Informazioni sugli avvisi di sicurezza nel Centro sicurezza di AzureUnderstanding security alerts in Azure Security Center

Questo articolo consente di comprendere i diversi tipi di avvisi di sicurezza e le informazioni significative che ne derivano disponibili nel Centro sicurezza di Azure.This article helps you to understand the different types of security alerts and related insights that are available in Azure Security Center. Per altre informazioni sulla gestione degli avvisi e degli eventi imprevisti, vedere Gestione e risposta agli avvisi di sicurezza nel Centro sicurezza di Azure.For more information on how to manage alerts and incidents, see Managing and responding to security alerts in Azure Security Center.

Per configurare le funzionalità di rilevamento avanzato, eseguire l'aggiornamento al livello Standard del Centro sicurezza di Azure.To set up advanced detections, upgrade to Azure Security Center Standard. È disponibile una versione di valutazione gratuita di 60 giorni.A free 60-day trial is available. Per eseguire l'aggiornamento, selezionare il Piano tariffario nei criteri di sicurezza.To upgrade, select Pricing Tier in the security policy. Per altre informazioni, vedere la pagina dei prezzi.To learn more, see the pricing page.

Nota

Il Centro sicurezza ha rilasciato un'anteprima limitata di un nuovo set di strumenti di rilevamento, che sfruttano i record di controllo, un framework di controllo comune, per rilevare comportamenti dannosi nei computer Linux.Security Center has released to limited preview a new set of detections that leverage auditd records, a common auditing framework, to detect malicious behaviors on Linux machines. Inviare un messaggio di posta elettronica con l'ID sottoscrizione a Microsoft per accedere all'anteprima.Send an email with your subscription IDs to us to join the preview.

Quali tipi di avvisi sono disponibili?What type of alerts are available?

Il Centro sicurezza di Azure usa una serie di funzionalità di rilevamento per avvisare i clienti riguardo a potenziali attacchi contro gli ambienti in cui operano.Azure Security Center uses a variety of detection capabilities to alert customers to potential attacks targeting their environments. Questi avvisi contengono informazioni importanti relative a cosa ha attivato l'avviso, alle risorse interessate e all'origine dell'attacco.These alerts contain valuable information about what triggered the alert, the resources targeted, and the source of the attack. Le informazioni incluse in un avviso variano in base al tipo di analisi usata per rilevare la minaccia.The information included in an alert varies based on the type of analytics used to detect the threat. Anche gli eventi imprevisti possono contenere ulteriori informazioni contestuali utili nel corso dell'analisi di una minaccia.Incidents may also contain additional contextual information that can be useful when investigating a threat. Questo articolo fornisce informazioni sui tipi di avvisi seguenti:This article provides information about the following alert types:

  • Analisi del comportamento delle macchine virtuali (VMBA)Virtual Machine Behavioral Analysis (VMBA)
  • Analisi di reteNetwork Analysis
  • Analisi delle risorseResource Analysis
  • Informazioni contestualiContextual Information

Analisi del comportamento delle macchine virtualiVirtual machine behavioral analysis

Il Centro sicurezza di Azure può usare le analisi del comportamento per identificare le risorse compromesse in base all'analisi del registro eventi delle macchine virtuali,Azure Security Center can use behavioral analytics to identify compromised resources based on analysis of virtual machine event logs. ad esempio eventi di creazione di processi ed eventi di accesso.For example, Process Creation Events and Login Events. Esiste inoltre una correlazione con altri segnali per verificare la presenza di elementi a riprova di una campagna su larga scala.In addition, there is correlation with other signals to check for supporting evidence of a widespread campaign.

Nota

Per altre informazioni sulle funzionalità di rilevamento del Centro sicurezza, vedere Funzionalità di rilevamento del Centro sicurezza di Azure.For more information on how Security Center detection capabilities work, see Azure Security Center detection capabilities.

Analisi degli arresti anomaliCrash analysis

L'analisi della memoria del dump di arresto anomalo è un metodo usato per rilevare malware sofisticato in grado di eludere le soluzioni di sicurezza tradizionali.Crash dump memory analysis is a method used to detect sophisticated malware that is able to evade traditional security solutions. Varie forme di malware provano a ridurre le probabilità di essere rilevate dai prodotti antivirus non scrivendo mai sul disco oppure crittografando i componenti software scritti sul disco.Various forms of malware try to reduce the chance of being detected by antivirus products by never writing to disk, or by encrypting software components written to disk. Questa tecnica rende il malware difficile da rilevare con gli approcci antimalware tradizionali.This technique makes the malware difficult to detect by using traditional antimalware approaches. Tuttavia, questo tipo di malware può essere rilevato tramite l'analisi della memoria, perché per funzionare il malware deve lasciare tracce in memoria.However, this kind of malware can be detected by using memory analysis, because malware must leave traces in memory in order to function.

Quando il software si arresta in modo anomalo, un dump di arresto anomalo acquisisce una porzione della memoria al momento dell'arresto.When software crashes, a crash dump captures a portion of memory at the time of the crash. L'arresto anomalo può essere causato da malware o da problemi generali del sistema o delle applicazioni.The crash may be caused by malware, general application, or system issues. Analizzando la memoria nel dump di arresto anomalo, il Centro sicurezza può rilevare le tecniche usate per sfruttare le vulnerabilità del software, accedere ai dati riservati e rimanere permanentemente all'interno di un computer infetto in modo furtivo.By analyzing the memory in the crash dump, Security Center can detect techniques used to exploit vulnerabilities in software, access confidential data, and surreptitiously persist within a compromised machine. Questa operazione viene eseguita con un impatto minimo sulle prestazioni degli host perché l'analisi viene eseguita dal Centro sicurezza in back-end.This is accomplished with minimum performance impact to hosts as the analysis is performed by the Security Center back end.

I campi seguenti sono comuni per gli esempi di avvisi relativi al dump di arresto anomalo del sistema, disponibili più avanti in questo articolo:The following fields are common to the crash dump alert examples that appear later in this article:

  • DUMPFILE (FILE DUMP): nome del file di dump di arresto anomalo del sistema.DUMPFILE: Name of the crash dump file.
  • PROCESSNAME (NOME PROCESSO): nome del processo bloccato.PROCESSNAME: Name of the crashing process.
  • PROCESSVERSION (VERSIONE PROCESSO): versione del processo bloccato.PROCESSVERSION: Version of the crashing process.

Individuato attacco di code injectionCode Injection Discovered

Un attacco di code injection consiste nell'inserimento di moduli eseguibili in processi o thread in esecuzione.Code injection is the insertion of executable modules into running processes or threads. Questa tecnica è usata da software dannoso per accedere ai dati e nasconderne o impedirne la rimozione, ad esempio con il salvataggio permanente.This technique is used by malware to access data, hide or prevent its removal (e.g. persistence). Questo avviso indica che nel dump di arresto anomalo del sistema è presente un modulo inserito.This alert indicates that an injected module is present in the crash dump. Gli sviluppatori di software legittimo eseguono occasionalmente operazioni di code injection per motivi non dannosi, ad esempio per modificare o estendere un componente esistente del sistema operativo o di un'applicazione.Legitimate software developers occasionally perform code injection for non-malicious reasons, such as modifying or extending an existing application or operating system component. Per distinguere tra moduli inseriti dannosi e non dannosi, il Centro sicurezza verifica se il modulo inserito corrisponde o meno a un profilo di comportamento sospetto.To help differentiate between malicious and non-malicious injected modules, Security Center checks whether or not the injected module conforms to a profile of suspicious behavior. Il risultato di questa verifica è indicato dal campo "SIGNATURE" (FIRMA) dell'avviso e si riflette nella gravità dell'avviso, nella descrizione dell'avviso e nella procedura di correzione dell'avviso.The result of this check is indicated by the “SIGNATURE” field of the alert and is reflected in the severity of the alert, alert description, and alert remediation steps.

Questo avviso include i campi aggiuntivi seguenti.This alert provides the following additional fields:

  • ADDRESS (INDIRIZZO): posizione in memoria del modulo inserito.ADDRESS: The location in memory of the injected module
  • IMAGENAME (NOME IMMAGINE): nome del modulo inserito.IMAGENAME: The name of the injected module. Si noti che questo campo può essere vuoto se il nome dell'immagine non è specificato all'interno dell'immagine.Note that this can be blank if the image name is not provided within the image.
  • SIGNATURE (FIRMA): indica se il modulo inserito corrisponde a un profilo di comportamento sospetto.SIGNATURE: Indicates if the injected module conforms to a profile of suspicious behavior.

La tabella seguente mostra esempi dei risultati e la relativa descrizione:The table below shows examples of results and their description:

Valore firmaSignature value DescrizioneDescription
Suspicious reflective loader exploit (Exploit caricatore reflective sospetto)Suspicious reflective loader exploit Questo comportamento sospetto è spesso correlato al caricamento di code injection indipendentemente dal caricatore del sistema operativoThis suspicious behavior often correlates with loading injected code independently of the operating system loader
Suspicious injected exploit (Exploit di code injection sospetto)Suspicious injected exploit Indica un comportamento dannoso spesso correlato a operazioni di code injection in memoriaSignifies maliciousness that often correlates to injecting code into memory
Suspicious injecting exploit (Exploit di esecuzione di code injection sospetto)Suspicious injecting exploit Indica un comportamento dannoso spesso correlato all'uso di code injection in memoriaSignifies maliciousness that often correlates to use of injected code in memory
Suspicious injected debugger exploit (Exploit del debugger di code injection sospetto)Suspicious injected debugger exploit Indica un comportamento dannoso spesso correlato al rilevamento o all'aggiramento di un debuggerSignifies maliciousness that often correlates to detection or circumvention of a debugger
Suspicious injected remote exploit (Exploit di code injection remoto sospetto)Suspicious injected remote exploit Indica un comportamento sospetto spesso correlato a scenari di comando e controllo (C2)Signifies maliciousness that often correlates to command n control (C2) scenarios

Ecco un esempio di questo tipo di avviso:Here an example of this type of alert:

Avviso di code injection

Segmento di codice sospettoSuspicious Code Segment

L'avviso di segmento di codice sospetto indica che un segmento di codice è stato allocato con metodi non standard, come quelli usati da reflective injection e hollowing del processo.The suspicious code segment indicates that a code segments has been allocated using non-standard methods, such as used by reflective injection and process hollowing. L'avviso elabora anche caratteristiche aggiuntive del segmento di codice per offrire il contesto in relazione alle funzionalità e ai comportamenti del segmento di codice segnalato.Additionally this alert process additional characteristics of the code segment to provide context as to the capabilities and behaviors of the reported code segment.

Questo avviso include i campi aggiuntivi seguenti.This alert provides the following additional fields:

  • ADDRESS (INDIRIZZO): posizione in memoria del modulo inserito.ADDRESS: The location in memory of the injected module
  • SIZE (DIMENSIONI): dimensioni del segmento di codice sospetto.SIZE: The size of the suspicious code segment
  • STRINGSIGNATURES (FIRME STRINGA): questo campo elenca le funzionalità delle API i cui nomi di funzione sono contenuti nel segmento di codice.STRINGSIGNATURES: This field list capabilities of APIs whose function names are contained within the code segment. Le funzionalità possono includere ad esempio:Examples capabilities might include:
    • Descrittori di sezioni di immagine, esecuzione dinamica di codice per x64, funzionalità di caricatore e allocazione di memoria, funzionalità di code injection in remoto, funzionalità di controllo hijack, lettura di variabili di ambiente, lettura di memoria di processo arbitraria, query o modifica di privilegi dei token, comunicazione di rete HTTP/HTTPS e comunicazione tramite socket di rete.Image Section Descriptors, Dynamic Code Execution for x64, Memory allocation and loader capability, Remote code injection capability, Hijack control capability, Read environment variables, Read arbitrary process memory, Query or modify token privileges, HTTP/HTTPS network communication, and Network socket communication.
  • IMAGEDETECTED (IMMAGINE RILEVATA): questo campo indica se è stata inserita un'immagine PE nel processo in cui è stato rilevato il segmento di codice sospetto e l'indirizzo di inizio del modulo inserito.IMAGEDETECTED: This field indicates if a PE image was injected into the process where the suspicious code segment was detected and at what address the injected module starts.
  • SHELLCODE (CODICE SHELL): questo campo indica la presenza di un comportamento comunemente usato da payload dannosi per acquisire l'accesso ad altre funzioni del sistema operativo importanti per la sicurezza.SHELLCODE: This field indicates the presence of behavior commonly used by malicious payloads to acquire access to additional security sensitive operating system functions.

Ecco un esempio di questo tipo di avviso:Here an example of this type of alert:

Avviso di segmento di codice sospetto

Individuato attacco shellcodeShellcode discovered

Uno shellcode è il payload che viene eseguito dopo che il malware ha sfruttato una vulnerabilità del software.Shellcode is the payload that is run after malware exploits a software vulnerability. Questo avviso indica che l'analisi di dump di arresto anomalo del sistema ha rilevato codice eseguibile che presenta un comportamento comunemente adottato dai payload dannosi.This alert indicates that crash dump analysis has detected executable code that exhibits behavior that is commonly performed by malicious payloads. Sebbene anche il software non dannoso possa mostrare comportamenti simili, questo non fa generalmente parte delle normali procedure di sviluppo software.Although non-malicious software may perform this behavior, it is not typical of normal software development practices.

L'esempio di avviso Shellcode fornisce il campo aggiuntivo seguente:The Shellcode alert example provides the following additional field:

  • ADDRESS (INDIRIZZO): posizione in memoria dello shellcode.ADDRESS: The location in memory of the shellcode.

Ecco un esempio di questo tipo di avviso:Here an example of this type of alert:

Avviso per shellcode

Individuato hijack del moduloModule hijacking discovered

Windows usa le librerie a collegamento dinamico (DLL) per consentire al software di usare funzionalità del sistema di Windows comuni.Windows uses dynamic-link libraries (DLLs) to allow software to utilize common Windows system functionality. L'hijack della DLL si verifica quando il malware modifica l'ordine di caricamento della DLL per caricare payload dannosi in memoria, dove è possibile eseguire codice arbitrario.DLL Hijacking occurs when malware changes the DLL load order to load malicious payloads into memory, where arbitrary code can be executed. Questo avviso indica che l'analisi del dump di arresto anomalo del sistema ha rilevato un modulo con nome simile caricato da due percorsi diversi.This alert indicates that the crash dump analysis detected a similarly named module that is loaded from two different paths. Uno dei percorsi caricati proviene da un percorso binario di sistema di Windows.One of the loaded paths comes from a common Windows system binary location.

Gli sviluppatori di software legittimo cambiano occasionalmente l'ordine di caricamento della DLL per motivi non dannosi, ad esempio per instrumentare o estendere il sistema operativo Windows o un'applicazione Windows.Legitimate software developers occasionally change the DLL load order for non-malicious reasons, such as instrumenting, extending the Windows OS, or extending a Windows application. Per distinguere le modifiche dannose da quelle potenzialmente non dannose all'ordine di caricamento della DLL, il Centro sicurezza di Azure verifica se un modulo caricato corrisponde a un profilo sospetto.To help differentiate between malicious and potentially benign changes to the DLL load order, Azure Security Center checks whether a loaded module conforms to a suspicious profile. Il risultato di questa verifica è indicato dal campo "SIGNATURE" (FIRMA) dell'avviso e si riflette nella gravità dell'avviso, nella descrizione dell'avviso e nella procedura di correzione dell'avviso.The result of this check is indicated by the “SIGNATURE” field of the alert and is reflected in the severity of the alert, alert description, and alert remediation steps. Per verificare se il modulo è legittimo o dannoso, analizzare la copia su disco del modulo di hijack.To research whether the module is legitimate or malicious, analyze the on disk copy of the hijacking module. È ad esempio possibile verificare la firma digitale del file o eseguire un'analisi antivirus.For example, you can verify the file's digital signature, or run an antivirus scan.

Oltre ai campi comuni descritti nella sezione "Individuato shellcode" precedente, questo avviso presenta i campi seguenti:In addition to the common fields described in the earlier “Shellcode discovered” section, this alert provides the following fields:

  • SIGNATURE (FIRMA): indica se il modulo di hijack corrisponde a un profilo di comportamento sospetto.SIGNATURE: Indicates if the hijacking module conforms to a suspicious behavior profile.
  • HIJACKEDMODULE (MODULO CONTROLLATO): nome del modulo di sistema Windows di cui è stato assunto il controllo.HIJACKEDMODULE: The name of the hijacked Windows system module.
  • HIJACKEDMODULEPATH (PERCORSO MODULO CONTROLLATO): percorso del modulo di sistema Windows di cui è stato assunto il controllo.HIJACKEDMODULEPATH: The path of the hijacked Windows system module.
  • HIJACKINGMODULEPATH (PERCORSO MODULO HIJACK): percorso del modulo di hijack.HIJACKINGMODULEPATH: The path of the hijacking module.

Ecco un esempio di questo tipo di avviso:Here an example of this type of alert:

Avviso di hijack del modulo

Rilevato modulo Windows mascheratoMasquerading Windows module detected

Il malware può usare nomi comuni di file binari di sistema Windows, ad esempio SVCHOST.EXE, oppure moduli, come NTDLL.DLL, per mimetizzarsi e nascondere la natura del software dannoso agli amministratori di sistema.Malware may use common names of Windows system binaries (for example, SVCHOST.EXE) or modules (for example, NTDLL.DLL) to blend in and obscure the nature of the malicious software from system administrators. Questo avviso indica che l'analisi di dump di arresto anomalo del sistema ha rilevato che il file di dump di arresto anomalo del sistema contiene moduli che usano nomi di moduli di sistema Windows ma che non soddisfano i criteri tipici dei moduli di Windows.This alert indicates that the crash dump analysis detects that the crash dump file contains modules that use Windows system module names, but do not satisfy other criteria that are typical of Windows modules. L'analisi della copia su disco del modulo mascherato può fornire altre informazioni in merito alla natura legittima o dannosa di questo modulo.Analyzing the on disk copy of the masquerading module may provide more information about the legitimate or malicious nature of this module. L'analisi può includere:Analysis may include:

  • La conferma che indica che il file in questione è incluso in un pacchetto software legittimo.Confirm that the file in question is shipped as part of a legitimate software package.
  • La verifica della firma digitale del file.Verify the file’s digital signature.
  • L'esecuzione dell'analisi antivirus sul file.Run an antivirus scan on the file.

Oltre ai campi comuni descritti nella sezione "Individuato shellcode" precedente, questo avviso presenta i campi aggiuntivi seguenti:In addition to the common fields described earlier in the “Shellcode discovered” section, this alert provides the following additional fields:

  • DETAILS (DETTAGLI): descrive se i metadati dei moduli sono validi e se il modulo è stato caricato da un percorso di sistema.DETAILS: Describes whether the module's metadata is valid, and whether the module was loaded from a system path.
  • NAME (NOME): nome del modulo di Windows mascherato.NAME: The name of the masquerading Windows module.
  • PATH (PERCORSO): percorso del modulo di Windows mascherato.PATH: The path to the masquerading Windows module.

Questo avviso, inoltre, estrae e visualizza determinati campi dell'intestazione del modulo PE, ad esempio "CHECKSUM" e "TIMESTAMP".This alert also extracts and displays certain fields from the module’s PE header, such as “CHECKSUM” and “TIMESTAMP.” Questi campi vengono visualizzati solo se sono presenti nel modulo.These fields are only displayed if the fields are present in the module. Per informazioni dettagliate su questi campi, vedere il documento Microsoft PE and COFF Specification (Specifica dei formati PE e COFF Microsoft).See the Microsoft PE and COFF Specification for details on these fields.

Ecco un esempio di questo tipo di avviso:Here an example of this type of alert:

Avviso di modulo Windows mascherato

Individuato file binario di sistema modificatoModified system binary discovered

Il malware può modificare i file binari del sistema di base per accedere di nascosto ai dati o per essere furtivamente salvato in modo permanente in un sistema compromesso.Malware may modify core system binaries in order to covertly access data or surreptitiously persist on a compromised system. Questo avviso indica che l'analisi di dump di arresto anomalo del sistema ha rilevato che i file binari del sistema operativo Windows di base sono stati modificati in memoria o su disco.This alert indicates that the crash dump analysis has detected that core Windows OS binaries have been modified in memory or on disk.

Gli sviluppatori di software legittimo modificano occasionalmente i moduli del sistema in memoria per motivi non dannosi, ad esempio per il pacchetto Detours o per la compatibilità delle applicazioni.Legitimate software developers occasionally modify system modules in memory for non-malicious reasons, such as Detours or for application compatibility. Per distinguere i moduli dannosi da quelli potenzialmente legittimi, il Centro sicurezza di Azure verifica se un modulo caricato corrisponde a un profilo sospetto.To help differentiate between malicious and potentially legitimate modules, Azure Security Center checks whether the modified module conforms to a suspicious profile. Il risultato di questa verifica si riflette nella gravità dell'avviso, nella descrizione dell'avviso e nella procedura di correzione dell'avviso.The result of this check is indicated by the severity of the alert, alert description, and alert remediation steps.

Oltre ai campi comuni descritti nella sezione "Individuato shellcode" precedente, questo avviso presenta i campi aggiuntivi seguenti:In addition to the common fields described earlier in the “Shellcode discovered” section, this alert provides the following additional fields:

  • MODULENAME (NOME MODULO): nome del file binario di sistema modificato.MODULENAME: Name of the modified system binary.
  • MODULEVERSION (VERSIONE MODULO): versione del file binario di sistema modificato.MODULEVERSION: Version of the modified system binary.

Ecco un esempio di questo tipo di avviso:Here an example of this type of alert:

Avviso di file binario di sistema

Processo sospetto eseguitoSuspicious process executed

Centro sicurezza identifica il processo sospetto in esecuzione nella macchina virtuale di destinazione e quindi attiva un avviso.Security Center identifies a suspicious process that runs on the target virtual machine, and then triggers an alert. Il rilevamento non cerca un nome specifico, ma cerca i parametri del file eseguibile.The detection doesn’t look for the specific name, but does look for the executable file's parameter. Anche se l'autore dell'attacco rinomina il file eseguibile, il Centro sicurezza può quindi rilevare comunque il processo sospetto.Therefore, even if the attacker renames the executable, Security Center can still detect the suspicious process.

Ecco un esempio di questo tipo di avviso:Here an example of this type of alert:

Avviso di processo sospetto

Tentativi ripetuti di query sugli account di dominioMultiple domains accounts queried

Il Centro sicurezza può rilevare tentativi di query ripetuti sugli account di dominio di Active Directory, attività in genere eseguita dagli utenti malintenzionati durante la ricognizione della rete.Security Center can detect multiple attempts to query Active Directory domain accounts, which are something usually performed by attackers during network reconnaissance. Gli utenti malintenzionati possono sfruttare questa tecnica per eseguire query sul dominio e identificare gli utenti, gli account di amministrazione del dominio, i computer che fungono da controller di dominio e anche potenziali relazioni di trust di dominio con altri domini.Attackers can leverage this technique to query the domain to identify the users, identify the domain admin accounts, identify the computers that are domain controllers, and also identify the potential domain trust relationship with other domains.

Ecco un esempio di questo tipo di avviso:Here an example of this type of alert:

Avviso di tentativi di query multipli su account di dominio

Sono stati enumerati i membri del gruppo Administrators localeLocal Administrators group members were enumerated

Il Centro sicurezza attiverà un avviso quando si verifica l'evento di sicurezza 4798 in Windows 10 e Windows Server 2016.Security Center is going to trigger an alert when the security event 4798, in Windows Server 2016 and Windows 10, is trigged. L'evento si verifica quando i gruppi Administrators locali vengono enumerati, attività in genere eseguita dagli utenti malintenzionati durante la ricognizione della rete.This happens when local administrator groups are enumerated, which is something usually performed by attackers during network reconnaissance. Gli utenti malintenzionati possono sfruttare questa tecnica per eseguire una query l'identità degli utenti con privilegi amministrativi.Attackers can leverage this technique to query the identity of users with administrative privileges.

Ecco un esempio di questo tipo di avviso:Here an example of this type of alert:

Amministratore locale

Combinazione anomala di lettere maiuscole e minuscoleAnomalous mix of upper and lower case characters

Il Centro sicurezza attiva un avviso quando rileva l'uso di una combinazione di lettere maiuscole e minuscole nella riga di comando.Security Center will trigger an alert when it detects the use of a mix of upper and lower case characters at the command line. Alcuni utenti malintenzionati possono usare questa tecnica per nascondersi da regole della macchina con distinzione tra maiuscole e minuscole o basate su hash.Some attackers may use this technique to hide from case-sensitive or hash-based machine rule.

Ecco un esempio di questo tipo di avviso:Here an example of this type of alert:

Combinazione anomala

Sospetto attacco con Golden Ticket KerberosSuspected Kerberos Golden Ticket attack

Una chiave krbtgt compromessa può essere usata da un utente malintenzionato per creare "Golden Ticket" Kerberos, che consentono all'utente malintenzionato stesso di rappresentare qualsiasi utente.A compromised krbtgt key can be used by an attacker to create Kerberos "Golden Tickets," allowing the attacker to impersonate any user they wish. Il Centro sicurezza attiverà un avviso quando rileva questo tipo di attività.Security Center is going to trigger an alert when it detects this type of activity.

Nota

Per altre informazioni sui Golden Ticket Kerberos, vedere Windows 10 credential theft mitigation guide (Guida alla prevenzione del furto di credenziali in Windows 10).For more information about Kerberos Golden Ticket, read Windows 10 credential theft mitigation guide.

Ecco un esempio di questo tipo di avviso:Here an example of this type of alert:

Golden ticket

Creato account sospettoSuspicious account created

Centro sicurezza attiverà un avviso quando viene creato un account molto somigliante a un account predefinito esistente con privilegi amministrativi.Security Center will trigger an alert when an account is created with close resemblance of an existing built in administrative privilege account. Questa tecnica può essere usata da utenti malintenzionati per creare un account non autorizzato e sfuggire a una verifica umana.This technique can be used by attackers to create a rogue account to avoid being noticed by human verification.

Ecco un esempio di questo tipo di avviso:Here an example of this type of alert:

Account sospetto

Creata regola del firewall sospettaSuspicious Firewall rule created

Gli utenti malintenzionati possono provare ad aggirare la sicurezza dell'host creando regole del firewall personalizzate per consentire ad applicazioni dannose di comunicare con i server di comando e controllo o di avviare attacchi nella rete tramite l'host compromesso.Attackers might try to circumvent host security by creating custom firewall rules to allow malicious applications to communicate with command and control, or to launch attacks through the network via the compromised host. Il Centro sicurezza attiverà un avviso quando rileva che è stata creata una nuova regola del firewall da un file eseguibile in una posizione sospetta.Security Center will trigger an alert when it detects that a new firewall rule was created from an executable file in a suspicious location.

Ecco un esempio di questo tipo di avviso:Here an example of this type of alert:

Regola del firewall

Combinazione sospetta di HTA e PowerShellSuspicious combination of HTA and PowerShell

Il Centro sicurezza attiverà un avviso quando rileva che un host HTA (HTML Application Host) di Microsoft sta avviando comandi di PowerShell.Security Center will trigger an alert when it detects that a Microsoft HTML Application Host (HTA) is launching PowerShell commands. Si tratta di una tecnica usata dagli utenti malintenzionati per avviare script di PowerShell dannosi.This is a technique used by attackers to launch malicious PowerShell scripts.

Ecco un esempio di questo tipo di avviso:Here an example of this type of alert:

HTA e PS

Analisi di reteNetwork analysis

Il sistema di rilevamento delle minacce di rete del Centro sicurezza funziona mediante la raccolta automatica di informazioni sulla sicurezza dal traffico IPFIX (Internet Protocol Flow Information Export) di Azure.Security Center network threat detection works by automatically collecting security information from your Azure IPFIX (Internet Protocol Flow Information Export) traffic. Per identificare le minacce, analizza queste informazioni, correlando spesso quelle raccolte da più origini.It analyzes this information, often correlating information from multiple sources, to identify threats.

Rilevamento di traffico in uscita sospettoSuspicious outgoing traffic detected

I dispositivi di rete possono essere individuati e profilati così come altri tipi di sistemi.Network devices can be discovered and profiled in much the same way as other types of systems. L'attacco ha in genere inizio con la scansione o la scansione sistematica delle porte.Attackers usually start with port scanning or port sweeping. Nell'esempio successivo viene rilevato traffico SSH (Secure Shell) sospetto da una macchina virtuale.In the next example, you have suspicious Secure Shell (SSH) traffic from a VM. In questo scenario è possibile che si verifichi un attacco di forza bruta SSH o un attacco di scansione sistematica delle porte contro una risorsa esterna.In this scenario, SSH brute force or a port sweeping attack against an external resource is possible.

Avviso per traffico in uscita sospetto

Questo avviso fornisce informazioni utili per identificare la risorsa usata per avviare l'attacco.This alert gives information that you can use to identify the resource that was used to initiate this attack. L'avviso fornisce anche informazioni per identificare il computer compromesso, l'ora di rilevamento e il protocollo e la porta usati.This alert also provides information to identify the compromised machine, the detection time, plus the protocol and port that was used. Questa pagina contiene anche un elenco dei passaggi di correzione che possono essere usati per attenuare il problema.This page also gives you a list of remediation steps that can be used to mitigate this issue.

Comunicazione di rete con un computer dannosoNetwork communication with a malicious machine

Sfruttando i feed di intelligence per le minacce di Microsoft, il Centro sicurezza di Azure può rilevare i computer compromessi che comunicano con indirizzi IP dannosi.By leveraging Microsoft threat intelligence feeds, Azure Security Center can detect compromised machines that communicate with malicious IP addresses. In molti casi l'indirizzo dannoso corrisponde a un centro di comando e controllo.In many cases, the malicious address is a command and control center. In questo caso, il Centro sicurezza ha rilevato la comunicazione con il malware Pony Loader, noto anche come Fareit.In this case, Security Center detected that the communication was done by using Pony Loader malware (also known as Fareit).

Avviso di comunicazione di rete

L'avviso contiene informazioni che consentono di identificare la risorsa usata per avviare l'attacco, la risorsa che ha subito attacchi, l'IP vittima, l'IP dell'utente malintenzionato e la data e l'ora di rilevamento.This alert gives information that enables you to identify the resource that was used to initiate this attack, the attacked resource, the victim IP, the attacker IP, and the detection time.

Nota

Gli indirizzi IP attivi sono stati rimossi dallo screenshot per motivi di privacy.Live IP addresses were removed from this screenshot for privacy purpose.

Rilevato possibile attacco Denial of Service in uscitaPossible outgoing denial-of-service attack detected

Il traffico di rete anomalo generato da una macchina virtuale può indurre il Centro sicurezza ad attivare un avviso di potenziale attacco Denial of Service.Abnormal network traffic that originates from one virtual machine can cause Security Center to trigger a potential denial-of-service type of attack.

Ecco un esempio di questo tipo di avviso:Here an example of this type of alert:

DoS in uscita

Analisi delle risorseResource analysis

L'analisi delle risorse del Centro sicurezza si concentra sui servizi PaaS (Platform as a Service), ad esempio l'integrazione con la funzione di rilevamento delle minacce nel database SQL di Azure.Security Center resource analysis focuses on platform as a service (PaaS) services, such as the integration with the Azure SQL Database threat detection feature. In base ai risultati dell'analisi di queste aree, il Centro sicurezza attiva un avviso correlato alle risorse.Based on the analysis’s results from these areas, Security Center triggers a resource-related alert.

Potenziale attacco SQL injectionPotential SQL injection

In un attacco SQL injection, il malware viene inserito in stringhe che vengono successivamente passate a un'istanza di SQL Server per l'analisi e l'esecuzione.SQL injection is an attack where malicious code is inserted into strings that are later passed to an instance of SQL Server for parsing and execution. È consigliabile verificare la presenza di vulnerabilità a questo tipo di attacco in qualsiasi procedura che crea istruzioni SQL, perché SQL Server esegue tutte le query sintatticamente valide che riceve.Because SQL Server executes all syntactically valid queries that it receives, any procedure that constructs SQL statements should be reviewed for injection vulnerabilities. Il rilevamento delle minacce SQL usa Machine Learning, l'analisi del comportamento e il rilevamento delle anomalie per individuare eventi sospetti che possono verificarsi nei database SQL di Azure.SQL Threat Detection uses machine learning, behavioral analysis, and anomaly detection to determine suspicious events that might be taking place in your Azure SQL databases. Ad esempio:For example:

  • Tentativo di accesso al database da parte di un ex dipendenteAttempted database access by a former employee
  • Attacchi SQL injectionSQL injection attacks
  • Accesso insolito al database di produzione da parte di un utente da casaUnusual access to a production database from a user at home

Avviso di potenziale SQL injection

Le informazioni disponibili in questo avviso sono utili per identificare la risorsa attaccata, l'ora di rilevamento e lo stato dell'attacco.The information in this alert can be used to identify the attacked resource, the detection time, and the state of the attack. L'avviso fornisce anche un collegamento a procedure di indagine aggiuntive.It also provides a link to further investigation steps.

Vulnerabilità agli attacchi SQL injectionVulnerability to SQL Injection

Questo avviso viene generato in caso di rilevamento di un errore dell'applicazione in un database.This alert is triggered when an application error is detected on a database. L'avviso potrebbe indicare una possibile vulnerabilità ad attacchi SQL injection.This alert may indicate a possible vulnerability to SQL injection attacks.

Avviso di potenziale SQL injection

Accesso da posizione insolitaUnusual access from unfamiliar location

Questo avviso viene generato quando nel server è stato rilevato un evento di accesso da un indirizzo IP insolito non osservato nell'ultimo periodo.This alert is triggered when an access event from an unfamiliar IP address was detected on the server, which was not seen in the last period.

Avviso di accesso insolito

Informazioni contestualiContextual information

Durante l'analisi, gli analisti hanno bisogno di un contesto aggiuntivo per raggiungere un verdetto sulla natura della minaccia e su come attenuarla.During an investigation, analysts need extra context to reach a verdict about the nature of the threat and how to mitigate it. Ad esempio, è stata rilevata un'anomalia di rete, ma senza conoscere cos'altro sta accadendo in rete o alla risorsa interessata è difficile comprendere quali azioni mettere in atto.For example, a network anomaly was detected, but without understanding what else is happening on the network or with regard to the targeted resource it is every hard to understand what actions to take next. Per supportare l'analisi, un evento imprevisto della sicurezza può includere artefatti, eventi correlati e informazioni che possono rivelarsi utili.To aid with that, a Security Incident may include artifacts, related events and information that may help the investigator. La disponibilità di ulteriori informazioni varia in base al tipo di minaccia rilevata e alla configurazione dell'ambiente e non è garantita per tutti gli eventi imprevisti di sicurezza.The availability of additional information will vary based on the type of threat detected and the configuration of your environment, and will not be available for all Security Incidents.

Se sono disponibili ulteriori informazioni, verrà visualizzato nell'evento imprevisto di sicurezza sotto l'elenco degli avvisi.If additional information is available, it will be shown in the Security Incident below the list of alerts. Potrebbero essere riportate informazioni come:This could contain information like:

  • Eventi di cancellazione di logLog clear events
  • Dispositivi Plug and Play collegati da dispositivi sconosciutiPNP device plugged from unknown device
  • Avvisi non operativiAlerts which are not actionable

Avviso di accesso insolito

Vedere ancheSee also

In questo articolo sono stati descritti i diversi tipi di avvisi di sicurezza del Centro sicurezza.In this article, you learned about the different types of security alerts in Security Center. Per altre informazioni sul Centro sicurezza, vedere gli argomenti seguenti:To learn more about Security Center, see the following: