioni.Attackers use this technique to progressively build a script in order to evade IDS systems.
  • Indicatori Metasploit: un avviso simile a questo indica un'attività associata al framework Metasploit, in cui sono disponibili svariate funzionalità e strumenti per gli utenti malintenzionati.Metaploit indicators: This alert indicates activity associated with the Metasploit framework, which provides a range of attacker capabilities and tools.
  • Attività sospetta di un account: un avviso simile a questo indica un tentativo di connettersi a un computer usando un account compromesso di recente.Suspicious account activity: This alert indicates an attempt to connect to a machine using an account that was recently compromised.
  • Creazione di account: un avviso simile a questo indica una creazione di un nuovo account nel computer.Account creation: This alert indicates a creation of a new account on the machine.

Analisi degli arresti anomaliCrash analysis

L'analisi della memoria del dump di arresto anomalo è un metodo usato per rilevare malware sofisticato in grado di eludere le soluzioni di sicurezza tradizionali.Crash dump memory analysis is a method used to detect sophisticated malware that is able to evade traditional security solutions. Varie forme di malware provano a ridurre le probabilità di essere rilevate dai prodotti antivirus non scrivendo mai sul disco oppure crittografando i componenti software scritti sul disco.Various forms of malware try to reduce the chance of being detected by antivirus products by never writing to disk, or by encrypting software components written to disk. Questa tecnica rende il malware difficile da rilevare con gli approcci antimalware tradizionali.This technique makes the malware difficult to detect by using traditional antimalware approaches. Tuttavia, questo tipo di malware può essere rilevato tramite l'analisi della memoria, perché per funzionare il malware deve lasciare tracce in memoria.However, this kind of malware can be detected by using memory analysis, because malware must leave traces in memory in order to function.

Quando il software si arresta in modo anomalo, un dump di arresto anomalo acquisisce una porzione della memoria al momento dell'arresto.When software crashes, a crash dump captures a portion of memory at the time of the crash. L'arresto anomalo può essere causato da malware o da problemi generali del sistema o delle applicazioni.The crash may be caused by malware, general application, or system issues. Analizzando la memoria nel dump di arresto anomalo, il Centro sicurezza può rilevare le tecniche usate per sfruttare le vulnerabilità del software, accedere ai dati riservati e rimanere permanentemente all'interno di un computer infetto in modo furtivo.By analyzing the memory in the crash dump, Security Center can detect techniques used to exploit vulnerabilities in software, access confidential data, and surreptitiously persist within a compromised machine. Questa operazione viene eseguita con un impatto minimo sulle prestazioni degli host perché l'analisi viene eseguita dal Centro sicurezza in back-end.This is accomplished with minimum performance impact to hosts as the analysis is performed by the Security Center back end.

  • Individuato attacco di code injection: un attacco di code injection consiste nell'inserimento di moduli eseguibili in processi o thread in esecuzione.Code injection discovered: Code injection is the insertion of executable modules into running processes or threads. Questa tecnica è usata da software dannoso per accedere ai dati e nasconderne o impedirne la rimozione, ad esempio con il salvataggio permanente.This technique is used by malware to access data, hide or prevent its removal (e.g. persistence). Questo avviso indica che nel dump di arresto anomalo del sistema è presente un modulo inserito.This alert indicates that an injected module is present in the crash dump. Gli sviluppatori di software legittimo eseguono occasionalmente operazioni di code injection per motivi non dannosi, ad esempio per modificare o estendere un componente esistente del sistema operativo o di un'applicazione.Legitimate software developers occasionally perform code injection for non-malicious reasons, such as modifying or extending an existing application or operating system component. Per distinguere tra moduli inseriti dannosi e non dannosi, il Centro sicurezza verifica se il modulo inserito corrisponde o meno a un profilo di comportamento sospetto.To help differentiate between malicious and non-malicious injected modules, Security Center checks whether or not the injected module conforms to a profile of suspicious behavior. Il risultato di questa verifica è indicato dal campo "SIGNATURE" (FIRMA) dell'avviso e si riflette nella gravità dell'avviso, nella descrizione dell'avviso e nella procedura di correzione dell'avviso.The result of this check is indicated by the “SIGNATURE” field of the alert and is reflected in the severity of the alert, alert description, and alert remediation steps.
  • Segmento di codice sospetto: l'avviso di segmento di codice sospetto indica che un segmento di codice è stato allocato con metodi non standard, come quelli usati da reflective injection e hollowing del processo.Suspicious code segment: The suspicious code segment alert indicates that a code segment has been allocated using non-standard methods, such as used by reflective injection and process hollowing. Vengono elaborate caratteristiche aggiuntive del segmento di codice per offrire il contesto in relazione alle funzionalità e ai comportamenti del segmento di codice segnalato.Additional characteristics of the code segment are processed to provide context as to the capabilities and behaviors of the reported code segment.
  • Individuato attacco shellcode: uno shellcode è il payload che viene eseguito dopo che il malware ha sfruttato una vulnerabilità del software.Shellcode discovered: Shellcode is the payload that is run after malware exploits a software vulnerability. Questo avviso indica che l'analisi di dump di arresto anomalo del sistema ha rilevato codice eseguibile che presenta un comportamento comunemente adottato dai payload dannosi.This alert indicates that crash dump analysis has detected executable code that exhibits behavior that is commonly performed by malicious payloads. Sebbene anche il software non dannoso possa mostrare comportamenti simili, questo non fa generalmente parte delle normali procedure di sviluppo software.Although non-malicious software may perform this behavior, it is not typical of normal software development practices.
  • Individuato hijack del modulo: Windows usa le librerie a collegamento dinamico (DLL) per consentire al software di usare funzionalità del sistema di Windows comuni.Module hijacking discovered: Windows uses dynamic-link libraries (DLLs) to allow software to utilize common Windows system functionality. L'hijack della DLL si verifica quando il malware modifica l'ordine di caricamento della DLL per caricare payload dannosi in memoria, dove è possibile eseguire codice arbitrario.DLL Hijacking occurs when malware changes the DLL load order to load malicious payloads into memory, where arbitrary code can be executed. Questo avviso indica che l'analisi del dump di arresto anomalo del sistema ha rilevato un modulo con nome simile caricato da due percorsi diversi.This alert indicates that the crash dump analysis detected a similarly named module that is loaded from two different paths. Uno dei percorsi caricati proviene da un percorso binario di sistema di Windows.One of the loaded paths comes from a common Windows system binary location. Gli sviluppatori di software legittimo cambiano occasionalmente l'ordine di caricamento della DLL per motivi non dannosi, ad esempio per instrumentare o estendere il sistema operativo Windows o un'applicazione Windows.Legitimate software developers occasionally change the DLL load order for non-malicious reasons, such as instrumenting, extending the Windows OS, or extending a Windows application. Per distinguere le modifiche dannose da quelle potenzialmente non dannose all'ordine di caricamento della DLL, il Centro sicurezza verifica se un modulo caricato corrisponde a un profilo sospetto.To help differentiate between malicious and potentially benign changes to the DLL load order, Security Center checks whether a loaded module conforms to a suspicious profile.
  • Rilevato modulo Windows mascherato: il malware può usare nomi comuni di file binari di sistema Windows, ad esempio SVCHOST.EXE, oppure moduli, come NTDLL.DLL, per mimetizzarsi e nascondere la natura del software dannoso agli amministratori di sistema.Masquerading Windows module detected: Malware may use common names of Windows system binaries (for example, SVCHOST.EXE) or modules (for example, NTDLL.DLL) to blend in and obscure the nature of the malicious software from system administrators. Questo avviso indica che il file di dump di arresto anomalo del sistema contiene moduli che usano nomi di moduli di sistema Windows, ma che non soddisfano i criteri tipici dei moduli di Windows.This alert indicates that the crash dump file contains modules that use Windows system module names, but do not satisfy other criteria that are typical of Windows modules. L'analisi della copia su disco del modulo mascherato può fornire altre informazioni in merito alla natura legittima o dannosa di questo modulo.Analyzing the on disk copy of the masquerading module may provide more information about the legitimate or malicious nature of this module.
  • Individuato file binario di sistema modificato: il malware può modificare i file binari del sistema di base per accedere di nascosto ai dati o per essere furtivamente salvato in modo permanente in un sistema compromesso.Modified system binary discovered: Malware may modify core system binaries in order to covertly access data or surreptitiously persist on a compromised system. Questo avviso indica che l'analisi di dump di arresto anomalo del sistema ha rilevato che i file binari del sistema operativo Windows di base sono stati modificati in memoria o su disco.This alert indicates that the crash dump analysis has detected that core Windows OS binaries have been modified in memory or on disk. Gli sviluppatori di software legittimo modificano occasionalmente i moduli del sistema in memoria per motivi non dannosi, ad esempio per il pacchetto Detours o per la compatibilità delle applicazioni.Legitimate software developers occasionally modify system modules in memory for non-malicious reasons, such as Detours or for application compatibility. Per distinguere i moduli dannosi da quelli potenzialmente legittimi, il Centro sicurezza verifica se un modulo caricato corrisponde a un profilo sospetto.To help differentiate between malicious and potentially legitimate modules, Security Center checks whether the modified module conforms to a suspicious profile.

Analisi di reteNetwork analysis

Il sistema di rilevamento delle minacce di rete del Centro sicurezza funziona mediante la raccolta automatica di informazioni sulla sicurezza dal traffico IPFIX (Internet Protocol Flow Information Export) di Azure.Security Center network threat detection works by automatically collecting security information from your Azure IPFIX (Internet Protocol Flow Information Export) traffic. Per identificare le minacce, analizza queste informazioni, correlando spesso quelle raccolte da più origini.It analyzes this information, often correlating information from multiple sources, to identify threats.

  • Possibili tentativi di attacco di forza bruta a SQL in ingresso: l'analisi del traffico di rete ha rilevato una comunicazione SQL sospetta in ingresso.Possible incoming SQL brute force attempts: Network traffic analysis detected suspicious incoming SQL communication. L'attività è coerente con i tentativi di attacco di forza bruta ai server SQL.This activity is consistent with brute force attempts against SQL servers.
  • Attività di rete RDP in ingresso sospetta da più origini: l'analisi del traffico di rete ha rilevato una comunicazione RDP (Remote Desktop Protocol) in ingresso anomala da più origini.Suspicious incoming RDP network activity from multiple sources: Network traffic analysis detected anomalous incoming Remote Desktop Protocol (RDP) communication from multiple sources. I dati di rete campionati visualizzano in particolare IP univoci che si connettono al computer. Tale comportamento è considerato anomalo per questo ambiente.Specifically, sampled network data shows unique IPs connecting to your machine, which is considered abnormal for this environment. Questa attività può indicare un tentativo di attacco di forza bruta contro l'endpoint RDP da più host (botnet).This activity may indicate an attempt to brute force your RDP end point from multiple hosts (Botnet).
  • Attività di rete RDP in ingresso sospetta: l'analisi del traffico di rete ha rilevato una comunicazione RDP (Remote Desktop Protocol) in ingresso anomala.Suspicious incoming RDP network activity: Network traffic analysis detected anomalous incoming Remote Desktop Protocol (RDP) communication. I dati di rete campionati visualizzano in particolare un numero elevato di connessioni in ingresso al computer. Tale comportamento è considerato anomalo per questo ambiente.Specifically, sampled network data shows a high number of incoming connections to your machine, which is considered abnormal for this environment. Questa attività può indicare un tentativo di attacco di forza bruta contro l'endpoint RDP.This activity may indicate an attempt to brute force your RDP end point.
  • Attività di rete RDP in uscita sospetta verso più destinazioni: l'analisi del traffico di rete ha rilevato una comunicazione RDP (Remote Desktop Protocol) in uscita anomala verso più destinazioni.Suspicious outgoing RDP network activity to multiple destinations: Network traffic analysis detected anomalous outgoing Remote Desktop Protocol (RDP) communication to multiple destinations. Questa attività può indicare che il computer è stato compromesso e viene ora usato per attacchi di forza bruta contro gli endpoint RDP esterni.This activity may indicate that your machine was compromised and is now used to brute force external RDP end points. Si noti che in seguito a questo tipo di attività l'IP può venire contrassegnato come dannoso dalle entità esterne.Note that this type of activity could possibly cause your IP to be flagged as malicious by external entities.
  • Attività di rete RDP in uscita sospetta: l'analisi del traffico di rete ha rilevato una comunicazione RDP (Remote Desktop Protocol) in uscita anomala.Suspicious outgoing RDP network activity: Network traffic analysis detected anomalous outgoing Remote Desktop Protocol (RDP) communication. I dati di rete campionati visualizzano in particolare un numero elevato di connessioni in uscita dal computer. Tale comportamento è considerato anomalo per questo ambiente.Specifically, sampled network data shows a high number of outgoing connections from your machine, which is considered abnormal for this environment. Questa attività può indicare che il computer è stato compromesso e viene ora usato per attacchi di forza bruta contro gli endpoint RDP esterni.This activity may indicate that your machine was compromised and is now used to brute force external RDP end points. Si noti che in seguito a questo tipo di attività l'IP può venire contrassegnato come dannoso dalle entità esterne.Note that this type of activity could possibly cause your IP to be flagged as malicious by external entities.
  • Attività di rete SSH in ingresso sospetta: l'analisi del traffico di rete ha rilevato una comunicazione SSH in ingresso anomala.Suspicious incoming SSH network activity: Network traffic analysis detected anomalous incoming SSH communication. I dati di rete campionati visualizzano in particolare un numero elevato di connessioni in ingresso al computer. Tale comportamento è considerato anomalo per questo ambiente.Specifically, sampled network data shows a high number of incoming connections to your machine, which is considered abnormal for this environment. Questa attività può indicare un tentativo di attacco di forza bruta contro l'endpoint SSH.This activity may indicate an attempt to brute force your SSH end point.
  • Attività di rete SSH in ingresso sospetta da più origini: l'analisi del traffico di rete ha rilevato una comunicazione SSH in ingresso anomala.Suspicious incoming SSH network activity from multiple sources: Network traffic analysis detected anomalous incoming SSH communication. I dati di rete campionati visualizzano in particolare IP univoci che si connettono al computer. Tale comportamento è considerato anomalo per questo ambiente.Specifically, sampled network data shows unique IPs connecting to your machine, which is considered abnormal for this environment. Questa attività può indicare un tentativo di attacco di forza bruta contro l'endpoint SSH da più host (botnet).This activity may indicate an attempt to brute force your SSH end point from multiple hosts (Botnet).
  • Attività di rete SSH in uscita sospetta: l'analisi del traffico di rete ha rilevato una comunicazione SSH in uscita anomala.Suspicious outgoing SSH network activity: Network traffic analysis detected anomalous outgoing SSH communication. I dati di rete campionati visualizzano in particolare un numero elevato di connessioni in uscita dal computer. Tale comportamento è considerato anomalo per questo ambiente.Specifically, sampled network data shows a high number of outgoing connections from your machine, which is considered abnormal for this environment. Questa attività può indicare che il computer è stato compromesso e viene ora usato per attacchi di forza bruta contro gli endpoint SSH esterni.This activity may indicate that your machine was compromised and is now used to brute force external SSH end points. Si noti che in seguito a questo tipo di attività l'IP può venire contrassegnato come dannoso dalle entità esterne.Note that this type of activity could possibly cause your IP to be flagged as malicious by external entities.
  • Attività di rete SSH in uscita sospetta verso più destinazioni: l'analisi del traffico di rete ha rilevato una comunicazione SSH in uscita anomala verso più destinazioni.Suspicious outgoing SSH network activity to multiple destinations: Network traffic analysis detected anomalous outgoing SSH communication to multiple destinations. I dati di rete campionati visualizzano in particolare che il computer si connette a IP univoci. Tale comportamento è considerato anomalo per questo ambiente.Specifically, sampled network data shows your machine connecting to unique IPs, which is considered abnormal for this environment. Questa attività può indicare che il computer è stato compromesso e viene ora usato per attacchi di forza bruta contro gli endpoint SSH esterni.This activity may indicate that your machine was compromised and is now used to brute force external SSH end points. Si noti che in seguito a questo tipo di attività l'IP può venire contrassegnato come dannoso dalle entità esterne.Note that this type of activity could possibly cause your IP to be flagged as malicious by external entities.
  • Comunicazione di rete con un computer dannoso rilevata: l'analisi del traffico di rete indica che il computer ha comunicato con un possibile centro di comando e controllo.Network communication with a malicious machine detected: Network traffic analysis indicates that your machine has communicated with what is possibly a Command and Control center.
  • Possibile computer compromesso rilevato: l'analisi del traffico di rete ha rilevato un'attività in uscita, che potrebbe significare che sta operando nell'ambito di un botnet.Possible compromised machine detected: Network traffic analysis detected outgoing activity, which may indicate it is acting as part of a botnet. L'analisi si basa sugli IP a cui le risorse accedono insieme ai record pubblici DNS.The analysis is based on IPs accessed by your resource together with public DNS records.

Analisi di database SQL e SQL Data WarehouseSQL Database and SQL Data Warehouse analysis

L'analisi delle risorse del Centro sicurezza si concentra sui servizi PaaS (Platform as a Service, piattaforma distribuita come servizio), ad esempio l'integrazione con il servizio di rilevamento delle minacce per il database SQL di Azure e Azure SQL Data Warehouse.Security Center resource analysis focuses on platform as a service (PaaS) services, such as the integration with Threat Detection for Azure SQL Database and Azure SQL Data Warehouse. Il servizio di rilevamento delle minacce di SQL rileva le attività anomale che indicano tentativi insoliti e potenzialmente dannosi di accesso o exploit dei database e attiva i tipi di avvisi seguenti:SQL Threat Detection detects anomalous activities indicating unusual and potentially harmful attempts to access or exploit databases and triggers the following alerts:

  • Vulnerabilità agli attacchi SQL injection: questo avviso viene attivato quando un'applicazione genera un'istruzione SQL non corretta nel database.Vulnerability to SQL Injection: This alert is triggered when an application generates a faulty SQL statement in the database. Ciò potrebbe indicare una possibile vulnerabilità ad attacchi SQL injection.This may indicate a possible vulnerability to SQL injection attacks. Ci sono due possibili motivi per la generazione di un'istruzione non corretta:There are two possible reasons for the generation of a faulty statement:
    • Un difetto nel codice dell'applicazione che crea l'istruzione SQL non correttaA defect in application code that constructs the faulty SQL statement
    • Codice dell'applicazione o stored procedure che non correggono l'input utente quando viene creata l'istruzione SQL non corretta, che può essere sfruttata per attacchi SQL InjectionApplication code or stored procedures don't sanitize user input when constructing the faulty SQL statement, which may be exploited for SQL Injection
  • Potenziale attacco SQL injection: questo avviso viene attivato quando si verifica un exploit attivo che sfrutta una vulnerabilità identificata dell'applicazione agli attacchi SQL injection.Potential SQL injection: This alert is triggered when an active exploit happens against an identified application vulnerability to SQL injection. Ciò significa che l'utente malintenzionato sta cercando di inserire istruzioni SQL dannose usando codice dell'applicazione o stored procedure vulnerabili.This means the attacker is trying to inject malicious SQL statements using the vulnerable application code or stored procedures.
  • Accesso da una posizione insolita: questo avviso viene attivato quando il modello di accesso a SQL Server cambia, quando un utente ha effettuato l'accesso a SQL Server da una posizione geografica insolita.Access from unusual location: This alert is triggered when there is a change in the access pattern to SQL server, where someone has logged on to the SQL server from an unusual geographical location. In alcuni casi, l'avviso rileva un'azione legittima (una nuova applicazione o la manutenzione da parte dello sviluppatore).In some cases, the alert detects a legitimate action (a new application or developer maintenance). In altri casi, l'avviso rileva un'azione dannosa (da parte di un ex dipendente o un utente malintenzionato esterno).In other cases, the alert detects a malicious action (former employee, external attacker).
  • Accesso da un data center di Azure insolito: questo avviso viene attivato quando il modello di accesso a SQL Server cambia, quando un utente ha effettuato l'accesso a SQL Server da un data center di Azure insolito, rilevato nel server di recente.Access from unusual Azure data center: This alert is triggered when there is a change in the access pattern to SQL server, where someone has logged on to the SQL server from an unusual Azure data center that was seen on this server during the recent period. In alcuni casi, l'avviso rileva un'azione legittima (una nuova applicazione in Azure, Power BI, editor di query SQL di Azure).In some cases, the alert detects a legitimate action (your new application in Azure, Power BI, Azure SQL Query Editor). In altri casi, l'avviso rileva un'azione dannosa proveniente da una risorsa o un servizio di Azure (da parte di un ex dipendente o un utente malintenzionato esterno).In other cases, the alert detects a malicious action from an Azure resource/service (former employee, external attacker).
  • Accesso da un'entità di sicurezza non familiare: questo avviso viene attivato quando il modello di accesso a SQL Server cambia, quando un utente ha effettuato l'accesso a SQL Server usando un'entità di sicurezza insolita (utente SQL).Access from unfamiliar principal: This alert is triggered when there is a change in the access pattern to SQL server, where someone has logged on to the SQL server using an unusual principal (SQL user). In alcuni casi, l'avviso rileva un'azione legittima (nuova applicazione o manutenzione da parte dello sviluppatore).In some cases, the alert detects a legitimate action (new application, developer maintenance). In altri casi, l'avviso rileva un'azione dannosa (da parte di un ex dipendente o un utente malintenzionato esterno).In other cases, the alert detects a malicious action (former employee, external attacker).
  • Accesso da un'applicazione potenzialmente dannosa: questo avviso viene attivato quando un'applicazione potenzialmente dannosa viene usata per accedere al database.Access from a potentially harmful application: This alert is triggered when a potentially harmful application is used to access the database. In alcuni casi, l'avviso rileva test di penetrazione in corso.In some cases, the alert detects penetration testing in action. In altri casi, l'avviso rileva un attacco mediante strumenti comuni di attacco.In other cases, the alert detects an attack using common attack tools.
  • Attacco di forza bruta a credenziali SQL: questo avviso viene attivato quando si verifica un numero elevato anomalo di accessi non riusciti con credenziali diverse.Brute force SQL credentials: This alert is triggered when there is an abnormal high number of failed logins with different credentials. In alcuni casi, l'avviso rileva test di penetrazione in corso.In some cases, the alert detects penetration testing in action. In altri casi, l'avviso rileva un attacco di forza bruta.In other cases, the alert detects brute force attack.

Informazioni contestualiContextual information

Durante l'analisi, gli analisti hanno bisogno di un contesto aggiuntivo per raggiungere un verdetto sulla natura della minaccia e su come attenuarla.During an investigation, analysts need extra context to reach a verdict about the nature of the threat and how to mitigate it. Ad esempio, è stata rilevata un'anomalia di rete, ma senza conoscere cos'altro sta accadendo in rete o alla risorsa interessata è difficile comprendere quali azioni mettere in atto.For example, a network anomaly was detected, but without understanding what else is happening on the network or with regard to the targeted resource it is every hard to understand what actions to take next. Per supportare l'analisi, un evento imprevisto della sicurezza può includere artefatti, eventi correlati e informazioni che possono rivelarsi utili.To aid with that, a Security Incident may include artifacts, related events and information that may help the investigator. La disponibilità di ulteriori informazioni varia in base al tipo di minaccia rilevata e alla configurazione dell'ambiente e non è garantita per tutti gli eventi imprevisti di sicurezza.The availability of additional information will vary based on the type of threat detected and the configuration of your environment, and will not be available for all Security Incidents.

Se sono disponibili ulteriori informazioni, verrà visualizzato nell'evento imprevisto di sicurezza sotto l'elenco degli avvisi.If additional information is available, it will be shown in the Security Incident below the list of alerts. Potrebbero essere riportate informazioni come:This could contain information like:

  • Eventi di cancellazione di logLog clear events
  • Dispositivi Plug and Play collegati da dispositivi sconosciutiPNP device plugged from unknown device
  • Avvisi non operativiAlerts which are not actionable
  • Creazione di nuovi accountNew account creation
  • File decodificato tramite lo strumento certutilFile decoded using certutil tool

Avviso di accesso insolito

Passaggi successiviNext steps

In questo articolo sono stati descritti i diversi tipi di avvisi di sicurezza del Centro sicurezza.In this article, you learned about the different types of security alerts in Security Center. Per altre informazioni sul Centro sicurezza, vedere gli argomenti seguenti:To learn more about Security Center, see the following: