보안 경고 - 참조 가이드

이 문서에는 Azure Security Center에서 가져올 수 있는 보안 경고와 사용자가 사용하도록 설정한 모든 Azure Defender 계획이 나열되어 있습니다. 사용자 환경에 표시되는 경고는 보호하는 리소스 및 서비스와 사용자 지정된 구성에 따라 다릅니다.

이 페이지의 하단에는 MITRE ATT&CK 행렬의 버전 7과 일치하는 Azure Security Center 킬 체인을 설명하는 테이블이 있습니다.

이러한 경고에 응답하는 방법을 알아봅니다.

경고를 내보내는 방법을 알아봅니다.

Windows 컴퓨터에 대한 경고

추가 세부 정보 및 참고 사항

경고(경고 유형) 설명 MITRE 전술
(자세한 정보)
심각도
악성 IP에서 로그온이 감지됨[여러 번 발생함] [account] 계정 및 [process] 프로세스에 대해 원격 인증이 완료되었지만 로그온 IP 주소(x.x.x.x)가 이전에 악성이거나 매우 이례적인 것으로 보고되었습니다. 공격이 발생했을 수 있습니다. 확장명이 .scr인 파일은 화면 보호기 파일이며 일반적으로 Windows 시스템 디렉터리에 있으며 이곳에서 실행됩니다. - 높음
악성 IP에서 로그온이 감지됨
(VM_ThreatIntelSuspectLogon)
[account] 계정 및 [process] 프로세스에 대해 원격 인증이 완료되었지만 로그온 IP 주소(x.x.x.x)가 이전에 악성이거나 매우 이례적인 것으로 보고되었습니다. 공격이 발생했을 수 있습니다. 초기 액세스 높음
로컬 관리자 그룹에 게스트 계정 추가 호스트 데이터의 분석 결과 %{Compromised Host}의 로컬 관리자 그룹에 기본 제공 게스트 계정이 추가되어 공격자 활동과 높은 관련이 있음을 감지했습니다. - 중간
이벤트 로그가 지워짐 컴퓨터 로그에 '%{CompromisedEntity}' 컴퓨터에서 '%{user name}' 사용자의 의심스러운 이벤트 로그 지우기 작업이 나타납니다. %{log channel} 로그가 지워졌습니다. - 정보 제공
맬웨어 방지 작업 실패함 Microsoft Antimalware가 맬웨어 또는 기타 사용자 동의 없이 설치된 소프트웨어에 대한 대응 조치를 취하는 동안 오류가 발생했습니다. - 중간
맬웨어 방지 작업 수행됨 Azure용 Microsoft Antimalware가 맬웨어 또는 기타 사용자 동의 없이 설치된 소프트웨어로부터 이 컴퓨터를 보호하기 위한 작업을 수행했습니다. - 중간
가상 머신에서 맬웨어 방지 광범위한 파일 제외
(VM_AmBroadFilesExclusion)
구독에서 Azure Resource Manager 작업을 분석한 결과, 가상 머신에서 광범위한 제외 규칙을 사용하는 맬웨어 방지 확장에서 제외되는 파일이 검색되었습니다. 이렇게 제외되면 실제로 맬웨어 방지 보호를 사용하지 않도록 설정합니다.
공격자는 임의 코드를 실행하거나 컴퓨터를 맬웨어로 감염시키는 동안 탐지되는 것을 방지하기 위해 가상 머신의 맬웨어 방지 검사에서 파일을 제외할 수 있습니다.
- 중간
가상 머신에서 맬웨어 방지 비활성화 및 코드 실행
(VM_AmDisablementAndCodeExecution)
가상 머신에서 코드 실행과 동시에 맬웨어 방지가 비활성화되었습니다. 이는 구독에서 Azure Resource Manager 작업을 분석하면서 검색되었습니다.
공격자는 허가되지 않은 도구를 실행하거나 컴퓨터를 맬웨어로 감염시키는 동안 탐지되는 것을 방지하기 위해 맬웨어 방지 스캐너를 비활성화합니다.
- 높음
가상 머신에서 맬웨어 방지가 사용하지 않도록 설정됨
(VM_AmDisablement)
가상 머신에서 맬웨어 방지가 비활성화되었습니다. 이는 구독에서 Azure Resource Manager 작업을 분석하면서 검색되었습니다.
공격자는 탐지되지 않도록 가상 머신에서 맬웨어 방지를 비활성화할 수 있습니다.
방어 회피 중간
가상 머신에서 맬웨어 파일 제외 및 코드 실행
(VM_AmFileExclusionAndCodeExecution)
가상 머신에서 사용자 지정 스크립트 확장을 통해 코드가 실행되는 동시에 맬웨어 방지 스캐너에서 제외된 파일입니다. 이는 구독에서 Azure Resource Manager 작업을 분석하면서 검색되었습니다.
공격자는 허가되지 않은 도구를 실행하거나 컴퓨터를 맬웨어로 감염시키는 동안 탐지되는 것을 방지하기 위해 가상 머신의 맬웨어 방지 검사에서 파일을 제외할 수 있습니다.
방어 우회, 실행 높음
가상 머신에서 맬웨어 파일 제외 및 코드 실행
(VM_AmTempFileExclusionAndCodeExecution)
구독에서 Azure Resource Manager 작업을 분석한 결과, 가상 머신에서 사용자 지정 스크립트 확장을 통한 코드 실행과 동시에 맬웨어 방지 확장에서 제외되는 임시 파일이 검색되었습니다.
공격자는 임의 코드를 실행하거나 컴퓨터를 맬웨어로 감염시키는 동안 탐지되는 것을 방지하기 위해 가상 머신의 맬웨어 방지 검사에서 파일을 제외할 수 있습니다.
방어 우회, 실행 높음
가상 머신에서 맬웨어 방지 파일 제외
(VM_AmTempFileExclusion)
가상 머신의 맬웨어 방지 스캐너에서 제외된 파일입니다. 이는 구독에서 Azure Resource Manager 작업을 분석하면서 검색되었습니다.
공격자는 허가되지 않은 도구를 실행하거나 컴퓨터를 맬웨어로 감염시키는 동안 탐지되는 것을 방지하기 위해 가상 머신의 맬웨어 방지 검사에서 파일을 제외할 수 있습니다.
방어 회피 중간
가상 머신에서 맬웨어 방지 실시간 보호가 사용하지 않도록 설정됨
(VM_AmRealtimeProtectionDisabled)
구독에서 Azure Resource Manager 작업을 분석한 결과, 가상 머신에서 맬웨어 방지 확장의 실시간 보호 비활성화가 검색되었습니다.
공격자는 임의 코드를 실행하거나 컴퓨터를 맬웨어로 감염시키는 동안 탐지되지 않도록 가상 머신의 맬웨어 방지 검사에서 실시간 보호를 비활성화할 수 있습니다.
방어 회피 중간
가상 머신에서 맬웨어 방지 실시간 보호가 임시로 사용하지 않도록 설정됨
(VM_AmTempRealtimeProtectionDisablement)
구독에서 Azure Resource Manager 작업을 분석한 결과, 가상 머신에서 맬웨어 방지 확장의 실시간 보호 임시 비활성화가 검색되었습니다.
공격자는 임의 코드를 실행하거나 컴퓨터를 맬웨어로 감염시키는 동안 탐지되지 않도록 가상 머신의 맬웨어 방지 검사에서 실시간 보호를 비활성화할 수 있습니다.
방어 회피 중간
가상 머신에서 코드가 실행되는 동안 맬웨어 방지 실시간 보호가 임시로 사용하지 않도록 설정됨
(VM_AmRealtimeProtectionDisablementAndCodeExec)
구독에서 Azure Resource Manager 작업을 분석한 결과, 가상 머신에서 사용자 지정 스크립트 확장을 통한 코드 실행과 동시에 맬웨어 방지 확장의 실시간 보호 임시 비활성화가 검색되었습니다.
공격자는 임의 코드를 실행하거나 컴퓨터를 맬웨어로 감염시키는 동안 탐지되지 않도록 가상 머신의 맬웨어 방지 검사에서 실시간 보호를 비활성화할 수 있습니다.
- 높음
가상 머신의 맬웨어 캠페인과 잠재적으로 관련된 파일에 대해 맬웨어 방지 검사가 차단됨
(VM_AmMalwareCampaignRelatedExclusion)
맬웨어 방지 확장이 맬웨어 캠페인과 관련된 것으로 의심되는 특정 파일을 검색하지 못하도록 하는 제외 규칙이 가상 머신에서 감지되었습니다. 이 규칙은 구독에서 Azure Resource Manager 작업을 분석하면서 검색되었습니다. 공격자는 임의 코드를 실행하거나 컴퓨터를 맬웨어로 감염시키는 동안 탐지되는 것을 방지하기 위해 맬웨어 방지 검사에서 파일을 제외할 수 있습니다. 방어 회피 중간
가상 머신에서 맬웨어 방지 임시로 사용하지 않도록 설정됨
(VM_AmTemporarilyDisablement)
가상 머신에서 맬웨어 방지 임시로 비활성화 이는 구독에서 Azure Resource Manager 작업을 분석하면서 검색되었습니다.
공격자는 탐지되지 않도록 가상 머신에서 맬웨어 방지를 비활성화할 수 있습니다.
- 중간
가상 머신에서 맬웨어 방지 비정상 파일 제외
(VM_UnusualAmFileExclusion)
구독에서 Azure Resource Manager 작업을 분석한 결과, 가상 머신에서 맬웨어 방지 확장에서 제외되는 비정상 파일이 검색되었습니다.
공격자는 임의 코드를 실행하거나 컴퓨터를 맬웨어로 감염시키는 동안 탐지되는 것을 방지하기 위해 가상 머신의 맬웨어 방지 검사에서 파일을 제외할 수 있습니다.
방어 회피 중간
가상 머신에서 의심스러운 명령이 포함된 사용자 지정 스크립트 확장
(VM_CustomScriptExtensionSuspiciousCmd)
구독에서 Azure Resource Manager 작업을 분석한 결과, 가상 머신에서 의심스러운 명령이 포함된 사용자 지정 스크립트 확장이 검색되었습니다.
공격자는 사용자 지정 스크립트 확장을 사용하여 Azure Resource Manager를 통해 가상 머신에서 악성 코드를 실행할 수 있습니다.
실행 중간
가상 머신에서 의심스러운 진입점이 포함된 사용자 지정 스크립트 확장
(VM_CustomScriptExtensionSuspiciousEntryPoint)
구독에서 Azure Resource Manager 작업을 분석한 결과, 가상 머신에서 의심스러운 진입점이 포함된 사용자 지정 스크립트 확장이 검색되었습니다. 진입점은 의심스러운 GitHub 리포지토리를 나타냅니다.
공격자는 사용자 지정 스크립트 확장을 사용하여 Azure Resource Manager를 통해 가상 머신에서 악성 코드를 실행할 수 있습니다.
실행 중간
가상 머신에서 의심스러운 페이로드가 포함된 사용자 지정 스크립트 확장
(VM_CustomScriptExtensionSuspiciousPayload)
구독에서 Azure Resource Manager 작업을 분석한 결과, 가상 머신에서 의심스러운 GitHub 리포지토리의 페이로드가 포함된 사용자 지정 스크립트 확장이 검색되었습니다.
공격자는 사용자 지정 스크립트 확장을 사용하여 Azure Resource Manager를 통해 가상 머신에서 악성 코드를 실행할 수 있습니다.
실행 중간
IIS 로그 파일 비활성화 및 삭제를 나타내는 작업이 감지됨 호스트 데이터를 분석한 결과, IIS 로그 파일이 비활성화 및/또는 삭제되었음을 보여주는 작업이 감지되었습니다. - 중간
명령줄에서 대문자와 소문자의 비정상적인 혼합이 감지됨 %{Compromised Host}에서 호스트 데이터를 분석한 결과, 대문자와 소문자가 비정상적으로 혼합된 명령줄이 감지되었습니다. 이러한 종류의 패턴은 무해할 수 있으며, 공격자가 손상된 호스트에서 관리 작업을 수행할 때 대소문자를 구분하거나 일치하는 해시 기반 규칙을 숨기려는 경우에도 일반적입니다. - 중간
UAC를 우회하는 데 남용될 수 있는 레지스트리 키에 대한 변경이 감지됨 %{Compromised Host}에서 호스트 데이터를 분석 결과, UAC(사용자 계정 컨트롤)를 우회하기 위해 남용될 수 있는 레지스트리 키가 변경되었음을 감지했습니다. 이러한 종류의 구성은 무해할 수 있으며, 손상된 호스트에서 권한 없는(표준 사용자) 액세스에서 권한 있는(예: 관리자) 액세스로 전환하려고 할 때 일반적인 공격자 활동이기도 합니다. - 중간
기본 제공 certutil.exe 도구를 사용하는 실행 파일 디코딩이 감지됨 %{Compromised Host}에서 호스트 데이터를 분석한 결과, 기본 제공 관리자 유틸리티인 certutil.exe가 인증서 및 인증서 데이터 조작과 관련된 주요 목적이 아니라 실행 파일을 디코딩하는 데 사용되고 있음을 감지했습니다. 공격자는 합법적인 관리자 도구의 기능을 악용하여 악의적인 작업을 수행하는 것으로 알려져 있습니다. 예를 들어 certutil.exe와 같은 도구를 사용하여 악성 실행 파일을 디코딩한 다음 나중에 실행합니다. - 높음
WDigest UseLogonCredential 레지스트리 키를 사용하는 것이 감지됨 호스트 데이터를 분석한 결과, 레지스트리 키 HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest\ "UseLogonCredential"의 변경이 감지되었습니다. 특히 이 키는 로그온 자격 증명을 LSA 메모리에 일반 텍스트로 저장할 수 있도록 업데이트되었습니다. 사용하도록 설정되면 공격자는 Mimikatz 같은 자격 증명 수집 도구를 사용해 LSA 메모리에서 일반 텍스트 암호를 덤프할 수 있습니다. - 중간
명령줄 데이터에서 인코딩된 실행 파일이 감지됨 %{Compromised Host}에서 호스트 데이터를 분석한 결과, base-64로 인코딩된 실행 파일이 감지되었습니다. 이전에는 일련의 명령을 통해 실행 파일을 즉석에서 구성하려는 공격자 및 개별 명령이 경고를 트리거하지 않도록 하여 침입 탐지 시스템을 피하려는 공격자와 관련이 있었습니다. 이는 합법적인 활동일 수도 있고 손상된 호스트를 암시할 수도 있습니다. - 높음
난독 처리된 명령줄이 감지됨 공격자가 점점 더 복잡한 난독 처리 기술을 사용하여 기본 데이터에 대해 실행되는 감지를 피합니다. %{Compromised Host}에서 호스트 데이터를 분석한 결과, 명령줄에서 의심스러운 난독 지표가 감지되었습니다. - 정보 제공
Petya 랜섬웨어 지표가 감지됨 %{Compromised Host}에서 호스트 데이터를 분석한 결과, Petya 랜섬웨어와 관련된 지표가 감지되었습니다. 자세한 내용은 https://blogs.technet.microsoft.com/mmpc/2017/06/27/new-ransomware-old-techniques-petya-adds-worm-capabilities/ 을 참조하세요. 이 경고와 관련된 명령줄을 검토하고 해당 경고를 보안 팀에 에스컬레이션하세요. - 높음
keygen 실행 파일의 실행이 감지되었을 수 있음 %{Compromised Host}에서 호스트 데이터를 분석한 결과, 이름이 keygen 도구를 나타내는 프로세스의 실행을 감지했습니다. 이 도구는 일반적으로 소프트웨어 라이선싱 메커니즘을 무효화하는 데 사용되지만 해당 다운로드는 종종 다른 악성 소프트웨어와 함께 번들로 제공됩니다. 활동 그룹 GOLD는 이러한 keygen을 사용하여 손상시키는 호스트에 대한 백도어 액세스 권한을 은밀하게 얻는 것으로 알려져 있습니다. - 중간
맬웨어 드로퍼의 감지되었을 수 있음 %{Compromised Host}에서 호스트 데이터를 분석한 결과, 이전에 대상 호스트에 맬웨어를 설치하는 활동 그룹 GOLD의 방법 중 하나와 관련된 파일 이름이 감지되었습니다. - 높음
로컬 정찰 활동이 감지되었을 수 있음 %{Compromised Host}에서 호스트 데이터를 분석한 결과, 이전에 정찰 활동을 수행하는 활동 그룹 GOLD의 방법 중 하나와 관련된 systeminfo 명령 조합이 감지되었습니다. 'systeminfo.exe'는 합법적인 Windows 도구이지만 여기에서 발생한 방식으로 두 번 연속 실행하는 것은 드문 경우입니다. -
잠재적으로 의심스러운 Telegram 도구를 사용하는 것으로 감지됨 호스트 데이터를 분석한 결과, Telegram이 설치된 것으로 나타납니다. Telegram은 모바일 및 데스크톱 시스템 모두에 존재하는 무료 클라우드 기반 인스턴트 메시징 서비스입니다. 공격자는 이 서비스를 악용하여 악성 바이너리를 다른 컴퓨터, 전화 또는 태블릿으로 전송하는 것으로 알려져 있습니다. - 중간
로그온 시 사용자에게 표시되는 법적 고지를 표시하지 않는 것으로 감지됨 %{Compromised Host}에서 호스트 데이터를 분석한 결과, 로그온할 때 법적 고지가 표시되는지 여부를 제어하는 레지스트리 키가 변경된 것을 감지했습니다. Microsoft 보안 분석에 따르면 이는 호스트를 손상시킨 후 공격자가 수행하는 일반적인 활동입니다. - 낮음
HTA와 PowerShell의 의심스러운 조합이 감지됨 공격자가 악성 PowerShell 명령을 실행하기 위해 서명된 Microsoft 이진 파일인 mshta.exe(Microsoft HTML 응용 프로그램 호스트)를 사용하고 있습니다. 공격자는 인라인 VBScript를 사용하여 HTA 파일에 의존하는 경우가 많습니다. 피해자가 HTA 파일을 찾아 실행하도록 선택하면 포함된 PowerShell 명령 및 스크립트가 실행됩니다. %{Compromised Host}에서 호스트 데이터를 분석한 결과, PowerShell 명령을 실행하는 mshta.exe가 감지되었습니다. - 중간
의심스러운 명령줄 인수가 감지됨 %{Compromised Host}에서 호스트 데이터를 분석한 결과, 활동 그룹 HYDROGEN이 사용하는 역순 셸과 함께 사용된 의심스러운 명령줄 인수를 감지했습니다. - 높음
디렉터리의 모든 실행 파일을 시작하는 데 사용된 의심스러운 명령줄이 감지됨 호스트 데이터를 분석한 결과, 의심스러운 프로세스가 %{Compromised Host}에서 실행되고 있음을 감지했습니다. 이 명령줄은 디렉터리에 있을 수 있는 모든 실행 파일(*.exe)을 시작하려고 시도함을 나타냅니다. 이는 손상된 호스트를 암시할 수 있습니다. - 중간
명령줄에서 의심스러운 자격 증명이 감지됨 %{Compromised Host}에서 호스트 데이터를 분석한 결과, 활동 그룹 BORON이 파일을 실행하는 데 사용하는 의심스러운 암호를 감지했습니다. 이 활동 그룹은 이 암호를 사용하여 대상 호스트에서 Pirpi 맬웨어를 실행하는 것으로 알려져 있습니다. - 높음
의심스러운 문서 자격 증명이 감지됨 %{Compromised Host}에서 호스트 데이터를 분석한 결과, 맬웨어가 파일을 실행하는 데 사용되는 일반적으로 의심스러운 미리 계산된 암호 해시가 감지되었습니다. 활동 그룹 HYDROGEN은 이 암호를 사용하여 대상 호스트에서 맬웨어를 실행하는 것으로 알려져 있습니다. - 높음
VBScript.Encode 명령의 의심스러운 실행이 감지됨 %{Compromised Host}에서 호스트 데이터를 분석한 결과, VBScript.Encode 명령이 실행된 것으로 감지되었습니다. 읽을 수 없는 텍스트로 스크립트를 인코딩하므로 사용자가 코드를 검사하기가 더 어렵습니다. Microsoft 위협 연구에 따르면 공격자는 감지 시스템을 피하기 위해 공격의 일부로 인코딩된 VBscript 파일을 사용하는 경우가 많습니다. 이는 합법적인 활동일 수도 있고 손상된 호스트를 암시할 수도 있습니다. - 중간
rundll32.exe를 통한 의심스러운 실행이 감지됨 %{Compromised Host}에서 호스트 데이터를 분석한 결과, 손상된 호스트에 첫 단계 이식물을 설치할 때 활동 그룹 GOLD에서 이전에 사용된 프로세스 이름 지정 스키마와 일치하는 드문 이름으로 프로세스를 실행하는 데 rundll32.exe를 사용한 것이 감지되었습니다. - 높음
의심스러운 파일 정리 명령이 감지됨 %{Compromised Host}에서 호스트 데이터를 분석한 결과, 이전에 손상 후 자체 정리 활동을 수행하는 활동 그룹 GOLD의 방법 중 하나와 관련된 systeminfo 명령 조합이 감지되었습니다. 'systeminfo.exe'는 합법적인 Windows 도구이지만 여기에서 발생한 방식으로 두 번 연속 실행한 다음 삭제 명령을 수행하는 것은 드문 경우입니다. - 높음
의심스러운 파일 생성이 감지됨 %{Compromised Host}에서 호스트 데이터를 분석한 결과, 활동 그룹 BARIUM이 대상 호스트에서 이전에 수행한 손상 후 작업을 나타낸 프로세스 생성 또는 실행이 감지되었습니다. 이 활동 그룹은 이 기술을 사용하여 피싱 문서의 첨부 파일이 열린 후 손상된 호스트에 맬웨어를 추가로 다운로드하는 것으로 알려져 있습니다. - 높음
의심스러운 명명된 파이프 통신이 감지됨 %{Compromised Host}에서 호스트 데이터를 분석한 결과, Windows 콘솔 명령에서 명명된 로컬 파이프에 작성되는 데이터가 감지되었습니다. 명명된 파이프는 공격자가 악성 이식물과 통신하고 작업하는 데 사용하는 채널로 알려져 있습니다. 이는 합법적인 활동일 수도 있고 손상된 호스트를 암시할 수도 있습니다. - 높음
의심스러운 네트워크 활동이 감지됨 %{Compromised Host}에서 네트워크 트래픽을 분석한 결과, 의심스러운 네트워크 활동이 감지되었습니다. 이러한 트래픽은 일반적으로 무해할 수 있으며, 일반적으로 도구 다운로드, 명령 및 제어, 데이터 반출을 위한 악성 서버와 통신하기 위해 공격자가 사용합니다. 일반적인 관련 공격자 활동에는 손상된 호스트에 원격 관리 도구를 복사하고 사용자 데이터를 반출하는 것이 포함됩니다. - 낮음
의심스러운 새 방화벽 규칙이 감지됨 호스트 데이터를 분석한 결과, netsh.exe를 통해 의심스러운 위치에 있는 실행 파일에서 보내는 트래픽을 허용하도록 새 방화벽 규칙이 추가되었습니다. - 중간
시스템의 보안 상태를 낮추는 의심스러운 CACLS 사용이 감지됨 공격자는 무차별 암호 대입, 스피어 피싱 등의 다양한 방법을 사용하여 초기 손상을 달성하고 네트워크에 기반을 구축합니다. 초기 손상이 달성되면 시스템의 보안 설정을 낮추는 단계를 수행하는 경우가 많습니다. CACLS(변경 액세스 제어 목록의 약어)는 폴더 및 파일에 대한 보안 권한을 수정하는 데 자주 사용되는 Microsoft Windows 기본 명령줄 유틸리티입니다. 공격자는 시스템의 보안 설정을 낮추기 위해 이진 파일을 사용하는 경우가 많습니다. 이 작업은 모든 사용자에게 ftp.exe, net.exe, wscript.exe 등의 일부 시스템 이진 파일에 대한 모든 권한을 부여하여 수행됩니다. %{Compromised Host}에서 호스트 데이터를 분석한 결과, 시스템의 보안을 낮추기 위해 CACLS에 대한 의심스러운 사용이 감지되었습니다. - 중간
FTP -s 스위치에 대한 의심스러운 사용이 감지됨: %{Compromised Host}에서 프로세스 생성 데이터를 분석한 결과, FTP의 "-s:filename" 스위치가 사용된 것이 감지되었습니다. 이 스위치는 클라이언트가 실행할 FTP 스크립트 파일을 지정하는 데 사용됩니다. 맬웨어 또는 악성 프로세스는 이 FTP 스위치(-s:filename)를 사용하여 스크립트 파일을 가리키는 것으로 알려져 있습니다. 스크립트 파일은 원격 FTP 서버에 연결하고 악성 이진 파일을 추가로 다운로드하도록 구성됩니다. - 중간
실행 파일 코드를 시작하는 데 Pcalua.exe에 대한 의심스러운 사용이 감지됨 %{Compromised Host}에서 호스트 데이터를 분석한 결과, 실행 파일 코드를 시작하는 데 pcalua.exe가 사용된 것으로 감지되었습니다. pcalua.exe는 프로그램 설치 또는 실행 중에 호환성 문제를 감지하는 Microsoft Windows "프로그램 호환성 관리자"의 구성 요소입니다. 공격자는 합법적인 Windows 시스템 도구의 기능을 악용하여 악의적인 작업을 수행하는 것으로 알려져 있습니다. 예를 들어 -a 스위치와 함께 pcalua.exe를 사용하여 로컬 또는 원격 공유에서 악성 실행 파일을 시작합니다. - 중간
중요한 서비스의 비활성화가 감지됨 %{Compromised Host}에서 호스트 데이터를 분석한 결과, SharedAccess 또는 Windows Security Center와 같은 중요한 서비스를 중지하는 데 사용되는 "net.exe stop" 명령의 실행이 감지되었습니다. 이러한 서비스 중 하나가 중지되면 악의적인 동작을 암시할 수 있습니다. - 중간
디지털 통화 마이닝 관련 동작이 감지됨 %{Compromised Host}에서 호스트 데이터를 분석한 결과, 디지털 통화 마이닝과 일반적으로 관련된 프로세스 또는 명령의 실행이 감지되었습니다. - 높음
동적 PS 스크립트 생성 %{Compromised Host}에서 호스트 데이터를 분석한 결과, 동적으로 생성되는 PowerShell 스크립트가 감지되었습니다. 공격자는 때때로 ID 시스템을 피하기 위해 점진적으로 스크립트를 생성하는 이 방식을 사용합니다. 이는 합법적인 활동일 수도 있고 컴퓨터 중 하나가 손상되었음을 암시할 수도 있습니다. - 중간
의심스러운 위치에서 실행 중인 실행 파일이 있음 호스트 데이터를 분석한 결과, 의심스러운 알려진 파일과 공통된 위치에서 실행 중인 %{Compromised Host}에서 실행 파일이 감지되었습니다. 이 실행 파일은 합법적인 활동일 수도 있고 손상된 호스트를 암시할 수도 있습니다. - 높음
파일리스 공격 동작이 감지됨
(VM_FilelessAttackBehavior.Windows)
지정된 프로세스의 메모리에 파일리스 공격에 일반적으로 사용되는 동작이 포함되어 있습니다. 구체적인 동작은 다음과 같습니다.
1) Shellcode. 일반적으로 소프트웨어 취약성을 악용하는 페이로드로 사용되는 작은 코드 조각입니다.
2) Azure 네트워크 연결 자세한 내용은 아래의 NetworkConnections를 참조하세요.
3) 보안에 중요한 운영 체제 인터페이스에 대한 함수 호출입니다. 참조된 OS 기능에 대해서는 아래 기능을 참조하세요.
4) 동적으로 할당된 코드 세그먼트에서 시작된 스레드가 포함됩니다. 이는 프로세스 삽입 공격의 일반적인 패턴입니다.
방어 회피 낮음
파일리스 공격 기술이 감지됨
(VM_FilelessAttackTechnique.Windows)
아래 지정된 프로세스의 메모리에는 파일리스 공격 기술의 증거가 포함되어 있습니다. 파일리스 공격은 공격자가 보안 소프트웨어의 감지를 피하면서 보안 코드를 실행하는 데 사용됩니다. 구체적인 동작은 다음과 같습니다.
1) Shellcode. 일반적으로 소프트웨어 취약성을 악용하는 페이로드로 사용되는 작은 코드 조각입니다.
2) 코드 삽입 공격과 같이 프로세스에 삽입되는 실행 파일 이미지입니다.
3) Azure 네트워크 연결 자세한 내용은 아래의 NetworkConnections를 참조하세요.
4) 보안에 중요한 운영 체제 인터페이스에 대한 함수 호출입니다. 참조된 OS 기능에 대해서는 아래 기능을 참조하세요.
5) 프로세스 비우기. 악의적인 코드의 컨테이너 역할을 하기 위해 시스템에 적법한 프로세스가 로드되는 맬웨어에서 사용되는 기술입니다.
6) 동적으로 할당된 코드 세그먼트에서 시작된 스레드가 포함됩니다. 이는 프로세스 삽입 공격의 일반적인 패턴입니다.
방어 우회, 실행 높음
파일리스 공격 도구 키트가 감지됨
(VM_FilelessAttackToolkit.Windows)
지정된 프로세스의 메모리에 파일리스 공격 도구 키트([도구 키트 이름])가 포함되어 있습니다. 파일리스 공격 도구 키트는 디스크에서 맬웨어의 추적을 최소화하거나 제거하는 기술을 사용하며 디스크 기반 맬웨어 검사 솔루션을 통한 감지 가능성을 대폭 줄입니다. 구체적인 동작은 다음과 같습니다.
1) 잘 알려진 도구 키트 및 암호화 마이닝 소프트웨어.
2) Shellcode. 일반적으로 소프트웨어 취약성을 악용하는 페이로드로 사용되는 작은 코드 조각입니다.
3) 프로세스 메모리에 악성 실행 파일을 삽입했습니다.
방어 우회, 실행 중간
고위험 소프트웨어가 감지됨 %{Compromised Host}에서 호스트 데이터를 분석한 결과, 과거의 맬웨어 설치와 관련된 소프트웨어 사용이 감지되었습니다. 악성 소프트웨어 배포에 사용되는 일반적인 기술은 이 경고에서 볼 수 있는 것과 같이 무해한 다른 도구로 패키지화하는 것입니다. 해당 도구를 사용하면 맬웨어가 백그라운드에서 자동으로 설치될 수 있습니다. - 중간
로컬 관리자 그룹 구성원이 열거됨 컴퓨터 로그에 %{Enumerated Group Domain Name}%{Enumerated Group Name}그룹에 대한 성공적인 열거가 나타납니다. 특히 %{Enumerating User Domain Name}%{Enumerating User Name}은(는) %{Enumerated Group Domain Name}%{Enumerated Group Name} 그룹의 구성원을 원격으로 열거했습니다. 이 활동은 합법적인 활동일 수도 있고 조직의 컴퓨터가 손상되어 %{vmname}을(를) 정찰하는 데 사용된 것을 암시할 수도 있습니다. - 정보 제공
ZINC 서버 이식물로 인해 악성 방화벽 규칙이 생성됨[여러 번 발생함] 알려진 행위자인 ZINC와 일치하는 기술을 사용하여 방화벽 규칙이 생성되었습니다. 이 규칙은 명령 및 제어 통신을 허용하기 위해 %{Compromised Host}에서 포트를 여는 데 사용될 수 있습니다. 이 동작은 오늘 [컴퓨터 이름] 컴퓨터에서 [x]번 발생했습니다. - 높음
악성 SQL 활동 컴퓨터 로그에 '%{process name}'이(가) %{user name} 계정으로 실행된 것이 나타납니다. 이 활동은 악의적인 것으로 간주됩니다. - 높음
여러 도메인 계정이 쿼리됨 호스트 데이터를 분석한 결과, %{Compromised Host}에서 짧은 시간 내에 비정상적인 개수의 도메인 계정이 쿼리되고 있음이 감지되었습니다. 이러한 종류의 활동은 합법적일 수 있지만 손상을 암시할 수도 있습니다. - 중간
자격 증명 덤프가 감지되었을 수 있음[여러 번 발생함] 호스트 데이터를 분석한 결과, 메모리에서 자격 증명을 추출할 수 있는 방식으로 사용되는 기본 Windows 도구(예: sqldumper.exe)를 사용하는 것이 감지되었습니다. 공격자는 종종 이 기술을 사용하여 자격 증명을 추출한 후 측면 이동 및 권한 에스컬레이션에 추가로 사용합니다. 이 동작은 오늘 [컴퓨터 이름] 컴퓨터에서 [x]번 발생했습니다. - 중간
AppLocker를 우회하려는 잠재적인 시도가 감지됨 %{Compromised Host}에서 호스트 데이터를 분석한 결과, AppLocker 제한을 우회하려는 잠재적인 시도가 감지되었습니다. AppLocker는 Windows 시스템에서 실행할 수 있는 실행 파일을 제한하는 정책을 구현하도록 구성할 수 있습니다. 이 경고에서 확인된 것과 유사한 명령줄 패턴은 이전에 공격자가 신뢰할 수 없는 코드를 실행하기 위해 신뢰할 수 있는 실행 파일(AppLocker 정책에서 허용)을 사용하여 AppLocker 정책을 우회하려는 시도와 관련이 있습니다. 이는 합법적인 활동일 수도 있고 손상된 호스트를 암시할 수도 있습니다. - 높음
PsExec 실행이 감지됨
(VM_RunByPsExec)
호스트 데이터를 분석한 결과, %{Process Name} 프로세스가 PsExec 유틸리티에 의해 실행된 것으로 나타납니다. PsExec는 프로세스를 원격으로 실행하는 데 사용할 수 있습니다. 이 기술은 악의적인 목적으로 사용될 수도 있습니다. 측면 이동, 실행 정보 제공
랜섬웨어 지표가 감지됨[여러 번 발생함] 호스트 데이터를 분석한 결과, 일반적으로 잠금 화면 및 암호화 랜섬웨어와 관련된 의심스러운 활동이 나타납니다. 화면 잠금 랜섬웨어는 대화형 호스트 사용 및 해당 파일에 대한 액세스를 차단하기 위해 전체 화면 메시지를 표시합니다. 암호화 랜섬웨어는 데이터 파일을 암호화하여 액세스를 차단합니다. 두 경우 모두 일반적으로 파일 액세스를 복원하기 위해 지불을 요청하는 랜섬 메시지가 표시됩니다. 이 동작은 오늘 [컴퓨터 이름] 컴퓨터에서 [x]번 발생했습니다. - 높음
랜섬웨어 지표가 감지됨 호스트 데이터를 분석한 결과, 일반적으로 잠금 화면 및 암호화 랜섬웨어와 관련된 의심스러운 활동이 나타납니다. 화면 잠금 랜섬웨어는 대화형 호스트 사용 및 해당 파일에 대한 액세스를 차단하기 위해 전체 화면 메시지를 표시합니다. 암호화 랜섬웨어는 데이터 파일을 암호화하여 액세스를 차단합니다. 두 경우 모두 일반적으로 파일 액세스를 복원하기 위해 지불을 요청하는 랜섬 메시지가 표시됩니다. - 높음
드문 SVCHOST 서비스 그룹이 실행됨
(VM_SvcHostRunInRareServiceGroup)
드문 서비스 그룹에서 실행되는 시스템 프로세스 SVCHOST가 관찰되었습니다. 맬웨어는 SVCHOST를 사용하여 악의적인 활동을 위장하는 경우가 많습니다. 방어 우회, 실행 정보 제공
고정 키 공격이 감지됨 호스트 데이터를 분석한 결과, 공격자가 %{Compromised Host} 호스트에게 백도어 액세스를 제공하기 위해 접근성 이진(예: 고정 키, 화면 키보드, 내레이터)을 와해시키는 것으로 나타납니다. - 중간
성공적인 무차별 암호 대입 공격
(VM_LoginBruteForceSuccess)
동일한 소스에서 여러 번의 로그인 시도가 탐지되었습니다. 그 중 일부는 호스트에 성공적으로 인증되었습니다.
이는 공격자가 유효한 계정 자격 증명을 찾기 위해 수많은 인증을 수행하는 버스트 공격과 비슷합니다.
악용 중간/높음
RDP 하이재킹을 암시하는 의심스러운 무결성 수준 호스트 데이터를 분석한 결과, SYSTEM 권한으로 실행 중인 tscon.exe가 감지되었습니다. 이는 이 호스트에서 로그온한 다른 사용자로 컨텍스트를 전환하기 위해 공격자가 이 이진 파일을 악용한 것일 수 있습니다. 이는 알려진 공격자 기술로, 추가 사용자 계정을 손상시키고 네트워크에서 측면으로 이동합니다. - 중간
의심스로운 서비스 설치 호스트 데이터를 분석한 결과, 서비스로 tscon.exe 설치가 감지되었습니다. 이 이진 파일을 서비스로 시작하면 공격자가 RDP 연결을 하이재킹하여 이 호스트에서 로그온한 다른 사용자로 쉽게 전환할 수 있습니다. 이는 알려진 공격자 기술로, 추가 사용자 계정을 손상시키고 네트워크에서 측면으로 이동합니다. - 중간
의심스러운 Kerberos Golden Ticket 공격 매개 변수가 관찰됨 호스트 데이터를 분석한 결과, Kerberos Golden Ticket 공격과 일치하는 명령줄 매개 변수가 감지되었습니다. - 중간
의심스러운 계정 생성이 감지됨 %{Compromised Host}에서 호스트 데이터를 분석한 결과, 로컬 계정 %{Suspicious account name}의 생성 또는 사용이 감지되었습니다. 이 계정 이름은 표준 Windows 계정 또는 그룹 이름 '%{Similar To Account Name}'과(와) 매우 유사합니다. 이것은 공격자가 만든 Rogue 계정일 수 있으며 관리자가 알아차릴 수 없도록 이름이 지정되어 있습니다. - 중간
의심스러운 활동이 감지됨
(VM_SuspiciousActivity)
호스트 데이터를 분석한 결과, 악성 활동과 관련된 %{machine name}에서 실행 중인 하나 이상의 프로세스 시퀀스가 감지되었습니다. 개별 명령은 무해한 것으로 나타날 수 있지만 이러한 명령의 집계를 기반으로 경고 점수가 매겨집니다. 이는 합법적인 활동일 수도 있고 손상된 호스트를 암시할 수도 있습니다. 실행 중간
의심스러운 인증 활동
(VM_LoginBruteForceValidUserFailed)
모든 활동이 성공하지는 않지만 일부는 계정을 사용하여 호스트에서 인식되었습니다. 이는 사전 공격과 유사합니다. 여기서 공격자는 사전 정의된 계정 이름 및 암호 사전을 사용하여 호스트에 액세스하기 위한 유효한 자격 증명을 찾기 위해 수많은 인증 시도를 수행합니다. 이는 일부 호스트 계정 이름이 잘 알려진 계정 이름 사전에 존재할 수도 있음을 나타냅니다. 검색 중간
의심스러운 코드 세그먼트가 감지됨 코드 세그먼트가 반사형 삽입 및 프로세스 비우기에 사용되는 등 비표준 메서드를 사용하여 할당되는 것을 나타냅니다. 이 경고는 처리된 코드 세그먼트의 추가 특성을 제공하여 보고된 코드 세그먼트의 기능 및 동작에 대한 컨텍스트를 제공합니다. - 중간
의심스러운 명령 실행
(VM_SuspiciousCommandLineExecution)
컴퓨터 로그에 사용자 %{user name}에 의해 의심스러운 명령줄이 실행된 것이 나타납니다. 실행 높음
의심스러운 이중 확장 파일이 실행됨 호스트 데이터를 분석한 결과, 의심스러운 이중 확장으로 프로세스를 실행한 것으로 나타납니다. 이 확장은 사용자가 파일을 열어도 안전하다고 생각하도록 유도하지만 시스템에는 맬웨어가 있을 수 있습니다. - 높음
Certutil을 사용한 의심스러운 다운로드가 감지됨[여러 번 발생함] %{Compromised Host}에서 호스트 데이터를 분석한 결과, 기본 제공 관리자 유틸리티인 certutil.exe가 인증서 및 인증서 데이터 조작과 관련된 주요 목적이 아니라 이진 파일을 다운로드하기 위해 사용되고 있음을 감지했습니다. 공격자는 합법적인 관리자 도구의 기능을 악용하여 악의적인 작업을 수행하는 것으로 알려져 있습니다. 예를 들어 certutil.exe를 사용하여 악성 실행 파일을 다운로드 및 디코딩한 후 나중에 실행합니다. 이 동작은 오늘 [컴퓨터 이름] 컴퓨터에서 [x]번 발생했습니다. - 중간
Certutil을 사용한 의심스러운 다운로드가 감지됨 %{Compromised Host}에서 호스트 데이터를 분석한 결과, 기본 제공 관리자 유틸리티인 certutil.exe가 인증서 및 인증서 데이터 조작과 관련된 주요 목적이 아니라 이진 파일을 다운로드하기 위해 사용되고 있음을 감지했습니다. 공격자는 합법적인 관리자 도구의 기능을 악용하여 악의적인 작업을 수행하는 것으로 알려져 있습니다. 예를 들어 certutil.exe를 사용하여 악성 실행 파일을 다운로드 및 디코딩한 후 나중에 실행합니다. - 중간
가상 머신에서 실행 실패로 의심되는 사용자 지정 스크립트 확장
(VM_CustomScriptExtensionSuspiciousFailure)
구독에서 Azure Resource Manager 작업을 분석한 결과, 가상 머신에서 실패로 의심되는 사용자 지정 스크립트 확장이 검색되었습니다.
이러한 실패는 이 확장에 의해 실행되는 악성 스크립트와 관련될 수 있습니다.
실행 중간
의심스러운 PowerShell 활동이 감지됨 호스트 데이터를 분석한 결과, 의심스러운 알려진 스크립트와 공통된 기능이 있는 %{Compromised Host}에서 실행 중인 PowerShell 스크립트가 감지되었습니다. 이 스크립트는 합법적인 활동일 수도 있고 손상된 호스트를 암시할 수도 있습니다. - 높음
의심스러운 PowerShell cmdlet이 실행됨 호스트 데이터를 분석한 결과, 알려진 악성 PowerShell PowerSploit cmdlet이 실행된 것으로 나타납니다. - 중간
의심스러운 프로세스가 실행됨[여러 번 발생함] 컴퓨터 로그에 의심스러운 '%{Suspicious Process}' 프로세스가 컴퓨터에서 실행 중인 것으로 나타나며 공격자가 자격 증명에 액세스하려는 경우가 자주 나타납니다. 이 동작은 오늘 [컴퓨터 이름] 컴퓨터에서 [x]번 발생했습니다. - 높음
의심스러운 프로세스가 실행됨 컴퓨터 로그에 의심스러운 '%{Suspicious Process}' 프로세스가 컴퓨터에서 실행 중인 것으로 나타나며 공격자가 자격 증명에 액세스하려는 경우가 자주 나타납니다. - 높음
의심스러운 프로세스 이름이 감지됨[여러 번 발생함] %{Compromised Host}에서 호스트 데이터를 분석한 결과, 이름이 의심스러운 프로세스가 감지되었습니다. 예를 들어 알려진 공격자 도구에 해당하거나 공격자 도구를 잘 보이지 않도록 숨겨 연상시키는 방식으로 명명되었습니다. 이 프로세스는 합법적인 활동일 수도 있고 컴퓨터 중 하나가 손상되었음을 암시할 수도 있습니다. 이 동작은 오늘 [컴퓨터 이름] 컴퓨터에서 [x]번 발생했습니다. - 중간
의심스러운 프로세스 이름이 감지됨 %{Compromised Host}에서 호스트 데이터를 분석한 결과, 이름이 의심스러운 프로세스가 감지되었습니다. 예를 들어 알려진 공격자 도구에 해당하거나 공격자 도구를 잘 보이지 않도록 숨겨 연상시키는 방식으로 명명되었습니다. 이 프로세스는 합법적인 활동일 수도 있고 컴퓨터 중 하나가 손상되었음을 암시할 수도 있습니다. - 중간
의심스러운 프로세스 종료 버스트가 감지됨
(VM_TaskkillBurst)
호스트 데이터를 분석한 결과, %{Machine Name}에서 의심스러운 프로세스 종료가 버스트된 것으로 나타납니다. 특히 %{NumberOfCommands}개의 프로세스가 %{Begin}에서 %{Ending} 사이에 종료되었습니다. 방어 회피 낮음
의심스러운 화면 보호기 프로세스가 실행됨
(VM_SuspiciousScreenSaverExecution)
'%{process name}' 프로세스가 일반적이지 않은 위치에서 실행되는 것으로 관찰되었습니다. 확장명이 .scr인 파일은 화면 보호기 파일이며 일반적으로 Windows 시스템 디렉터리에 있으며 이곳에서 실행됩니다. 방어 우회, 실행 중간
의심스러운 SQL 활동 컴퓨터 로그에 '%{process name}'이(가) %{user name} 계정으로 실행된 것이 나타납니다. 이 활동은 이 계정에서 일반적이지 않습니다. - 중간
의심스러운 SVCHOST 프로세스가 실행됨 시스템 프로세스 SVCHOST가 비정상적인 컨텍스트에서 실행되는 것으로 관찰되었습니다. 맬웨어는 SVCHOST를 사용하여 악의적인 활동을 위장하는 경우가 많습니다. - 높음
의심스러운 시스템 프로세스가 실행됨
(VM_SystemProcessInAbnormalContext)
시스템 프로세스 %{process name}이(가) 비정상적인 컨텍스트에서 실행되는 것이 관찰되었습니다. 맬웨어는 이 프로세스 이름을 사용하여 악의적인 활동을 위장하는 경우가 많습니다. 방어 우회, 실행 높음
의심스러운 볼륨 섀도 복사본 활동 호스트 데이터를 분석한 결과, 리소스에서 섀도 복사본 삭제 활동이 감지되었습니다. VSC(볼륨 섀도 복사본)는 데이터 스냅샷을 저장하는 중요한 아티팩트입니다. 일부 맬웨어 및 특정 랜섬웨어는 VSC를 대상으로 지정하여 백업 전략을 파괴합니다. - 높음
의심스러운 WindowPosition 레지스트리 값이 감지됨 %{Compromised Host}에서 호스트 데이터를 분석한 결과, WindowPosition 레지스트리의 구성 변경 시도가 감지되었습니다. 이는 데스크톱의 보이지 않는 섹션에서 응용 프로그램 창을 숨길 수 있음을 암시합니다. 이는 합법적인 활동일 수도 있고 손상된 컴퓨터를 암시할 수도 있습니다. 이전에는 이 유형의 활동이 Win32/OneSystemCare 및 Win32/SystemHealer와 같은 알려진 애드웨어(또는 원치 않는 소프트웨어) 및 Win32/Creprote와 같은 맬웨어와 관련이 있었습니다. WindowPosition 값이 201329664로 설정된 경우(16진수: 0x0c00 0c00, X축=0c00 및 Y축=0c00에 해당) 콘솔 앱의 창을 보이는 시작 메뉴/작업 표시줄 아래 보기에서 숨겨진 영역의 사용자 화면에서 보이지 않는 섹션에 배치합니다. 의심스러운 알려진 16진수 값에는 c000c000이 포함되지만 이에 국한되지는 않습니다. - 낮음
의심스러운 명명된 프로세스가 감지됨 %{Compromised Host}에서 호스트 데이터를 분석한 결과, 이름이 매우 유사하지만 일반적으로 실행되는 프로세스(%{Similar To Process Name})와는 다른 프로세스가 감지되었습니다. 이 프로세스는 무해할 수 있지만 공격자가 합법적인 프로세스 이름과 유사한 악성 도구의 이름을 지정하여 잘 보이지 않도록 숨기는 것으로 알려져 잇습니다. - 중간
가상 머신에서 비정상적인 구성이 재설정됨
(VM_VMAccessUnusualConfigReset)
구독에서 Azure Resource Manager 작업을 분석한 결과, 가상 머신에서 비정상적인 구성 초기화가 검색되었습니다.
이 작업은 합법적일 수 있지만, 공격자는 VM 액세스 확장을 활용하여 가상 머신의 구성을 초기화하여 손상시킬 수 있습니다.
자격 증명 액세스 중간
가상 머신에서 사용자 지정 스크립트 확장의 비정상적인 삭제
(VM_CustomScriptExtensionUnusualDeletion)
구독에서 Azure Resource Manager 작업을 분석한 결과, 가상 머신에서 사용자 지정 스크립트 확장의 비정상적인 삭제가 검색되었습니다.
공격자는 사용자 지정 스크립트 확장을 사용하여 Azure Resource Manager를 통해 가상 머신에서 악성 코드를 실행할 수 있습니다.
실행 중간
가상 머신에서 사용자 지정 스크립트 확장의 비정상적인 실행
(VM_CustomScriptExtensionUnusualExecution)
구독에서 Azure Resource Manager 작업을 분석한 결과, 가상 머신에서 사용자 지정 스크립트 확장의 비정상적인 실행이 검색되었습니다.
공격자는 사용자 지정 스크립트 확장을 사용하여 Azure Resource Manager를 통해 가상 머신에서 악성 코드를 실행할 수 있습니다.
실행 중간
의심스러운 프로세스 실행이 감지됨: %{Compromised Host}에서 호스트 데이터를 분석한 결과, %{User Name}이(가) 비정상적인 프로세스를 실행한 것으로 감지됩니다. %{User Name}과(와) 같은 계정은 제한된 일련의 작업을 수행하는 경향이 있습니다. 이 실행은 문자가 아닌 것으로 판단되어 의심스러울 수 있습니다. - 높음
가상 머신에서 비정상적인 사용자 암호가 재설정됨
(VM_VMAccessUnusualPasswordReset)
구독에서 Azure Resource Manager 작업을 분석한 결과, 가상 머신에서 비정상적인 사용자 암호 재설정이 검색되었습니다.
이 작업은 합법적일 수 있지만, 공격자는 VM 액세스 확장을 활용하여 가상 머신에서 로컬 사용자의 자격 증명을 초기화하여 손상시킬 수 있습니다.
자격 증명 액세스 중간
가상 머신에서 비정상적인 사용자 SSH 키 재설정됨
(VM_VMAccessUnusualSSHReset)
구독에서 Azure Resource Manager 작업을 분석한 결과, 가상 머신에서 비정상적인 사용자 SSH 키 재설정이 검색되었습니다.
이 작업은 합법적일 수 있지만, 공격자는 VM 액세스 확장을 활용하여 가상 머신에서 사용자 계정의 SSH 키를 재설정하여 손상시킬 수 있습니다.
자격 증명 액세스 중간
VBScript HTTP 개체 할당이 감지됨 명령 프롬프트를 사용하여 VBScript 파일을 생성한 것이 감지되었습니다. 다음 스크립트에는 HTTP 개체 할당 명령이 포함되어 있습니다. 이 작업은 악성 파일을 다운로드하는 데 이용될 수 있습니다. - 높음
Windows 레지스트리 지속성 메서드가 감지됨:
(VM_RegistryPersistencyKey)
호스트 데이터를 분석한 결과, Windows 레지스트리에 실행 파일을 유지하려는 시도가 감지되었습니다. 맬웨어는 부팅 시 존속하기 위해 이러한 기술을 종종 사용합니다. 지속성 낮음

Linux 컴퓨터에 대한 경고

추가 세부 정보 및 참고 사항

경고(경고 유형) 설명 MITRE 전술
(자세한 정보)
심각도
htaccess 파일에 대한 액세스가 감지됨
(VM_SuspectHtaccessFileAccess)
%{Compromised Host}에서 호스트 데이터를 분석한 결과, htaccess 파일의 조작이 감지되었을 수 있습니다. Htaccess는 기본 리디렉션 기능 또는 기본 암호 보호와 같은 고급 기능을 포함하여 Apache 웹 소프트웨어를 실행하는 웹 서버를 여러 번 변경할 수 있는 강력한 구성 파일입니다. 공격자는 지속성을 유지하기 위해 손상된 컴퓨터에서 htaccess 파일을 수정하는 경우가 많습니다. 지속성, 방어 우회, 실행 중간
기록 파일이 지워짐 호스트 데이터를 분석한 결과, 명령 기록 로그 파일의 선택이 취소된 것으로 나타납니다. 공격자는 추적을 숨기기 위해 이 작업을 수행할 수 있습니다. '%{user name}' 사용자가 작업을 수행했습니다. - 중간
가상 머신에서 맬웨어 방지 광범위한 파일 제외
(VM_AmBroadFilesExclusion)
구독에서 Azure Resource Manager 작업을 분석한 결과, 가상 머신에서 광범위한 제외 규칙을 사용하는 맬웨어 방지 확장에서 제외되는 파일이 검색되었습니다. 이렇게 제외되면 실제로 맬웨어 방지 보호를 사용하지 않도록 설정합니다.
공격자는 임의 코드를 실행하거나 컴퓨터를 맬웨어로 감염시키는 동안 탐지되는 것을 방지하기 위해 가상 머신의 맬웨어 방지 검사에서 파일을 제외할 수 있습니다.
- 중간
가상 머신에서 맬웨어 방지 비활성화 및 코드 실행
(VM_AmDisablementAndCodeExecution)
가상 머신에서 코드 실행과 동시에 맬웨어 방지가 비활성화되었습니다. 이는 구독에서 Azure Resource Manager 작업을 분석하면서 검색되었습니다.
공격자는 허가되지 않은 도구를 실행하거나 컴퓨터를 맬웨어로 감염시키는 동안 탐지되는 것을 방지하기 위해 맬웨어 방지 스캐너를 비활성화합니다.
- 높음
가상 머신에서 맬웨어 방지가 사용하지 않도록 설정됨
(VM_AmDisablement)
가상 머신에서 맬웨어 방지가 비활성화되었습니다. 이는 구독에서 Azure Resource Manager 작업을 분석하면서 검색되었습니다.
공격자는 탐지되지 않도록 가상 머신에서 맬웨어 방지를 비활성화할 수 있습니다.
방어 회피 중간
가상 머신에서 맬웨어 파일 제외 및 코드 실행
(VM_AmFileExclusionAndCodeExecution)
가상 머신에서 사용자 지정 스크립트 확장을 통해 코드가 실행되는 동시에 맬웨어 방지 스캐너에서 제외된 파일입니다. 이는 구독에서 Azure Resource Manager 작업을 분석하면서 검색되었습니다.
공격자는 허가되지 않은 도구를 실행하거나 컴퓨터를 맬웨어로 감염시키는 동안 탐지되는 것을 방지하기 위해 가상 머신의 맬웨어 방지 검사에서 파일을 제외할 수 있습니다.
방어 우회, 실행 높음
가상 머신에서 맬웨어 파일 제외 및 코드 실행
(VM_AmTempFileExclusionAndCodeExecution)
구독에서 Azure Resource Manager 작업을 분석한 결과, 가상 머신에서 사용자 지정 스크립트 확장을 통한 코드 실행과 동시에 맬웨어 방지 확장에서 제외되는 임시 파일이 검색되었습니다.
공격자는 임의 코드를 실행하거나 컴퓨터를 맬웨어로 감염시키는 동안 탐지되는 것을 방지하기 위해 가상 머신의 맬웨어 방지 검사에서 파일을 제외할 수 있습니다.
방어 우회, 실행 높음
가상 머신에서 맬웨어 방지 파일 제외
(VM_AmTempFileExclusion)
가상 머신의 맬웨어 방지 스캐너에서 제외된 파일입니다. 이는 구독에서 Azure Resource Manager 작업을 분석하면서 검색되었습니다.
공격자는 허가되지 않은 도구를 실행하거나 컴퓨터를 맬웨어로 감염시키는 동안 탐지되는 것을 방지하기 위해 가상 머신의 맬웨어 방지 검사에서 파일을 제외할 수 있습니다.
방어 회피 중간
가상 머신에서 맬웨어 방지 실시간 보호가 사용하지 않도록 설정됨
(VM_AmRealtimeProtectionDisabled)
구독에서 Azure Resource Manager 작업을 분석한 결과, 가상 머신에서 맬웨어 방지 확장의 실시간 보호 비활성화가 검색되었습니다.
공격자는 임의 코드를 실행하거나 컴퓨터를 맬웨어로 감염시키는 동안 탐지되지 않도록 가상 머신의 맬웨어 방지 검사에서 실시간 보호를 비활성화할 수 있습니다.
방어 회피 중간
가상 머신에서 맬웨어 방지 실시간 보호가 임시로 사용하지 않도록 설정됨
(VM_AmTempRealtimeProtectionDisablement)
구독에서 Azure Resource Manager 작업을 분석한 결과, 가상 머신에서 맬웨어 방지 확장의 실시간 보호 임시 비활성화가 검색되었습니다.
공격자는 임의 코드를 실행하거나 컴퓨터를 맬웨어로 감염시키는 동안 탐지되지 않도록 가상 머신의 맬웨어 방지 검사에서 실시간 보호를 비활성화할 수 있습니다.
방어 회피 중간
가상 머신에서 코드가 실행되는 동안 맬웨어 방지 실시간 보호가 임시로 사용하지 않도록 설정됨
(VM_AmRealtimeProtectionDisablementAndCodeExec)
구독에서 Azure Resource Manager 작업을 분석한 결과, 가상 머신에서 사용자 지정 스크립트 확장을 통한 코드 실행과 동시에 맬웨어 방지 확장의 실시간 보호 임시 비활성화가 검색되었습니다.
공격자는 임의 코드를 실행하거나 컴퓨터를 맬웨어로 감염시키는 동안 탐지되지 않도록 가상 머신의 맬웨어 방지 검사에서 실시간 보호를 비활성화할 수 있습니다.
- 높음
가상 머신의 맬웨어 캠페인과 잠재적으로 관련된 파일에 대해 맬웨어 방지 검사가 차단됨
(VM_AmMalwareCampaignRelatedExclusion)
맬웨어 방지 확장이 맬웨어 캠페인과 관련된 것으로 의심되는 특정 파일을 검색하지 못하도록 하는 제외 규칙이 가상 머신에서 감지되었습니다. 이 규칙은 구독에서 Azure Resource Manager 작업을 분석하면서 검색되었습니다. 공격자는 임의 코드를 실행하거나 컴퓨터를 맬웨어로 감염시키는 동안 탐지되는 것을 방지하기 위해 맬웨어 방지 검사에서 파일을 제외할 수 있습니다. 방어 회피 중간
가상 머신에서 맬웨어 방지 임시로 사용하지 않도록 설정됨
(VM_AmTemporarilyDisablement)
가상 머신에서 맬웨어 방지 임시로 비활성화 이는 구독에서 Azure Resource Manager 작업을 분석하면서 검색되었습니다.
공격자는 탐지되지 않도록 가상 머신에서 맬웨어 방지를 비활성화할 수 있습니다.
- 중간
가상 머신에서 맬웨어 방지 비정상 파일 제외
(VM_UnusualAmFileExclusion)
구독에서 Azure Resource Manager 작업을 분석한 결과, 가상 머신에서 맬웨어 방지 확장에서 제외되는 비정상 파일이 검색되었습니다.
공격자는 임의 코드를 실행하거나 컴퓨터를 맬웨어로 감염시키는 동안 탐지되는 것을 방지하기 위해 가상 머신의 맬웨어 방지 검사에서 파일을 제외할 수 있습니다.
방어 회피 중간
apt-daily-upgrade.timer 서비스 중지 시도가 감지됨[여러 번 발생함] %{Compromised Host}에서 호스트 데이터를 분석한 결과, apt-daily-upgrade.timer 서비스를 중지하려는 시도가 감지되었습니다. 최근의 일부 공격에서 공격자는 이 서비스를 중지하고, 악성 파일을 다운로드하고, 공격에 대한 실행 권한을 부여하는 것으로 관찰되었습니다. 이 동작은 오늘 [컴퓨터 이름] 컴퓨터에서 [x]번 발생했습니다. - 낮음
apt-daily-upgrade.timer 서비스 중지 시도가 감지됨
(VM_TimerServiceDisabled)
%{Compromised Host}에서 호스트 데이터를 분석한 결과, apt-daily-upgrade.timer 서비스를 중지하려는 시도가 감지되었습니다. 최근의 일부 공격에서 공격자는 이 서비스를 중지하고, 악성 파일을 다운로드하고, 공격에 대한 실행 권한을 부여하는 것으로 관찰되었습니다. 방어 회피 낮음
일반적인 Linux 봇과 유사한 동작이 감지됨[여러 번 발생함] %{Compromised Host}에서 호스트 데이터를 분석한 결과, 일반적인 Linux 봇네트와 관련된 프로세스의 실행이 감지되었습니다. 이 동작은 오늘 [컴퓨터 이름] 컴퓨터에서 [x]번 발생했습니다. - 중간
일반적인 Linux 봇과 유사한 동작이 감지됨
(VM_CommonBot)
%{Compromised Host}에서 호스트 데이터를 분석한 결과, 일반적인 Linux 봇네트와 관련된 프로세스의 실행이 감지되었습니다. 실행, 컬렉션, 명령 및 제어 중간
Fairware 랜섬웨어와 유사한 동작이 감지됨[여러 번 발생함] %{Compromised Host}에서 호스트 데이터를 분석한 결과, 의심스러운 위치에 적용된 rm -rf 명령 실행이 감지되었습니다. rm -rf는 파일을 재귀적으로 삭제하므로 일반적으로 개별 폴더에 사용됩니다. 이 경우에는 많은 데이터를 제거할 수 있는 위치에서 사용됩니다. Fairware 랜섬웨어는 이 폴더에서 rm-rf 명령을 실행하는 것으로 알려져 있습니다. 이 동작은 오늘 [컴퓨터 이름] 컴퓨터에서 [x]번 발생했습니다. - 중간
Fairware 랜섬웨어와 유사한 동작이 감지됨
(VM_FairwareMalware)
%{Compromised Host}에서 호스트 데이터를 분석한 결과, 의심스러운 위치에 적용된 rm -rf 명령 실행이 감지되었습니다. rm -rf는 파일을 재귀적으로 삭제하므로 일반적으로 개별 폴더에 사용됩니다. 이 경우에는 많은 데이터를 제거할 수 있는 위치에서 사용됩니다. Fairware 랜섬웨어는 이 폴더에서 rm-rf 명령을 실행하는 것으로 알려져 있습니다. 실행 중간
랜섬웨어와 유사한 동작이 감지됨[여러 번 발생함] %{Compromised Host}에서 호스트 데이터를 분석한 결과, 알려진 랜섬웨어와 유사한 파일의 실행이 감지되었습니다. 이 랜섬웨어는 사용자가 시스템 또는 개인 파일에 액세스할 수 없도록 하며 액세스 권한을 다시 얻는 데 랜섬 지불을 요구합니다. 이 동작은 오늘 [컴퓨터 이름] 컴퓨터에서 [x]번 발생했습니다. - 높음
마이너 이미지가 있는 컨테이너가 감지됨 컴퓨터 로그에 디지털 통화 마이닝과 관련된 이미지를 실행하는 Docker 컨테이너의 실행이 나타납니다. 이 동작은 공격자가 리소스를 악용한 경우에 나타날 수 있습니다. - 높음
가상 머신에서 의심스러운 명령이 포함된 사용자 지정 스크립트 확장
(VM_CustomScriptExtensionSuspiciousCmd)
구독에서 Azure Resource Manager 작업을 분석한 결과, 가상 머신에서 의심스러운 명령이 포함된 사용자 지정 스크립트 확장이 검색되었습니다.
공격자는 사용자 지정 스크립트 확장을 사용하여 Azure Resource Manager를 통해 가상 머신에서 악성 코드를 실행할 수 있습니다.
실행 중간
가상 머신에서 의심스러운 진입점이 포함된 사용자 지정 스크립트 확장
(VM_CustomScriptExtensionSuspiciousEntryPoint)
구독에서 Azure Resource Manager 작업을 분석한 결과, 가상 머신에서 의심스러운 진입점이 포함된 사용자 지정 스크립트 확장이 검색되었습니다. 진입점은 의심스러운 GitHub 리포지토리를 나타냅니다.
공격자는 사용자 지정 스크립트 확장을 사용하여 Azure Resource Manager를 통해 가상 머신에서 악성 코드를 실행할 수 있습니다.
실행 중간
가상 머신에서 의심스러운 페이로드가 포함된 사용자 지정 스크립트 확장
(VM_CustomScriptExtensionSuspiciousPayload)
구독에서 Azure Resource Manager 작업을 분석한 결과, 가상 머신에서 의심스러운 GitHub 리포지토리의 페이로드가 포함된 사용자 지정 스크립트 확장이 검색되었습니다.
공격자는 사용자 지정 스크립트 확장을 사용하여 Azure Resource Manager를 통해 가상 머신에서 악성 코드를 실행할 수 있습니다.
실행 중간
명령줄에서 대문자와 소문자의 비정상적인 혼합이 감지됨 %{Compromised Host}에서 호스트 데이터를 분석한 결과, 대문자와 소문자가 비정상적으로 혼합된 명령줄이 감지되었습니다. 이러한 종류의 패턴은 무해할 수 있으며, 공격자가 손상된 호스트에서 관리 작업을 수행할 때 대소문자를 구분하거나 일치하는 해시 기반 규칙을 숨기려는 경우에도 일반적입니다. - 중간
알려진 악성 소스에서 파일 다운로드가 감지됨[여러 번 발생함]
(VM_SuspectDownload)
호스트 데이터를 분석한 결과, %{Compromised Host}의 알려진 맬웨어 소스에서 파일 다운로드가 감지되었습니다. 이 동작은 오늘 [컴퓨터 이름] 컴퓨터에서 [x]번 이상 나타났습니다. 권한 상승, 실행, 반출, 명령 및 제어 중간
알려진 악성 소스에서 파일 다운로드가 감지됨 호스트 데이터를 분석한 결과, %{Compromised Host}의 알려진 맬웨어 소스에서 파일 다운로드가 감지되었습니다. - 중간
지속성 시도가 감지됨[여러 번 발생함] %{Compromised Host}에서 호스트 데이터를 분석한 결과, 단일 사용자 모드의 시작 스크립트 설치가 감지되었습니다. 합법적인 프로세스가 해당 모드로 실행되어야 하는 경우는 지극히 드뭅니다. 따라서 공격자가 지속성을 보장하기 위해 모든 실행 수준에 악성 프로세스를 추가했음을 나타낼 수 있습니다. 이 동작은 오늘 [컴퓨터 이름] 컴퓨터에서 [x]번 발생했습니다. - 중간
지속성 시도가 감지됨
(VM_NewSingleUserModeStartupScript)
호스트 데이터를 분석한 결과, 단일 사용자 모드에 대한 시작 스크립트가 설치된 것이 감지되었습니다.
합법적인 프로세스가 해당 모드로 실행되어야 하는 경우는 드물기 때문에 공격자가 지속성을 보장하기 위해 모든 실행 수준에 악성 프로세스를 추가했음을 나타낼 수 있습니다.
지속성 중간
의심스러운 파일 다운로드가 감지됨[여러 번 발생함] 호스트 데이터를 분석한 결과, %{Compromised Host}에서 원격 파일의 의심스러운 다운로드가 감지되었습니다. 이 동작은 오늘 [컴퓨터 이름] 컴퓨터에서 10번 발생했습니다. - 낮음
의심스러운 파일 다운로드가 감지됨
(VM_SuspectDownloadArtifacts)
호스트 데이터를 분석한 결과, %{Compromised Host}에서 원격 파일의 의심스러운 다운로드가 감지되었습니다. 지속성 낮음
의심스러운 네트워크 활동이 감지됨 %{Compromised Host}에서 네트워크 트래픽을 분석한 결과, 의심스러운 네트워크 활동이 감지되었습니다. 이러한 트래픽은 일반적으로 무해할 수 있으며, 일반적으로 도구 다운로드, 명령 및 제어, 데이터 반출을 위한 악성 서버와 통신하기 위해 공격자가 사용합니다. 일반적인 관련 공격자 활동에는 손상된 호스트에 원격 관리 도구를 복사하고 사용자 데이터를 반출하는 것이 포함됩니다. - 낮음
Useradd 명령에 대한 의심스러운 사용이 감지됨[여러 번 발생함] 호스트 데이터를 분석한 결과, %{Compromised Host}에서 useradd 명령에 대한 의심스러운 사용이 감지되었습니다. 이 동작은 오늘 [컴퓨터 이름] 컴퓨터에서 [x]번 발생했습니다. - 중간
Useradd 명령에 대한 의심스러운 사용이 감지됨
(VM_SuspectUserAddition)
호스트 데이터를 분석한 결과, %{Compromised Host}에서 useradd 명령에 대한 의심스러운 사용이 감지되었습니다. 지속성 중간
디지털 통화 마이닝 관련 동작이 감지됨 %{Compromised Host}에서 호스트 데이터를 분석한 결과, 디지털 통화 마이닝과 일반적으로 관련된 프로세스 또는 명령의 실행이 감지되었습니다. - 높음
로깅 비활성화[여러 번 발생함] Linux 감사 시스템은 시스템에서 보안 관련 정보를 추적하는 방법을 제공합니다. 시스템에서 발생하는 이벤트에 대한 정보를 최대한 많이 기록합니다. 감사된 로깅을 비활성화하면 시스템에서 사용되는 보안 정책의 위반을 발견하지 못할 수 있습니다. 이 동작은 오늘 [컴퓨터 이름] 컴퓨터에서 [x]번 발생했습니다. - 낮음
의심스러운 위치에서 실행 중인 실행 파일이 있음
(VM_SuspectExecutablePath)
호스트 데이터를 분석한 결과, 의심스러운 알려진 파일과 공통된 위치에서 실행 중인 %{Compromised Host}에서 실행 파일이 감지되었습니다. 이 실행 파일은 합법적인 활동일 수도 있고 손상된 호스트를 암시할 수도 있습니다. 실행 높음
Xorg 취약성 악용[여러 번 발생함] %{Compromised Host}에서 호스트 데이터를 분석한 결과, 의심스러운 인수를 가진 Xorg 사용자가 감지되었습니다. 공격자는 권한 상승을 시도하는 데 이 기술을 이용할 수 있습니다. 이 동작은 오늘 [컴퓨터 이름] 컴퓨터에서 [x]번 발생했습니다. - 중간
TCP 소켓에 노출된 Docker 디먼
(VM_ExposedDocker)
컴퓨터 로그에 Docker 디먼(dockerd)이 TCP 소켓을 표시한다는 것으로 나타납니다. 기본적으로 Docker 구성은 TCP 소켓이 사용하도록 설정된 경우 암호화나 인증을 사용하지 않습니다. 따라서 관련 포트에 액세스할 수 있는 사용자는 누구든지 Docker 디먼에 대한 모든 권한을 보유할 수 있습니다. Execution, Exploitation 중간
실패한 SSH 무차별 암호 대입 공격
(VM_SshBruteForceFailed)
%{Attackers} 공격자의 실패한 무차별 암호 대입 공격이 감지되었습니다. 공격자가 %{Accounts used on failed sign in to host attempts} 사용자 이름으로 호스트에 액세스하려고 했습니다. 검색 중간
파일리스 공격 동작이 검색됨
(AppServices_FilelessAttackBehaviorDetection)
아래에 지정된 프로세스의 메모리에 파일리스 공격에 일반적으로 사용되는 동작이 포함되어 있습니다.
구체적인 동작은 다음과 같습니다. {list of observed behaviors}
실행 중간
파일리스 공격 기술이 검색됨
(VM_FilelessAttackTechnique.Linux)
아래 지정된 프로세스의 메모리에는 파일리스 공격 기술의 증거가 포함되어 있습니다. 파일리스 공격은 공격자가 보안 소프트웨어의 감지를 피하면서 보안 코드를 실행하는 데 사용됩니다.
구체적인 동작은 다음과 같습니다. {list of observed behaviors}
실행 높음
파일리스 공격 도구 키트가 검색됨
(VM_FilelessAttackToolkit.Linux)
아래에 지정된 프로세스의 메모리에 파일리스 공격 도구 키트({ToolKitName})가 포함되어 있습니다. 일반적으로 파일리스 공격 도구 키트는 파일 시스템에 영향을 주지 않기 때문에 기존의 바이러스 백신 소프트웨어를 통해 검색하기가 어렵습니다.
구체적인 동작은 다음과 같습니다. {list of observed behaviors}
방어 우회, 실행 높음
숨겨진 파일 실행이 감지됨 호스트 데이터를 분석한 결과, 숨겨진 파일이 %{user name}에 의해 실행된 것으로 나타납니다. 이 활동은 합법적인 활동일 수도 있고 손상된 호스트를 암시할 수도 있습니다. - 정보 제공
DDOS 도구 키트와 관련된 지표가 감지됨[여러 번 발생함] %{Compromised Host}에서 호스트 데이터를 분석한 결과, DDoS 공격을 시작하고 포트 및 서비스를 열며 감염된 시스템을 완전히 제어할 수 있는 맬웨어와 관련된 도구 키트에 속하는 파일 이름이 감지되었습니다. 이 역시 합법적인 활동일 수 있습니다. 이 동작은 오늘 [컴퓨터 이름] 컴퓨터에서 [x]번 발생했습니다. - 중간
DDOS 도구 키트와 관련된 지표가 감지됨
(VM_KnownLinuxDDoSToolkit)
%{Compromised Host}에서 호스트 데이터를 분석한 결과, DDoS 공격을 시작하고 포트 및 서비스를 열며 감염된 시스템을 완전히 제어할 수 있는 맬웨어와 관련된 도구 키트에 속하는 파일 이름이 감지되었습니다. 이 역시 합법적인 활동일 수 있습니다. 지속성, 측면 이동, 실행, 악용 중간
로컬 호스트 정찰이 감지됨[여러 번 발생함] %{Compromised Host}에서 호스트 데이터를 분석한 결과, 일반적인 Linux 봇 정찰과 관련된 명령의 실행이 감지되었습니다. 이 동작은 오늘 [컴퓨터 이름] 컴퓨터에서 [x]번 발생했습니다. - 중간
로컬 호스트 정찰이 감지됨
(VM_LinuxReconnaissance)
%{Compromised Host}에서 호스트 데이터를 분석한 결과, 일반적인 Linux 봇 정찰과 관련된 명령의 실행이 감지되었습니다. 검색 중간
호스트 방화벽에 대한 조작이 감지됨[여러 번 발생함]
(VM_FirewallDisabled)
%{Compromised Host}에서 호스트 데이터를 분석한 결과, 호스트 방화벽에 대한 조작이 감지되었을 수 있습니다. 공격자는 데이터를 반출하기 위해 이 동작을 비활성화하는 경우가 많습니다. 이 동작은 오늘 [컴퓨터 이름] 컴퓨터에서 [x]번 발생했습니다. 방어 우회, 반출 중간
호스트 방화벽에 대한 조작이 감지됨 %{Compromised Host}에서 호스트 데이터를 분석한 결과, 호스트 방화벽에 대한 조작이 감지되었을 수 있습니다. 공격자는 데이터를 반출하기 위해 이 동작을 비활성화하는 경우가 많습니다. - 중간
MITRE Caldera 에이전트가 검색됨
(VM_MitreCalderaTools)
컴퓨터 로그에 %{Compromised Host}에서 실행되었던 의심스러운 프로세스인 '%{Suspicious Process}'가 나타납니다. 이는 다른 머신을 어떤 방식으로든 공격하는 데 악의적으로 사용될 수 있는 MITRE 54ndc47 에이전트와 연관된 경우가 많습니다. 모두 중간
새 SSH 키가 추가됨[여러 번 발생함]
(VM_SshKeyAddition)
새 SSH 키가 권한 있는 키 파일에 추가되었습니다. 이 동작은 오늘 [컴퓨터 이름] 컴퓨터에서 [x]번 발생했습니다. 지속성 낮음
새 SSH 키가 추가됨 새 SSH 키가 권한 있는 키 파일에 추가되었습니다. - 낮음
공격 도구가 감지되었을 수 있음[여러 번 발생함] 컴퓨터 로그에 %{Compromised Host}에서 실행되었던 의심스러운 프로세스인 '%{Suspicious Process}'가 나타납니다. 이 도구는 여러 방법으로 다른 컴퓨터를 공격하는 악의적인 사용자와 관련된 경우가 많습니다. 이 동작은 오늘 [컴퓨터 이름] 컴퓨터에서 [x]번 발생했습니다. - 중간
공격 도구가 감지되었을 수 있음
(VM_KnownLinuxAttackTool)
컴퓨터 로그에 %{Compromised Host}에서 실행되었던 의심스러운 프로세스인 '%{Suspicious Process}'가 나타납니다. 이 도구는 여러 방법으로 다른 컴퓨터를 공격하는 악의적인 사용자와 관련된 경우가 많습니다. 실행, 컬렉션, 명령 및 제어, 검색 중간
백도어가 감지되었을 수 있음[여러 번 발생함] 호스트 데이터를 분석한 결과, 의심스러운 파일이 다운로드된 후 구독의 %{Compromised Host}에서 실행되는 것이 감지되었습니다. 이 활동은 이전의 백도어 설치와 관련되어 있습니다. 이 동작은 오늘 [컴퓨터 이름] 컴퓨터에서 [x]번 발생했습니다. - 중간
자격 증명 액세스 도구가 감지되었을 수 있음[여러 번 발생함] 컴퓨터 로그에 '%{Suspicious Process}' 프로세스에 의해 시작된 %{Compromised Host}에서 알려진 자격 증명 액세스 도구가 실행 중일 수 있는 것으로 나타납니다. 이 도구는 자격 증명에 액세스를 시도하는 공격자와 관련된 경우가 많습니다. 이 동작은 오늘 [컴퓨터 이름] 컴퓨터에서 [x]번 발생했습니다. - 중간
자격 증명 액세스 도구가 감지되었을 수 있음
(VM_KnownLinuxCredentialAccessTool)
컴퓨터 로그에 '%{Suspicious Process}' 프로세스에 의해 시작된 %{Compromised Host}에서 알려진 자격 증명 액세스 도구가 실행 중일 수 있는 것으로 나타납니다. 이 도구는 자격 증명에 액세스를 시도하는 공격자와 관련된 경우가 많습니다. 자격 증명 액세스 중간
Hadoop Yarn에 대한 악용이 있을 수 있음
(VM_HadoopYarnExploit)
%{Compromised Host}에서 호스트 데이터를 분석한 결과, Hadoop Yarn 서비스에 대한 악용이 감지되었을 수 있습니다. 악용 중간
메일 서버 악용 가능성이 검색됨
(VM_MailserverExploitation )
%{Compromised Host}에서 호스트 데이터를 분석한 결과, 메일 서버 계정에서 비정상적인 실행이 검색되었습니다. 악용 중간
로그 변조 활동이 감지되었을 수 있음[여러 번 발생함] %{Compromised Host}에서 호스트 데이터를 분석한 결과, 작업 과정 중에 사용자의 활동을 추적하는 파일의 제거가 감지되었을 수 있습니다. 공격자는 이러한 로그 파일을 삭제하여 감지를 피하고 악의적인 활동의 흔적을 남기지 않는 경우가 많습니다. 이 동작은 오늘 [컴퓨터 이름] 컴퓨터에서 [x]번 발생했습니다. - 중간
로그 변조 활동이 감지되었을 수 있음
(VM_SystemLogRemoval)
%{Compromised Host}에서 호스트 데이터를 분석한 결과, 작업 과정 중에 사용자의 활동을 추적하는 파일의 제거가 감지되었을 수 있습니다. 공격자는 이러한 로그 파일을 삭제하여 감지를 피하고 악의적인 활동의 흔적을 남기지 않는 경우가 많습니다. 방어 회피 중간
데이터 손실이 감지되었을 수 있음[여러 번 발생함] %{Compromised Host}에서 호스트 데이터를 분석한 결과, 데이터 송신 조건이 감지되었을 수 있습니다. 공격자는 손상된 컴퓨터에서 데이터를 송신하는 경우가 많습니다. 이 동작은 오늘 [컴퓨터 이름] 컴퓨터에서 [x]번 발생했습니다. - 중간
데이터 손실이 감지되었을 수 있음
(VM_DataEgressArtifacts)
%{Compromised Host}에서 호스트 데이터를 분석한 결과, 데이터 송신 조건이 감지되었을 수 있습니다. 공격자는 손상된 컴퓨터에서 데이터를 송신하는 경우가 많습니다. 컬렉션, 반출 중간
악성 웹 셸이 감지되었을 수 있음[여러 번 발생함]
(VM_Webshell)
%{Compromised Host}에서 호스트 데이터를 분석한 결과, 웹 셸이 감지되었을 수 있습니다. 공격자는 지속성을 얻거나 추가 악용을 위해 손상된 컴퓨터에 웹 셸을 업로드하는 경우가 많습니다. 이 동작은 오늘 [컴퓨터 이름] 컴퓨터에서 [x]번 발생했습니다. 지속성, 악용 중간
악성 웹 셸이 감지되었을 수 있음 %{Compromised Host}에서 호스트 데이터를 분석한 결과, 웹 셸이 감지되었을 수 있습니다. 공격자는 지속성을 얻거나 추가 악용을 위해 손상된 컴퓨터에 웹 셸을 업로드하는 경우가 많습니다. - 중간
암호화 방법을 사용한 암호 변경이 감지되었을 수 있음[여러 번 발생함] %{Compromised Host}에서 호스트 데이터를 분석한 결과, 암호화 방법을 사용한 암호 변경이 감지되었습니다. 공격자는 이 변경을 수행하여 손상 후 액세스를 계속하고 지속성을 확보할 수 있습니다. 이 동작은 오늘 [컴퓨터 이름] 컴퓨터에서 [x]번 발생했습니다. - 중간
일반 파일의 잠재적 재정의[여러 번 발생함] 호스트 데이터를 분석한 결과, %{Compromised Host}에서 덮어쓰이는 일반 실행 파일이 감지되었습니다. 공격자는 작업을 난독 처리하기 위한 방법으로 또는 지속성을 위해 일반 파일을 덮어씁니다. 이 동작은 오늘 [컴퓨터 이름] 컴퓨터에서 [x]번 발생했습니다. - 중간
일반 파일의 잠재적 재정의
(VM_OverridingCommonFiles)
호스트 데이터를 분석한 결과, %{Compromised Host}에서 덮어쓰이는 일반 실행 파일이 감지되었습니다. 공격자는 작업을 난독 처리하기 위한 방법으로 또는 지속성을 위해 일반 파일을 덮어씁니다. 지속성 중간
외부 IP 주소로 잠재적 포트 전달[여러 번 발생함] %{Compromised Host}에서 호스트 데이터를 분석한 결과, 외부 IP 주소로 포트 전달이 시작된 것이 감지되었습니다. 이 동작은 오늘 [컴퓨터 이름] 컴퓨터에서 [x]번 발생했습니다. - 중간
외부 IP 주소로 잠재적 포트 전달
(VM_SuspectPortForwarding)
호스트 데이터를 분석한 결과, 외부 IP 주소로 포트 전달이 시작된 것이 감지되었습니다. 반출, 명령 및 제어 중간
잠재적인 역방향 셸이 감지됨[여러 번 발생함] %{Compromised Host}에서 호스트 데이터를 분석한 결과, 잠재적인 역방향 셸이 감지되었습니다. 이러한 셸은 손상된 컴퓨터를 공격자가 소유한 컴퓨터로 다시 호출하는 데 사용됩니다. 이 동작은 오늘 [컴퓨터 이름] 컴퓨터에서 [x]번 발생했습니다. - 중간
잠재적인 역방향 셸이 감지됨
(VM_ReverseShell)
%{Compromised Host}에서 호스트 데이터를 분석한 결과, 잠재적인 역방향 셸이 감지되었습니다. 이러한 셸은 손상된 컴퓨터를 공격자가 소유한 컴퓨터로 다시 호출하는 데 사용됩니다. Exfiltration, Exploitation 중간
컨테이너에서 권한 있는 명령 실행 컴퓨터 로그에 권한 있는 명령이 Docker 컨테이너에서 실행되었던 것으로 나타납니다. 권한 있는 명령에는 호스트 컴퓨터에 대한 확장된 권한이 있습니다. - 낮음
권한 있는 컨테이너가 감지됨 컴퓨터 로그에 권한 있는 Docker 컨테이너가 실행 중인 것으로 나타납니다. 권한 있는 컨테이너에는 호스트의 리소스에 대한 모든 권한이 있습니다. 컴퓨터가 손상되면 공격자는 권한 있는 컨테이너를 사용하여 호스트 컴퓨터에 대한 액세스 권한을 얻을 수 있습니다. - 낮음
디지털 통화 마이닝 관련 프로세스가 감지됨[여러 번 발생함] %{Compromised Host}에서 호스트 데이터를 분석한 결과, 디지털 통화 마이닝과 일반적으로 관련된 프로세스의 실행이 감지되었습니다. 이 동작은 오늘 [컴퓨터 이름] 컴퓨터에서 100번 이상 발생했습니다. - 중간
디지털 통화 마이닝 관련 프로세스가 감지됨 호스트 데이터를 분석한 결과, 디지털 통화 마이닝과 일반적으로 관련된 프로세스의 실행이 감지되었습니다. 악용, 실행 중간
프로세스가 비정상적인 방식으로 SSH 인증 키 파일에 액세스하는 것으로 나타남
(VM_SshKeyAccess)
SSH 인증 키 파일이 알려진 맬웨어 캠페인과 유사한 방법으로 액세스되었습니다. 이 액세스는 공격자가 컴퓨터에 지속적으로 액세스를 시도하고 있음을 나타낼 수 있습니다. - 낮음
Python 인코딩 다운로더가 감지됨[여러 번 발생함] %{Compromised Host}에서 호스트 데이터를 분석한 결과, 원격 위치에서 코드를 다운로드 및 실행하는 인코딩된 Python의 실행이 감지되었습니다. 이는 악의적인 활동을 암시할 수 있습니다. 이 동작은 오늘 [컴퓨터 이름] 컴퓨터에서 [x]번 발생했습니다. - 낮음
호스트에서 캡처된 스크린샷[여러 번 발생함] %{Compromised Host}에서 호스트 데이터를 분석한 결과, 화면 캡처 도구의 사용자가 감지되었습니다. 공격자는 이 도구를 사용하여 비공개 데이터에 액세스할 수 있습니다. 이 동작은 오늘 [컴퓨터 이름] 컴퓨터에서 [x]번 발생했습니다. - 낮음
스크립트 확장 불일치가 감지됨[여러 번 발생함] %{Compromised Host}에서 호스트 데이터를 분석 한 결과, 스크립트 인터프리터와 입력으로 제공된 스크립트 파일의 확장명이 일치하지 않은 것으로 감지되었습니다. 이는 흔히 공격자 스크립트 실행과 관련되어 있습니다. 이 동작은 오늘 [컴퓨터 이름] 컴퓨터에서 [x]번 발생했습니다. - 중간
스크립트 확장 불일치가 감지됨
(VM_MismatchedScriptFeatures)
%{Compromised Host}에서 호스트 데이터를 분석 한 결과, 스크립트 인터프리터와 입력으로 제공된 스크립트 파일의 확장명이 일치하지 않은 것으로 감지되었습니다. 이는 흔히 공격자 스크립트 실행과 관련되어 있습니다. 방어 회피 중간
셸 코드가 감지됨[여러 번 발생함] %{Compromised Host}에서 호스트 데이터를 분석한 결과, 명령줄에서 생성된 셸 코드가 감지되었습니다. 이 프로세스는 합법적인 활동일 수도 있고 컴퓨터 중 하나가 손상되었음을 암시할 수도 있습니다. 이 동작은 오늘 [컴퓨터 이름] 컴퓨터에서 [x]번 발생했습니다. - 중간
SSH 서버가 컨테이너 내부에서 실행 중임
(VM_ContainerSSH)
컴퓨터 로그에 SSH 서버가 Docker 컨테이너 내에서 실행되는 것으로 나타납니다. 이 동작은 의도적일 수 있지만 컨테이너가 잘못 구성되었거나 위반되었음을 나타내는 경우가 많습니다. 실행 중간
성공적인 SSH 무차별 암호 대입 공격
(VM_SshBruteForceSuccess)
호스트 데이터를 분석한 결과, 성공적인 무차별 암호 대입 공격이 감지되었습니다. IP %{Attacker source IP}에 대해 여러 번의 로그인 시도가 있었습니다. %{Accounts used to successfully sign in to host} 사용자로 해당 IP에서 성공적으로 로그인되었습니다. 즉, 호스트가 손상되어 악의적인 행위자가 제어할 수 있음을 의미합니다. 악용 높음
의심스러운 계정 생성이 감지됨 %{Compromised Host}에서 호스트 데이터를 분석한 결과, 로컬 계정 %{Suspicious account name}의 생성 또는 사용이 감지되었습니다. 이 계정 이름은 표준 Windows 계정 또는 그룹 이름 '%{Similar To Account Name}'과(와) 매우 유사합니다. 이것은 공격자가 만든 Rogue 계정일 수 있으며 관리자가 알아차릴 수 없도록 이름이 지정되어 있습니다. - 중간
의심스러운 컴파일이 감지됨[여러 번 발생함] %{Compromised Host}에서 호스트 데이터를 분석한 결과, 의심스러운 컴파일이 감지되었습니다. 공격자는 권한을 승격하기 위해 손상시킨 컴퓨터에서 익스플로잇을 컴파일하는 경우가 많습니다. 이 동작은 오늘 [컴퓨터 이름] 컴퓨터에서 [x]번 발생했습니다. - 중간
의심스러운 컴파일이 감지됨
(VM_SuspectCompilation)
%{Compromised Host}에서 호스트 데이터를 분석한 결과, 의심스러운 컴파일이 감지되었습니다. 공격자는 권한을 승격하기 위해 손상시킨 컴퓨터에서 익스플로잇을 컴파일하는 경우가 많습니다. 권한 상승, 악용 중간
가상 머신에서 실행 실패로 의심되는 사용자 지정 스크립트 확장
(VM_CustomScriptExtensionSuspiciousFailure)
구독에서 Azure Resource Manager 작업을 분석한 결과, 가상 머신에서 실패로 의심되는 사용자 지정 스크립트 확장이 검색되었습니다.
이러한 실패는 이 확장에 의해 실행되는 악성 스크립트와 관련될 수 있습니다.
실행 중간
의심스러운 커널 모듈이 감지됨[여러 번 발생함] %{Compromised Host}에서 호스트 데이터를 분석한 결과, 커널 모듈로 로드되는 공유 개체 파일이 감지되었습니다. 이는 합법적인 활동일 수도 있고 컴퓨터 중 하나가 손상되었음을 암시할 수도 있습니다. 이 동작은 오늘 [컴퓨터 이름] 컴퓨터에서 [x]번 발생했습니다. - 중간
의심스러운 암호 액세스[여러 번 발생함] 호스트 데이터를 분석한 결과, %{Compromised Host}에서 암호화된 사용자 암호에 대해 의심스러운 액세스가 감지되었습니다. 이 동작은 오늘 [컴퓨터 이름] 컴퓨터에서 [x]번 발생했습니다. - 정보 제공
의심스러운 암호 액세스 호스트 데이터를 분석한 결과, %{Compromised Host}에서 암호화된 사용자 암호에 대해 의심스러운 액세스가 감지되었습니다. - 정보 제공
의심스러운 PHP 실행이 감지됨
(VM_SuspectPhp)
컴퓨터 로그에 의심스러운 PHP 프로세스가 실행 중인 것으로 나타납니다. 이 작업에는 PHP 프로세스를 사용하여 명령줄에서 OS 명령 또는 PHP 코드를 실행하려는 시도가 있었습니다. 이 동작은 합법적일 수 있지만 웹 응용 프로그램에서는 웹 셸로 웹 사이트를 감염하려는 시도와 같은 악의적인 활동에서도 이 동작이 관찰됩니다. 실행 중간
Kubernetes API에 대한 의심스러운 요청
(VM_KubernetesAPI)
컴퓨터 로그에 Kubernetes API에 대한 의심스러운 요청이 있었던 것으로 나타납니다. 해당 요청은 Kubernetes 노드에서 전송되었으며 노드에서 실행중인 컨테이너 중 하나일 수 있습니다. 이 동작은 의도적일 수 있지만 노드가 손상된 컨테이너를 실행하고 있음을 나타낼 수도 있습니다. 실행 중간
가상 머신에서 비정상적인 구성이 재설정됨
(VM_VMAccessUnusualConfigReset)
구독에서 Azure Resource Manager 작업을 분석한 결과, 가상 머신에서 비정상적인 구성 초기화가 검색되었습니다.
이 작업은 합법적일 수 있지만, 공격자는 VM 액세스 확장을 활용하여 가상 머신의 구성을 초기화하여 손상시킬 수 있습니다.
자격 증명 액세스 중간
가상 머신에서 사용자 지정 스크립트 확장의 비정상적인 삭제
(VM_CustomScriptExtensionUnusualDeletion)
구독에서 Azure Resource Manager 작업을 분석한 결과, 가상 머신에서 사용자 지정 스크립트 확장의 비정상적인 삭제가 검색되었습니다.
공격자는 사용자 지정 스크립트 확장을 사용하여 Azure Resource Manager를 통해 가상 머신에서 악성 코드를 실행할 수 있습니다.
실행 중간
가상 머신에서 사용자 지정 스크립트 확장의 비정상적인 실행
(VM_CustomScriptExtensionUnusualExecution)
구독에서 Azure Resource Manager 작업을 분석한 결과, 가상 머신에서 사용자 지정 스크립트 확장의 비정상적인 실행이 검색되었습니다.
공격자는 사용자 지정 스크립트 확장을 사용하여 Azure Resource Manager를 통해 가상 머신에서 악성 코드를 실행할 수 있습니다.
실행 중간
가상 머신에서 비정상적인 사용자 암호가 재설정됨
(VM_VMAccessUnusualPasswordReset)
구독에서 Azure Resource Manager 작업을 분석한 결과, 가상 머신에서 비정상적인 사용자 암호 재설정이 검색되었습니다.
이 작업은 합법적일 수 있지만, 공격자는 VM 액세스 확장을 활용하여 가상 머신에서 로컬 사용자의 자격 증명을 초기화하여 손상시킬 수 있습니다.
자격 증명 액세스 중간
가상 머신에서 비정상적인 사용자 SSH 키 재설정됨
(VM_VMAccessUnusualSSHReset)
구독에서 Azure Resource Manager 작업을 분석한 결과, 가상 머신에서 비정상적인 사용자 SSH 키 재설정이 검색되었습니다.
이 작업은 합법적일 수 있지만, 공격자는 VM 액세스 확장을 활용하여 가상 머신에서 사용자 계정의 SSH 키를 재설정하여 손상시킬 수 있습니다.
자격 증명 액세스 중간

Azure App Service에 대한 경고

추가 세부 정보 및 참고 사항

경고(경고 유형) 설명 MITRE 전술
(자세한 정보)
심각도
Windows App Service에서 Linux 명령을 실행하려고 함
(AppServices_LinuxCommandOnWindows)
App Service 프로세스를 분석한 결과, Windows App Service에서 Linux 명령을 실행하려는 시도가 감지되었습니다. 이 작업은 웹 응용 프로그램에 의해 실행되었습니다. 이 동작은 일반적인 웹 응용 프로그램의 취약성을 악용하는 캠페인 중에 나타나는 경우가 많습니다.
(적용 대상: Windows의 App Service)
- 중간
Azure App Service FTP 인터페이스에 연결된 IP가 위협 인텔리전스에 있음
(AppServices_IncomingTiClientIpFtp)
Azure App Service FTP 로그에 위협 인텔리전스 피드에 있는 소스 주소와의 연결이 나타납니다. 이 연결 도중 나열된 페이지에 사용자가 액세스했습니다.
(적용 대상: Windows의 App Service 및 Linux의 App Service)
초기 액세스 중간
높은 권한 명령을 실행하려는 시도가 감지됨
(AppServices_HighPrivilegeCommand)
App Service 프로세스를 분석한 결과, 높은 권한이 필요한 명령을 실행하려는 시도가 검색되었습니다.
웹 응용 프로그램 컨텍스트에서 실행된 명령입니다. 이 동작은 합법적일 수 있지만 웹 애플리케이션에서는 악의적인 활동에서도 이 동작이 발견됩니다.
(적용 대상: Windows의 App Service)
- 중간
App Service에 대한 Azure Security Center 테스트 경고(위협 아님)
(AppServices_EICAR)
Azure Security Center에서 생성한 테스트 경고입니다. 추가 조치가 필요하지 않습니다.
(적용 대상: Windows의 App Service 및 Linux의 App Service)
- 높음
비정상적인 IP 주소에서 웹 페이지에 대한 연결이 감지됨
(AppServices_AnomalousPageAccess)
Azure App Service 활동 로그에는 나열된 원본 IP 주소에서 중요한 웹 페이지로의 비정상적인 연결이 나타납니다. 이는 누군가 웹 앱 관리 페이지에 대한 무차별 암호 대입 공격을 시도하고 있음을 나타낼 수도 있습니다. 합법적인 사용자가 새 IP 주소를 사용했기 때문일 수도 있습니다. 원본 IP 주소를 신뢰할 수 있으면 이 리소스에 대한 이 경고를 안전하게 표시하지 않을 수 있습니다. Azure Defender 경고를 표시하지 않는 방법에 대한 자세한 내용은 Azure Defender의 경고 표시 안 함을 참조하세요.
(적용 대상: Windows의 App Service 및 Linux의 App Service)
초기 액세스 중간
App Service 리소스에 대한 현수 DNS 레코드 검색됨
(AppServices_DanglingDomain)
최근에 삭제된 App Service 리소스("현수 DNS" 항목이라고도 함)를 가리키는 DNS 레코드가 검색되었습니다. 이로 인해 하위 도메인 인수에 취약합니다. 하위 도메인 인수를 통해 악의적인 행위자는 조직의 도메인에 대한 트래픽을 악의적인 활동을 수행하는 사이트로 리디렉션할 수 있습니다.
(적용 대상: Windows의 App Service 및 Linux의 App Service)
- 높음
명령줄 데이터에서 인코딩된 실행 파일이 감지됨
(AppServices_Base64EncodedExecutableInCommandLineParams)
{손상된 호스트}에서 호스트 데이터를 분석한 결과, base-64로 인코딩된 실행 파일이 감지되었습니다. 이전에는 일련의 명령을 통해 실행 파일을 즉석에서 구성하려는 공격자 및 개별 명령이 경고를 트리거하지 않도록 하여 침입 탐지 시스템을 피하려는 공격자와 관련이 있었습니다. 이는 합법적인 활동일 수도 있고 손상된 호스트를 암시할 수도 있습니다.
(적용 대상: Windows의 App Service)
방어 우회, 실행 높음
알려진 악성 소스에서 파일 다운로드가 감지됨
(AppServices_SuspectDownload)
호스트 데이터를 분석한 결과, 호스트의 알려진 맬웨어 소스에서 파일 다운로드가 감지되었습니다.
(적용 대상: Linux의 App Service)
권한 상승, 실행, 반출, 명령 및 제어 중간
디지털 통화 마이닝 관련 동작이 감지됨
(AppServices_DigitalCurrencyMining)
Inn-Flow-WebJobs에서 호스트 데이터를 분석한 결과, 디지털 통화 마이닝과 일반적으로 관련된 프로세스 또는 명령의 실행이 검색되었습니다.
(적용 대상: Windows의 App Service 및 Linux의 App Service)
실행 높음
certutil을 사용하여 디코딩된 실행 파일
(AppServices_ExecutableDecodedUsingCertutil)
[손상된 엔터티]에서 호스트 데이터를 분석한 결과, 기본 제공 관리자 유틸리티인 certutil.exe가 인증서 및 인증서 데이터 조작과 관련된 주요 목적이 아니라 실행 파일을 디코딩하는 데 사용되고 있습니다. 공격자는 합법적인 관리자 도구의 기능을 악용하여 악의적인 작업을 수행하는 것으로 알려져 있습니다. 예를 들어 certutil.exe와 같은 도구를 사용하여 악성 실행 파일을 디코딩한 다음 나중에 실행합니다.
(적용 대상: Windows의 App Service)
방어 우회, 실행 높음
파일리스 공격 동작이 검색됨
(AppServices_FilelessAttackBehaviorDetection)
아래에 지정된 프로세스의 메모리에 파일리스 공격에 일반적으로 사용되는 동작이 포함되어 있습니다.
구체적인 동작은 다음과 같습니다. {list of observed behaviors}
(적용 대상: Windows의 App Service 및 Linux의 App Service)
실행 중간
파일리스 공격 기술이 검색됨
(AppServices_FilelessAttackTechniqueDetection)
아래 지정된 프로세스의 메모리에는 파일리스 공격 기술의 증거가 포함되어 있습니다. 파일리스 공격은 공격자가 보안 소프트웨어의 감지를 피하면서 보안 코드를 실행하는 데 사용됩니다.
구체적인 동작은 다음과 같습니다. {list of observed behaviors}
(적용 대상: Windows의 App Service 및 Linux의 App Service)
실행 높음
파일리스 공격 도구 키트가 검색됨
(AppServices_FilelessAttackToolkitDetection)
아래에 지정된 프로세스의 메모리에 파일리스 공격 도구 키트({ToolKitName})가 포함되어 있습니다. 일반적으로 파일리스 공격 도구 키트는 파일 시스템에 영향을 주지 않기 때문에 기존의 바이러스 백신 소프트웨어를 통해 검색하기가 어렵습니다.
구체적인 동작은 다음과 같습니다. {list of observed behaviors}
(적용 대상: Windows의 App Service 및 Linux의 App Service)
방어 우회, 실행 높음
NMap 검사가 검색됨
(AppServices_Nmap)
Azure App Service 활동 로그에 App Service 리소스에 대한 웹 지문 활동이 나타납니다.
검색된 의심스러운 활동은 NMAP와 연관이 있습니다. 공격자는 이 도구를 사용하여 웹 애플리케이션을 검색해 취약성을 찾는 경우가 많습니다.
(적용 대상: Windows의 App Service 및 Linux의 App Service)
사전 공격 중간
피싱 콘텐츠가 Azure Webapps에 호스트됨
(AppServices_PhishingContent)
피싱 공격에 사용된 URL이 Azure AppServices 웹 사이트에 있습니다. 이 URL은 Microsoft 365 고객에게 전송된 피싱 공격의 일부입니다. 해당 콘텐츠는 일반적으로 방문자가 회사 자격 증명이나 재무 정보를 합법적으로 보이는 웹 사이트에 입력하도록 유도합니다.
(적용 대상: Windows의 App Service 및 Linux의 App Service)
컬렉션 높음
업로드 파일의 PHP 파일
(AppServices_PhpInUploadFolder)
Azure App Service 활동 로그에 업로드 폴더에 있는 의심스러운 PHP 페이지에 대한 액세스가 나타납니다.
이 유형의 폴더에는 일반적으로 PHP 파일이 포함되지 않습니다. 이 형식의 파일이 존재하면 임의의 파일 업로드 취약성을 이용하는 악용을 암시할 수도 있습니다.
(적용 대상: Windows의 App Service 및 Linux의 App Service)
실행 중간
가능한 Cryptocoinminer 다운로드 검색됨
(AppServices_CryptoCoinMinerDownload)
호스트 데이터를 분석한 결과, 디지털 통화 마이닝과 일반적으로 관련된 파일의 다운로드가 감지되었습니다.
(적용 대상: Linux의 App Service)
방어 우회, 명령 및 제어, 악용 중간
App Service 리소스에 대한 잠재적 현수 DNS 레코드가 검색됨
(AppServices_PotentialDanglingDomain)
최근에 삭제된 App Service 리소스("현수 DNS" 항목이라고도 함)를 가리키는 DNS 레코드가 검색되었습니다. 이로 인해 하위 도메인 인수에 취약할 수 있습니다. 하위 도메인 인수를 통해 악의적인 행위자는 조직의 도메인에 대한 트래픽을 악의적인 활동을 수행하는 사이트로 리디렉션할 수 있습니다. 이 경우 도메인 확인 ID가 있는 텍스트 레코드가 발견되었습니다. 이러한 텍스트 레코드는 하위 도메인 인수를 방지하지만, 여전히 현수 도메인을 제거하는 것을 권장합니다. DNS 레코드를 하위 도메인을 가리키도록 두면 나중에 조직 내에서 TXT 파일 또는 레코드를 삭제할 경우 위험에 노출될 수 있습니다.
(적용 대상: Windows의 App Service 및 Linux의 App Service)
- 낮음
잠재적인 역방향 셸이 감지됨
(AppServices_ReverseShell)
호스트 데이터를 분석한 결과, 잠재적인 역방향 셸이 감지되었습니다. 이러한 셸은 손상된 컴퓨터를 공격자가 소유한 컴퓨터로 다시 호출하는 데 사용됩니다.
(적용 대상: Linux의 App Service)
Exfiltration, Exploitation 중간
원시 데이터 다운로드가 감지됨
(AppServices_DownloadCodeFromWebsite)
App Service 프로세스를 분석한 결과, Pastebin과 같은 원시 데이터 웹 사이트에서 코드를 다운로드하려는 시도가 감지되었습니다. 이 작업은 PHP 프로세스를 통해 실행되었습니다. 이 동작은 웹 셸 또는 기타 악성 구성 요소를 App Service에 다운로드하려는 시도와 관련이 있습니다.
(적용 대상: Windows의 App Service)
실행 중간
디스크에 넘기기 출력 저장이 감지됨
(AppServices_CurlToDisk)
App Service 프로세스를 분석한 결과, 디스크에 출력이 저장된 넘기기 명령 실행이 감지되었습니다. 이 동작은 합법적일 수 있지만 웹 응용 프로그램에서는 웹 셸로 웹 사이트를 감염하려는 시도와 같은 악의적인 활동에서도 이 동작이 관찰됩니다.
(적용 대상: Windows의 App Service)
- 낮음
스팸 폴더 참조 페이지가 감지됨
(AppServices_SpamReferrer)
Azure App Service 활동 로그에 스팸 활동과 관련된 웹 사이트에서 발생한 것으로 식별된 웹 작업이 나타납니다. 이는 웹 사이트가 손상되어 스팸 활동에 사용되는 경우에 발생할 수 있습니다.
(적용 대상: Windows의 App Service 및 Linux의 App Service)
- 낮음
취약할 수 있는 웹 페이지에 대한 의심스러운 액세스가 감지됨
(AppServices_ScanSensitivePage)
Azure App Service 활동 로그에 중요한 것으로 보이는 웹 페이지가 액세스된 것으로 나타납니다. 이 의심스러운 활동은 액세스 패턴이 웹 스캐너의 액세스 패턴과 유사한 소스 IP 주소에서 시작되었습니다.
이 활동은 공격자가 민감하거나 취약한 웹 페이지에 액세스하기 위해 네트워크를 검사하려는 시도와 관련이 있는 경우가 많습니다.
(적용 대상: Windows의 App Service 및 Linux의 App Service)
- 낮음
의심스러운 도메인 이름 참조
(AppServices_CommandlineSuspectDomain)
호스트 데이터를 분석한 결과, 의심스러운 도메인 이름에 대한 참조가 감지되었습니다. 이러한 활동은 합법적인 사용자 동작일 수 있지만, 악성 소프트웨어의 다운로드 또는 실행을 나타내는 경우가 많습니다. 일반적으로 관련된 공격자 활동에는 추가 악성 소프트웨어 또는 원격 관리 도구의 다운로드 및 실행이 포함될 수 있습니다.
(적용 대상: Linux의 App Service)
반출 낮음
Certutil을 사용한 의심스러운 다운로드가 감지됨
(AppServices_DownloadUsingCertutil)
{NAME}에서 호스트 데이터를 분석한 결과, 기본 제공 관리자 유틸리티인 certutil.exe가 인증서 및 인증서 데이터 조작과 관련된 주요 목적이 아니라 이진 파일을 다운로드하기 위해 사용되고 있습니다. 공격자는 합법적인 관리자 도구의 기능을 악용하여 악의적인 작업을 수행하는 것으로 알려져 있습니다. 예를 들어 certutil.exe를 사용하여 악성 실행 파일을 다운로드 및 디코딩한 후 나중에 실행합니다.
(적용 대상: Windows의 App Service)
실행 중간
의심스러운 PHP 실행이 감지됨
(AppServices_SuspectPhp)
컴퓨터 로그에 의심스러운 PHP 프로세스가 실행 중인 것으로 나타납니다. 이 작업에는 PHP 프로세스를 사용하여 명령줄에서 운영 체제 명령 또는 PHP 코드를 실행하려는 시도가 있었습니다. 이 동작은 합법적일 수 있지만 웹 응용 프로그램에서는 이 동작이 웹 셸로 웹 사이트를 감염하려는 시도와 같은 악의적인 활동으로 암시될 수도 있습니다.
(적용 대상: Windows의 App Service 및 Linux의 App Service)
실행 중간
의심스러운 PowerShell cmdlet이 실행됨
(AppServices_PowerShellPowerSploitScriptExecution)
호스트 데이터를 분석한 결과, 알려진 악성 PowerShell PowerSploit cmdlet이 실행된 것으로 나타납니다.
(적용 대상: Windows의 App Service)
실행 중간
의심스러운 프로세스가 실행됨
(AppServices_KnownCredential AccessTools)
머신 로그에 의심스러운 '%{process path}' 프로세스가 머신에서 실행 중인 것으로 나타나며 공격자가 자격 증명에 액세스하려는 경우가 자주 나타납니다.
(적용 대상: Windows의 App Service)
자격 증명 액세스 높음
의심스러운 프로세스 이름이 감지됨
(AppServices_ProcessWithKnownSuspiciousExtension)
{NAME}에서 호스트 데이터를 분석한 결과, 이름이 의심스러운 프로세스가 검색되었습니다. 예를 들어 알려진 공격자 도구에 해당하거나 공격자 도구를 잘 보이지 않도록 숨겨 연상시키는 방식으로 명명되었습니다. 이 프로세스는 합법적인 활동일 수도 있고 컴퓨터 중 하나가 손상되었음을 암시할 수도 있습니다.
(적용 대상: Windows의 App Service)
지속성, Defense Evasion 중간
의심스러운 SVCHOST 프로세스가 실행됨
(AppServices_SVCHostFromInvalidPath)
시스템 프로세스 SVCHOST가 비정상적인 컨텍스트에서 실행되는 것으로 관찰되었습니다. 맬웨어는 SVCHOST를 사용하여 악의적인 활동을 위장하는 경우가 많습니다.
(적용 대상: Windows의 App Service)
방어 우회, 실행 높음
의심스러운 사용자 에이전트가 감지됨
(AppServices_UserAgentInjection)
Azure App Service 활동 로그에 의심스러운 사용자 에이전트가 있는 요청이 나타납니다. 이 동작은 App Service 응용 프로그램의 취약성을 악용하려는 시도를 나타낼 수 있습니다.
(적용 대상: Windows의 App Service 및 Linux의 App Service)
초기 액세스 중간
의심스러운 WordPress 테마 호출이 감지됨
(AppServices_WpThemeInjection)
Azure App Service 활동 로그에 App Service 리소스에서의 코드 삽입 활동이 발생한 것으로 나타납니다.
이 의심스러운 활동은 코드의 서버 쪽 실행을 지원하기 위해 WordPress 테마를 조작한 후 조작된 테마 파일을 호출하도록 직접 웹 요청을 수행하는 활동과 유사합니다.
이러한 유형의 활동은 과거에 WordPress에 대한 공격 캠페인의 일부로 간주되었습니다.
App Service 리소스가 WordPress 사이트를 호스팅하지 않으면 이 특정 코드 삽입 익스플로잇에 취약하지 않는 것이므로 리소스에 대한 이 경고를 안전하게 표시하지 않을 수 있습니다. Azure Defender 경고를 표시하지 않는 방법에 대한 자세한 내용은 Azure Defender의 경고 표시 안 함을 참조하세요.
(적용 대상: Windows의 App Service 및 Linux의 App Service)
실행 높음
취약성 검사기가 감지됨
(AppServices_DrupalScanner)
Azure App Service 활동 로그에 App Service 리소스에서 취약성 스캐너가 사용되었던 것으로 나와 있습니다.
의심스러운 활동이 CMS(콘텐츠 관리 시스템)를 대상으로 하는 도구와 유사한 것으로 검색되었습니다.
App Service 리소스가 Drupal 사이트를 호스팅하지 않으면 이 특정 코드 삽입 익스플로잇에 취약하지 않는 것이므로 리소스에 대한 이 경고를 안전하게 표시하지 않을 수 있습니다. Azure Defender 경고를 표시하지 않는 방법에 대한 자세한 내용은 Azure Defender의 경고 표시 안 함을 참조하세요.
(적용 대상: Windows의 App Service)
사전 공격 중간
취약성 검사기가 감지됨
(AppServices_JoomlaScanner)
Azure App Service 활동 로그에 App Service 리소스에서 취약성 스캐너가 사용되었던 것으로 나와 있습니다.
의심스러운 활동이 Joomla 애플리케이션을 대상으로 하는 도구와 유사한 것으로 검색되었습니다.
App Service 리소스가 Joomla 사이트를 호스팅하지 않으면 이 특정 코드 삽입 익스플로잇에 취약하지 않는 것이므로 리소스에 대한 이 경고를 안전하게 표시하지 않을 수 있습니다. Azure Defender 경고를 표시하지 않는 방법에 대한 자세한 내용은 Azure Defender의 경고 표시 안 함을 참조하세요.
(적용 대상: Windows의 App Service 및 Linux의 App Service)
사전 공격 중간
취약성 검사기가 감지됨
(AppServices_WpScanner)
Azure App Service 활동 로그에 App Service 리소스에서 취약성 스캐너가 사용되었던 것으로 나와 있습니다.
의심스러운 활동이 WordPress 애플리케이션을 대상으로 하는 도구와 유사한 것으로 검색되었습니다.
App Service 리소스가 WordPress 사이트를 호스팅하지 않으면 이 특정 코드 삽입 익스플로잇에 취약하지 않는 것이므로 리소스에 대한 이 경고를 안전하게 표시하지 않을 수 있습니다. Azure Defender 경고를 표시하지 않는 방법에 대한 자세한 내용은 Azure Defender의 경고 표시 안 함을 참조하세요.
(적용 대상: Windows의 App Service 및 Linux의 App Service)
사전 공격 중간
웹 지문이 감지됨
(AppServices_WebFingerprinting)
Azure App Service 활동 로그에 App Service 리소스에 대한 웹 지문 활동이 나타납니다.
검색된 의심스러운 활동은 Blind Elephant라는 도구와 관련되어 있습니다. 도구는 웹 서버를 지문 인식하고 설치된 애플리케이션 및 버전을 감지하려고 합니다.
공격자는 이 도구를 사용하여 웹 애플리케이션을 검색해 취약성을 찾는 경우가 많습니다.
(적용 대상: Windows의 App Service 및 Linux의 App Service)
사전 공격 중간
웹 사이트가 위협 인텔리전스 피드에서 악성으로 태그 지정됨
(AppServices_SmartScreen)
아래에 설명된 웹 사이트는 Windows SmartScreen에 의해 악성 사이트로 표시됩니다. 가양성이라고 생각되는 경우 제공된 보고서 피드백 링크를 통해 Windows SmartScreen에 문의하세요.
(적용 대상: Windows의 App Service 및 Linux의 App Service)
컬렉션 중간
데이터 손실이 감지되었을 수 있음
(AppServices_DataEgressArtifacts)
호스트/디바이스 데이터를 분석한 결과 데이터 송신 조건이 감지되었을 수 있습니다. 공격자는 손상된 컴퓨터에서 데이터를 송신하는 경우가 많습니다.
(적용 대상: Linux의 App Service)
컬렉션, 반출 중간
의심스러운 파일 다운로드가 감지됨
(AppServices_SuspectDownloadArtifacts)
호스트 데이터를 분석한 결과 원격 파일의 의심스러운 다운로드가 감지되었습니다.
(적용 대상: Linux의 App Service)
지속성 중간

컨테이너에 대한 경고 - Kubernetes 클러스터

추가 세부 정보 및 참고 사항

경고(경고 유형) 설명 MITRE 전술
(자세한 정보)
심각도
프록시 IP 주소에서 K8S API 요청이 감지됨
(K8S_TI_Proxy)
Kubernetes 감사 로그를 분석한 결과, TOR과 같은 프록시 서비스와 연결된 IP 주소에서 클러스터에 대한 API 요청이 감지되었습니다. 이 동작은 합법적일 수 있지만, 공격자가 원본 IP를 숨기려고 하는 악의적인 활동에서 나타나는 경우가 많습니다. 실행 낮음
중요한 볼륨 탑재가 있는 컨테이너가 감지됨
(K8S_SensitiveMount)
Kubernetes 감사 로그를 분석한 결과, 중요한 볼륨 탑재가 있는 새 컨테이너가 감지되었습니다. 감지된 볼륨은 중요한 파일 또는 폴더를 노드에서 컨테이너로 탑재하는 hostPath 유형입니다. 컨테이너가 손상되면 공격자가 이 탑재를 사용하여 노드에 액세스할 수 있습니다. 권한 상승 중간
Kubernetes에서 CoreDNS 수정이 감지됨
(K8S_CoreDnsModification)
Kubernetes 감사 로그를 분석한 결과, CoreDNS 구성 수정이 감지되었습니다. CoreDNS의 구성은 해당 configmap을 재정의하여 수정할 수 있습니다. 이 활동은 합법적일 수 있지만, 공격자에게 configmap을 수정할 수 있는 권한이 있는 경우 해당 공격자가 클러스터의 DNS 서버 동작을 변경하고 포이즌을 수행할 수 있습니다. 측면 확대 낮음
허용 웹후크 구성 만들기가 감지됨
(K8S_AdmissionController)
Kubernetes 감사 로그를 분석한 결과, 새 허용 웹후크 구성이 감지되었습니다. Kubernetes에는 MutatingAdmissionWebhook 및 ValidatingAdmissionWebhook라는 두 개의 기본 제공 제네릭 허용 컨트롤러가 있습니다. 이러한 허용 컨트롤러의 동작은 사용자가 클러스터에 배포하는 허용 웹후크를 통해 결정됩니다. 이러한 허용 컨트롤러의 사용은 합법적일 수 있지만, 공격자가 이러한 웹후크를 사용하여 요청을 수정하거나(MutatingAdmissionWebhook의 경우) 요청을 검사하고, 중요한 정보를 얻을 수 있습니다(ValidatingAdmissionWebhook의 경우). 자격 증명 액세스, 지속성 낮음
디지털 통화 마이닝 컨테이너가 감지됨
(K8S_MaliciousContainerImage)
Kubernetes 감사 로그를 분석한 결과, 디지털 통화 마이닝 도구와 관련된 이미지가 있는 컨테이너가 감지되었습니다. 실행 높음
Kubernetes 대시보드가 노출된 것이 탐지됨
(K8S_ExposedKubeflow)
Kubernetes 감사 로그를 분석한 결과, Kubeflow를 실행하는 클러스터의 부하 분산 장치를 통해 Istio 수신이 노출된 것을 탐지했습니다. 이 작업은 Kubeflow 대시보드를 인터넷에 노출할 수 있습니다. 대시보드가 인터넷에 노출되면 공격자가 대시보드에 액세스하여 클러스터에서 악성 컨테이너 또는 코드를 실행할 수 있습니다. 자세한 내용은 이 문서(https://www.microsoft.com/security/blog/2020/06/10/misconfigured-kubeflow-workloads-are-a-security-risk )에서 확인하세요. 초기 액세스 중간
표시된 Kubernetes 대시보드가 감지됨
(K8S_ExposedDashboard)
Kubernetes 감사 로그를 분석한 결과, LoadBalancer 서비스에 의한 Kubernetes 대시보드 표시가 감지되었습니다. 표시된 대시보드는 클러스터 관리에 대한 인증되지 않은 액세스를 허용하고, 이로 인해 보안 위협이 발생합니다. 초기 액세스 높음
Kubernetes 서비스가 노출된 것이 탐지됨
(K8S_ExposedService)
Kubernetes 감사 로그를 분석한 결과, 부하 분산 장치를 통해 서비스가 노출된 것이 탐지되었습니다. 이 서비스는 노드에서 프로세스를 실행하거나 새 컨테이너를 만드는 것처럼 클러스터에 많은 영향을 미치는 작업을 허용하는 중요한 애플리케이션과 관련되어 있습니다. 경우에 따라 이 서비스에서 인증을 요구하지 않습니다. 서비스에서 인증을 요구하지 않는 경우 인터넷에 공개되면 보안 위험이 발생합니다. 초기 액세스 중간
AKS에서 노출된 Redis 서비스 탐지됨
(K8S_ExposedRedis)
Kubernetes 감사 로그를 분석한 결과, 부하 분산 장치를 통해 Redis 서비스가 노출된 것이 탐지되었습니다. 서비스에서 인증을 요구하지 않는 경우 인터넷에 공개되면 보안 위험이 발생합니다. 초기 액세스 낮음
Kubernetes 이벤트가 삭제됨
(K8S_DeleteEvents)
Security Center에서 일부 Kubernetes 이벤트가 삭제되었다고 감지되었습니다. Kubernetes 이벤트는 클러스터의 변경에 대한 정보를 포함하는 Kubernetes의 개체입니다. 공격자가 클러스터에서 자신의 작업을 숨기기 위해 이러한 이벤트를 삭제할 수 있습니다. 방어 회피 중간
Kubernetes 침투 테스트 도구가 감지됨
(K8S_PenTestToolsKubeHunter)
Kubernetes 감사 로그를 분석한 결과, AKS 클러스터에서 Kubernetes 침투 테스트 도구의 사용이 감지되었습니다. 이 동작은 합법적일 수 있지만, 공격자가 이러한 공용 도구를 악의적인 목적으로 사용할 수 있습니다. 실행 낮음
네임스페이스에 새 컨테이너가 감지됨
(K8S_KubeSystemContainer)
Kubernetes 감사 로그를 분석한 결과, kube-system 네임스페이스에서 일반적으로 실행되는 컨테이너에 속하지 않는 새 컨테이너가 이 네임스페이스에서 감지되었습니다. kube-system 네임스페이스에는 사용자 리소스가 포함되지 않아야 합니다. 공격자가 이 네임스페이스를 사용하여 악성 구성 요소를 숨길 수 있습니다. 지속성 낮음
높은 권한의 새 역할이 감지됨
(K8S_HighPrivilegesRole)
Kubernetes 감사 로그를 분석한 결과, 권한이 높은 새 역할이 감지되었습니다. 높은 권한이 있는 역할에 바인딩하면 클러스터에서 높은 권한이 사용자/그룹에 부여됩니다. 불필요한 권한으로 인해 클러스터에서 권한 상승이 발생할 수 있습니다. 지속성 낮음
권한 있는 컨테이너가 감지됨
(K8S_PrivilegedContainer)
Kubernetes 감사 로그를 분석한 결과, 권한 있는 새 컨테이너가 감지되었습니다. 권한 있는 컨테이너는 노드의 리소스에 액세스할 수 있으며 컨테이너 간의 격리를 해제합니다. 컴퓨터가 손상되면 공격자는 권한 있는 컨테이너를 사용하여 노드에 대한 액세스 권한을 얻을 수 있습니다. 권한 상승 낮음
cluster-admin 역할에 대한 역할 바인딩이 감지됨
(K8S_ClusterAdminBinding)
Kubernetes 감사 로그를 분석한 결과, 관리자 권한을 부여하는 cluster-admin 역할에 대한 새 바인딩이 감지되었습니다. 불필요한 관리자 권한으로 인해 클러스터에서 권한 상승이 발생할 수 있습니다. 지속성 낮음
비정상적인 Pod 배포(미리 보기)
(K8S_AnomalousPodDeployment)
Kubernetes 감사 로그 분석에서 이전 Pod 배포 활동을 기반으로 비정상적인 Pod 배포를 감지했습니다. 이 작업은 배포 작업에서 볼 수 있는 다양한 기능이 서로 어떻게 관계가 있는지를 고려할 때 변칙으로 간주됩니다. 이 분석에서 모니터링되는 기능에는 사용되는 컨테이너 이미지 레지스트리, 배포를 수행하는 계정, 요일, 이 계정이 Pod 배포를 수행하는 빈도, 작업에 사용되는 사용자 에이전트, Pod 배포가 자주 발생하는 네임스페이스 또는 기타 기능이 포함됩니다. 비정상적인 활동으로 이 경고를 제기하기 위한 주요 원인은 경고 확장 속성 아래에 자세히 설명되어 있습니다. 실행 중간
Kubernetes 클러스터에 할당된 과도한 역할 권한(미리 보기)
(K8S_ServiceAcountPermissionAnomaly)
Kubernetes 감사 로그를 분석한 결과는 클러스터에 대한 과도한 권한 역할 할당을 검색했습니다. 역할 할당 검사에서 나열된 권한은 특정 서비스 계정에 일반적이지 않습니다. 이 검색에서는 Azure에서 모니터링하는 클러스터에서 동일한 서비스 계정에 대한 이전 역할 할당, 권한당 볼륨 및 특정 권한의 영향을 고려합니다. 이 경고에 사용되는 변칙 검색 모델은 Azure Defender 모니터링하는 모든 클러스터에서 이 사용 권한을 사용하는 방법을 고려합니다. 권한 상승 낮음

컨테이너에 대한 경고 - 호스트 수준

컨테이너 호스트에 대한 Azure Defender 경고는 아래 경고로 제한되지 않습니다. Azure 네트워크 계층에 대한 경고, Windows 컴퓨터에 대한 경고Linux 컴퓨터에 대한 경고 테이블에 나열된 대부분의 경고가 컨테이너 호스트에서 트리거될 수도 있습니다. Microsoft의 글로벌 위협 인텔리전스 팀에서 감지를 최적화하고 가양성을 줄이기 위해 Kubernetes 클러스터에 대한 다양한 유형의 경고를 지속적으로 측정 및 튜닝합니다.

추가 세부 정보 및 참고 사항

경고(경고 유형) 설명 MITRE 전술
(자세한 정보)
심각도
마이너 이미지가 있는 컨테이너가 감지됨
(VM_MinerInContainerImage)
컴퓨터 로그에서 디지털 통화 마이닝과 관련된 이미지를 실행하는 Docker 컨테이너의 실행을 나타냅니다. 실행 높음
Kubernetes 노드에서 Docker 빌드 작업이 감지됨
(VM_ImageBuildOnNode)
컴퓨터 로그에서 Kubernetes 노드의 컨테이너 이미지에 대한 빌드 작업을 나타냅니다. 이 동작은 합법적일 수 있지만, 공격자가 악의적인 이미지를 로컬로 빌드하여 감지를 피할 수 있습니다. 방어 회피 낮음
표시된 Docker 디먼이 감지됨
(VM_ExposedDocker)
컴퓨터 로그에 Docker 디먼(dockerd)이 TCP 소켓을 표시한다는 것으로 나타납니다. 기본적으로 Docker 구성은 TCP 소켓이 사용하도록 설정된 경우 암호화나 인증을 사용하지 않습니다. 따라서 관련 포트에 액세스할 수 있는 사용자는 누구든지 Docker 디먼에 대한 모든 권한을 보유할 수 있습니다. Execution, Exploitation 중간
컨테이너에서 권한 있는 명령 실행
(VM_PrivilegedExecutionInContainer)
컴퓨터 로그에 권한 있는 명령이 Docker 컨테이너에서 실행되었던 것으로 나타납니다. 권한 있는 명령에는 호스트 컴퓨터에 대한 확장된 권한이 있습니다. 권한 상승 낮음
권한 있는 컨테이너가 감지됨
(VM_PrivilegedContainerArtifacts)
컴퓨터 로그에 권한 있는 Docker 컨테이너가 실행 중인 것으로 나타납니다. 권한 있는 컨테이너에는 호스트의 리소스에 대한 모든 권한이 있습니다. 컴퓨터가 손상되면 공격자는 권한 있는 컨테이너를 사용하여 호스트 컴퓨터에 대한 액세스 권한을 얻을 수 있습니다. 권한 상승, 실행 낮음
SSH 서버가 컨테이너 내부에서 실행 중임
(VM_ContainerSSH)
컴퓨터 로그에 SSH 서버가 Docker 컨테이너 내에서 실행되는 것으로 나타납니다. 이 동작은 의도적일 수 있지만 컨테이너가 잘못 구성되었거나 위반되었음을 나타내는 경우가 많습니다. 실행 중간
Kubernetes API에 대한 의심스러운 요청
(VM_KubernetesAPI)
컴퓨터 로그에 Kubernetes API에 대한 의심스러운 요청이 있었던 것으로 나타납니다. 해당 요청은 Kubernetes 노드에서 전송되었으며 노드에서 실행중인 컨테이너 중 하나일 수 있습니다. 이 동작은 의도적일 수 있지만 노드가 손상된 컨테이너를 실행하고 있음을 나타낼 수도 있습니다. 실행 중간
Kubernetes 대시보드에 대한 의심스러운 요청
(VM_KubernetesDashboard)
컴퓨터 로그에 Kubernetes 대시보드에 대한 의심스러운 요청이 있었던 것으로 나타납니다. 해당 요청은 Kubernetes 노드에서 전송되었으며 노드에서 실행중인 컨테이너 중 하나일 수 있습니다. 이 동작은 의도적일 수 있지만 노드가 손상된 컨테이너를 실행하고 있음을 나타낼 수도 있습니다. 수평 이동 중간

SQL Database 및 Azure Synapse Analytics에 대한 경고

추가 세부 정보 및 참고 사항

경고 설명 MITRE 전술
(자세한 정보)
심각도
SQL 삽입에 대한 취약성이 있을 수 있음
(SQL.VM_VulnerabilityToSqlInjection
SQL.DB_VulnerabilityToSqlInjection
SQL.MI_VulnerabilityToSqlInjection
SQL.DW_VulnerabilityToSqlInjection)
응용 프로그램이 데이터베이스에서 결함 있는 SQL 문을 생성했습니다. 이는 SQL 삽입 공격에 대해 발생 가능한 취약성을 나타낼 수 있습니다. 잘못된 문에 대한 두 가지 가능한 이유가 있습니다. 잘못된 SQL문을 구성한 응용 프로그램 코드에서 결함 발생 응용 프로그램 코드 또는 저장 프로시저가 SQL 삽입에 악용될 수 있는 잘못된 SQL문을 생성할 때 사용자 입력을 삭제하지 않았음 사전 공격 중간
잠재적으로 위험한 응용 프로그램에서 로그온을 시도함
(SQL.DB_HarmfulApplication
SQL.VM_HarmfulApplication
SQL.MI_HarmfulApplication
SQL.DW_HarmfulApplication)
잠재적으로 유해한 애플리케이션이 SQL 서버 '{name}'에 액세스하려고 했습니다. 사전 공격 높음
비정상적인 Azure 데이터 센터에서 로그온
(SQL.DB_DataCenterAnomaly
SQL.VM_DataCenterAnomaly
SQL.DW_DataCenterAnomaly
SQL.MI_DataCenterAnomaly)
SQL Server에 대한 액세스 패턴이 변경되었으며 누군가가 비정상적인 Azure 데이터 센터에서 SQL Server에 로그인했습니다. 어떤 경우에 경고는 합법적인 작업(새 응용 프로그램 또는 Azure 서비스)을 감지합니다. 경우에 따라 경고는 악의적인 작업(공격자가 Azure의 위반된 리소스에서 작동)을 감지합니다. 검색 낮음
비정상적인 위치에서 로그온
(SQL.DB_GeoAnomaly
SQL.VM_GeoAnomaly
SQL.DW_GeoAnomaly
SQL.MI_GeoAnomaly)
SQL Server에 대한 액세스 패턴에 변경이 있으며 누군가가 비정상적인 지리적 위치에서 SQL Server에 로그인했습니다. 일부 경우에서 경고는 합법적인 작업(새 애플리케이션 또는 개발자 유지 관리)을 검색합니다. 다른 경우에 경고는 악의적인 작업(퇴사 직원 또는 외부 공격자)을 감지합니다. 악용 중간
60일 이내에 표시되지 않는 주 사용자의 로그인
(SQL.DB_PrincipalAnomaly
SQL.VM_PrincipalAnomaly
SQL.DW_PrincipalAnomaly
SQL.MI_PrincipalAnomaly)
최근 60일 동안 표시되지 않은 주 사용자가 데이터베이스에 로그인했습니다. 이 데이터베이스가 새 데이터베이스이거나 데이터베이스에 액세스하는 사용자의 최근 변경 내용으로 인해 발생하는 예상되는 동작인 경우 Security Center는 액세스 패턴에 대한 중요한 변경 내용을 식별하여 향후 가양성 방지를 시도합니다. 악용 중간
의심스러운 IP에서 로그인
(SQL.VM_SuspiciousIpAnomaly)
Microsoft Threat Intelligence가 의심스러운 활동과 연결된 IP 주소에서 리소스에 성공적으로 액세스했습니다. 사전 공격 중간
잠재적인 SQL 무차별 암호 대입 시도 다른 자격 증명을 사용하여 비정상적으로 많은 수의 로그인 실패가 발생했습니다. 일부 경우에서 경고는 작업의 침투 테스트를 검색합니다. 다른 경우에서 경고는 무차별 암호 대입 공격(brute force attack)을 검색합니다. 검색 높음
잠재적인 SQL 삽입
(SQL.DB_PotentialSqlInjection
SQL.VM_PotentialSqlInjection
SQL.MI_PotentialSqlInjection
SQL.DW_PotentialSqlInjection
Synapse.SQLPool_PotentialSqlInjection)
SQL 삽입에 취약한 것으로 식별된 응용 프로그램에 대해 활성 익스플로잇이 발생했습니다. 즉, 공격자가 취약한 응용 프로그램 코드 또는 저장 프로시저를 사용하여 악성 SQL문을 삽입하려고 하는 것을 의미합니다. 사전 공격 높음
잠재적으로 안전하지 않은 작업
(SQL.DB_UnsafeCommands
SQL.MI_UnsafeCommands
SQL.DW_UnsafeCommands)
서버 '{name}'의 데이터베이스 '{name}'에서 잠재적으로 안전하지 않은 작업을 시도했습니다. - 높음
유효한 사용자를 사용한 의심스러운 무차별 암호 대입 공격 리소스에서 잠재적인 무차별 암호 대입 공격이 감지되었습니다. 공격자가 로그인할 수 있는 권한이 있는 유효한 사용자 sa를 사용하고 있습니다. 사전 공격 높음
의심스러운 무차별 암호 대입 공격 SQL 서버 '{name}'에서 잠재적인 무차별 암호 대입 공격이 감지되었습니다. 사전 공격 높음
의심스러운 성공적인 무차별 암호 대입 공격
(SQL.DB_BruteForce
SQL.VM_BruteForce
SQL.DW_BruteForce
SQL.MI_BruteForce)
리소스에 대한 명백한 무차별 암호 대입 공격 후 성공적인 로그인이 발생했습니다. 사전 공격 높음
비정상적인 내보내기 위치 누군가가 SQL Server '{name}'에서 비정상적인 위치로 대량의 데이터를 추출했습니다. 반출 높음

오픈 소스 관계형 데이터베이스에 대한 경고

추가 세부 정보 및 참고 사항

경고(경고 유형) 설명 MITRE 전술
(자세한 정보)
심각도
유효한 사용자를 사용한 의심스러운 무차별 암호 대입 공격
(SQL.PostgreSQL_BruteForce
SQL.MariaDB_BruteForce
SQL.MySQL_BruteForce)
리소스에서 잠재적인 무차별 암호 대입 공격이 감지되었습니다. 공격자가 로그인할 수 있는 권한이 있는 유효한 사용자(사용자 이름)를 사용하고 있습니다. 사전 공격 높음
의심스러운 성공적인 무차별 암호 대입 공격
(SQL.PostgreSQL_BruteForce
SQL.MySQL_BruteForce
SQL.MariaDB_BruteForce)
리소스에 대한 명백한 무차별 암호 대입 공격 후 성공적인 로그인이 발생했습니다. 사전 공격 높음
의심스러운 무차별 암호 대입 공격
("SQL.MySQL_BruteForce")
SQL 서버 '{name}'에서 잠재적인 무차별 암호 대입 공격이 감지되었습니다. 사전 공격 높음
잠재적으로 위험한 응용 프로그램에서 로그온을 시도함
(SQL.PostgreSQL_HarmfulApplication
SQL.MariaDB_HarmfulApplication
SQL.MySQL_HarmfulApplication)
잠재적으로 유해한 애플리케이션이 리소스에 액세스하려고 했습니다. 사전 공격 높음
60일 이내에 표시되지 않는 주 사용자의 로그인
(SQL.PostgreSQL_PrincipalAnomaly
SQL.MariaDB_PrincipalAnomaly
SQL.MySQL_PrincipalAnomaly)
최근 60일 동안 표시되지 않은 주 사용자가 데이터베이스에 로그인했습니다. 이 데이터베이스가 새 데이터베이스이거나 데이터베이스에 액세스하는 사용자의 최근 변경 내용으로 인해 발생하는 예상되는 동작인 경우 Security Center는 액세스 패턴에 대한 중요한 변경 내용을 식별하여 향후 가양성 방지를 시도합니다. 악용 중간
도메인의 로그인이 60일 이내에 표시되지 않음
(SQL.MariaDB_DomainAnomaly
SQL.PostgreSQL_DomainAnomaly
SQL.MySQL_DomainAnomaly)
사용자가 지난 60일 동안 다른 사용자가 연결하지 않은 도메인에서 리소스에 로그인했습니다. 이 리소스가 새 데이터베이스이거나 리소스에 액세스하는 사용자의 최근 변경 내용으로 인해 발생하는 예상되는 동작인 경우 Security Center는 액세스 패턴에 대한 중요한 변경 내용을 식별하여 향후 가양성 방지를 시도합니다. 악용 중간
비정상적인 Azure 데이터 센터에서 로그온
(SQL.PostgreSQL_DataCenterAnomaly
SQL.MariaDB_DataCenterAnomaly
SQL.MySQL_DataCenterAnomaly)
누군가가 비정상적인 Azure 데이터 센터에서 리소스에 로그온했습니다. 검색 낮음
비정상적인 클라우드 공급자에서 로그온
(SQL.PostgreSQL_CloudProviderAnomaly
SQL.MariaDB_CloudProviderAnomaly
SQL.MySQL_CloudProviderAnomaly)
최근 60일 이내에 클라우드 공급자에서 사용자 리소스에 로그온한 사람이 확인되지 않았습니다. 위협 행위자는 캠페인에서 사용할 일회성 컴퓨팅 능력을 쉽고 빠르게 얻을 수 있습니다. 최근에 새 클라우드 공급자를 채택했기 때문에 예상할 수 있는 동작이라면, Security Center는 시간이 지나면서 학습을 수행하여 이후 가양성을 방지하려고 합니다. 악용 중간
비정상적인 위치에서 로그온
(SQL.MariaDB_GeoAnomaly
SQL.PostgreSQL_GeoAnomaly
SQL.MySQL_GeoAnomaly)
누군가가 비정상적인 Azure 데이터 센터에서 리소스에 로그온했습니다. 악용 중간
의심스러운 IP에서 로그인
(SQL.PostgreSQL_SuspiciousIpAnomaly
SQL.MariaDB_SuspiciousIpAnomaly
SQL.MySQL_SuspiciousIpAnomaly)
Microsoft Threat Intelligence가 의심스러운 활동과 연결된 IP 주소에서 리소스에 성공적으로 액세스했습니다. 사전 공격 중간

Resource Manager에 대한 경고

추가 세부 정보 및 참고 사항

경고(경고 유형) 설명 MITRE 전술
(자세한 정보)
심각도
의심스러운 IP 주소의 Azure Resource Manager 작업
(ARM_OperationFromSuspiciousIP)
Resource Manager용 Azure Defender가 위협 인텔리전스 피드에서 의심스러운 것으로 표시된 IP 주소의 작업을 감지했습니다. 실행 중간
의심스러운 프록시 IP 주소의 Azure Resource Manager 작업(미리 보기)
(ARM_OperationFromSuspiciousProxyIP)
Resource Manager용 Azure Defender가 TOR과 같은 프록시 서비스와 연결된 IP 주소의 리소스 관리 작업을 감지했습니다. 이 동작은 합법적일 수 있지만, 위협 행위자가 원본 IP를 숨기려고 하는 악의적인 활동에서 나타나는 경우가 많습니다. 방어 회피 중간
구독에서 리소스를 열거하는 데 사용된 MicroBurst 악용 도구 키트
(ARM_MicroBurst.AzDomainInfo)
구독에서 MicroBurst의 정보 수집 모듈이 실행되었습니다. 이 도구는 리소스, 권한 및 네트워크 구조를 검색하는 데 사용할 수 있습니다. 이는 구독에서 Azure 활동 로그와 리소스 관리 작업을 분석하면서 검색되었습니다. - 높음
구독에서 리소스를 열거하는 데 사용된 MicroBurst 악용 도구 키트
(ARM_MicroBurst.AzureDomainInfo)
구독에서 MicroBurst의 정보 수집 모듈이 실행되었습니다. 이 도구는 리소스, 권한 및 네트워크 구조를 검색하는 데 사용할 수 있습니다. 이는 구독에서 Azure 활동 로그와 리소스 관리 작업을 분석하면서 검색되었습니다. - 높음
가상 머신에서 코드를 실행하는 데 사용된 MicroBurst 악용 도구 키트
(ARM_MicroBurst.AzVMBulkCMD)
가상 머신에서 코드를 실행하는 데 MicroBurst의 악용 도구 키트가 사용되었습니다. 이는 구독에서 Azure Resource Manager 작업을 분석하면서 검색되었습니다. 실행 높음
가상 머신에서 코드를 실행하는 데 사용된 MicroBurst 악용 도구 키트
(RM_MicroBurst.AzureRmVMBulkCMD)
가상 머신에서 코드를 실행하는 데 MicroBurst의 악용 도구 키트가 사용되었습니다. 이는 구독에서 Azure Resource Manager 작업을 분석하면서 검색되었습니다. - 높음
Azure Key Vault에서 키를 추출하는 데 MicroBurst 악용 도구 키트가 사용됨
(ARM_MicroBurst.AzKeyVaultKeysREST)
Azure 키 자격 증명 모음에서 키를 추출하는 데 MicroBurst의 악용 도구 키트가 사용되었습니다. 이는 구독에서 Azure 활동 로그와 리소스 관리 작업을 분석하면서 검색되었습니다. - 높음
스토리지 계정으로 키를 추출하는 데 MicroBurst 악용 도구 키트가 사용됨
(ARM_MicroBurst.AZStorageKeysREST)
스토리지 계정에서 키를 추출하는 데 MicroBurst의 악용 도구 키트가 사용되었습니다. 이는 구독에서 Azure 활동 로그와 리소스 관리 작업을 분석하면서 검색되었습니다. 컬렉션 높음
Azure Key Vault에서 비밀을 추출하는 데 MicroBurst 악용 도구 키트가 사용됨
(ARM_MicroBurst.AzKeyVaultSecretsREST)
Azure 키 자격 증명 모음에서 비밀을 추출하는 데 MicroBurst의 악용 도구 키트가 사용되었습니다. 이는 구독에서 Azure 활동 로그와 리소스 관리 작업을 분석하면서 검색되었습니다. - 높음
Azure 환경에 대해 비정상적인 방식으로 RBAC 역할에 대해 사용 권한이 부여됨(미리 보기)
(ARM_AnomalousRBACRoleAssignment)
Resource Manager용 Azure Defender가 할당 시간, 할당자 위치, 할당자, 인증 방법, 할당된 엔터티, 사용되는 클라이언트 소프트웨어, 할당 익스텐트 등의 변칙으로 인해 테넌트의 동일한 담당자에 대해 동일한 할당자가 수행한 다른 할당과 비교할 때 일반적이지 않은 RBAC 역할 할당을 감지했습니다. 조직의 합법적인 사용자가 이 작업을 수행했을 수 있습니다. 또는 조직의 계정이 위반되었으며 위협 행위자가 소유한 추가 사용자 계정에 사용 권한을 부여하려고 시도하고 있음을 나타낼 수 있습니다. 수평 이동, 방어 우회 중간
Azure AD에서 Azure로의 액세스를 강화하는 데 PowerZure 악용 도구 키트가 사용됨
(ARM_PowerZure.AzureElevatedPrivileges)
Azure AD에서 Azure로의 액세스를 강화하는 데 PowerZure 악용 도구 키트가 사용되었습니다. 이는 테넌트에서 Azure Resource Manager 작업을 분석하면서 검색되었습니다. - 높음
리소스를 열거하는 데 PowerZure 악용 도구 키트가 사용됨
(ARM_PowerZure.GetAzureTargets)
조직의 합법적인 사용자 계정을 대신하여 리소스를 열거하는 데 PowerZure 악용 도구 키트가 사용되었습니다. 이는 구독에서 Azure Resource Manager 작업을 분석하면서 검색되었습니다. 컬렉션 높음
스토리지 컨테이너, 공유 및 테이블을 열거하는 데 PowerZure 악용 도구 키트가 사용됨
(ARM_PowerZure.ShowStorageContent)
스토리지 공유, 테이블 및 컨테이너를 열거하는 데 PowerZure 악용 도구 키트가 사용되었습니다. 이는 구독에서 Azure Resource Manager 작업을 분석하면서 검색되었습니다. - 높음
구독에서 Runbook을 실행하는 데 PowerZure 악용 도구 키트가 사용됨
(ARM_PowerZure.StartRunbook)
Runbook을 실행하는 데 PowerZure 악용 도구 키트가 사용되었습니다. 이는 구독에서 Azure Resource Manager 작업을 분석하면서 검색되었습니다. - 높음
Runbook 콘텐츠를 추출하는 데 PowerZure 악용 도구 키트가 사용됨
(ARM_PowerZure.AzureRunbookContent)
Runbook 콘텐츠를 추출하는 데 PowerZure 악용 도구 키트가 사용되었습니다. 이는 구독에서 Azure Resource Manager 작업을 분석하면서 검색되었습니다. 컬렉션 높음
미리 보기 - 위험한 IP 주소에서 활동 발생
(ARM.MCAS_ActivityFromAnonymousIPAddresses)
익명 프록시 IP 주소로 식별된 IP 주소에서 사용자 활동이 감지되었습니다.
이 프록시는 해당 장치의 IP 주소를 숨기려는 사용자가 사용하며 악의적인 의도로 사용될 수 있습니다. 이 감지는 조직의 다른 사용자가 널리 사용하는 태그가 잘못 지정된 IP 주소와 같은 가양성을 줄이는 기계 학습 알고리즘을 이용합니다.
활성 Microsoft Cloud App Security 라이선스가 필요합니다.
- 중간
미리 보기 - 자주 사용되지 않는 국가에서 활동 발생
(ARM.MCAS_ActivityFromInfrequentCountry)
조직의 사용자가 최근에 방문하지 않았거나 방문한 적이 없는 위치에서 활동이 발생했습니다.
이 검색은 이전 활동 위치를 고려하여 새 위치 및 드문 위치를 확인합니다. 이상 문제 검색 엔진은 조직의 사용자가 사용하는 이전 위치에 대한 정보를 저장합니다.
활성 Microsoft Cloud App Security 라이선스가 필요합니다.
- 중간
미리 보기 - Azurite 도구 키트의 실행이 감지됨
(ARM_Azurite)
알려진 클라우드 환경 정찰 도구 키트의 실행이 사용자 환경에서 감지되었습니다. Azurite 도구는 공격자(또는 침투 테스터)가 구독 리소스를 매핑하고 안전하지 않은 구성을 식별하는 데 사용할 수 있습니다. 컬렉션 높음
미리 보기 - 불가능한 이동 활동
(ARM.MCAS_ImpossibleTravelActivity)
지리적으로 멀리 떨어진 위치에서 시작하여 두 번의 사용자 활동(단일 또는 여러 세션)이 발생했습니다. 이 문제는 사용자가 첫 번째 위치에서 두 번째 위치로 이동하는 데 걸리는 시간보다 짧은 시간 내에 발생합니다. 이는 다른 사용자가 동일한 자격 증명을 사용하고 있음을 나타냅니다.
이 감지는 조직의 다른 사용자가 정기적으로 사용하는 VPN 및 위치와 같은 불가능한 이동 조건에 영향을 주는 확실한 가양성을 무시하는 기계 학습 알고리즘을 이용합니다. 감지에는 7일의 초기 학습 기간이 있으며 이 기간 동안 새 사용자의 활동 패턴을 학습합니다.
활성 Microsoft Cloud App Security 라이선스가 필요합니다.
- 중간
미리 보기 - 비활성 계정을 사용한 의심스러운 관리 세션이 감지됨
(ARM_UnusedAccountPersistence)
구독 활동 로그를 분석한 결과, 의심스러운 동작이 감지되었습니다. 오랫동안 사용하지 않은 보안 주체가 현재 공격자의 지속성을 보호할 수 있는 작업을 수행하고 있습니다. 지속성 중간
미리 보기 - PowerShell을 사용한 의심스러운 관리 세션이 감지됨
(ARM_UnusedAppPowershellPersistence)
구독 활동 로그를 분석한 결과, 의심스러운 동작이 감지되었습니다. 구독 환경을 관리하는 데 정기적으로 PowerShell을 사용하지 않는 보안 주체가 현재 PowerShell을 사용하고 공격자의 지속성을 보호할 수 있는 작업을 수행하고 있습니다. 지속성 중간
미리 보기 – Azure Portal을 사용하는 의심스러운 관리 세션이 감지됨
(ARM_UnusedAppIbizaPersistence)
구독 활동 로그를 분석한 결과, 의심스러운 동작이 감지되었습니다. 구독 환경을 관리하는 데 정기적으로 Azure Portal(Ibiza)을 사용하지 않는 보안 주체(최근 45일 동안 Azure Portal을 사용하지 않았거나 적극적으로 관리 중인 구독)가 현재 Azure Portal을 사용하고 공격자의 지속성을 보호할 수 있는 작업을 수행하고 있습니다. 지속성 중간
구독에 대해 권한 있는 사용자 지정 역할이 의심스러운 방식으로 생성됨(미리 보기)
(ARM_PrivilegedRoleDefinitionCreation)
Resource Manager용 Azure Defender가 구독에서 의심스러운 방식으로 생성된 권한 있는 사용자 지정 역할 정의를 감지했습니다. 조직의 합법적인 사용자가 이 작업을 수행했을 수 있습니다. 또는 조직의 계정이 위반되었으며 위협 행위자가 나중에 우회하는 데 사용할 권한 있는 역할을 만들려고 하는 것임을 나타낼 수 있습니다. 권한 상승, 방어 우회 낮음
임의 코드를 실행하거나 Azure Automation 계정 자격 증명을 반출하기 위해 MicroBurst 악용 도구 키트 사용
(ARM_MicroBurst.RunCodeOnBehalf)
임의 코드를 실행하거나 Azure Automation 계정 자격 증명을 반출하기 위해 MicroBurst 악용 도구 키트를 사용한 것입니다. 이는 구독에서 Azure Resource Manager 작업을 분석하면서 검색되었습니다. 지속성, 자격 증명 액세스 높음
Azure 환경에서 지속성을 유지하기 위해 NetSPI 기술 사용
(ARM_NetSPI.MaintainPersistence)
Azure 환경에서 웹후크 백도어를 만들고 지속성을 유지하기 위해 NetSPI 지속성 기법을 사용합니다. 이는 구독에서 Azure Resource Manager 작업을 분석하면서 검색되었습니다. - 높음
임의 코드를 실행하거나 Azure Automation 계정 자격 증명을 반출하기 위해 PowerZure 악용 도구 키트 사용
(ARM_PowerZure.RunCodeOnBehalf)
임의 코드를 실행하거나 Azure Automation 계정 자격 증명 반출을 시도하는 PowerZure 악용 도구 키트가 검색되었습니다. 이는 구독에서 Azure Resource Manager 작업을 분석하면서 검색되었습니다. - 높음
Azure 환경에서 지속성을 유지하기 위해 PowerZure 함수 사용
(ARM_PowerZure.MaintainPersistence)
Azure 환경에서 지속성을 유지하기 위해 웹후크 백도어를 만드는 PowerZure 악용 도구 키트가 검색되었습니다. 이는 구독에서 Azure Resource Manager 작업을 분석하면서 검색되었습니다. - 높음

DNS에 대한 경고

추가 세부 정보 및 참고 사항

경고(경고 유형) 설명 MITRE 전술
(자세한 정보)
심각도
비정상 네트워크 프로토콜 사용
(AzureDNS_ProtocolAnomaly)
%{CompromisedEntity}의 DNS 트랜잭션 분석에서 비정상적인 프로토콜 사용이 검색되었습니다. 이러한 트래픽은 심각하지 않을 수 있지만 네트워크 트래픽 필터링을 우회하기 위해 이 공통 프로토콜의 남용을 나타낼 수 있습니다. 일반적인 관련 공격자 활동에는 손상된 호스트에 원격 관리 도구를 복사하고 사용자 데이터를 반출하는 것이 포함됩니다. 반출 -
익명 네트워크 활동
(AzureDNS_DarkWeb)
%{CompromisedEntity}의 DNS 트랜잭션 분석에서 익명 네트워크 활동이 검색되었습니다. 이러한 활동은 합법적인 사용자 동작일 수 있지만, 공격자가 네트워크 통신의 추적 및 지문 인식을 피하기 위해 사용하는 경우가 많습니다. 일반적으로 관련된 공격자 활동에는 악성 소프트웨어 또는 원격 관리 도구의 다운로드 및 실행이 포함될 수 있습니다. 반출 -
웹 프록시를 사용하는 익명 네트워크 활동
(AzureDNS_DarkWebProxy)
%{CompromisedEntity}의 DNS 트랜잭션 분석에서 익명 네트워크 활동이 검색되었습니다. 이러한 활동은 합법적인 사용자 동작일 수 있지만, 공격자가 네트워크 통신의 추적 및 지문 인식을 피하기 위해 사용하는 경우가 많습니다. 일반적으로 관련된 공격자 활동에는 악성 소프트웨어 또는 원격 관리 도구의 다운로드 및 실행이 포함될 수 있습니다. 반출 -
의심스러운 싱크홀 도메인과 통신 시도
(AzureDNS_SinkholedDomain)
%{CompromisedEntity}의 DNS 트랜잭션 분석에서 싱크홀 도메인에 대한 요청이 검색되었습니다. 이러한 활동은 합법적인 사용자 동작일 수 있지만, 악성 소프트웨어의 다운로드 또는 실행을 나타내는 경우가 많습니다. 일반적으로 관련된 공격자 활동에는 추가 악성 소프트웨어 또는 원격 관리 도구의 다운로드 및 실행이 포함될 수 있습니다. 반출 -
피싱 가능성이 있는 도메인과 통신
(AzureDNS_PhishingDomain)
%{CompromisedEntity}의 DNS 트랜잭션 분석에서 피싱 가능성이 있는 도메인에 대한 요청이 검색되었습니다. 이러한 활동은 심각하지 않을 수 있지만 원격 서비스에 대한 자격 증명을 수집하기 위해 공격자가 자주 수행합니다. 일반적으로 관련된 공격자 활동에는 합법적인 서비스의 자격 증명 악용이 포함될 가능성이 있습니다. 반출 -
의심스러운 알고리즘 방식으로 생성된 도메인과 통신
(AzureDNS_DomainGenerationAlgorithm)
%{CompromisedEntity}의 DNS 트랜잭션 분석에서 도메인 생성 알고리즘의 사용 가능성이 검색되었습니다. 이러한 활동은 심각하지 않을 수 있지만 네트워크 모니터링 및 필터링을 피하기 위해 공격자가 자주 수행합니다. 일반적으로 관련된 공격자 활동에는 악성 소프트웨어 또는 원격 관리 도구의 다운로드 및 실행이 포함될 수 있습니다. 반출 -
위협 인텔리전스에서 식별된 의심스러운 도메인과의 통신
(AzureDNS_ThreatIntelSuspectDomain)
리소스에서 DNS 트랜잭션을 분석하고 위협 인텔리전스 피드에서 식별된 알려진 악성 도메인과 비교하여 의심스러운 도메인과의 통신이 감지되었습니다. 공격자가 악성 도메인과의 통신을 수행하는 경우가 많고, 리소스가 손상되었음을 의미할 수 있습니다. 초기 액세스 중간
의심스러운 임의 도메인 이름과 통신
(AzureDNS_RandomizedDomain)
%{CompromisedEntity}의 DNS 트랜잭션 분석에서 임의로 생성된 의심스러운 도메인 이름의 사용이 검색되었습니다. 이러한 활동은 심각하지 않을 수 있지만 네트워크 모니터링 및 필터링을 피하기 위해 공격자가 자주 수행합니다. 일반적으로 관련된 공격자 활동에는 악성 소프트웨어 또는 원격 관리 도구의 다운로드 및 실행이 포함될 수 있습니다. 반출 -
디지털 통화 마이닝 활동
(AzureDNS_CurrencyMining)
%{CompromisedEntity}의 DNS 트랜잭션 분석에서 디지털 통화 마이닝 활동이 검색되었습니다. 이러한 활동은 합법적인 사용자 동작일 수 있지만, 리소스가 손상된 후에 공격자가 수행하는 경우가 많습니다. 일반적으로 관련된 공격자 활동에는 일반적인 마이닝 도구의 다운로드 및 실행이 포함될 수 있습니다. 반출 -
네트워크 침입 탐지 서명 활성화
(AzureDNS_SuspiciousDomain)
%{CompromisedEntity}의 DNS 트랜잭션 분석에서 알려진 악의적인 네트워크 서명이 검색되었습니다. 이러한 활동은 합법적인 사용자 동작일 수 있지만, 악성 소프트웨어의 다운로드 또는 실행을 나타내는 경우가 많습니다. 일반적으로 관련된 공격자 활동에는 추가 악성 소프트웨어 또는 원격 관리 도구의 다운로드 및 실행이 포함될 수 있습니다. 반출 -
DNS 터널을 통해 가능한 데이터 다운로드
(AzureDNS_DataInfiltration)
%{CompromisedEntity}의 DNS 트랜잭션 분석에서 가능한 DNS 터널이 검색되었습니다. 이러한 활동은 합법적인 사용자 동작일 수 있지만, 공격자가 네트워크 모니터링 및 필터링을 피하기 위해 수행하는 경우가 많습니다. 일반적으로 관련된 공격자 활동에는 악성 소프트웨어 또는 원격 관리 도구의 다운로드 및 실행이 포함될 수 있습니다. 반출 -
DNS 터널을 통해 가능한 데이터 반출
(AzureDNS_DataExfiltration)
%{CompromisedEntity}의 DNS 트랜잭션 분석에서 가능한 DNS 터널이 검색되었습니다. 이러한 활동은 합법적인 사용자 동작일 수 있지만, 공격자가 네트워크 모니터링 및 필터링을 피하기 위해 수행하는 경우가 많습니다. 일반적으로 관련된 공격자 활동에는 악성 소프트웨어 또는 원격 관리 도구의 다운로드 및 실행이 포함될 수 있습니다. 반출 -
DNS 터널을 통해 가능한 데이터 반출
(AzureDNS_DataObfuscation)
%{CompromisedEntity}의 DNS 트랜잭션 분석에서 가능한 DNS 터널이 검색되었습니다. 이러한 활동은 합법적인 사용자 동작일 수 있지만, 공격자가 네트워크 모니터링 및 필터링을 피하기 위해 수행하는 경우가 많습니다. 일반적으로 관련된 공격자 활동에는 악성 소프트웨어 또는 원격 관리 도구의 다운로드 및 실행이 포함될 수 있습니다. 반출 -

Azure Storage에 대한 경고

추가 세부 정보 및 참고 사항

경고(경고 유형) 설명 MITRE 전술
(자세한 정보)
심각도
의심스러운 IP 주소에서 액세스
(Storage.Blob_SuspiciousIp
Storage.Files_SuspiciousIp)
의심스러운 것으로 간주되는 IP 주소에서 이 스토리지 계정에 성공적으로 액세스했음을 나타냅니다. 이 경고는 Microsoft 위협 인텔리전스에서 제공합니다.
Microsoft 위협 인텔리전스 기능에 대해 자세히 알아보세요.
적용 대상: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
초기 액세스 중간
미리 보기 - 공용 스토리지 컨테이너의 익명 검색
(Storage.Blob_ContainerAnonymousScan)
스토리지 계정에서 공용 컨테이너를 익명으로 식별하기 위한 일련의 시도가 있었습니다. 이는 공격자가 스토리지 계정을 검색하여 공개적으로 액세스할 수 있는 컨테이너를 식별한 다음, 내부에서 중요한 데이터를 찾으려는 정찰 공격을 나타낼 수 있습니다.
적용 대상: Azure Blob Storage
사전 공격, 컬렉션 보통/높음
미리 보기 – 스토리지 계정에 피싱 콘텐츠가 호스트됨
(Storage.Blob_PhishingContent
Storage.Files_PhishingContent)
피싱 공격에 사용되는 URL이 고객의 Azure Storage 계정을 가리킵니다. 이 URL은 Microsoft 365 사용자에게 영향을 미치는 피싱 공격의 일부였습니다.
일반적으로 이러한 페이지에 호스트되는 콘텐츠는 방문자가 정상적으로 보이는 웹 양식에 회사 자격 증명이나 금융 정보를 입력하도록 속이기 위해 설계되었습니다.
이 경고는 Microsoft 위협 인텔리전스에서 제공합니다.
Microsoft 위협 인텔리전스 기능에 대해 자세히 알아보세요.
적용 대상: Azure Blob Storage, Azure Files
컬렉션 높음
미리 보기 - 맬웨어 배포를 위한 원본으로 식별된 스토리지 계정
(Storage.Files_WidespreadeAm)
맬웨어 방지 경고는 감염된 파일이 여러 VM에 탑재된 Azure 파일 공유에 저장되었음을 나타냅니다. 공격자가 탑재된 Azure 파일 공유가 있는 VM에 대한 액세스 권한을 얻으면 이를 사용하여 동일한 공유를 탑재하는 다른 VM으로 맬웨어를 퍼뜨릴 수 있습니다.
적용 대상: Azure Files
측면 이동, 실행 높음
미리 보기 - 공개적으로 노출된 컨테이너에서 잠재적으로 민감한 데이터가 있는 스토리지 계정이 감지됨
(Storage.Blob_OpenACL)
스토리지 계정의 컨테이너에 대한 액세스 정책이 익명 액세스를 허용하도록 수정되었습니다. 이는 컨테이너에 중요한 데이터가 있는 경우 데이터 유출이 발생할 수 있습니다. 이 경고는 Azure 활동 로그 분석을 기반으로 합니다.
적용 대상: Azure Blob Storage, Azure Data Lake Storage Gen2
권한 상승 중간
Tor 종료 노드에서 저장소 계정으로 액세스
(Storage.Blob_TorAnomaly
Storage.Files_TorAnomaly)
Tor(익명 프록시)의 활성 종료 노드로 알려진 IP 주소에서 이 계정에 성공적으로 액세스한 것으로 나타납니다. 이 경고의 심각도는 사용된 인증 유형(있는 경우)과 이 액세스가 첫 번째 사례인지를 고려합니다. 잠재적 원인은 Tor를 사용하여 저장소 계정에 액세스한 공격자 또는 Tor를 사용하여 저장소 계정에 액세스한 합법적인 사용자일 수 있습니다.
적용 대상: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
검색, 악용 높음
비정상적인 위치에서 저장소 계정으로 액세스
(Storage.Blob_GeoAnomaly
Storage.Files_GeoAnomaly)
Azure Storage 계정에 대한 액세스 패턴이 변경된 것으로 나타납니다. 최근 활동과 비교할 때 익숙하지 않은 것으로 간주되는 IP 주소를 통해 누군가가 이 계정에 액세스했습니다. 공격자가 계정에 대한 액세스 권한을 얻었거나, 합법적인 사용자가 새롭거나 비정상적인 지리적 위치에서 연결했습니다. 후자의 경우 새 응용 프로그램 또는 개발자의 원격 유지 관리입니다.
적용 대상: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
악용 낮음
저장소 계정에 대한 익명 액세스
(Storage.Blob_AnonymousAccessAnomaly)
Azure Storage 계정에 대한 액세스 패턴이 변경된 것으로 나타납니다. 누군가가 인증 없이 이 스토리지 계정에서 컨테이너에 액세스했습니다. 일반적으로 이 컨테이너에 대한 액세스는 SAS 토큰, 스토리지 계정 키 또는 AAD를 통해 인증됩니다. 이는 공격자가 스토리지 계정에 대한 공용 읽기 권한을 악용했음을 나타낼 수 있습니다.
적용 대상: Azure Blob Storage
악용 높음
저장소 계정에 업로드된 잠재적 맬웨어
(Storage.Blob_MalwareHashReputation
Storage.Files_MalwareHashReputation)
잠재적 맬웨어가 들어 있는 Blob이 스토리지 계정의 Blob 컨테이너 또는 파일 공유에 업로드되었음을 나타납니다. 이 경고는 바이러스, 트로이 목마, 스파이웨어 및 랜섬웨어에 대한 해시를 포함한 Microsoft 위협 인텔리전스의 기능을 활용하는 해시 평판 분석을 기반으로 합니다. 잠재적 원인에는 공격자의 의도적인 맬웨어 업로드 또는 합법적인 사용자가 잠재적으로 악의적인 Blob을 의도치 않게 업로드하는 경우가 있을 수 있습니다.
적용 대상: Azure Blob Storage, Azure Files(REST API를 통한 트랜잭션만 해당)
맬웨어에 대한 Azure의 해시 평판 분석에 대해 자세히 알아보세요.
Microsoft 위협 인텔리전스 기능에 대해 자세히 알아보세요.
측면 확대 높음
저장소 계정에서 비정상적인 액세스 검사
(Storage.Blob_AccessInspectionAnomaly
Storage.Files_AccessInspectionAnomaly)
이 계정의 최근 활동과 비교할 때 저장소 계정의 액세스 권한이 비정상적인 방식으로 검사된 것으로 나타납니다. 잠재적 원인은 공격자가 향후 공격을 위해 정찰을 수행한 것일 수 있습니다.
적용 대상: Azure Blob Storage, Azure Files
컬렉션 중간
저장소 계정에서 추출된 비정상적인 데이터 크기
(Storage.Blob_DataExfiltration.AmountOfDataAnomaly
Storage.Blob_DataExfiltration.NumberOfBlobsAnomaly
Storage.Files_DataExfiltration.AmountOfDataAnomaly
Storage.Files_DataExfiltration.NumberOfFilesAnomaly)
이 저장소 컨테이너의 최근 활동과 비교할 때 비정상적으로 많은 양의 데이터가 추출된 것으로 나타납니다. 잠재적 원인은 공격자가 Blob Storage를 보유한 컨테이너에서 대량의 데이터를 추출한 것일 수 있습니다.
적용 대상: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
반출 중간
비정상적인 응용 프로그램이 저장소 계정에 액세스함
(Storage.Blob_ApplicationAnomaly
Storage.Files_ApplicationAnomaly)
비정상적인 응용 프로그램이 이 저장소 계정에 액세스한 것으로 나타납니다. 잠재적 원인은 공격자가 새 응용 프로그램을 사용 하여 저장소 계정에 액세스한 것일 수 있습니다.
적용 대상: Azure Blob Storage, Azure Files
악용 중간
저장소 계정에서 비정상적인 액세스 권한 변경
(Storage.Blob_PermissionsChangeAnomaly
Storage.Files_PermissionsChangeAnomaly)
이 저장소 컨테이너의 액세스 권한이 비정상적으로 변경된 것으로 나타납니다. 잠재적 원인은 공격자가 보안 태세를 약화하거나 지속성을 얻기 위해 컨테이너 권한을 변경한 것일 수 있습니다.
적용 대상: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
지속성 중간
저장소 계정에서의 비정상적인 데이터 악용
(Storage.Blob_DataExplorationAnomaly
Storage.Files_DataExplorationAnomaly)
이 계정의 최근 활동과 비교할 때 저장소 계정의 Blob 또는 컨테이너가 비정상적인 방식으로 열거된 것으로 나타납니다. 잠재적 원인은 공격자가 향후 공격을 위해 정찰을 수행한 것일 수 있습니다.
적용 대상: Azure Blob Storage, Azure Files
컬렉션 중간
저장소 계정에서의 비정상적인 삭제
(Storage.Blob_DeletionAnomaly
Storage.Files_DeletionAnomaly)
이 계정의 최근 활동과 비교할 때 저장소 계정에서 하나 이상의 예기치 않은 삭제 작업이 발생한 것으로 나타납니다. 잠재적 원인은 공격자가 저장소 계정에서 데이터를 삭제한 것일 수 있습니다.
적용 대상: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
반출 중간
저장소 계정에 비정상적인 .cspkg 업로드
(Storage.Blob_CspkgUploadAnomaly)
이 계정의 최근 활동과 비교할 때 Azure Cloud Services 패키지(.cspkg 파일)가 비정상적인 방식으로 저장소 계정에 업로드된 것으로 나타납니다. 잠재적 원인은 공격자가 저장소 계정에서 Azure 클라우드 서비스로 악성 코드를 배포할 준비를 한 것일 수 있습니다.
적용 대상: Azure Blob Storage, Azure Data Lake Storage Gen2
측면 이동, 실행 중간
저장소 계정에 비정상적인 .exe 업로드
(Storage.Blob_ExeUploadAnomaly
Storage.Files_ExeUploadAnomaly)
이 계정의 최근 활동과 비교할 때 .exe 파일이 비정상적인 방식으로 저장소 계정에 업로드된 것으로 나타납니다. 잠재적 원인은 공격자가 악성 실행 파일을 저장소 계정에 업로드했거나 합법적인 사용자가 실행 파일을 업로드했기 때문일 수 있습니다.
적용 대상: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
측면 이동, 실행 중간

Azure Cosmos DB에 대한 경고(미리 보기)

추가 세부 정보 및 참고 사항

경고 설명 MITRE 전술
(자세한 정보)
심각도
미리 보기 - 비정상적인 위치에서 Cosmos DB 계정에 액세스 Azure Cosmos DB 계정에 대한 액세스 패턴이 변경된 것으로 나타납니다. 최근 활동과 비교할 때 익숙하지 않은 IP 주소를 통해 누군가가 이 계정에 액세스했습니다. 공격자가 계정에 대한 액세스 권한을 얻었거나, 합법적인 사용자가 새롭거나 비정상적인 지리적 위치에서 액세스했습니다. 후자의 경우 새 응용 프로그램 또는 개발자의 원격 유지 관리입니다. 악용 중간
미리 보기 - Cosmos DB 계정에서 추출된 데이터 양이 비정상적임 Azure Cosmos DB 계정에서 데이터 추출 패턴이 변경된 것으로 나타납니다. 최근 활동과 비교할 때 누군가가 비정상적인 양의 데이터를 추출했습니다. 공격자가 Azure Cosmos DB 데이터베이스에서 대량의 데이터를 추출했을 수 있습니다(예: 데이터 반출이나 누출 또는 무단 데이터 전송). 또는 합법적인 사용자 또는 응용 프로그램이 컨테이너에서 비정상적인 양의 데이터를 추출했을 수도 있습니다(예: 유지 관리 백업 활동). 반출 중간

Azure 네트워크 계층에 대한 경고

추가 세부 정보 및 참고 사항

경고 설명 MITRE 전술
(자세한 정보)
심각도
악성 컴퓨터와의 네트워크 통신이 감지됨:
(Network_CommunicationWithC2)
네트워크 트래픽을 분석한 결과, 컴퓨터(IP %{Victim IP})가 명령 및 컨트롤 센터와 통신한 것으로 나타납니다. 손상된 리소스가 부하 분산 장치 또는 응용 프로그램 게이트웨이인 경우, 의심되는 활동은 백엔드 풀(부하 분산 장치 또는 응용 프로그램 게이트웨이)에 있는 하나 이상의 리소스가 명령 및 제어 센터와 통신한 것일 수 있습니다. 명령 및 제어 중간
손상된 컴퓨터가 감지되었을 수 있음
(Network_ResourceIpIndicatedAsMalicious)
위협 인텔리전스에 컴퓨터(%{Machine IP} IP 에서)가 Conficker 형식의 맬웨어에 의해 손상된 것으로 나타납니다. Conficker는 Microsoft Windows 운영 체제를 표적으로 하는 컴퓨터 웜이며 2008년 11월에 처음 발견되었습니다. Conficker는 200개 이상의 국가/지역에서 정부, 기업 및 가정용 컴퓨터를 포함한 수백만 대의 컴퓨터를 감염시켜 2003년 Welchia 웜 이후 최대 규모의 컴퓨터 웜 감염을 초래했습니다. 명령 및 제어 중간
수신 %{Service Name} 무차별 암호 대입 시도가 감지되었을 수 있음
(Generic_Incoming_BF_OneToOne)
네트워크 트래픽을 분석한 결과, %{Victim IP}에 대한 수신 %{Service Name} 통신이 감지되었으며 이는 %{Attacker IP}의 리소스 %{Compromised Host}과(와) 관련되어 있습니다. 손상된 리소스가 부하 분산 장치 또는 응용 프로그램 게이트웨이인 경우, 의심스러운 수신 트래픽이 백엔드 풀(부하 분산 장치 또는 응용 프로그램 게이트웨이)에 있는 하나 이상의 리소스로 전달되었습니다. 특히 샘플링된 네트워크 데이터는 %{Start Time}에서 %{End Time} 사이에 %{Victim Port} 포트에서의 의심스러운 활동을 보여줍니다. 이 활동은 %{Service Name} 서버에 대한 무차별 암호 대입 시도와 일치합니다. 사전 공격 중간
수신 SQL의 무차별 암호 대입 시도가 감지되었을 수 있음
(SQL_Incoming_BF_OneToOne)
네트워크 트래픽을 분석한 결과, %{Victim IP}에 대한 수신 SQL 통신이 감지되었으며 이는 %{Attacker IP}의 리소스 %{Compromised Host}과(와) 관련되어 있습니다. 손상된 리소스가 부하 분산 장치 또는 응용 프로그램 게이트웨이인 경우, 의심스러운 수신 트래픽이 백엔드 풀(부하 분산 장치 또는 응용 프로그램 게이트웨이)에 있는 하나 이상의 리소스로 전달되었습니다. 특히 샘플링된 네트워크 데이터는 %{Start Time}에서 %{End Time} 사이에 %{Port Number} 포트(%{SQL Service Type})에서의 의심스러운 활동을 보여줍니다. 이 작업은 SQL 서버에 대한 무차별 암호 대입 시도와 일치합니다. 사전 공격 중간
발신 서비스 거부 공격이 감지되었을 수 있음
(DDOS)
네트워크 트래픽을 분석한 결과, 배포의 리소스인 %{Compromised Host}에서 발생하는 비정상적인 발신 활동이 감지되었습니다. 이 활동은 리소스가 손상되었음을 나타내며 현재 외부 끝점에 대한 서비스 거부 공격에 관련되어 있습니다. 손상된 리소스가 부하 분산 장치 또는 응용 프로그램 게이트웨이인 경우, 의심되는 수신 활동은 백엔드 풀(부하 분산 장치 또는 응용 프로그램 게이트웨이)에 있는 하나 이상의 리소스가 손상된 것으로 나타날 수 있습니다. 연결 볼륨에 따라 %{Possible Victims} IP가 DOS 공격의 표적이 될 수 있다고 생각합니다. 이러한 IP 중 일부에 대한 통신은 합법적일 수 있습니다. 영향 중간
발신 포트 검색 활동이 감지되었을 수 있음
(PortSweeping)
네트워크 트래픽을 분석한 결과, %{Compromised Host}에서 의심스러운 발신 트래픽이 감지되었습니다. 이 트래픽은 포트 검색 활동에 따른 결과일 수 있습니다. 손상된 리소스가 부하 분산 장치 또는 응용 프로그램 게이트웨이인 경우, 의심되는 발신 트래픽이 백엔드 풀(부하 분산 장치 또는 응용 프로그램 게이트웨이)에 있는 하나 이상의 리소스에서 발생했습니다. 이 동작이 의도적인 경우 포트 검색을 수행하는 것은 Azure 서비스 약관에 위배됩니다. 이 동작이 의도적이지 않은 경우에는 리소스가 손상된 것을 의미할 수 있습니다. 검색 중간
여러 소스의 의심스러운 수신 RDP 네트워크 활동
(RDP_Incoming_BF_ManyToOne)
네트워크 트래픽을 분석한 결과, 여러 소스에서 리소스 %{Compromised Host}와 관련된 %{Victim IP}로 비정상적인 수신 RDP(Remote Desktop Protocol) 통신이 감지되었습니다. 손상된 리소스가 부하 분산 장치 또는 응용 프로그램 게이트웨이인 경우, 의심스러운 수신 트래픽이 백엔드 풀(부하 분산 장치 또는 응용 프로그램 게이트웨이)에 있는 하나 이상의 리소스로 전달되었습니다. 특히 샘플링된 네트워크 데이터에 리소스에 연결된 %{Number of Attacking IPs}개의 고유 IP가 표시되며 이는 환경에서 비정상인 것으로 간주됩니다. 이 활동은 여러 호스트(봇네트)의 RDP 끝점에 대한 무차별 암호 대입 시도를 나타낼 수 있습니다. 사전 공격 중간
의심스러운 수신 RDP 네트워크 활동
(RDP_Incoming_BF_OneToOne)
네트워크 트래픽을 분석한 결과, %{Attacker IP}에서 리소스 %{Compromised Host}와 관련된 %{Victim IP}로 비정상적인 수신 RDP(Remote Desktop Protocol) 통신이 감지되었습니다. 손상된 리소스가 부하 분산 장치 또는 응용 프로그램 게이트웨이인 경우, 의심스러운 수신 트래픽이 백엔드 풀(부하 분산 장치 또는 응용 프로그램 게이트웨이)에 있는 하나 이상의 리소스로 전달되었습니다. 특히 샘플링된 네트워크 데이터에 리소스에 대한 %{Number of Connections}개의 수신 연결이 표시되며 이는 이 환경에서 비정상적인 것으로 간주됩니다. 이 활동은 RDP 끝점에 대한 무차별 암호 대입 시도를 나타낼 수 있습니다. 사전 공격 중간
여러 소스의 의심스러운 수신 SSH 네트워크 활동
(SSH_Incoming_BF_ManyToOne)
네트워크 트래픽을 분석한 결과, 여러 소스에서 리소스 %{Compromised Host}와 관련된 %{Victim IP}로 비정상적인 수신 SSH 통신이 감지되었습니다. 손상된 리소스가 부하 분산 장치 또는 응용 프로그램 게이트웨이인 경우, 의심스러운 수신 트래픽이 백엔드 풀(부하 분산 장치 또는 응용 프로그램 게이트웨이)에 있는 하나 이상의 리소스로 전달되었습니다. 특히 샘플링된 네트워크 데이터에 리소스에 연결된 %{Number of Attacking IPs}개의 고유 IP가 표시되며 이는 환경에서 비정상인 것으로 간주됩니다. 이 활동은 여러 호스트(봇네트)의 SSH 엔드포인트에 대한 무차별 암호 대입 시도를 나타낼 수 있습니다. 사전 공격 중간
의심스러운 수신 SSH 네트워크 활동
(SSH_Incoming_BF_OneToOne)
네트워크 트래픽을 분석한 결과, %{Attacker IP}에서 리소스 %{Compromised Host}와 관련된 %{Victim IP}로 비정상적인 수신 SSH 통신이 감지되었습니다. 손상된 리소스가 부하 분산 장치 또는 응용 프로그램 게이트웨이인 경우, 의심스러운 수신 트래픽이 백엔드 풀(부하 분산 장치 또는 응용 프로그램 게이트웨이)에 있는 하나 이상의 리소스로 전달되었습니다. 특히 샘플링된 네트워크 데이터에 리소스에 대한 %{Number of Connections}개의 수신 연결이 표시되며 이는 이 환경에서 비정상적인 것으로 간주됩니다. 이 활동은 SSH 끝점에 대한 무차별 암호 대입 시도를 나타낼 수 있습니다. 사전 공격 중간
의심스러운 발신 %{Attacked Protocol} 트래픽이 감지됨
(PortScanning)
네트워크 트래픽을 분석한 결과, %{Compromised Host}에서 대상 포트 %{Most Common Port}(으)로 의심스러운 발신 트래픽이 감지되었습니다. 손상된 리소스가 부하 분산 장치 또는 응용 프로그램 게이트웨이인 경우, 의심되는 발신 트래픽이 백엔드 풀(부하 분산 장치 또는 응용 프로그램 게이트웨이)에 있는 하나 이상의 리소스에서 발생했습니다. 이 동작은 리소스가 %{Attacked Protocol} 무차별 암호 대입 시도 또는 포트 스윕 공격에 참여하고 있음을 나타낼 수 있습니다. 검색 중간
여러 대상에 대한 의심스러운 발신 RDP 네트워크 활동
(RDP_Outgoing_BF_OneToMany)
네트워크 트래픽을 분석한 결과, 배포의 리소스인 %{Compromised Host} (%{Attacker IP})에서 발생한 여러 대상에 대해 비정상적인 발신 RDP(Remote Desktop Protocol) 통신이 감지되었습니다. 손상된 리소스가 부하 분산 장치 또는 응용 프로그램 게이트웨이인 경우, 의심되는 발신 트래픽이 백엔드 풀(부하 분산 장치 또는 응용 프로그램 게이트웨이)에 있는 하나 이상의 리소스에서 발생했습니다. 특히 샘플링된 네트워크 데이터에 컴퓨터가 %{Number of Attacked IPs}개의 고유 IP에 연결된 것으로 표시되며 이는 이 환경에서 비정상인 것으로 간주됩니다. 이러한 활동은 컴퓨터가 손상되었고, 현재는 외부 RDP 끝점을 무력화하는 데 사용되고 있음을 나타낼 수 있습니다. 이러한 유형의 활동으로 인해 외부 엔터티가 IP에 악성 플래그를 설정할 수 있습니다. 검색 높음
의심스러운 발신 RDP 네트워크 활동
(RDP_Outgoing_BF_OneToOne)
네트워크 트래픽을 분석한 결과, 배포의 리소스인 %{Compromised Host} (%{Attacker IP})에서 발생한 %{Victim IP}에 대해 비정상적인 발신 RDP(Remote Desktop Protocol) 통신이 감지되었습니다. 손상된 리소스가 부하 분산 장치 또는 응용 프로그램 게이트웨이인 경우, 의심되는 발신 트래픽이 백엔드 풀(부하 분산 장치 또는 응용 프로그램 게이트웨이)에 있는 하나 이상의 리소스에서 발생했습니다. 특히 샘플링된 네트워크 데이터에 리소스에 대한 %{Number of Connections}개의 발신 연결이 표시되며 이는 이 환경에서 비정상적인 것으로 간주됩니다. 이러한 활동은 컴퓨터가 손상되었고, 현재는 외부 RDP 엔드포인트를 무력화하는 데 사용되고 있음을 나타낼 수 있습니다. 이러한 유형의 활동으로 인해 외부 엔터티가 IP에 악성 플래그를 설정할 수 있습니다. 측면 확대 높음
여러 대상에 대한 의심스러운 발신 SSH 네트워크 활동
(SSH_Outgoing_BF_OneToMany)
네트워크 트래픽을 분석한 결과, 배포의 리소스인 %{Compromised Host} (%{Attacker IP})에서 발생한 여러 대상에 대해 비정상적인 발신 SSH 통신이 감지되었습니다. 손상된 리소스가 부하 분산 장치 또는 응용 프로그램 게이트웨이인 경우, 의심되는 발신 트래픽이 백엔드 풀(부하 분산 장치 또는 응용 프로그램 게이트웨이)에 있는 하나 이상의 리소스에서 발생했습니다. 특히 샘플링된 네트워크 데이터에 리소스가 %{Number of Attacked IPs}개의 고유 IP에 연결된 것으로 표시되며 이는 이 환경에서 비정상인 것으로 간주됩니다. 이러한 활동은 컴퓨터가 손상되었고, 현재는 외부 SSH 끝점을 무력화하는 데 사용되고 있음을 나타낼 수 있습니다. 이러한 유형의 활동으로 인해 외부 엔터티가 IP에 악성 플래그를 설정할 수 있습니다. 검색 중간
의심스러운 발신 SSH 네트워크 활동
(SSH_Outgoing_BF_OneToOne)
네트워크 트래픽을 분석한 결과, 배포의 리소스인 %{Compromised Host} (%{Attacker IP})에서 발생한 %{Victim IP}에 대해 비정상적인 발신 SSH 통신이 감지되었습니다. 손상된 리소스가 부하 분산 장치 또는 응용 프로그램 게이트웨이인 경우, 의심되는 발신 트래픽이 백엔드 풀(부하 분산 장치 또는 응용 프로그램 게이트웨이)에 있는 하나 이상의 리소스에서 발생했습니다. 특히 샘플링된 네트워크 데이터에 리소스에 대한 %{Number of Connections}개의 발신 연결이 표시되며 이는 이 환경에서 비정상적인 것으로 간주됩니다. 이러한 활동은 컴퓨터가 손상되었고, 현재는 외부 SSH 끝점을 무력화하는 데 사용되고 있음을 나타낼 수 있습니다. 이러한 유형의 활동으로 인해 외부 엔터티가 IP에 악성 플래그를 설정할 수 있습니다. 측면 확대 중간
차단이 권장되는 IP 주소에서 트래픽이 감지됨 Azure Security Center가 차단하도록 권장하는 IP 주소에서 인바운드 트래픽을 감지했습니다. 이 문제는 일반적으로 이 IP 주소가 이 리소스와 정기적으로 통신하지 않는 경우에 발생합니다. 또는 보안 센터의 위협 인텔리전스 소스에 의해 IP 주소가 악의적인 것으로 플래그 지정되었습니다. 검색 낮음

Azure Key Vault에 대한 경고

추가 세부 정보 및 참고 사항

경고(경고 유형) 설명 MITRE 전술
(자세한 정보)
심각도
의심스러운 IP 주소에서 Key Vault에 액세스
(KV_SuspiciousIPAccess)
Microsoft 위협 인텔리전스에서 의심스러운 IP 주소로 식별된 IP를 통해 Key Vault에 액세스했습니다. 이것은 인프라가 손상되었음을 나타낼 수 있습니다. 추가 조사가 권장됩니다. Microsoft 위협 인텔리전스 기능에 대해 자세히 알아보세요. 자격 증명 액세스 중간
TOR 종료 노드에서 키 자격 증명 모음에 액세스
(KV_TORAccess)
알려진 TOR 종료 노드에서 키 자격 증명 모음에 액세스했습니다. 위협 행위자가 키 자격 증명 모음에 액세스한 후 TOR 네트워크를 사용하여 원본 위치를 숨기고 있다는 의미일 수 있습니다. 추가 조사를 권장합니다. 자격 증명 액세스 중간
키 자격 증명 모음에서 대량의 작업 발생
(KV_OperationVolumeAnomaly)
사용자, 서비스 주체 및/또는 특정 키 자격 증명 모음에서 비정상적인 수의 키 자격 증명 모음 작업을 수행했습니다. 이처럼 비정상적인 활동 패턴이 적법한 경우도 있지만, 위협 행위자가 키 자격 증명 모음 및 그 안에 포함된 비밀에 대한 액세스 권한을 획득한 것일 수 있습니다. 추가 조사를 권장합니다. 자격 증명 액세스 중간
키 자격 증명 모음에서 의심스러운 정책 변경 및 비밀 쿼리
(KV_PutGetAnomaly)
사용자 또는 서비스 주체가 비정상적인 Vault Put 정책 변경 작업을 수행한 다음, 하나 이상의 Secret Get 작업을 수행했습니다. 이 패턴은 일반적으로 지정된 사용자 또는 서비스 주체가 수행하지 않습니다. 합법적인 활동일 수도 있지만, 위협 행위자가 이전에 액세스할 수 없었던 비밀에 액세스하기 위해 키 자격 증명 모음 정책을 업데이트한 것일 수 있습니다. 추가 조사를 권장합니다. 자격 증명 액세스 중간
키 자격 증명 모음의 의심스러운 비밀 나열 및 쿼리
(KV_ListGetAnomaly)
사용자 또는 서비스 주체가 비정상적인 Secret List 작업을 수행한 다음, 하나 이상의 Secret Get 작업을 수행했습니다. 이 패턴은 일반적으로 지정된 사용자 또는 서비스 주체가 수행하지 않으며 보통은 비밀 덤프와 연결됩니다. 합법적인 활동일 수도 있지만, 위협 행위자가 키 자격 증명 모음에 대한 액세스 권한을 획득한 후 네트워크를 통해 수평으로 이동하거나 중요한 리소스에 대한 액세스 권한을 획득하는 데 사용할 수 있는 비밀을 검색하려고 시도하는 것일 수 있습니다. 추가 조사를 권장합니다. 자격 증명 액세스 중간
비정상적인 애플리케이션이 키 자격 증명 모음에 액세스함
(KV_AppAnomaly)
일반적으로 키 자격 증명 모음에 액세스하지 않는 사용자가 키 자격 증명 모음에 액세스했습니다. 이처럼 비정상적인 액세스 패턴이 적법한 경우도 있지만, 위협 행위자가 키 자격 증명 모음에 대한 액세스 권한을 획득하고 그 안에 포함된 비밀에 대한 액세스 권한을 획득하려고 시도하는 것일 수 있습니다. 추가 조사를 권장합니다. 자격 증명 액세스 중간
키 자격 증명 모음에서 비정상적인 작업 패턴
KV_OperationPatternAnomaly)
사용자, 서비스 주체 및/또는 특정 키 자격 증명 모음에서 비정상적인 키 자격 증명 모음 작업 패턴을 수행했습니다. 이처럼 비정상적인 활동 패턴이 적법한 경우도 있지만, 위협 행위자가 키 자격 증명 모음 및 그 안에 포함된 비밀에 대한 액세스 권한을 획득한 것일 수 있습니다. 추가 조사를 권장합니다. 자격 증명 액세스 중간
비정상적인 사용자가 키 자격 증명 모음에 액세스함
(KV_UserAnomaly)
일반적으로 키 자격 증명 모음에 액세스하지 않는 사용자가 키 자격 증명 모음에 액세스했습니다. 이처럼 비정상적인 액세스 패턴이 적법한 경우도 있지만, 위협 행위자가 키 자격 증명 모음에 대한 액세스 권한을 획득하고 그 안에 포함된 비밀에 대한 액세스 권한을 획득하려고 시도하는 것일 수 있습니다. 추가 조사를 권장합니다. 자격 증명 액세스 중간
비정상적인 사용자-애플리케이션 쌍이 키 자격 증명 모음에 액세스함
(KV_UserAppAnomaly)
일반적으로 키 자격 증명 모음에 액세스하지 않는 사용자-서비스 주체가 키 자격 증명 모음에 액세스했습니다. 이처럼 비정상적인 액세스 패턴이 적법한 경우도 있지만, 위협 행위자가 키 자격 증명 모음에 대한 액세스 권한을 획득하고 그 안에 포함된 비밀에 대한 액세스 권한을 획득하려고 시도하는 것일 수 있습니다. 추가 조사를 권장합니다. 자격 증명 액세스 중간
사용자가 대량의 키 자격 증명 모음에 액세스함
(KV_AccountVolumeAnomaly)
사용자 또는 서비스 주체가 비정상적으로 많은 키 자격 증명 모음에 액세스했습니다. 이처럼 비정상적인 액세스 패턴이 적법한 경우도 있지만, 위협 행위자가 여러 키 자격 증명 모음에 대한 액세스 권한을 획득하고 그 안에 포함된 비밀에 대한 액세스 권한을 획득하려고 시도하는 것일 수 있습니다. 추가 조사를 권장합니다. 자격 증명 액세스 중간

Azure DDoS Protection에 대한 경고

추가 세부 정보 및 참고 사항

경고 설명 MITRE 전술
(자세한 정보)
심각도
공용 IP에 대한 DDoS 공격이 감지됨 공용 IP(IP 주소)에 대한 DDoS 공격이 감지되어 완화 중입니다. 검색 높음
공용 IP에 대한 DDoS 공격이 완화됨 공용 IP(IP 주소)에 대한 DDoS 공격이 완화되었습니다. 검색 낮음

보안 인시던트 경고

추가 세부 정보 및 참고 사항

경고 설명 MITRE 전술
(자세한 정보)
심각도
공유 프로세스에서 보안 인시던트가 검색됨 {Start Time (UTC)}에 시작되고 {Detected Time (UTC)}에 최근 검색된 인시던트에 따르면 공격자가 {Host} 리소스에 대해 {Action taken} 작업을 수행했습니다. - 높음
여러 리소스에서 보안 인시던트가 검색됨 {Start Time (UTC)}에 시작되고 {Detected Time (UTC)}에 최근 검색된 인시던트에 따르면 {Host} 클라우드 리소스에 대해 유사한 공격 방법이 사용되었습니다. - 중간
동일한 원본에서 보안 인시던트가 검색됨 {Start Time (UTC)}에 시작되고 {Detected Time (UTC)}에 최근 검색된 인시던트에 따르면 공격자가 {Host} 리소스에 대해 {Action taken} 작업을 수행했습니다. - 높음
여러 머신에서 보안 인시던트가 검색됨 {Start Time (UTC)}에 시작되고 {Detected Time (UTC)}에 최근 검색된 인시던트에 따르면 공격자가 {Host} 리소스에 대해 {Action taken} 작업을 수행했습니다. - 중간

MITRE ATT&CK 전술

공격 의도를 파악하면 이벤트를 더욱 쉽게 조사하고 보고할 수 있습니다. 이러한 작업을 지원하기 위해 Azure Security Center 경고에는 많은 경고가 포함된 MITRE 전술이 포함됩니다.

정찰에서 데이터 반출에 이르는 사이버 공격의 진행 과정을 설명하는 일련의 단계를 종종 "킬 체인(kill chain)"이라고 합니다.

Security Center의 지원되는 킬 체인 의도는 버전 7의 MITRE ATT&CK 행렬을 기반으로 하며 이는 아래 표에 설명되어 있습니다.

전술 Description
사전 공격 사전 공격은 악의적인 의도에 관계없이 특정 리소스에 액세스하려는 시도이거나, 착취하기 전에 정보를 수집하기 위해 대상 시스템에 액세스하려는 시도가 실패한 것일 수 있습니다. 이 단계는 일반적으로 네트워크 외부에서 발생하며 대상 시스템을 검사하고 진입점을 식별하려는 시도로 감지됩니다.
초기 액세스 초기 액세스는 공격자가 공격을 받는 리소스에 대한 기반을 구축하기 위해 관리하는 단계입니다. 이 단계는 사용자 계정, 인증서 등의 컴퓨팅 호스트 및 리소스와 관련이 있습니다. 이 단계 이후에는 위협 행위자가 리소스를 제어할 수 있는 경우가 많습니다.
지속성 지속성은 위협 행위자에게 해당 시스템에 지속적인 현존을 제공하는 시스템에 대한 액세스, 작업 또는 구성 변경입니다. 위협 행위자는 종종 액세스 권한을 다시 얻기 위해 대체 백도어를 다시 시작하거나 제공하도록 시스템 재시작, 자격 증명 손실 또는 원격 액세스 도구가 필요한 기타 장애 등의 중단을 통해 시스템에 대한 액세스를 유지해야 합니다.
권한 상승 권한 상승은 악의적 사용자가 시스템 또는 네트워크에서 더 높은 수준의 권한을 얻을 수 있는 작업의 결과입니다. 특정 도구나 작업을 수행하려면 더 높은 수준의 권한이 필요하며 작업 전체의 여러 지점에서 필요할 수 있습니다. 특정 시스템에 대한 액세스 권한 또는 악의적 사용자가 목표를 달성하는 데 필요한 특정 기능을 수행할 권한이 있는 사용자 계정도 권한 상승으로 간주할 수 있습니다.
방어 회피 방어 회피는 악의적 사용자가 감지나 기타 방어를 피하는 데 사용할 수 있는 기술로 구성됩니다. 때때로 이러한 작업은 특정 방어 또는 완화를 파괴하는 추가 이점이 있는 다른 범주의 기술과 동일(또는 변형)합니다.
자격 증명 액세스 자격 증명 액세스는 엔터프라이즈 환경에서 사용되는 시스템, 도메인 또는 서비스 자격 증명에 액세스하거나 이를 제어하는 기술을 나타냅니다. 악의적 사용자는 네트워크 내에서 사용하기 위해 사용자 또는 관리자 계정(로컬 시스템 관리자 또는 관리자 액세스 권한이 있는 도메인 사용자)으로부터 합법적인 자격 증명을 얻으려고 시도할 가능성이 높습니다. 네트워크 내에 액세스 권한이 충분하면 악의적 사용자는 나중에 환경 내에서 사용할 계정을 만들 수 있습니다.
검색 검색은 악의적 사용자가 시스템과 내부 네트워크에 대한 정보를 얻을 수 있는 기술로 구성됩니다. 악의적 사용자는 새 시스템에 액세스할 때 자신이 현재 제어할 수 있는 항목과 해당 시스템에서 운영하는 이점이 침입 중에 현재 목적 또는 전체 목표를 향하도록 합니다. 운영 체제는 이러한 타협 후 정보 수집 단계를 지원하는 많은 기본 도구를 제공합니다.
측면 이동 측면 이동은 악의적 사용자가 네트워크를 통해 원격 시스템에 액세스하고 제어할 수 있는 기술로 구성되어 있지만 반드시 원격 시스템에서 도구를 실행할 수 있는 것은 아닙니다. 악의적 사용자는 측면 이동 기술을 통해 원격 액세스 도구와 같은 추가 도구가 없어도 시스템에서 정보를 수집할 수 있습니다. 악의적 사용자는 도구의 원격 실행, 추가 시스템으로 피벗, 특정 정보 또는 파일에 액세스, 추가 자격 증명에 액세스 또는 영향을 유발하는 등 여러 가지 목적으로 측면 이동을 사용할 수 있습니다.
실행 실행 기법은 로컬 또는 원격 시스템에서 악의적 사용자가 제어하는 코드를 실행하게 되는 기술을 나타냅니다. 이 기법은 네트워크의 원격 시스템에 대한 액세스 권한을 확장하기 위해 측면 이동과 함께 사용되는 경우가 많습니다.
컬렉션 수집은 반출 전에 대상 네트워크에서 민감한 파일과 같은 정보를 식별하고 수집하는 데 사용되는 기술로 구성됩니다. 또한 이 범주는 악의적 사용자가 반출할 정보를 찾을 수 있는 시스템이나 네트워크의 위치를 다룹니다.
반출 반출은 악의적 사용자가 대상 네트워크에서 파일과 정보를 이동하게 만들거나 이동하는 데 도움이 되는 기술과 특성을 의미합니다. 또한 이 범주는 악의적 사용자가 반출할 정보를 찾을 수 있는 시스템이나 네트워크의 위치를 다룹니다.
명령 및 제어 명령 및 제어 기법은 악의적 사용자가 대상 네트워크 내에서 제어되는 시스템과 통신하는 방법을 나타냅니다.
영향 영향 이벤트는 주로 시스템, 서비스 또는 네트워크의 가용성이나 무결성을 직접적으로 줄입니다(비즈니스 또는 운영 프로세스에 영향을 미치는 데이터 조작 포함). 이 이벤트는 종종 랜섬웨어, 변조, 데이터 조작 등과 같은 기술을 가리킵니다.

참고

미리 보기로 표시되는 경고의 경우: Azure Preview 추가 약관에는 베타, 미리 보기 또는 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 법률 용어가 포함되어 있습니다.

다음 단계

Azure Defender 보안 알림에 대한 자세한 내용은 다음을 참조하세요.