Referentiegids met beveiligingswaarschuwingen

Notitie

Azure Security Center en Azure Defender heten nu Microsoft Defender for Cloud. We hebben de naam van de abonnementen Azure Defender gewijzigd in Microsoft Defender-plannen. Een voorbeeld: Azure Defender voor Storage is nu Microsoft Defender voor Storage.

Meer informatie over de recente hernoeming van Microsoft-beveiligingsservices.

Dit artikel bevat een overzicht van de beveiligingswaarschuwingen die u kunt ontvangen van Microsoft Defender for Cloud en eventuele Microsoft Defender-abonnementen die u hebt ingeschakeld. De waarschuwingen die in uw omgeving worden weergegeven, zijn afhankelijk van de resources en services die u beveiligt en uw aangepaste configuratie.

Onderaan deze pagina staat een tabel met een beschrijving van de kill chain van Microsoft Defender for Cloud die is afgestemd op versie 7 van de MITRE ATT&CK-matrix.

Meer informatie over hoe u kunt reageren op deze waarschuwingen.

Meer informatie over het exporteren van waarschuwingen.

Notitie

Hoe snel een waarschuwing wordt weergegeven, hangt af van de bron van de waarschuwing. Waarschuwingen waarvoor analyse van netwerkverkeer is vereist, worden bijvoorbeeld later weergegeven dan waarschuwingen met betrekking tot verdachte processen op virtuele machines.

Waarschuwingen voor Windows-computers

Extra informatie en opmerkingen

Waarschuwing (waarschuwingstype) Beschrijving MITRE-tactieken
(Meer informatie)
Ernst
A logon from a malicious IP has been detected. [seen multiple times] (Er is een aanmelding van een schadelijk IP-adres gedetecteerd [meerdere malen gezien]) Er is een geslaagde externe authenticatie voor het account [account] en het proces [proces] opgetreden, maar het aanmeldings-IP-adres (x.x.x.x) is eerder gerapporteerd als schadelijk of zeer ongebruikelijk. Er is waarschijnlijk sprake van een geslaagde aanval. Bestanden met de extensie .scr zijn schermbeveiligingsbestanden en deze bevinden zich normaal gesproken in de systeemmap van Windows en worden van daaruit uitgevoerd. - Hoog
A logon from a malicious IP has been detected (Er is een aanmelding met een schadelijk IP-adres gedetecteerd)
(VM_ThreatIntelSuspectLogon)
Er is een geslaagde externe authenticatie voor het account [account] en het proces [proces] opgetreden, maar het aanmeldings-IP-adres (x.x.x.x) is eerder gerapporteerd als schadelijk of zeer ongebruikelijk. Er is waarschijnlijk sprake van een geslaagde aanval. Initial Access Hoog
Addition of Guest account to Local Administrators group (Toevoeging van gastaccount aan lokale beheerdersgroep) Bij analyse van de hostgegevens is vastgesteld dat het ingebouwde gastaccount is toegevoegd aan de lokale beheerdersgroep op %{Compromised Host}, een gebeurtenis die sterk is gerelateerd aan een aanvalsactiviteit. - Normaal
An event log was cleared (Een traceerlogboek is gewist) Computerlogboeken geven een verdachte bewerking van het wissen van een gebeurtenislogboek aan door de gebruiker % {gebruikersnaam} op computer % {getroffen entiteit}. Het logboek % {logboekkanaal} is gewist. - Informatief
Antimalware Action Failed (Antimalware-actie mislukt) Er is een fout opgetreden in Microsoft Antimalware bij het uitvoeren van een actie op malware of andere mogelijk ongewenste software. - Normaal
Antimalware Action Taken (Antimalware-actie uitgevoerd) Microsoft Antimalware for Azure heeft een actie ondernomen om deze computer te beveiligen tegen malware of andere mogelijk ongewenste software. - Normaal
Uitsluiting van algemene antimalwarebestanden op uw virtuele machine
(VM_AmBroadFilesExclusion)
Uitsluiting van bestanden in de antimalware-extensie met een brede-uitsluitingsregel, is op uw virtuele machine gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement. Een dergelijke uitsluiting sluit de antimalwarebeveiliging nagenoeg uit.
Aanvallers kunnen bestanden van de antimalwarescan op uw virtuele machine uitsluiten om detectie te voorkomen bij het uitvoeren van willekeurige code of het infecteren van de computer met malware.
- Normaal
Antimalware is uitgeschakeld en code wordt uitgevoerd op uw virtuele machine
(VM_AmDisablementAndCodeExecution)
Antimalware wordt uitgeschakeld op het zelfde moment dat code op de virtuele machine wordt uitgevoerd. Dit is gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement.
Aanvallers schakelen antimalwarescanners uit om detectie te voorkomen bij het uitvoeren van niet-geverifieerde programma's of het infecteren van de computer met malware.
- Hoog
Antimalware is uitgeschakeld op uw virtuele machine
(VM_AmDisablement)
Antimalware uitgeschakeld op uw virtuele machine. Dit is gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement.
Aanvallers kunnen de antimalware op uw virtuele machine uitschakelen om detectie te voorkomen.
Defense Evasion Normaal
Uitsluiting van antimalwarebestand en code-uitvoering op uw virtuele machine
(VM_AmFileExclusionAndCodeExecution)
Bestand wordt uitgesloten van uw antimalwarescanner op hetzelfde moment dat code wordt uitgevoerd via een aangepaste scriptextensie op uw virtuele machine. Dit is gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement.
Aanvallers kunnen bestanden van de antimalwarescan op uw virtuele machine uitsluiten om detectie te voorkomen bij het uitvoeren van niet-geverifieerde programma's of het infecteren van de computer met malware.
Defense Evasion, Execution Hoog
Uitsluiting van antimalwarebestand en code-uitvoering op uw virtuele machine
(VM_AmTempFileExclusionAndCodeExecution)
Uitsluiting van bestanden in de antimalware-extensie met een brede-uitsluitingsregel, is op uw virtuele machine gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement.
Aanvallers kunnen bestanden van de antimalwarescan op uw virtuele machine uitsluiten om detectie te voorkomen bij het uitvoeren van willekeurige code of het infecteren van de computer met malware.
Defense Evasion, Execution Hoog
Uitsluiting van antimalwarebestand op uw virtuele machine
(VM_AmTempFileExclusion)
Bestand uitgesloten van uw antimalwarescanner op uw virtuele machine. Dit is gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement.
Aanvallers kunnen bestanden van de antimalwarescan op uw virtuele machine uitsluiten om detectie te voorkomen bij het uitvoeren van niet-geverifieerde programma's of het infecteren van de computer met malware.
Defense Evasion Normaal
Realtime-beveiliging tegen antimalware is uitgeschakeld op uw virtuele machine
(VM_AmRealtimeProtectionDisabled)
Uitschakeling van de bescherming in realtime door de antimalware-extensie is op uw virtuele machine gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement.
Aanvallers kunnen bescherming in realtime van de antimalwarescan op uw virtuele machine uitschakelen om detectie te voorkomen bij het uitvoeren van willekeurige code of het infecteren van de computer met malware.
Defense Evasion Normaal
Realtime-beveiliging tegen antimalware is tijdelijk uitgeschakeld op uw virtuele machine
(VM_AmTempRealtimeProtectionDisablement)
Tijdelijke uitschakeling van de bescherming in realtime door de antimalware-extensie is op uw virtuele machine gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement.
Aanvallers kunnen bescherming in realtime van de antimalwarescan op uw virtuele machine uitschakelen om detectie te voorkomen bij het uitvoeren van willekeurige code of het infecteren van de computer met malware.
Defense Evasion Normaal
Realtime-beveiliging tegen antimalware is tijdelijk uitgeschakeld terwijl code werd uitgevoerd op uw virtuele machine
(VM_AmRealtimeProtectionDisablementAndCodeExec)
Tijdelijke uitschakeling van bescherming in realtime door de antimalware-extensie terwijl een aangepaste scriptextensie werd uitgevoerd, is op uw virtuele machine gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement.
Aanvallers kunnen bescherming in realtime van de antimalwarescan op uw virtuele machine uitschakelen om detectie te voorkomen bij het uitvoeren van willekeurige code of het infecteren van de computer met malware.
- Hoog
Antimalwarescans die zijn geblokkeerd voor bestanden die mogelijk zijn gerelateerd aan malwarecampagnes op uw virtuele machine (preview)
(VM_AmMalwareCampaignRelatedExclusion)
Er is een uitsluitingsregel gedetecteerd op uw virtuele machine om te voorkomen dat uw antimalwareextensie bepaalde bestanden scant die worden verdacht van een malwarecampagne. De regel is gedetecteerd door het analyseren van de Azure Resource Manager bewerkingen in uw abonnement. Aanvallers kunnen bestanden uitsluiten van antimalwarescans om detectie te voorkomen tijdens het uitvoeren van willekeurige code of het infecteren van de computer met malware. Defense Evasion Normaal
Antimalware is tijdelijk uitgeschakeld op uw virtuele machine
(VM_AmTemporarilyDisablement)
Antimalware tijdelijk uitgeschakeld op de virtuele machine. Dit is gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement.
Aanvallers kunnen de antimalware op uw virtuele machine uitschakelen om detectie te voorkomen.
- Normaal
Antimalware ongebruikelijke bestandsuitsluiting op uw virtuele machine
(VM_UnusualAmFileExclusion)
Er is een ongebruikelijke uitsluiting van bestanden in de antimalware-extensie op uw virtuele machine gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement.
Aanvallers kunnen bestanden van de antimalwarescan op uw virtuele machine uitsluiten om detectie te voorkomen bij het uitvoeren van willekeurige code of het infecteren van de computer met malware.
Defense Evasion Normaal
Aangepaste scriptextensie met verdachte opdracht in uw virtuele machine
(VM_CustomScriptExtensionSuspiciousCmd)
Er is een aangepaste scriptextensie met verdachte opdracht op uw virtuele machine gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement.
Aanvallers kunnen met behulp van de aangepaste scriptextensie schadelijke code op uw virtuele machine uitvoeren via Azure Resource Manager.
Uitvoering Normaal
Aangepaste scriptextensie met verdacht toegangspunt in uw virtuele machine
(VM_CustomScriptExtensionSuspiciousEntryPoint)
Er is een aangepaste scriptextensie met verdacht invoerpunt op uw virtuele machine gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement. Het invoerpunt verwijst naar een verdachte GitHub-opslagplaats.
Aanvallers kunnen met behulp van aangepaste scriptextensies schadelijke code op uw virtuele machines uitvoeren via Azure Resource Manager.
Uitvoering Normaal
Aangepaste scriptextensie met verdachte nettolading in uw virtuele machine
(VM_CustomScriptExtensionSuspiciousPayload)
Er is een aangepaste scriptextensie met een payload van een verdachte GitHub-opslagplaats op uw virtuele machine gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement.
Aanvallers kunnen met behulp van aangepaste scriptextensies schadelijke code op uw virtuele machines uitvoeren via Azure Resource Manager.
Uitvoering Normaal
Detected actions indicative of disabling and deleting IIS log files (Acties gedetecteerd die wijzen op uitschakelen en verwijderen van IIS-logboekbestanden) Bij analyse van hostgegevens op %{Compromised Host} zijn acties gedetecteerd waarmee IIS-logboekbestanden zijn uitgeschakeld en/of verwijderd. - Normaal
Detected anomalous mix of upper and lower case characters in command-line (Ongebruikelijke combinatie van hoofdletters en kleine letters gedetecteerd op opdrachtregel) Bij analyse van hostgegevens op %{Compromised Host} is een opdrachtregel gedetecteerd met een afwijkende mix van hoofdletters en kleine letters. Dit soort patroon is mogelijk onschadelijk, maar is tegelijk kenmerkend voor aanvallers die zich bij het uitvoeren van beheertaken op een aangetaste host proberen te beschermen tegen regels die kijken naar hoofdlettergebruik of het gebruik van hashes. - Normaal
Detected change to a registry key that can be abused to bypass UAC (Er is een wijziging gedetecteerd van een registersleutel die kan worden misbruikt om UAC over te slaan) Bij analyse van hostgegevens op %{Compromised Host} is vastgesteld dat een registersleutel is gewijzigd die kan worden misbruikt om UAC (Gebruikersaccountbeheer) over te slaan. Dit soort configuratie is mogelijk onschadelijk, maar is tegelijk kenmerkend voor aanvallers die proberen onbevoegde toegang (standaardgebruiker) om te zetten in bevoegde toegang (beheerder) op een geïnfecteerd host. - Normaal
Detected decoding of an executable using built-in certutil.exe tool (Decodering gedetecteerd van een uitvoerbaar bestand met de tool certutil.exe) Bij analyse van hostgegevens op %{Compromised Host} is vastgesteld dat certutil.exe, een ingebouwde tool voor beheerders, is gebruikt voor het decoderen van een uitvoerbaar bestand in plaats van voor het algemene doel van het bewerken van certificaten en certificaatgegevens. Aanvallers misbruiken vaak de functionaliteit van geldige beheerhulpprogramma's om schadelijke bewerkingen uit te voeren, bijvoorbeeld door gebruik te maken van een hulpprogramma als certutil.exe om een kwaadaardig uitvoerbaar bestand te decoderen dat vervolgens wordt uitgevoerd. - Hoog
Detected enabling of the WDigest UseLogonCredential registry key (Inschakelen van registersleutel WDigest UseLogonCredential gedetecteerd) Bij analyse van hostgegevens is een wijziging vastgesteld in de registersleutel HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest\ "UseLogonCredential". Meer specifiek is deze sleutel bijgewerkt zodat aanmeldingsreferenties als leesbare tekst kunnen worden opgeslagen in LSA-geheugen. Als het aanpassen van de sleutel is gelukt, kan een aanvaller een dump van de wachtwoorden maken in leesbare vorm vanuit het LSA-geheugen. Hiervoor zijn speciale tools beschikbaar zoals Mimikatz. - Normaal
Detected encoded executable in command line data (Gecodeerd uitvoerbaar bestand gedetecteerd op opdrachtregel) Bij analyse van hostgegevens op %{Compromised Host} is een met base-64 gecodeerd uitvoerbaar bestand gedetecteerd. Dit is eerder geassocieerd met aanvallers die proberen on-the-fly uitvoerbare bestanden te maken via een reeks opdrachten, en die hierbij proberen inbraakdetectiesystemen te omzeilen door ervoor te zorgen dat geen enkele afzonderlijke opdracht een waarschuwing genereert. Dit kan een legitieme activiteit zijn, maar ook een indicatie van een geïnfecteerde host. - Hoog
Detected obfuscated command line (Onleesbaar gemaakt opdrachtregel gedetecteerd) Aanvallers gebruiken steeds complexere technieken om zich verborgen te houden voor detecties die worden uitgevoerd op de onderliggende gegevens. Bij analyse van hostgegevens op %{Compromised Host} zijn verdachte indicatoren voor het onleesbaar maken van gegevens gedetecteerd op de opdrachtregel. - Informatief
Er zijn indicatoren van Petya-ransomware gedetecteerd Bij analyse van hostgegevens op %{Compromised Host} zijn indicatoren gedetecteerd die wijzen op Petya-ransomware. Zie https://blogs.technet.microsoft.com/mmpc/2017/06/27/new-ransomware-old-techniques-petya-adds-worm-capabilities/ voor meer informatie. Controleer de opdrachtregel die aan deze waarschuwing is gekoppeld en escaleer deze waarschuwing naar uw beveiligingsteam. - Hoog
Detected possible execution of keygen executable (Mogelijke uitvoering van uitvoerbare bestand keygen gedetecteerd) Bij analyse van hostgegevens op %{Compromised Host} is uitvoering gedetecteerd van een proces waarvan de naam wijst op gebruik van de tool keygen. Dergelijke tools worden doorgaans gebruikt om mechanismen voor softwarelicenties te omzeilen, maar bij het downloaden van dergelijke tools wordt vaak ook andere schadelijke software gedownload. Het is bekend dat de cybercrimegroep GOLD dergelijke keygens gebruikt om onopgemerkt toegang te krijgen tot hosts die ze hebben geïnfecteerd. - Normaal
Detected possible execution of malware dropper (Mogelijke uitvoering van malware-dropper gedetecteerd) Bij analyse van hostgegevens op %{Compromised Host} is een bestandsnaam gedetecteerd die eerder was gekoppeld aan een van de methoden van de cybercrimegroep GOLD om malware te installeren op een geïnfecteerd host. - Hoog
Detected possible local reconnaissance activity (Mogelijke lokale verkenningsactiviteit gedetecteerd) Bij analyse van hostgegevens op %{Compromised Host} is een combinatie van systeminfo-opdrachten gedetecteerd die eerder was gekoppeld aan een van de methoden van de cybercrimegroep GOLD om verkenningsactiviteiten uit te voeren. Hoewel systeminfo.exe een legitiem Windows-hulpprogramma is, is het niet gebruikelijk dat dit hulpprogramma tweemaal achter elkaar wordt uitgevoerd gevolgd. -
Detected potentially suspicious use of Telegram tool (Mogelijk verdacht gebruik van Telegram-tool gedetecteerd) Bij analyse van hostgegevens is aangetoond dat Telegram is geïnstalleerd, een gratis cloudservice voor instant messaging met een versie voor zowel mobiele apparaten als desktopsystemen. Het is bekend dat aanvallers deze service misbruiken om schadelijke binaire bestanden over te brengen naar andere computers, telefoons of tablets. - Normaal
Detected suppression of legal notice displayed to users at logon (Er is gedetecteerd dat de weergave van een juridische kennisgeving aan gebruikers is onderdrukt tijdens aanmelding) Bij analyse van hostgegevens op %{Compromised Host} zijn wijzigingen van de registersleutel gedetecteerd die bepaalt of een juridische kennisgeving al dan niet wordt weergegeven aan gebruikers wanneer deze zich aanmelden. Beveiligingsanalyse door Microsoft heeft aangetoond dat dit een veelgebruikte activiteit van aanvallers is nadat een host is geïnfecteerd. - Beperkt
Detected suspicious combination of HTA and PowerShell (Verdachte combinatie van HTA en PowerShell gedetecteerd) mshta.exe (Microsoft HTML Application Host) is een ondertekend binair bestand van Microsoft dat door aanvallers wordt gebruikt om schadelijke PowerShell-opdrachten te starten. Aanvallers gebruiken vaak een HTA-bestand met inline VBScript. Wanneer een slachtoffer naar het HTA-bestand bladert en dit uitvoert, worden de PowerShell-opdrachten en -scripts in het bestand uitgevoerd. Bij analyse van hostgegevens op %{Compromised Host} is aangetoond dat Mshta.exe is gebruikt om PowerShell-opdrachten te starten. - Normaal
Detected suspicious commandline arguments (Verdachte opdrachtregelargumenten gedetecteerd) Bij analyse van hostgegevens op %{Compromised Host} zijn verdachte opdrachtregelargumenten gedetecteerd die zijn gebruikt in combinatie met een reverse shell die door de cybercrimegroep HYDROGEN wordt gebruikt. - Hoog
Detected suspicious commandline used to start all executables in a directory (Verdachte opdrachtregel gedetecteerd waarmee alle uitvoerbare bestanden in een map zijn gestart) Bij analyse van hostgegevens is een verdacht proces gedetecteerd dat wordt uitgevoerd op %{Compromised Host}. De opdrachtregel geeft aan dat er een poging is gedaan om alle uitvoerbare bestanden (*.exe) te starten die zich in een directory kunnen bevinden. Dit kan een indicatie zijn van een geïnfecteerde host. - Normaal
Detected suspicious credentials in commandline (Verdachte referenties gevonden op opdrachtregel) Bij analyse van hostgegevens op %{Compromised Host} is gedetecteerd dat er door de cybercrimegroep BORON een verdacht wachtwoord is gebruikt voor het uitvoeren van een bestand. Van deze groep is het bekend dat ze dit wachtwoord gebruiken om Pirpi-malware uit te voeren op een geïnfecteerde host. - Hoog
Detected suspicious document credentials (Verdachte documentreferenties gevonden) Bij analyse van hostgegevens op %{Compromised Host} is een verdachte, vooraf berekende algemene wachtwoordhash gedetecteerd die wordt gebruikt door malware om een bestand uit te voeren. Het is bekend dat de cybercrimegroep HYDROGEN dit wachtwoord heeft gebruikt om malware uit te voeren op een geïnfecteerde host. - Hoog
Detected suspicious execution of VBScript.Encode command (Verdachte uitvoering gedetecteerd van VBScript.Encode-opdracht) Bij analyse van hostgegevens op %{Compromised Host} is gedetecteerd dat de opdracht VBScript.Encode is uitgevoerd. Met deze opdracht worden de scripts gecodeerd in onleesbare tekst, waardoor het moeilijker is voor gebruikers om de code te onderzoeken. Bedreigingsonderzoek door Microsoft toont aan dat aanvallers vaak gecodeerde VBscript-bestanden gebruiken als onderdeel van hun aanval om detectiesystemen te omzeilen. Dit kan een legitieme activiteit zijn, maar ook een indicatie van een geïnfecteerde host. - Normaal
Detected suspicious execution via rundll32.exe (Verdachte uitvoering via rundll32.exe gedetecteerd) Bij analyse van hostgegevens op %{Compromised Host} is gedetecteerd dat rundll32.exe is gebruikt om een proces met een ongebruikelijke naam uit te voeren, een naam die voldoet aan het naamgevingsschema voor processen dat eerder is gebruikt door de cybercrimegroep GOLD bij het installeren van hun first-stage implantaat op een geïnfecteerde host. - Hoog
Detected suspicious file cleanup commands (Verdachte opdrachten voor opschonen van bestanden gedetecteerd) Bij analyse van hostgegevens op %{Compromised Host} is een combinatie van systeminfo-opdrachten gedetecteerd die eerder was gekoppeld aan een van de methoden van de cybercrimegroep GOLD om na een geslaagde infectie zelfuitvoerende opschoningsactiviteiten te starten. Hoewel systeminfo.exe een legitiem Windows-hulpprogramma is, is het niet gebruikelijk dat dit hulpprogramma tweemaal achter elkaar wordt uitgevoerd gevolgd door een verwijderopdracht, zoals in dit geval is gedaan. - Hoog
Detected suspicious file creation (Maken van verdacht bestand gedetecteerd) Bij analyse van hostgegevens op %{Compromised Host} is het maken of uitvoeren van een proces gedetecteerd dat eerder heeft gewezen op acties die na een geslaagde infectie op een geïnfecteerde host werden uitgevoerd door de cybercrimegroep BARIUM. Van deze groep is het bekend dat ze deze techniek gebruiken om extra malware te downloaden naar een geïnfecteerde host nadat een bijlage in een phishing-document is geopend. - Hoog
Detected suspicious named pipe communications (Verdachte communicatie met named pipe gedetecteerd) Bij analyse van hostgegevens op %{Compromised Host} is vastgesteld dat er met een opdracht van de Windows-console gegevens zijn geschreven naar een lokale named pipe. Named pipes is een kanaal dat vaak wordt gebruikt door aanvallers om te communiceren met een kwaadaardig implantaat en hieraan opdrachten te geven. Dit kan een legitieme activiteit zijn, maar ook een indicatie van een geïnfecteerde host. - Hoog
Detected suspicious network activity (Verdachte netwerkactiviteit gedetecteerd) Bij analyse van netwerkverkeer vanaf %{Compromised Host} is verdachte netwerkactiviteit gedetecteerd. Hoewel dit verkeer onschadelijk kan zijn, wordt het ook vaak door aanvallers gebruikt om te communiceren met kwaadwillende servers voor het downloaden van tools, command-and-control en exfiltratie van gegevens. Veelvoorkomende gerelateerde activiteiten van aanvallers zijn het kopiëren van tools voor extern beheer naar een geïnfecteerde host en het exfiltreren van gebruikersgegevens van de host. - Beperkt
Detected suspicious new firewall rule (Verdachte nieuwe firewallregel gedetecteerd) Bij analyse van hostgegevens is gedetecteerd dat er een nieuwe firewallregel is toegevoegd via netsh.exe om verkeer van een uitvoerbaar bestand op een verdachte locatie toe te staan. - Normaal
Detected suspicious use of Cacls to lower the security state of the system (Verdacht gebruik van Cacls gedetecteerd om de beveiligingsstatus van het systeem te verlagen) Aanvallers gebruiken allerlei manieren zoals Brute Force en spear phishing om toegang te verkrijgen en een aanvaller te laten binnendringen in het netwerk. Zodra er toegang is verkregen, nemen ze vaak stappen om de beveiligings beveiligingsinstellingen van een systeem te verlagen. Cacls (wat staat voor 'change access control list' of toegangsbeheerlijst wijzigen) is het ingebouwde opdrachtregelprogramma van Microsoft dat vaak wordt gebruikt voor het wijzigen van de beveiligingsmachtiging voor mappen en bestanden. Vaak wordt het binaire bestand gebruikt door aanvallers om de beveiligingsinstellingen van een systeem te verlagen. Dit wordt gedaan door iedereen volledige toegang te geven tot een aantal van de binaire bestanden van het systeem, zoals ftp.exe, net.exe, wscript.exe, enzovoort. Bij analyse van hostgegevens op %{Compromised Host} is verdacht gebruik van Cacls gedetecteerd om de beveiliging van een systeem te verlagen. - Normaal
Detected suspicious use of FTP -s Switch (Verdacht gebruik van FTP-schakeloptie -s gedetecteerd) Bij analyse van procesgegevens van %{Compromised Host} is het gebruik van de FTP-schakeloptie -s:bestandsnaam gedetecteerd. Deze schakeloptie wordt gebruikt om een FTP-scriptbestand op te geven dat door de client moet worden uitgevoerd. Het is bekend dat malware of schadelijke processen deze FTP-schakeloptie (-s:bestandsnaam) gebruiken om te verwijzen naar een scriptbestand dat is geconfigureerd om verbinding te maken met een externe FTP-server en aanvullende schadelijke binaire bestanden te downloaden. - Normaal
Detected suspicious use of Pcalua.exe to launch executable code (Verdacht gebruik gedetecteerd van Pcalua.exe om uitvoerbare code te starten) Bij analyse van hostgegevens op %{Compromised Host} is het gebruik van pcalua.exe gedetecteerd voor het starten van uitvoerbare code. Pcalua.exe is onderdeel van de Microsoft Windows-assistent voor programmacompatibiliteit die compatibiliteitsproblemen detecteert tijdens de installatie of uitvoering van een programma. Het is bekend dat aanvallers functionaliteit van legitieme Windows-systeemprogramma's misbruiken om schadelijke acties uit te voeren. Een voorbeeld hiervan is dat met behulp van pcalua.exe en de schakeloptie -a schadelijke uitvoerbare bestanden lokaal of vanaf externe shares worden gestart. - Normaal
Detected the disabling of critical services (Uitschakelen van essentiële services gedetecteerd) Bij analyse van hostgegevens op %{Compromised Host} is gedetecteerd dat de opdracht 'net.exe stop' is gebruikt om essentiële services zoals SharedAccess of de Windows-beveiliging-app te stoppen. Het stoppen van een van deze services kan een indicatie van kwaadwillend gedrag zijn. - Normaal
Digital currency mining related behavior detected (Gedrag gedetecteerd dat is gerelateerd aan mining van digitale valuta) Bij analyse van hostgegevens op %{Compromised Host} is de uitvoering van een proces of opdracht gedetecteerd die normaal gesproken is gekoppeld aan mining van digitale valuta. - Hoog
Dynamic PS script construction (Dynamische constructie van PS-script) Bij analyse van hostgegevens op %{Compromised Host} is gedetecteerd dat een PowerShell-script dynamisch wordt samengesteld. Aanvallers gebruiken deze techniek van het geleidelijk samenstellen van een script soms om IDS-systemen te omzeilen. Dit kan een legitieme activiteit zijn, maar ook een indicatie dat een van uw computers is geïnfecteerd. - Normaal
Executable found running from a suspicious location (Uitvoerbaar bestand gevonden dat wordt uitgevoerd vanaf een verdachte locatie) Bij analyse van hostgegevens is een uitvoerbaar bestand op %{Compromised Host} gedetecteerd dat wordt uitgevoerd vanaf een locatie die vaker wordt gebruikt voor verdachte bestanden. Dit kan een legitieme activiteit zijn, maar ook een indicatie van een geïnfecteerde host. - Hoog
Fileless attack behavior detected (Gedrag gedetecteerd dat wijst op bestandsloze aanvallen)
(VM_FilelessAttackBehavior. Windows)
Het geheugen van het opgegeven proces bevat gedragingen die veel worden gebruikt bij bestandsloze aanvallen. Enkele voorbeelden van specifiek gedrag in deze scenario's:
1) Shellcode, een klein blokje code dat meestal wordt gebruikt als de payload bij het misbruiken van een beveiligingsprobleem in software.
2) Actieve netwerkverbindingen. Zie Netwerkverbindingen hieronder voor meer informatie.
3) Functieaanroepen naar interfaces van het besturingssysteem die gevoelig zijn voor beveiligingsaanvallen. Zie Mogelijkheden hieronder voor mogelijkheden van het besturingssysteem waarnaar wordt verwezen.
4) Bevat een thread die is gestart in een dynamisch toegewezen codesegment. Dit is een algemeen patroon voor aanvallen op basis van procesinjectie.
Defense Evasion Beperkt
Fileless attack technique detected (Bestandsloze aanvallen gedetecteerd)
(VM_FilelessAttackTechnique. Windows)
Het geheugen van het hieronder aangegeven proces bevat bewijs van bestandsloze aanvallen. Bestandsloze aanvallen worden gebruikt door aanvallers om code uit te voeren terwijl ze detectie door beveiligingssoftware omzeilen. Enkele voorbeelden van specifiek gedrag in deze scenario's:
1) Shellcode, een klein blokje code dat meestal wordt gebruikt als de payload bij het misbruiken van een beveiligingsprobleem in software.
2) Uitvoerbare installatiekopie die wordt geïnjecteerd in het proces, zoals bij een aanval met code-injectie.
3) Actieve netwerkverbindingen. Zie Netwerkverbindingen hieronder voor meer informatie.
4) Functieaanroepen naar interfaces van het besturingssysteem die gevoelig zijn voor beveiligingsaanvallen. Zie Mogelijkheden hieronder voor mogelijkheden van het besturingssysteem waarnaar wordt verwezen.
5) Procesuitholling, een techniek die wordt gebruikt door malware waarbij een legitiem proces wordt geladen in het systeem om te fungeren als een container voor kwaadaardige code.
6) Bevat een thread die is gestart in een dynamisch toegewezen codesegment. Dit is een algemeen patroon voor aanvallen op basis van procesinjectie.
Defense Evasion, Execution Hoog
Fileless attack toolkit detected (Toolkit voor bestandsloze aanvallen gedetecteerd)
(VM_FilelessAttackToolkit. Windows)
Het geheugen van het opgegeven proces bevat een toolkit voor bestandsloze aanvallen: [naam van toolkit]. Toolkits voor bestandsloze aanvallen gebruiken technieken die traceringen van malware op schijf minimaliseren of elimineren, en die de kans op detectie door op schijf opgeslagen malware-scanners aanzienlijk verminderen. Enkele voorbeelden van specifiek gedrag in deze scenario's:
1) Bekende toolkits en software voor crypto-mining.
2) Shellcode, een klein blokje code dat meestal wordt gebruikt als de payload bij het misbruiken van een beveiligingsprobleem in software.
3) Schadelijk uitvoerbaar bestand dat wordt geïnjecteerd in het procesgeheugen.
Defense Evasion, Execution Normaal
High risk software detected (Software met hoog risico gedetecteerd) Bij analyse van hostgegevens op %{Compromised Host} is het gebruik van software gedetecteerd die in het verleden is gebruikt bij de installatie van malware. Een veelgebruikte techniek voor de distributie van schadelijke software is het pakket te verpakken in onschadelijke tools, zoals de tool die in deze waarschuwing wordt vermeld. Bij gebruik van deze onschadelijke tools kan de malware zonder tussenkomst op de achtergrond worden geïnstalleerd. - Normaal
Leden van de groep Lokale beheerders zijn geïnventariseerd Computerlogboeken geven een geslaagde inventarisatie aan van groep % {naam van geïnventariseerd groepsdomein}%{naam van geïnventariseerde groep}. Meer specifiek heeft %{Enumerating User Domain Name}%{Enumerating User Name} op afstand de leden van de groep %{Enumerated Group Domain Name}%{Enumerated Group Name} geïnventariseerd. Deze activiteit kan een legitieme activiteit zijn of een indicatie dat een computer in uw organisatie is geïnfecteerd en is gebruikt om verkenning van %{vmname} uit te voeren. - Informatief
Malicious firewall rule created by ZINC server implant [seen multiple times] (Schadelijke firewallregel gemaakt door implantaat op ZINC-server [meerdere malen gezien]) Er is een firewallregel gemaakt met technieken die overeenkomen met een bekende actor, ZINC. De regel is mogelijk gebruikt voor het openen van een poort op %{Compromised Host} om communicatie voor Command and Control toe te staan. Dit gedrag is [x] keer gezien vandaag op de volgende computers: [computernamen] - Hoog
Malicious SQL activity (Schadelijke SQL-activiteit) Computerlogboeken geven aan dat %{process name} is uitgevoerd door account: %{user name}. Deze activiteit wordt als schadelijk beschouwd. - Hoog
Multiple Domain Accounts Queried (Query's op meerdere domeinaccounts uitgevoerd) Bij analyse van hostgegevens is vastgesteld dat er in een korte periode een ongebruikelijk groot aantal query's is uitgevoerd op verschillende domeinaccounts vanaf %{Compromised Host}. Dit soort activiteit kan legitiem zijn, maar kan ook een indicatie zijn van infectie. - Normaal
Possible credential dumping detected [seen multiple times] (Mogelijke dumping van referenties gedetecteerd [meerdere malen gezien]) Bij analyse van hostgegevens is het gebruik gedetecteerd van een ingebouwd Windows-programma (bijvoorbeeld sqldumper.exe), op een zodanige manier dat er referenties uit het geheugen kunnen worden opgehaald. Aanvallers gebruiken deze technieken vaak om referenties te extraheren die ze vervolgens gebruiken voor zijdelingse verplaatsing en het verhogen van bevoegdheden. Dit gedrag is [x] keer gezien vandaag op de volgende computers: [computernamen] - Normaal
Potential attempt to bypass AppLocker detected (Potentiële poging gedetecteerd om AppLocker te negeren) Bij analyse van hostgegevens op %{Compromised Host} is een mogelijke poging gedetecteerd om beperkingen van AppLocker te omzeilen. AppLocker kan worden geconfigureerd voor het implementeren van een beleid dat beperkt welke uitvoerbare bestanden mogen worden uitgevoerd op een Windows-systeem. Het opdrachtregelpatroon dat lijkt op het patroon dat in deze waarschuwing wordt aangegeven, is eerder gerelateerd aan pogingen van een aanvaller om het AppLocker-beleid te omzeilen door gebruik te maken van vertrouwde uitvoerbare bestanden (toegestaan door het AppLocker-beleid) om niet-vertrouwde code uit te voeren. Dit kan een legitieme activiteit zijn, maar ook een indicatie van een geïnfecteerde host. - Hoog
PsExec execution detected (Uitvoering van PsExec gedetecteerd)
(VM_RunByPsExec)
Analyse van hostgegevens geeft aan dat het proces %{Process Name} is uitgevoerd door het hulpprogramma PsExec. PsExec kan worden gebruikt om processen op afstand uit te voeren. Deze techniek kan worden gebruikt voor schadelijke doeleinden. Laterale verplaatsing, uitvoering Informatief
Ransomware indicators detected [seen multiple times] (Indicatoren van ransomware gedetecteerd [meerdere keren gezien]) Analyse van hostgegevens wijst op verdachte activiteit die doorgaans is gekoppeld aan ransomware met schermvergrendeling en versleuteling van bestanden. Bij ransomware met schermvergrendeling wordt een schermvullend bericht weergegeven waardoor het interactieve gebruik van de host wordt voorkomen en de bestanden op de host niet toegankelijk zijn. Bij ransomware met versleuteling van bestanden wordt de toegang voorkomen door gegevensbestanden te versleutelen. In beide gevallen wordt er meestal een bericht weergegeven dat de toegang tot de bestanden wordt hersteld zodra een bepaald bedrag is betaald. Dit gedrag is [x] keer gezien vandaag op de volgende computers: [computernamen] - Hoog
Ransomware indicators detected (Indicatoren van ransomware gedetecteerd) Analyse van hostgegevens wijst op verdachte activiteit die doorgaans is gekoppeld aan ransomware met schermvergrendeling en versleuteling van bestanden. Bij ransomware met schermvergrendeling wordt een schermvullend bericht weergegeven waardoor het interactieve gebruik van de host wordt voorkomen en de bestanden op de host niet toegankelijk zijn. Bij ransomware met versleuteling van bestanden wordt de toegang voorkomen door gegevensbestanden te versleutelen. In beide gevallen wordt er meestal een bericht weergegeven dat de toegang tot de bestanden wordt hersteld zodra een bepaald bedrag is betaald. - Hoog
Rare SVCHOST service group executed (Zeldzame SVCHOST-servicegroep uitgevoerd)
(VM_SvcHostRunInRareServiceGroup)
Er is vastgesteld dat het systeemproces SVCHOST is uitgevoerd in een zeldzame servicegroep. Malware maakt vaak gebruik van SVCHOST om schadelijke activiteiten te maskeren. Defense Evasion, Execution Informatief
Sticky keys attack detected (Aanval via plaktoetsen gedetecteerd) Analyse van hostgegevens geeft aan dat een aanvaller mogelijk een binair bestand voor een toegankelijkheidsfunctie (zoals plaktoetsen, een schermtoetsenbord of Verteller) misbruikt om via een achterdeur toegang te krijgen tot de host %{Compromised Host}. - Normaal
Successful brute force attack (Geslaagde Brute Force-aanval)
(VM_LoginBruteForceSuccess)
Er zijn verschillende aanmeldingspogingen uit dezelfde bron gedetecteerd. Sommige pogingen zijn geverifieerd door de host.
Dit lijkt op een burst-aanval, waarbij een aanvaller talloze verificatiepogingen doet om geldige accountreferenties te vinden.
Misbruik Normaal/hoog.
Suspect integrity level indicative of RDP hijacking (Verdacht integriteitsniveau dat indicatie is van RDP-overname) Bij analyse van hostgegevens is vastgesteld dat tscon.exe wordt uitgevoerd met systeembevoegdheden. Dit kan wijzen op een aanvaller die dit binaire bestand misbruikt om de context over te schakelen naar een andere aangemelde gebruiker op deze host. Dit is een bekende aanvalstechniek om extra gebruikersaccounts over te nemen en zijdelingse verplaatsing binnen een netwerk mogelijk te maken. - Normaal
Suspect service installation (Verdachte service-installatie) Bij analyse van hostgegevens is vastgesteld dat tscon.exe is geïnstalleerd als een service. Het starten van dit binaire bestand als een service kan een aanvaller in staat stellen om op relatief eenvoudige wijze een andere aangemelde gebruiker op deze host over te nemen door het hijacken van RDP-verbindingen. Het is een bekende aanvalstechniek om extra gebruikersaccounts te infecteren en zijdelingse verplaatsing binnen een netwerk mogelijk te maken. - Normaal
Suspected Kerberos Golden Ticket attack parameters observed (Parameters verdachte Golden Ticket Kerberos-aanval waargenomen) Bij analyse van hostgegevens zijn opdrachtregelparameters gevonden die consistent zijn met een Golden Ticket Kerberos-aanval. - Normaal
Suspicious Account Creation Detected (Nieuw verdacht account gedetecteerd) Bij analyse van hostgegevens op %{Compromised Host} is het maken of gebruiken van een lokaal account%{Suspicious account name} gedetecteerd. Deze accountnaam lijkt sterk op de naam van een standaard Windows-account of groepsnaam %{Similar To Account Name}. Dit is mogelijk een frauduleus account dat door een aanvaller is gemaakt en dat die naam heeft gekregen om te voorkomen dat het door een beheerder wordt opgemerkt. - Normaal
Suspicious Activity Detected (Verdachte activiteit gedetecteerd)
(VM_SuspiciousActivity)
Bij analyse van hostgegevens is een reeks gedetecteerd van een of meer processen die worden uitgevoerd op %{machine name} waarvan bekend is dat ze zijn gekoppeld aan schadelijke activiteiten. Terwijl afzonderlijke opdrachten goedaardig lijken te zijn, wordt de waarschuwing weergegeven op basis van de aggregatie van deze opdrachten. Dit kan een legitieme activiteit zijn, maar ook een indicatie van een geïnfecteerde host. Uitvoering Normaal
Suspicious authentication activity (Verdachte verificatieactiviteit)
(VM_LoginBruteForceValidUserFailed)
Hoewel geen enkele verificatie is gelukt, werden sommige gebruikte accounts herkend door de host. Dit lijkt op een woordenlijstaanval, waarbij een aanvaller talloze verificatiepogingen uitvoert met behulp van een woordenlijst met vooraf gedefinieerde accountnamen en wachtwoorden om geldige referenties te vinden voor toegang tot de host. Dit geeft aan dat sommige namen van accounts op de host zijn opgenomen in woordenlijst met bekende accountnamen. Scannen Normaal
Suspicious code segment detected (Verdacht codesegment gedetecteerd) Geeft aan dat er een codesegment is toegewezen met behulp van afwijkende methoden, zoals reflectieve injectie en procesuitholling. De waarschuwing bevat aanvullende kenmerken van het codesegment die zijn verwerkt om context te geven over de mogelijkheden en het gedrag van het gerapporteerde codesegment. - Normaal
Suspicious command execution (Uitvoering van verdachte opdracht)
(VM_SuspiciousCommandLineExecution)
Computerlogboeken wijzen op een verdachte opdrachtregeluitvoering door gebruiker %{user name}. Uitvoering Hoog
Er is een verdacht bestand met dubbele extensie uitgevoerd Analyse van hostgegevens wijst op een uitvoering van een proces met een verdachte dubbele extensie. Hierdoor kunnen gebruikers denken dat de bestanden veilig kunnen worden geopend en dit kan een indicatie zijn van de aanwezigheid van malware op het systeem. - Hoog
Suspicious download using Certutil detected [seen multiple times] (Verdachte download met Certutil gedetecteerd [meerdere malen gezien]) Bij analyse van hostgegevens op %{Compromised Host} is vastgesteld dat certutil.exe, een ingebouwde tool voor beheerders, is gebruikt voor het downloaden van een binair bestand in plaats van voor het algemene doel van het bewerken van certificaten en certificaatgegevens. Aanvallers misbruiken vaak de functionaliteit van geldige beheerhulpprogramma's om schadelijke bewerkingen uit te voeren, bijvoorbeeld door gebruik te maken van certutil.exe om een kwaadaardig uitvoerbaar bestand te downloaden en decoderen dat vervolgens wordt uitgevoerd. Dit gedrag is [x] keer gezien vandaag op de volgende computers: [computernamen] - Normaal
Suspicious download using Certutil detected (Verdachte download met Certutil gedetecteerd) Bij analyse van hostgegevens op %{Compromised Host} is vastgesteld dat certutil.exe, een ingebouwde tool voor beheerders, is gebruikt voor het downloaden van een binair bestand in plaats van voor het algemene doel van het bewerken van certificaten en certificaatgegevens. Aanvallers misbruiken vaak de functionaliteit van geldige beheerhulpprogramma's om schadelijke bewerkingen uit te voeren, bijvoorbeeld door gebruik te maken van certutil.exe om een kwaadaardig uitvoerbaar bestand te downloaden en decoderen dat vervolgens wordt uitgevoerd. - Normaal
Suspicious failed execution of custom script extension in your virtual machine (Verdachte mislukte uitvoering van aangepaste scriptextensie op uw virtuele machine)
(VM_CustomScriptExtensionSuspiciousFailure)
Er is een verdachte fout van een aangepaste scriptextensie op uw virtuele machine gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement.
Dergelijke fouten kunnen in verband staan met schadelijke scripts die door deze extensie worden uitgevoerd.
Uitvoering Normaal
Suspicious PowerShell Activity Detected (Verdachte PowerShell-activiteit gedetecteerd) Bij analyse van hostgegevens is een PowerShell-script gedetecteerd dat wordt uitgevoerd op %{Compromised Host} met functies die gangbaar zijn in bekend verdachte scripts. Dit script kan een legitieme activiteit zijn, maar ook een indicatie van een geïnfecteerde host. - Hoog
Suspicious PowerShell cmdlets executed (Verdachte PowerShell-cmdlets uitgevoerd) Analyse van hostgegevens duidt op de uitvoering van bekend schadelijke PowerSploit-cmdlets van PowerShell. - Normaal
Suspicious process executed [seen multiple times] (Verdacht proces uitgevoerd [meerdere keren gezien]) Computerlogboeken geven aan dat het verdachte proces %{Suspicious Process} op de computer werd uitgevoerd. Dit proces is vaak gekoppeld aan pogingen van aanvallers die toegang proberen te krijgen tot referenties. Dit gedrag is [x] keer gezien vandaag op de volgende computers: [computernamen] - Hoog
Verdachte processen uitgevoerd Computerlogboeken geven aan dat het verdachte proces %{Suspicious Process} op de computer werd uitgevoerd. Dit proces is vaak gekoppeld aan pogingen van aanvallers die toegang proberen te krijgen tot referenties. - Hoog
Suspicious process name detected [seen multiple times] (Verdachte procesnaam gedetecteerd [meerdere keren gezien]) Bij analyse van hostgegevens op %{Compromised Host} is een proces gedetecteerd waarvan de naam verdacht is, bijvoorbeeld omdat het de naam is van een bekende hackerstool of een naam die lijkt op een naam die wordt gebruikt door hackertools om zich aan het zicht te onttrekken. Dit proces kan een legitieme activiteit zijn, maar ook een indicatie dat een van uw computers is geïnfecteerd. Dit gedrag is [x] keer gezien vandaag op de volgende computers: [computernamen] - Normaal
Suspicious process name detected (Verdachte procesnaam gedetecteerd) Bij analyse van hostgegevens op %{Compromised Host} is een proces gedetecteerd waarvan de naam verdacht is, bijvoorbeeld omdat het de naam is van een bekende hackerstool of een naam die lijkt op een naam die wordt gebruikt door hackertools om zich aan het zicht te onttrekken. Dit proces kan een legitieme activiteit zijn, maar ook een indicatie dat een van uw computers is geïnfecteerd. - Normaal
Suspicious process termination burst (Er is een verdachte burst voor het beëindigen van processen gedetecteerd)
(VM_TaskkillBurst)
Analyse van hostgegevens duidt op een verdachte burst voor het beëindigen van processen op %{Machine Name}. Er zijn specifiek %{NumberOfCommands} processen beëindigd tussen %{Begin} en %{Ending}. Defense Evasion Beperkt
Suspicious Screensaver process executed (Verdacht proces van schermbeveiliging uitgevoerd)
(VM_SuspiciousScreenSaverExecution)
Er is vastgesteld dat het proces %{process name} is uitgevoerd vanaf een ongewone locatie. Bestanden met de extensie .scr zijn schermbeveiligingsbestanden en deze bevinden zich normaal gesproken in de systeemmap van Windows en worden van daaruit uitgevoerd. Defense Evasion, Execution Normaal
Suspicious SQL activity (Verdachte SQL-activiteit) Computerlogboeken geven aan dat %{process name} is uitgevoerd door account: %{user name}. Deze activiteit is ongebruikelijk met dit account. - Normaal
Suspicious SVCHOST process executed (Verdacht SVCHOST-proces uitgevoerd) Het systeemproces SVCHOST is uitgevoerd in een abnormale context. Malware maakt vaak gebruik van SVCHOST om schadelijke activiteiten te maskeren. - Hoog
Suspicious system process executed (Verdachte systeemprocessen uitgevoerd)
(VM_SystemProcessInAbnormalContext)
Het systeemproces %{process name} is uitgevoerd in een abnormale context. Malware maakt vaak gebruik van deze procesnaam om schadelijke activiteiten te maskeren. Defense Evasion, Execution Hoog
Verdachte activiteit voor Volume Shadow Copy Bij analyse van hostgegevens is een activiteit voor het verwijderen van een schaduwkopie op de resource gedetecteerd. Volume Shadow Copy (VSC) is een belangrijk artefact waarin momentopnamen van de gegevens worden opgeslagen. Sommige malware en met name ransomware richt zich op een VSC om back-upstrategieën te saboteren. - Hoog
Suspicious WindowPosition registry value detected (Verdachte WindowPosition-registerwaarde gedetecteerd) Bij analyse van hostgegevens op %{Compromised Host} is vastgesteld dat er een poging is gedaan om de configuratie van het WindowPosition-register te wijzigen, wat een indicatie kan zijn van het verbergen van toepassingsvensters in niet-zichtbare gedeelten van het bureaublad. Dit kan een legitieme activiteit zijn, maar ook een indicatie van een geïnfecteerde computer. Dit type activiteit is eerder gekoppeld aan bekende adware (of ongewenste software) zoals Win32/OneSystemCare en Win32/SystemHealer en aan malware zoals Win32/Creprote. Wanneer WindowPosition is ingesteld op 201329664, (Hex: 0x0c00 0c00, corresponderend met X-as = 0c00 en Y-as = 0c00), wordt het venster van de console-app in een niet-zichtbaar gedeelte van het scherm van de gebruiker geplaatst, in een gebied dat verborgen is onder het zichtbare menu Start of de taakbalk. Voorbeelden van bekende verdachte hexadecimale waarden zijn c000c000 - Beperkt
Suspiciously named process detected (Proces met verdachte naam gedetecteerd) Bij analyse van hostgegevens op %{Compromised Host} is een proces gedetecteerd waarvan de naam erg lijkt op die van een zeer vaak uitgevoerd proces (%{Similar To Process Name}). Hoewel dit proces onschadelijk kan zijn, is het bekend dat aanvallers zich soms op opzichtige wijze proberen te verstoppen door hun tools een naam te geven die lijkt op die van een legitiem proces. - Normaal
Unusual config reset in your virtual machine (Ongebruikelijke configuratie opnieuw instellen op uw virtuele machine)
(VM_VMAccessUnusualConfigReset)
Er is een ongebruikelijke nieuwe instelling van de configuratie op uw virtuele machine gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement.
Hoewel deze actie legitiem kan zijn, kunnen aanvallers proberen gebruik te maken van de extensie voor VM-toegang om de configuratie op uw virtuele machine opnieuw in te stellen en te misbruiken.
Toegang tot referenties Normaal
Ongebruikelijke verwijdering van aangepaste scriptextensie in uw virtuele machine
(VM_CustomScriptExtensionUnusualDeletion)
Er is een ongebruikelijke verwijdering van een aangepaste scriptextensie op uw virtuele machine gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement.
Aanvallers kunnen met behulp van aangepaste scriptextensies schadelijke code op uw virtuele machines uitvoeren via Azure Resource Manager.
Uitvoering Normaal
Unusual execution of custom script extension in your virtual machine (Ongebruikelijke uitvoering van aangepaste scriptextensie op uw virtuele machine)
(VM_CustomScriptExtensionUnusualExecution)
Er is een ongebruikelijke uitvoering van een aangepaste scriptextensie op uw virtuele machine gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement.
Aanvallers kunnen met behulp van aangepaste scriptextensies schadelijke code op uw virtuele machines uitvoeren via Azure Resource Manager.
Uitvoering Normaal
Unusual process execution detected (Ongebruikelijke procesuitvoering gedetecteerd) Bij analyse van hostgegevens op %{Compromised Host} is gedetecteerd dat %{User Name} een proces heeft uitgevoerd dat ongebruikelijk was. Accounts zoals %{User Name} kunnen vaak een beperkt aantal bewerkingen uitvoeren, maar deze uitvoering wordt gezien als afwijkend en kan verdacht zijn. - Hoog
Unusual user password reset in your virtual machine (Ongebruikelijke gebruikerswachtwoord opnieuw instellen op uw virtuele machine)
(VM_VMAccessUnusualPasswordReset)
Er is een ongebruikelijke nieuwe instelling van het gebruikerswachtwoord op uw virtuele machine gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement.
Hoewel deze actie legitiem kan zijn, kunnen aanvallers proberen gebruik te maken van de extensie voor VM-toegang om de referenties van een lokale gebruiker op uw virtuele machine opnieuw in te stellen en te misbruiken.
Toegang tot referenties Normaal
Unusual user SSH key reset in your virtual machine (Ongebruikelijke gebruikers-SSH-sleutel opnieuw instellen op uw virtuele machine)
(VM_VMAccessUnusualSSHReset)
Er is een ongebruikelijke nieuwe instelling van de SSH-sleutel van een gebruiker op uw virtuele machine gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement.
Hoewel deze actie legitiem kan zijn, kunnen aanvallers proberen gebruik te maken van de extensie voor VM-toegang om de SSH-sleutel van een gebruikersaccount op uw virtuele machine opnieuw in te stellen en te misbruiken.
Toegang tot referenties Normaal
VBScript HTTP object allocation detected (Toewijzing van VBScript HTTP-objecten gedetecteerd) Er is vastgesteld dat er een VBScript-bestand is gemaakt met behulp van een opdrachtregel. Het volgende script bevat een opdracht voor HTTP-objecttoewijzing. Deze actie kan worden gebruikt om schadelijke bestanden te downloaden. - Hoog
Windows registry persistence method detected (Persistentiemethode voor Windows-register gedetecteerd)
(VM_RegistryPersistencyKey)
Bij analyse van hostgegevens is een poging tot het persistent maken van een uitvoerbaar bestand in het Windows-register gedetecteerd. Deze techniek wordt vaak door malware gebruikt om een opstartsessie te overleven. Persistentie Beperkt

Waarschuwingen voor Linux-computers

Extra informatie en opmerkingen

Waarschuwing (waarschuwingstype) Beschrijving MITRE-tactieken
(Meer informatie)
Ernst
een geschiedenisbestand is geweerd Analyse van hostgegevens geeft aan dat het logboekbestand met de opdrachtgeschiedenis is gewist. Aanvallers kunnen dit doen om hun sporen te wissen. De bewerking is uitgevoerd door de gebruiker %{User name}. - Normaal
Access of htaccess file detected (Toegang tot htaccess-bestand gedetecteerd)
(VM_SuspectHtaccessFileAccess)
Bij analyse van hostgegevens op %{Compromised Host} is een mogelijke manipulatie van een htaccess-bestand gedetecteerd. Htaccess is een krachtig configuratiebestand waarmee u meerdere wijzigingen kunt aanbrengen in een webserver waarop de Apache-websoftware wordt uitgevoerd, waaronder basisfunctionaliteit voor omleiden of meer geavanceerde functies, zoals basiswachtwoordbeveiliging. Aanvallers passen htaccess-bestanden vaak aan op computers die ze hebben geïnfecteerd om persistentie te verkrijgen. Persistentie, verdedigingsontwijking, uitvoering Normaal
Uitsluiting van algemene antimalwarebestanden op uw virtuele machine
(VM_AmBroadFilesExclusion)
Uitsluiting van bestanden in de antimalware-extensie met een brede-uitsluitingsregel, is op uw virtuele machine gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement. Een dergelijke uitsluiting sluit de antimalwarebeveiliging nagenoeg uit.
Aanvallers kunnen bestanden van de antimalwarescan op uw virtuele machine uitsluiten om detectie te voorkomen bij het uitvoeren van willekeurige code of het infecteren van de computer met malware.
- Normaal
Antimalware is uitgeschakeld en code wordt uitgevoerd op uw virtuele machine
(VM_AmDisablementAndCodeExecution)
Antimalware wordt uitgeschakeld op het zelfde moment dat code op de virtuele machine wordt uitgevoerd. Dit is gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement.
Aanvallers schakelen antimalwarescanners uit om detectie te voorkomen bij het uitvoeren van niet-geverifieerde programma's of het infecteren van de computer met malware.
- Hoog
Antimalware is uitgeschakeld op uw virtuele machine
(VM_AmDisablement)
Antimalware uitgeschakeld op uw virtuele machine. Dit is gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement.
Aanvallers kunnen de antimalware op uw virtuele machine uitschakelen om detectie te voorkomen.
Defense Evasion Normaal
Uitsluiting van antimalwarebestand en code-uitvoering op uw virtuele machine
(VM_AmFileExclusionAndCodeExecution)
Bestand wordt uitgesloten van uw antimalwarescanner op hetzelfde moment dat code wordt uitgevoerd via een aangepaste scriptextensie op uw virtuele machine. Dit is gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement.
Aanvallers kunnen bestanden van de antimalwarescan op uw virtuele machine uitsluiten om detectie te voorkomen bij het uitvoeren van niet-geverifieerde programma's of het infecteren van de computer met malware.
Defense Evasion, Execution Hoog
Uitsluiting van antimalwarebestand en code-uitvoering op uw virtuele machine
(VM_AmTempFileExclusionAndCodeExecution)
Uitsluiting van bestanden in de antimalware-extensie met een brede-uitsluitingsregel, is op uw virtuele machine gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement.
Aanvallers kunnen bestanden van de antimalwarescan op uw virtuele machine uitsluiten om detectie te voorkomen bij het uitvoeren van willekeurige code of het infecteren van de computer met malware.
Defense Evasion, Execution Hoog
Uitsluiting van antimalwarebestand op uw virtuele machine
(VM_AmTempFileExclusion)
Bestand uitgesloten van uw antimalwarescanner op uw virtuele machine. Dit is gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement.
Aanvallers kunnen bestanden van de antimalwarescan op uw virtuele machine uitsluiten om detectie te voorkomen bij het uitvoeren van niet-geverifieerde programma's of het infecteren van de computer met malware.
Defense Evasion Normaal
Realtime-beveiliging tegen antimalware is uitgeschakeld op uw virtuele machine
(VM_AmRealtimeProtectionDisabled)
Uitschakeling van de bescherming in realtime door de antimalware-extensie is op uw virtuele machine gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement.
Aanvallers kunnen bescherming in realtime van de antimalwarescan op uw virtuele machine uitschakelen om detectie te voorkomen bij het uitvoeren van willekeurige code of het infecteren van de computer met malware.
Defense Evasion Normaal
Realtime-beveiliging tegen antimalware is tijdelijk uitgeschakeld op uw virtuele machine
(VM_AmTempRealtimeProtectionDisablement)
Tijdelijke uitschakeling van de bescherming in realtime door de antimalware-extensie is op uw virtuele machine gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement.
Aanvallers kunnen bescherming in realtime van de antimalwarescan op uw virtuele machine uitschakelen om detectie te voorkomen bij het uitvoeren van willekeurige code of het infecteren van de computer met malware.
Defense Evasion Normaal
Realtime-beveiliging tegen antimalware is tijdelijk uitgeschakeld terwijl code werd uitgevoerd op uw virtuele machine
(VM_AmRealtimeProtectionDisablementAndCodeExec)
Tijdelijke uitschakeling van bescherming in realtime door de antimalware-extensie terwijl een aangepaste scriptextensie werd uitgevoerd, is op uw virtuele machine gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement.
Aanvallers kunnen bescherming in realtime van de antimalwarescan op uw virtuele machine uitschakelen om detectie te voorkomen bij het uitvoeren van willekeurige code of het infecteren van de computer met malware.
- Hoog
Antimalwarescans die zijn geblokkeerd voor bestanden die mogelijk zijn gerelateerd aan malwarecampagnes op uw virtuele machine (preview)
(VM_AmMalwareCampaignRelatedExclusion)
Er is een uitsluitingsregel gedetecteerd in uw virtuele machine om te voorkomen dat uw antimalwareextensie bepaalde bestanden scant die vermoedelijk zijn gerelateerd aan een malwarecampagne. De regel is gedetecteerd door de bewerkingen Azure Resource Manager in uw abonnement te analyseren. Aanvallers kunnen bestanden uitsluiten van antimalwarescans om detectie te voorkomen tijdens het uitvoeren van willekeurige code of het infecteren van de computer met malware. Defense Evasion Normaal
Antimalware is tijdelijk uitgeschakeld op uw virtuele machine
(VM_AmTemporarilyDisablement)
Antimalware tijdelijk uitgeschakeld op de virtuele machine. Dit is gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement.
Aanvallers kunnen de antimalware op uw virtuele machine uitschakelen om detectie te voorkomen.
- Normaal
Antimalware ongebruikelijke bestandsuitsluiting op uw virtuele machine
(VM_UnusualAmFileExclusion)
Er is een ongebruikelijke uitsluiting van bestanden in de antimalware-extensie op uw virtuele machine gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement.
Aanvallers kunnen bestanden van de antimalwarescan op uw virtuele machine uitsluiten om detectie te voorkomen bij het uitvoeren van willekeurige code of het infecteren van de computer met malware.
Defense Evasion Normaal
Attempt to stop apt-daily-upgrade.timer service detected [seen multiple times] (Poging tot stoppen van service apt-daily-upgrade.timer gedetecteerd [meerdere keren gezien]) Bij analyse van hostgegevens op %{Compromised Host} is een poging gedetecteerd om de service apt-daily-upgrade.timer te stoppen. Bij recente aanvallen is geconstateerd dat aanvallers deze service stoppen om schadelijke bestanden te kunnen downloaden en uitvoeringsrechten te verlenen voor de aanval. Dit gedrag is [x] keer gezien vandaag op de volgende computers: [computernamen] - Beperkt
Attempt to stop apt-daily-upgrade.timer service detected (Poging tot stoppen van service apt-daily-upgrade.timer gedetecteerd)
(VM_TimerServiceDisabled)
Bij analyse van hostgegevens op %{Compromised Host} is een poging gedetecteerd om de service apt-daily-upgrade.timer te stoppen. Bij recente aanvallen is geconstateerd dat aanvallers deze service stoppen om schadelijke bestanden te kunnen downloaden en uitvoeringsrechten te verlenen voor de aanval. Defense Evasion Beperkt
Behavior similar to common Linux bots detected [seen multiple times] (Gedrag vergelijkbaar met gangbare Linux-bots gedetecteerd [meerdere keren gezien]) Bij analyse van hostgegevens op %{Compromised Host} is de uitvoering van een proces gedetecteerd dat normaal gesproken is gekoppeld aan gangbare Linux-botnets. Dit gedrag is [x] keer gezien vandaag op de volgende computers: [computernamen] - Normaal
Behavior similar to common Linux bots detected (Gedrag vergelijkbaar met gangbare Linux-bots gedetecteerd)
(VM_CommonBot)
Bij analyse van hostgegevens op %{Compromised Host} is de uitvoering van een proces gedetecteerd dat normaal gesproken is gekoppeld aan gangbare Linux-botnets. Uitvoering, verzameling, opdracht en beheer Normaal
Behavior similar to Fairware ransomware detected [seen multiple times] (Gedrag vergelijkbaar met Fairware-ransomware gedetecteerd [meerdere keren gezien]) Bij analyse van hostgegevens op %{Compromised Host} is vastgesteld dat rm -rf is uitgevoerd voor verdachte locaties. Aangezien bestanden recursief worden verwijderd met rm -rf, wordt de opdracht normaal gesproken gebruikt met discrete mappen. In dit geval is de opdracht gebruikt op een locatie waar veel gegevens kunnen worden verwijderd. Het is bekend dat Fairware-ransomware rm -rf-opdrachten uitvoert in deze map. Dit gedrag is [x] keer gezien vandaag op de volgende computers: [computernamen] - Normaal
Behavior similar to Fairware ransomware detected (Gedrag vergelijkbaar met Fairware-ransomware gedetecteerd)
(VM_FairwareMalware)
Bij analyse van hostgegevens op %{Compromised Host} is vastgesteld dat rm -rf is uitgevoerd voor verdachte locaties. Aangezien bestanden recursief worden verwijderd met rm -rf, wordt de opdracht normaal gesproken gebruikt met discrete mappen. In dit geval is de opdracht gebruikt op een locatie waar veel gegevens kunnen worden verwijderd. Het is bekend dat Fairware-ransomware rm -rf-opdrachten uitvoert in deze map. Uitvoering Normaal
Behavior similar to ransomware detected [seen multiple times] (Gedrag vergelijkbaar met ransomware gedetecteerd [meerdere keren gezien]) Bij analyse van hostgegevens op %{Compromised Host} is de uitvoering van bestanden gedetecteerd die lijken op bekende ransomware waarmee wordt voorkomen dat gebruikers toegang hebben tot hun systeem of persoonlijke bestanden en losgeld moet worden betaald om weer toegang te krijgen. Dit gedrag is [x] keer gezien vandaag op de volgende computers: [computernamen] - Hoog
Container with a miner image detected (Container met een miner-installatiekopie gedetecteerd)
(VM_MinerInContainerImage)
Computerlogboeken geven de uitvoering aan van een Docker-container met een afbeelding die is gekoppeld aan mining van digitale valuta. Uitvoering Hoog
Aangepaste scriptextensie met verdachte opdracht in uw virtuele machine
(VM_CustomScriptExtensionSuspiciousCmd)
Er is een aangepaste scriptextensie met verdachte opdracht op uw virtuele machine gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement.
Aanvallers kunnen met behulp van de aangepaste scriptextensie schadelijke code op uw virtuele machine uitvoeren via Azure Resource Manager.
Uitvoering Normaal
Aangepaste scriptextensie met verdacht toegangspunt in uw virtuele machine
(VM_CustomScriptExtensionSuspiciousEntryPoint)
Er is een aangepaste scriptextensie met verdacht invoerpunt op uw virtuele machine gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement. Het invoerpunt verwijst naar een verdachte GitHub-opslagplaats.
Aanvallers kunnen met behulp van aangepaste scriptextensies schadelijke code op uw virtuele machines uitvoeren via Azure Resource Manager.
Uitvoering Normaal
Aangepaste scriptextensie met verdachte nettolading in uw virtuele machine
(VM_CustomScriptExtensionSuspiciousPayload)
Er is een aangepaste scriptextensie met een payload van een verdachte GitHub-opslagplaats op uw virtuele machine gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement.
Aanvallers kunnen met behulp van aangepaste scriptextensies schadelijke code op uw virtuele machines uitvoeren via Azure Resource Manager.
Uitvoering Normaal
Detected anomalous mix of upper and lower case characters in command-line (Ongebruikelijke combinatie van hoofdletters en kleine letters gedetecteerd op opdrachtregel) Bij analyse van hostgegevens op %{Compromised Host} is een opdrachtregel gedetecteerd met een afwijkende mix van hoofdletters en kleine letters. Dit soort patroon is mogelijk onschadelijk, maar is tegelijk kenmerkend voor aanvallers die zich bij het uitvoeren van beheertaken op een aangetaste host proberen te beschermen tegen regels die kijken naar hoofdlettergebruik of het gebruik van hashes. - Normaal
Detected file download from a known malicious source [seen multiple times] (Download van bestand gedetecteerd van een bekende bron van schadelijke software [meerdere keren gezien])
(VM_SuspectDownload)
Analyse van hostgegevens heeft aangetoond dat er een bestand is gedownload van een bekende bron van schadelijke software op %{Compromised Host}. Dit gedrag is meer dan [x] keer gezien vandaag op de volgende computers: [computernamen] Escalatie, uitvoering van bevoegdheden, exfiltratie, opdracht en controle Normaal
Detected file download from a known malicious source (Download van bestand gedetecteerd van een bekende bron van schadelijke software) Analyse van hostgegevens heeft aangetoond dat er een bestand is gedownload van een bekende bron van schadelijke software op %{Compromised Host}. - Normaal
Detected persistence attempt [seen multiple times] (Poging tot persistent maken gedetecteerd [meerdere keren gezien]) Bij analyse van hostgegevens op %{Compromised Host} is de installatie van een opstartscript gedetecteerd voor de modus voor één gebruiker. Het komt zeer zelden voor dat een legitiem proces in die modus moet worden uitgevoerd. Dit kan er dan ook op wijzen dat een aanvaller een schadelijk proces heeft toegevoegd aan elk uitvoeringsniveau om persistentie te garanderen. Dit gedrag is [x] keer gezien vandaag op de volgende computers: [computernamen] - Normaal
Detected persistence attempt (Poging tot persistent maken gedetecteerd)
(VM_NewSingleUserModeStartupScript)
Analyse van hostgegevens heeft aangetoond dat er een opstartscript voor de modus voor één gebruiker is geïnstalleerd.
Aangezien het zelden voorkomt dat een legitiem proces in die modus moet worden uitgevoerd, kan dit erop wijzen dat een aanvaller een schadelijk proces heeft toegevoegd aan elk uitvoeringsniveau om persistentie te garanderen.
Persistentie Normaal
Detected suspicious file download [seen multiple times] (Verdachte download van bestand gedetecteerd [meerdere malen gezien]) Bij analyse van hostgegevens is een verdachte download van een extern bestand gedetecteerd op %{Compromised Host}. Dit gedrag is 10 keer gezien vandaag op de volgende computers: [computernamen] - Beperkt
Detected suspicious file download (Downloaden van verdacht bestand gedetecteerd)
(VM_SuspectDownloadArtifacts)
Bij analyse van hostgegevens is een verdachte download van een extern bestand gedetecteerd op %{Compromised Host}. Persistentie Beperkt
Detected suspicious network activity (Verdachte netwerkactiviteit gedetecteerd) Bij analyse van netwerkverkeer vanaf %{Compromised Host} is verdachte netwerkactiviteit gedetecteerd. Hoewel dit verkeer onschadelijk kan zijn, wordt het ook vaak door aanvallers gebruikt om te communiceren met kwaadwillende servers voor het downloaden van tools, command-and-control en exfiltratie van gegevens. Veelvoorkomende gerelateerde activiteiten van aanvallers zijn het kopiëren van tools voor extern beheer naar een geïnfecteerde host en het exfiltreren van gebruikersgegevens van de host. - Beperkt
Detected suspicious use of the useradd command [seen multiple times] (Verdacht gebruik van de opdracht useradd gedetecteerd [meerdere keren gezien]) Bij analyse van hostgegevens is een verdacht gebruik van de opdracht useradd gedetecteerd op %{Compromised Host}. Dit gedrag is [x] keer gezien vandaag op de volgende computers: [computernamen] - Normaal
Detected suspicious use of the useradd command (Verdacht gebruik van de opdracht useradd gedetecteerd)
(VM_SuspectUserAddition)
Bij analyse van hostgegevens is een verdacht gebruik van de opdracht useradd gedetecteerd op %{Compromised Host}. Persistentie Normaal
Digital currency mining related behavior detected (Gedrag gedetecteerd dat is gerelateerd aan mining van digitale valuta) Bij analyse van hostgegevens op %{Compromised Host} is de uitvoering van een proces of opdracht gedetecteerd die normaal gesproken is gekoppeld aan mining van digitale valuta. - Hoog
Disabling of auditd logging [seen multiple times] (Registratie van auditlogboek uitschakelen [meerdere keren gezien]) Het auditsysteem van Linux biedt een manier om relevante informatie over beveiliging bij te houden op het systeem. Het systeem registreert zoveel mogelijk informatie over de gebeurtenissen die zich op uw systeem voordoen. Het uitschakelen van het auditlogboek kan tot gevolg hebben dat schendingen van het beveiligingsbeleid op het systeem niet worden gedetecteerd. Dit gedrag is [x] keer gezien vandaag op de volgende computers: [computernamen] - Beperkt
Docker-buildbewerking gedetecteerd op een Kubernetes-knooppunt
(VM_ImageBuildOnNode)
Computerlogboeken geven een buildbewerking aan van een containerafbeelding op een Kubernetes-knooppunt. Hoewel dit gedrag legitiem kan zijn, kunnen aanvallers hun schadelijke afbeeldingen lokaal bouwen om detectie te voorkomen. Defense Evasion Beperkt
Executable found running from a suspicious location (Uitvoerbaar bestand gevonden dat wordt uitgevoerd vanaf een verdachte locatie)
(VM_SuspectExecutablePath)
Bij analyse van hostgegevens is een uitvoerbaar bestand op %{Compromised Host} gedetecteerd dat wordt uitgevoerd vanaf een locatie die vaker wordt gebruikt voor verdachte bestanden. Dit kan een legitieme activiteit zijn, maar ook een indicatie van een geïnfecteerde host. Uitvoering Hoog
Exploitation of Xorg vulnerability [seen multiple times] (Misbruik van Xorg-beveiligingsprobleem [meerdere keren gezien]) Bij analyse van hostgegevens op %{Compromised Host} is voor de gebruiker van Xorg vastgesteld dat deze verdachte argumenten gebruikt. Aanvallers kunnen deze techniek gebruiken bij pogingen om bevoegdheden te verhogen. Dit gedrag is [x] keer gezien vandaag op de volgende computers: [computernamen] - Normaal
Docker-daemon blootgesteld aan TCP-socket
(VM_ExposedDocker)
Computerlogboeken geven aan dat uw Docker-daemon (dockerd) een TCP-socket weergeeft. De Docker-configuratie gebruikt standaard geen versleuteling of verificatie wanneer een TCP-socket wordt ingeschakeld. Dit biedt volledige toegang tot de Docker-daemon door iedereen die toegang heeft tot de relevante poort. Uitvoering, exploitatie Normaal
Failed SSH brute force attack (Mislukte Brute Force-aanval via SSH)
(VM_SshBruteForceFailed)
Er zijn mislukte Brute Force-aanvallen gedetecteerd van de volgende aanvallers: %{Attackers}. Aanvallers hebben geprobeerd om met de volgende gebruikersnamen toegang te krijgen tot de host: %{Accounts used on failed sign in to host attempts}. Scannen Normaal
Fileless Attack Behavior Detected (Gedrag gedetecteerd dat wijst op bestandsloze aanvallen)
(VM_FilelessAttackBehavior.Linux)
Het geheugen van het hieronder vermelde proces bevat gedragingen die veel worden gebruikt bij bestandsloze aanvallen.
Enkele voorbeelden van specifiek gedrag: {lijst van waargenomen gedrag}
Uitvoering Beperkt
Fileless Attack Technique Detected (Bestandsloze aanvallen gedetecteerd)
(VM_FilelessAttackTechnique.Linux)
Het geheugen van het hieronder aangegeven proces bevat bewijs van bestandsloze aanvallen. Bestandsloze aanvallen worden gebruikt door aanvallers om code uit te voeren terwijl ze detectie door beveiligingssoftware omzeilen.
Enkele voorbeelden van specifiek gedrag: {lijst van waargenomen gedrag}
Uitvoering Hoog
Fileless Attack Toolkit Detected (Toolkit voor bestandsloze aanvallen gedetecteerd)
(VM_FilelessAttackToolkit.Linux)
Het geheugen van het hieronder vermelde proces bevat een toolkit voor bestandsloze aanvallen: {naam van toolkit}. Toolkits voor bestandsloze aanvallen zijn meestal niet aanwezig in het bestandssysteem waardoor ze lastig kunnen worden gedetecteerd door traditionele antivirussoftware.
Enkele voorbeelden van specifiek gedrag: {lijst van waargenomen gedrag}
Defense Evasion, Execution Hoog
Hidden file execution detected (Uitvoering van verborgen bestand gedetecteerd) Analyse van hostgegevens heeft aangetoond dat een verborgen bestand is uitgevoerd door %{user name}. Dit kan een legitieme activiteit zijn, maar ook een indicatie van een geïnfecteerde host. - Informatief
Indicators associated with DDOS toolkit detected [seen multiple times] (Indicatoren die zijn gekoppeld aan DDOS-toolkit gedetecteerd [meerdere keren gezien]) Bij analyse van hostgegevens op %{Compromised Host} zijn bestandsnamen gedetecteerde die deel uitmaken van een toolkit die bekend is van malware die DDoS-aanvallen kan starten, poorten en services kan openen, en volledige controle over het geïnfecteerde systeem kan overnemen. Dit kan overigens ook een legitieme activiteit zijn. Dit gedrag is [x] keer gezien vandaag op de volgende computers: [computernamen] - Normaal
Indicators associated with DDOS toolkit detected (Indicatoren die zijn gekoppeld aan DDOS-toolkit gedetecteerd)
(VM_KnownLinuxDDoSToolkit)
Bij analyse van hostgegevens op %{Compromised Host} zijn bestandsnamen gedetecteerde die deel uitmaken van een toolkit die bekend is van malware die DDoS-aanvallen kan starten, poorten en services kan openen, en volledige controle over het geïnfecteerde systeem kan overnemen. Dit kan overigens ook een legitieme activiteit zijn. Persistentie, Lateral Movement, Execution, Exploitation Normaal
Local host reconnaissance detected [seen multiple times] (Verkenning van lokale host gedetecteerd [meerdere keren gezien]) Bij analyse van hostgegevens op %{Compromised Host} is de uitvoering van een opdracht gedetecteerd die normaal gesproken is gekoppeld aan verkenning door gangbare Linux-bots. Dit gedrag is [x] keer gezien vandaag op de volgende computers: [computernamen] - Normaal
Local host reconnaissance detected (Verkenning van lokale host gedetecteerd)
(VM_LinuxReconnaissance)
Bij analyse van hostgegevens op %{Compromised Host} is de uitvoering van een opdracht gedetecteerd die normaal gesproken is gekoppeld aan verkenning door gangbare Linux-bots. Detectie Normaal
Manipulation of host firewall detected [seen multiple times] (Manipulatie van hostfirewall gedetecteerd [meerdere keren gezien])
(VM_FirewallDisabled)
Bij analyse van hostgegevens op %{Compromised Host} is een mogelijke manipulatie van de firewall op de host gedetecteerd. Aanvallers schakelen deze vaak uit om gegevens te exfiltreren. Dit gedrag is [x] keer gezien vandaag op de volgende computers: [computernamen] Defense Evasion, Exfiltration Normaal
Manipulation of host firewall detected (Manipulatie van hostfirewall gedetecteerd) Bij analyse van hostgegevens op %{Compromised Host} is een mogelijke manipulatie van de firewall op de host gedetecteerd. Aanvallers schakelen deze vaak uit om gegevens te exfiltreren. - Normaal
MITRE Caldera agent detected (MITRE Caldera-agent gedetecteerd)
(VM_MitreCalderaTools)
Computerlogboeken geven aan dat het verdachte proces '%{Suspicious Process}' werd uitgevoerd op %{Compromised Host}. Dit is vaak gekoppeld aan de MITRE 54ndc47-agent, die kan worden misbruikt om andere computers op een of andere manier aan te vallen. Alles Normaal
New SSH key added [seen multiple times] (Nieuwe SSH-sleutel toegevoegd [meerdere keren gezien])
(VM_SshKeyAddition)
Er is een nieuwe SSH-sleutel toegevoegd aan het bestand met geautoriseerde sleutels. Dit gedrag is [x] keer gezien vandaag op de volgende computers: [computernamen] Persistentie Beperkt
New SSH key added (Nieuwe SSH-sleutel toegevoegd) Er is een nieuwe SSH-sleutel toegevoegd aan het bestand met geautoriseerde sleutels. - Beperkt
Possible attack tool detected [seen multiple times] (Mogelijk programma voor aanvallen gedetecteerd [meerdere keren gezien]) Computerlogboeken geven aan dat het verdachte proces '%{Suspicious Process}' werd uitgevoerd op %{Compromised Host}. Dit programma is vaak gekoppeld aan kwaadwillende gebruikers die op een of andere manier aanvallen doen op andere computers. Dit gedrag is [x] keer gezien vandaag op de volgende computers: [computernamen] - Normaal
Possible attack tool detected (Mogelijk programma voor aanvallen gedetecteerd)
(VM_KnownLinuxAttackTool)
Computerlogboeken geven aan dat het verdachte proces '%{Suspicious Process}' werd uitgevoerd op %{Compromised Host}. Dit programma is vaak gekoppeld aan kwaadwillende gebruikers die op een of andere manier aanvallen doen op andere computers. Uitvoering, verzameling, opdracht en controle, probing Normaal
Possible backdoor detected [seen multiple times] (Mogelijke achterdeur gedetecteerd [meerdere keren gezien]) Bij analyse van hostgegevens is vastgesteld dat een verdacht bestand is gedownload en vervolgens is uitgevoerd op %{Compromised Host} in uw abonnement. Deze activiteit is eerder gekoppeld aan de installatie van een achterdeur. Dit gedrag is [x] keer gezien vandaag op de volgende computers: [computernamen] - Normaal
Possible credential access tool detected [seen multiple times] (Mogelijk programma voor verkrijgen van toegang tot referenties gedetecteerd [meerdere malen gezien]) Computerlogboeken geven aan dat een mogelijk bekend programma voor het verkrijgen van toegang tot referenties is uitgevoerd op %{Compromised Host}, gestart door het proces '%{Suspicious Process}'. Dit programma is vaak gekoppeld aan een aanvaller die toegang probeert te krijgen tot referenties. Dit gedrag is [x] keer gezien vandaag op de volgende computers: [computernamen] - Normaal
Possible credential access tool detected (Mogelijk programma voor verkrijgen van toegang tot referenties gedetecteerd)
(VM_KnownLinuxCredentialAccessTool)
Computerlogboeken geven aan dat een mogelijk bekend programma voor het verkrijgen van toegang tot referenties is uitgevoerd op %{Compromised Host}, gestart door het proces '%{Suspicious Process}'. Dit programma is vaak gekoppeld aan een aanvaller die toegang probeert te krijgen tot referenties. Toegang tot referenties Normaal
Possible exploitation of Hadoop Yarn (Mogelijke exploitatie van Hadoop Yarn)
(VM_HadoopYarnExploit)
Bij analyse van hostgegevens op %{Compromised Host} is de mogelijke exploitatie van de Hadoop Yarn-service gedetecteerd. Misbruik Normaal
Possible exploitation of the mailserver detected (Mogelijke exploitatie van de mailserver gedetecteerd)
(VM_MailserverExploitation )
Bij analyse van hostgegevens op %{Compromised Host} is een ongebruikelijke uitvoering namens het mailserveraccount gedetecteerd Misbruik Normaal
Possible Log Tampering Activity Detected [seen multiple times] (Mogelijke manipulatie van logboek gedetecteerd [meerdere keren gezien]) Bij analyse van hostgegevens op %{Compromised Host} is vastgesteld dat er mogelijk bestanden zijn verwijderd die de activiteiten van een gebruiker bijhouden tijdens de uitvoering van die activiteiten. Aanvallers proberen vaak detectie te omzeilen en laten geen sporen achter van schadelijke activiteiten door dergelijke logboekbestanden te verwijderen. Dit gedrag is [x] keer gezien vandaag op de volgende computers: [computernamen] - Normaal
Possible Log Tampering Activity Detected (Mogelijke manipulatie van logboek gedetecteerd)
(VM_SystemLogRemoval)
Bij analyse van hostgegevens op %{Compromised Host} is vastgesteld dat er mogelijk bestanden zijn verwijderd die de activiteiten van een gebruiker bijhouden tijdens de uitvoering van die activiteiten. Aanvallers proberen vaak detectie te omzeilen en laten geen sporen achter van schadelijke activiteiten door dergelijke logboekbestanden te verwijderen. Defense Evasion Normaal
Possible loss of data detected [seen multiple times] (Mogelijk gegevensverlies gedetecteerd [meerdere keren gezien]) Bij analyse van hostgegevens op %{Compromised Host} is mogelijk vastgesteld dat gegevens de host verlaten. Aanvallers verplaatsen vaak gegevens van computers die ze hebben geïnfecteerd. Dit gedrag is [x] keer gezien vandaag op de volgende computers: [computernamen] - Normaal
Possible loss of data detected (Mogelijk verlies van gegevens gedetecteerd)
(VM_DataEgressArtifacts)
Bij analyse van hostgegevens op %{Compromised Host} is mogelijk vastgesteld dat gegevens de host verlaten. Aanvallers verplaatsen vaak gegevens van computers die ze hebben geïnfecteerd. Verzameling, exfiltratie Normaal
Possible malicious web shell detected [seen multiple times] (Mogelijk schadelijke webshell gedetecteerd [meerdere keren gezien])
(VM_Webshell)
Bij analyse van hostgegevens op %{Compromised Host} is een mogelijk schadelijke webshell vastgesteld. Aanvallers uploaden vaak een webshell naar een computer die ze hebben geïnfecteerd om persistentie te verkrijgen of voor verdere exploitatie. Dit gedrag is [x] keer gezien vandaag op de volgende computers: [computernamen] Persistentie, exploitatie Normaal
Possible malicious web shell detected (Mogelijk schadelijke webshell gedetecteerd) Bij analyse van hostgegevens op %{Compromised Host} is een mogelijk schadelijke webshell vastgesteld. Aanvallers uploaden vaak een webshell naar een computer die ze hebben geïnfecteerd om persistentie te verkrijgen of voor verdere exploitatie. - Normaal
Possible password change using crypt-method detected [seen multiple times] (Mogelijke wachtwoordwijziging met behulp van crypt-methode gedetecteerd [meerdere keren gezien]) Bij analyse van hostgegevens op %{Compromised Host} is vastgesteld dat een wachtwoord is gewijzigd met behulp van de crypt-methode. Aanvallers kunnen deze wijziging aanbrengen om de toegang te behouden en persistent te maken na infectie. Dit gedrag is [x] keer gezien vandaag op de volgende computers: [computernamen] - Normaal
Potential overriding of common files [seen multiple times] (Mogelijke overschrijving van veelvoorkomende bestanden [meerdere malen gezien]) Bij analyse van hostgegevens is vastgesteld dat gemeenschappelijke uitvoerbare bestanden worden overschreven op %{Compromised Host}. Aanvallers overschrijven gemeenschappelijke bestanden om hun acties te verbergen of om persistentie te verkrijgen. Dit gedrag is [x] keer gezien vandaag op de volgende computers: [computernamen] - Normaal
Potential overriding of common files (Mogelijke overschrijving van veelvoorkomende bestanden)
(VM_OverridingCommonFiles)
Bij analyse van hostgegevens is vastgesteld dat gemeenschappelijke uitvoerbare bestanden worden overschreven op %{Compromised Host}. Aanvallers overschrijven gemeenschappelijke bestanden om hun acties te verbergen of om persistentie te verkrijgen. Persistentie Normaal
Potential port forwarding to external IP address [seen multiple times] (Mogelijke poortomleiding naar extern IP-adres [meerdere keren gezien]) Bij analyse van hostgegevens op %{Compromised Host} is initiëring van poortomleiding naar een extern IP-adres gedetecteerd. Dit gedrag is [x] keer gezien vandaag op de volgende computers: [computernamen] - Normaal
Potential port forwarding to external IP address (Mogelijke poortomleiding naar extern IP-adres)
(VM_SuspectPortForwarding)
Bij analyse van hostgegevens is initiëring van poortomleiding naar een extern IP-adres gedetecteerd. Exfiltratie, opdracht en controle Normaal
Potential reverse shell detected [seen multiple times] (Mogelijke reverse shell gedetecteerd [meerdere keren gezien]) Bij analyse van hostgegevens op %{Compromised Host} is een mogelijke reverse shell vastgesteld. Deze worden gebruikt om een geïnfecteerde computer te laten terugbellen naar een computer die het eigendom is van de aanvaller. Dit gedrag is [x] keer gezien vandaag op de volgende computers: [computernamen] - Normaal
Potential reverse shell detected (Mogelijke reverse shell gedetecteerd)
(VM_ReverseShell)
Bij analyse van hostgegevens op %{Compromised Host} is een mogelijke reverse shell vastgesteld. Deze worden gebruikt om een geïnfecteerde computer te laten terugbellen naar een computer die het eigendom is van de aanvaller. Exfiltration, Exploitation Normaal
Privileged command run in container (Geprivilegieerde opdracht uitgevoerd in container)
(VM_PrivilegedExecutionInContainer)
Computerlogboeken geven aan dat er een geprivilegieerde opdracht is uitgevoerd in een Docker-container. Een geprivilegieerde opdracht heeft uitgebreide bevoegdheden op de hostcomputer. Escalatie van bevoegdheden Beperkt
Privileged Container Detected (Geprivilegieerde container gedetecteerd)
(VM_PrivilegedContainerArtifacts)
Computerlogboeken geven aan dat er een geprivilegieerde Docker-container wordt uitgevoerd. Een geprivilegieerde container heeft volledige toegang tot de resources van de host. Als er sprake is van een aanval, kan een aanvaller de geprivilegieerde container gebruiken om toegang te krijgen tot de hostcomputer. Escalatie van bevoegdheden, uitvoering Beperkt
Process associated with digital currency mining detected [seen multiple times] (Proces dat is gekoppeld aan mining van digitale valuta gedetecteerd [meerdere keren gezien]) Bij analyse van hostgegevens op %{Compromised Host} is de uitvoering van een proces gedetecteerd dat normaal gesproken is gekoppeld aan mining van digitale valuta. Dit gedrag is meer dan 100 keer gezien vandaag op de volgende computers: [computernamen] - Normaal
Process associated with digital currency mining detected (Proces dat is gekoppeld aan mining van digitale valuta gedetecteerd) Bij analyse van hostgegevens is de uitvoering van een proces gedetecteerd dat normaal gesproken is gekoppeld aan mining van digitale valuta. Exploitatie, uitvoering Normaal
Process seen accessing the SSH authorized keys file in an unusual way (Proces heeft op een ongebruikelijke manier toegang tot bestand met SSH-geautoriseerde sleutels)
(VM_SshKeyAccess)
Een bestand met SSH-geautoriseerde sleutels is geopend op een manier die vergelijkbaar is met bekende malwarecampagnes. Deze toegang kan erop wijzen dat een aanvaller permanente toegang tot een computer probeert te krijgen. - Beperkt
Python encoded downloader detected [seen multiple times] (Door Python gecodeerde downloader gedetecteerd [meerdere keren gezien]) Bij analyse van hostgegevens op %{Compromised Host} is de uitvoering van gecodeerde Python gedetecteerd waarmee code vanaf een externe locatie kan worden gedownload en uitgevoerd. Dit kan duiden op schadelijke activiteiten. Dit gedrag is [x] keer gezien vandaag op de volgende computers: [computernamen] - Beperkt
Screenshot taken on host [seen multiple times] (Schermopname gemaakt op host meerdere keren gezien) Bij analyse van hostgegevens op %{Compromised Host} is een gebruiker van een programma voor het maken van schermopnamen gedetecteerd. Aanvallers kunnen deze programma's gebruiken om toegang te krijgen tot persoonlijke gegevens. Dit gedrag is [x] keer gezien vandaag op de volgende computers: [computernamen] - Beperkt
Script extension mismatch detected [seen multiple times] (Niet-overeenkomende scriptextensies gedetecteerd [meerdere keren gezien]) Bij analyse van hostgegevens op %{Compromised Host} is vastgesteld dat de script-interpreter niet overeenkomt met de extensie van het scriptbestand dat is opgegeven als invoer. Dit is vaak gekoppeld aan de uitvoering van een script van aanvallers. Dit gedrag is [x] keer gezien vandaag op de volgende computers: [computernamen] - Normaal
Script extension mismatch detected (Niet-overeenkomende scriptextensies gedetecteerd)
(VM_MismatchedScriptFeatures)
Bij analyse van hostgegevens op %{Compromised Host} is vastgesteld dat de script-interpreter niet overeenkomt met de extensie van het scriptbestand dat is opgegeven als invoer. Dit is vaak gekoppeld aan de uitvoering van een script van aanvallers. Defense Evasion Normaal
Shellcode detected [seen multiple times] (Shellcode gedetecteerd [meerdere keren gezien]) Bij analyse van hostgegevens op %{Compromised Host} is vastgesteld dat er shellcode wordt gegenereerd vanaf de opdrachtregel. Dit proces kan een legitieme activiteit zijn, maar ook een indicatie dat een van uw computers is geïnfecteerd. Dit gedrag is [x] keer gezien vandaag op de volgende computers: [computernamen] - Normaal
SSH server is running inside a container (SSH-server wordt uitgevoerd in een container)
(VM_ContainerSSH)
Computerlogboeken geven aan dat een SSH-server wordt uitgevoerd in een Docker-container. Hoewel dit gedrag opzettelijk kan zijn, geeft dit vaak aan dat een container onjuist is geconfigureerd of wordt geschonden. Uitvoering Normaal
Successful SSH brute force attack (Geslaagde Brute Force-aanval via SSH)
(VM_SshBruteForceSuccess)
Bij analyse van hostgegevens is een geslaagde Brute Force-aanval gedetecteerd. Er is vastgesteld dat er met het IP-adres %{Attacker source IP} meerdere aanmeldingspogingen zijn gedaan. Er zijn geslaagde aanmeldingen vanaf dat IP-adres gedaan met de volgende gebruiker(s): %{Accounts used to successfully sign in to host}. Dit betekent dat de host mogelijk is geïnfecteerd en wordt beheerd door een schadelijke actor. Misbruik Hoog
Suspicious Account Creation Detected (Nieuw verdacht account gedetecteerd) Bij analyse van hostgegevens op %{Compromised Host} is het maken of gebruiken van een lokaal account%{Suspicious account name} gedetecteerd. Deze accountnaam lijkt sterk op de naam van een standaard Windows-account of groepsnaam %{Similar To Account Name}. Dit is mogelijk een frauduleus account dat door een aanvaller is gemaakt en dat die naam heeft gekregen om te voorkomen dat het door een beheerder wordt opgemerkt. - Normaal
Suspicious compilation detected [seen multiple times] (Verdachte compilatie gedetecteerd [meerdere keren gezien]) Bij analyse van hostgegevens op %{Compromised Host} is verdachte compilatie vastgesteld. Aanvallers compileren vaak aanvallen op een computer die ze hebben geïnfecteerd om bevoegdheden te verhogen. Dit gedrag is [x] keer gezien vandaag op de volgende computers: [computernamen] - Normaal
Suspicious compilation detected (Verdachte compilatie gedetecteerd)
(VM_SuspectCompilation)
Bij analyse van hostgegevens op %{Compromised Host} is verdachte compilatie vastgesteld. Aanvallers compileren vaak aanvallen op een computer die ze hebben geïnfecteerd om bevoegdheden te verhogen. Escalatie van bevoegdheden, misbruik Normaal
Suspicious failed execution of custom script extension in your virtual machine (Verdachte mislukte uitvoering van aangepaste scriptextensie op uw virtuele machine)
(VM_CustomScriptExtensionSuspiciousFailure)
Er is een verdachte fout van een aangepaste scriptextensie op uw virtuele machine gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement.
Dergelijke fouten kunnen in verband staan met schadelijke scripts die door deze extensie worden uitgevoerd.
Uitvoering Normaal
Suspicious kernel module detected [seen multiple times] (Verdachte kernelmodule gedetecteerd [meerdere keren gezien]) Bij analyse van hostgegevens op %{Compromised Host} is vastgesteld dat een gedeeld objectbestand gedetecteerd is geladen als een kernelmodule. Dit kan een legitieme activiteit zijn, maar ook een indicatie dat een van uw computers is geïnfecteerd. Dit gedrag is [x] keer gezien vandaag op de volgende computers: [computernamen] - Normaal
Suspicious password access [seen multiple times] (Verdachte wachtwoordtoegang [meerdere malen gezien]) Bij analyse van hostgegevens is verdachte toegang gedetecteerd tot versleutelde gebruikerswachtwoorden op %{Compromised Host}. Dit gedrag is [x] keer gezien vandaag op de volgende computers: [computernamen] - Informatief
Suspicious password access (Verdachte wachtwoordtoegang) Bij analyse van hostgegevens is verdachte toegang gedetecteerd tot versleutelde gebruikerswachtwoorden op %{Compromised Host}. - Informatief
Suspicious PHP execution detected (Verdachte PHP-uitvoering gedetecteerd)
(VM_SuspectPhp)
Computerlogboeken geven aan dat er een verdacht PHP-proces wordt uitgevoerd. De actie omvat een poging om opdrachten van het besturingssysteem of PHP-code uit te voeren vanaf de opdracht regel met behulp van het PHP-proces. Hoewel dit gedrag legitiem kan zijn, wordt dit gedrag in webtoepassingen ook waargenomen in schadelijke activiteiten, zoals pogingen om websites te infecteren met webshells. Uitvoering Normaal
Suspicious request to Kubernetes API (Verdachte aanvraag voor Kubernetes-API)
(VM_KubernetesAPI)
Computerlogboeken geven aan dat er een verdachte aanvraag is verstuurd naar de Kubernetes-API. De aanvraag is verzonden vanaf een Kubernetes-knooppunt, mogelijk vanuit een van de containers die op het knooppunt worden uitgevoerd. Hoewel dit gedrag opzettelijk kan zijn, kan dit erop wijzen dat op het knooppunt een geïnfecteerde container wordt uitgevoerd. Uitvoering Normaal
Suspicious request to the Kubernetes Dashboard (Verdachte aanvraag naar Kubernetes-dashboard)
(VM_KubernetesDashboard)
Computerlogboeken geven aan dat er een verdachte aanvraag is verstuurd naar het Kubernetes-dashboard. De aanvraag is verzonden vanaf een Kubernetes-knooppunt, mogelijk vanuit een van de containers die op het knooppunt worden uitgevoerd. Hoewel dit gedrag opzettelijk kan zijn, kan dit erop wijzen dat op het knooppunt een geïnfecteerde container wordt uitgevoerd. Zijwaartse beweging Normaal
Unusual config reset in your virtual machine (Ongebruikelijke configuratie opnieuw instellen in uw virtuele machine)
(VM_VMAccessUnusualConfigReset)
Er is een ongebruikelijke nieuwe instelling van de configuratie op uw virtuele machine gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement.
Hoewel deze actie legitiem kan zijn, kunnen aanvallers proberen gebruik te maken van de extensie voor VM-toegang om de configuratie op uw virtuele machine opnieuw in te stellen en te misbruiken.
Toegang tot referenties Normaal
Ongebruikelijke verwijdering van aangepaste scriptextensie in uw virtuele machine
(VM_CustomScriptExtensionUnusualDeletion)
Er is een ongebruikelijke verwijdering van een aangepaste scriptextensie op uw virtuele machine gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement.
Aanvallers kunnen met behulp van aangepaste scriptextensies schadelijke code op uw virtuele machines uitvoeren via Azure Resource Manager.
Uitvoering Normaal
Unusual execution of custom script extension in your virtual machine (Ongebruikelijke uitvoering van aangepaste scriptextensie op uw virtuele machine)
(VM_CustomScriptExtensionUnusualExecution)
Er is een ongebruikelijke uitvoering van een aangepaste scriptextensie op uw virtuele machine gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement.
Aanvallers kunnen met behulp van aangepaste scriptextensies schadelijke code op uw virtuele machines uitvoeren via Azure Resource Manager.
Uitvoering Normaal
Unusual user password reset in your virtual machine (Ongebruikelijke gebruikerswachtwoord opnieuw instellen op uw virtuele machine)
(VM_VMAccessUnusualPasswordReset)
Er is een ongebruikelijke nieuwe instelling van het gebruikerswachtwoord op uw virtuele machine gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement.
Hoewel deze actie legitiem kan zijn, kunnen aanvallers proberen gebruik te maken van de extensie voor VM-toegang om de referenties van een lokale gebruiker op uw virtuele machine opnieuw in te stellen en te misbruiken.
Toegang tot referenties Normaal
Unusual user SSH key reset in your virtual machine (Ongebruikelijke gebruikers-SSH-sleutel opnieuw instellen op uw virtuele machine)
(VM_VMAccessUnusualSSHReset)
Er is een ongebruikelijke nieuwe instelling van de SSH-sleutel van een gebruiker op uw virtuele machine gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement.
Hoewel deze actie legitiem kan zijn, kunnen aanvallers proberen gebruik te maken van de extensie voor VM-toegang om de SSH-sleutel van een gebruikersaccount op uw virtuele machine opnieuw in te stellen en te misbruiken.
Toegang tot referenties Normaal

Waarschuwingen voor Azure App Service

Extra informatie en opmerkingen

Waarschuwing (waarschuwingstype) Beschrijving MITRE-tactieken
(Meer informatie)
Ernst
An attempt to run Linux commands on a Windows App Service (Een poging om Linux-opdrachten uit te voeren op een Windows App Service)
(AppServices_LinuxCommandOnWindows)
Bij analyse van App Service-processen is een poging tot het uitvoeren van een Linux-opdracht op een Windows App Service gedetecteerd. Deze actie is uitgevoerd door de webtoepassing. Dit gedrag wordt vaak gezien tijdens campagnes die misbruik maken van een beveiligingslek in een gemeenschappelijke webtoepassing.
(Van toepassing op: App Service op Windows)
- Normaal
An IP that connected to your Azure App Service FTP Interface was found in Threat Intelligence (In bedreigingsinformatie is een IP-adres gevonden dat is verbonden met uw Azure App Service FTP-interface)
(AppServices_IncomingTiClientIpFtp)
Het FTP-logboek van Azure App Service geeft aan dat er een verbinding is gedetecteerd vanaf een bronadres dat is gevonden in de feed met bedreigingsinformatie. Tijdens deze verbinding heeft een gebruiker toegang gehad tot de vermelde pagina's.
(Van toepassing op: App Service op Windows en App Service op Linux)
Initial Access Normaal
Attempt to run high privilege command detected (Poging tot het uitvoeren van een opdracht met hoge bevoegdheden gedetecteerd)
(AppServices_HighPrivilegeCommand)
Bij analyse van App Service-processen is een poging gedetecteerd tot het uitvoeren van een opdracht waarvoor hoge bevoegdheden vereist zijn.
De opdracht is uitgevoerd in de context van de webtoepassing. Hoewel dit gedrag legitiem kan zijn, kan het in webtoepassingen duiden op schadelijke activiteiten.
(Van toepassing op: App Service op Windows)
- Normaal
Microsoft Defender for Cloud-testwaarschuwing voor App Service (geen bedreiging)
(AppServices_EICAR)
Dit is een testwaarschuwing die is gegenereerd door Microsoft Defender for Cloud. U hoeft geen verdere actie te ondernemen.
(Van toepassing op: App Service op Windows en App Service op Linux)
- Hoog
Connection to web page from anomalous IP address detected (Verbinding met webpagina vanaf afwijkend IP-adres gedetecteerd)
(AppServices_AnomalousPageAccess)
Azure App Service activiteitenlogboek duidt op een afwijkende verbinding met een gevoelige webpagina vanaf het vermelde bron-IP-adres. Dit kan erop wijzen dat iemand een Brute Force-aanval probeert uit te voeren op de beheerpagina's van uw web-app. Dit kan echter ook het gevolg zijn van een nieuw IP-adres dat wordt gebruikt door een legitieme gebruiker. Als het bron-IP-adres wordt vertrouwd, kunt u deze waarschuwing voor deze resource veilig onderdrukken. Zie Waarschuwingen van Microsoft Defender for Cloud onderdrukken voor meer informatie over het onderdrukken van beveiligingswaarschuwingen.
(Van toepassing op: App Service op Windows en App Service op Linux)
Initial Access Normaal
Er is een dansbaar DNS-record App Service resource gedetecteerd
(AppServices_DanglingDomain)
Er is een DNS-record gedetecteerd die wijst naar een onlangs App Service resource (ook wel bekend als 'daning DNS'-vermelding). Hierdoor bent u vatbaar voor een overname van subdomeinen. Met subdomeinovernames kunnen kwaadwillende actoren verkeer dat is bedoeld voor het domein van een organisatie, omleiden naar een site die schadelijke activiteiten uitvoeren.
(Van toepassing op: App Service op Windows en App Service op Linux)
- Hoog
Detected encoded executable in command line data (Gecodeerd uitvoerbaar bestand gedetecteerd op opdrachtregel)
(AppServices_Base64EncodedExecutableInCommandLineParams)
Bij analyse van hostgegevens op {verdachte host} is een met base-64 gecodeerd uitvoerbaar bestand gedetecteerd. Dit is eerder geassocieerd met aanvallers die proberen on-the-fly uitvoerbare bestanden te maken via een reeks opdrachten, en die hierbij proberen inbraakdetectiesystemen te omzeilen door ervoor te zorgen dat geen enkele afzonderlijke opdracht een waarschuwing genereert. Dit kan een legitieme activiteit zijn, maar ook een indicatie van een geïnfecteerde host.
(Van toepassing op: App Service op Windows)
Defense Evasion, Execution Hoog
Detected file download from a known malicious source (Download van bestand gedetecteerd van een bekende bron van schadelijke software)
(AppServices_SuspectDownload)
Bij analyse van hostgegevens is het downloaden van een bestand van een bekende malwarebron op uw host gedetecteerd.
(Van toepassing op: App Service op Linux)
Escalatie, uitvoering van bevoegdheden, exfiltratie, opdracht en controle Normaal
Digital currency mining related behavior detected (Gedrag gedetecteerd dat is gerelateerd aan mining van digitale valuta)
(AppServices_DigitalCurrencyMining)
Bij analyse van hostgegevens in Inn-Flow-WebJobs is de uitvoering van een proces of opdracht gedetecteerd die normaal gesproken is gekoppeld aan mining van digitale valuta.
(Van toepassing op: App Service op Windows en App Service op Linux)
Uitvoering Hoog
Executable decoded using certutil (Bestand gedecodeerd met het hulpprogramma certutil)
(AppServices_ExecutableDecodedUsingCertutil)
Bij analyse van hostgegevens op %{Compromised Host} is vastgesteld dat certutil.exe, een ingebouwde tool voor beheerders, is gebruikt voor het decoderen van een uitvoerbaar bestand in plaats van voor het algemene doel van het bewerken van certificaten en certificaatgegevens. Aanvallers misbruiken vaak de functionaliteit van geldige beheerhulpprogramma's om schadelijke bewerkingen uit te voeren, bijvoorbeeld door gebruik te maken van een hulpprogramma als certutil.exe om een kwaadaardig uitvoerbaar bestand te decoderen dat vervolgens wordt uitgevoerd.
(Van toepassing op: App Service op Windows)
Defense Evasion, Execution Hoog
Fileless Attack Behavior Detected (Gedrag gedetecteerd dat wijst op bestandsloze aanvallen)
(AppServices_FilelessAttackBehaviorDetection)
Het geheugen van het hieronder vermelde proces bevat gedragingen die veel worden gebruikt bij bestandsloze aanvallen.
Enkele voorbeelden van specifiek gedrag: {lijst van waargenomen gedrag}
(Van toepassing op: App Service op Windows en App Service op Linux)
Uitvoering Normaal
Fileless Attack Technique Detected (Bestandsloze aanvallen gedetecteerd)
(AppServices_FilelessAttackTechniqueDetection)
Het geheugen van het hieronder aangegeven proces bevat bewijs van bestandsloze aanvallen. Bestandsloze aanvallen worden gebruikt door aanvallers om code uit te voeren terwijl ze detectie door beveiligingssoftware omzeilen.
Enkele voorbeelden van specifiek gedrag: {lijst van waargenomen gedrag}
(Van toepassing op: App Service op Windows en App Service op Linux)
Uitvoering Hoog
Fileless Attack Toolkit Detected (Toolkit voor bestandsloze aanvallen gedetecteerd)
(AppServices_FilelessAttackToolkitDetection)
Het geheugen van het hieronder vermelde proces bevat een toolkit voor bestandsloze aanvallen: {naam van toolkit}. Toolkits voor bestandsloze aanvallen zijn meestal niet aanwezig in het bestandssysteem waardoor ze lastig kunnen worden gedetecteerd door traditionele antivirussoftware.
Enkele voorbeelden van specifiek gedrag: {lijst van waargenomen gedrag}
(Van toepassing op: App Service op Windows en App Service op Linux)
Defense Evasion, Execution Hoog
NMap-scan gedetecteerd
(AppServices_Nmap)
Het activiteitenlogboek van Azure App Service geeft aan dat er mogelijk een activiteit voor web-fingerprinting heeft plaatsgevonden in uw App Service-resource.
De gedetecteerde verdachte activiteit is gelinkt aan NMAP. Aanvallers gebruiken deze tool vaak om de webtoepassingen te doorzoeken en beveiligingsproblemen op te sporen.
(Van toepassing op: App Service op Windows en App Service op Linux)
PreAttack (Voorbereiding) Normaal
Phishing content hosted on Azure Webapps (Phishing-inhoud gehost in Azure WebApps)
(AppServices_PhishingContent)
URL gevonden op de website van Azure AppServices die wordt gebruikt voor phishing-aanval. Deze URL heeft eerder deel uitgemaakt van een phishing-aanval die was gericht op Microsoft 365-klanten. De inhoud probeert meestal om bezoekers te verleiden hun bedrijfsreferenties of financiële gegevens te verstrekken op website die eruit ziet als een betrouwbare site.
(Van toepassing op: App Service op Windows en App Service op Linux)
Verzameling Hoog
PHP file in upload folder (PHP-bestand in uploadmap)
(AppServices_PhpInUploadFolder)
Het activiteitenlogboek van Azure App Service geeft toegang aan tot een verdachte PHP-pagina die zich in de uploadmap bevindt.
Dit type map bevat doorgaans geen PHP-bestanden. Het bestaan van dit type bestand kan wijzen op een beveiligingslek dat het mogelijk maakt om willekeurige bestanden te uploaden.
(Van toepassing op: App Service op Windows en App Service op Linux)
Uitvoering Normaal
Mogelijke Cryptocoinminer-download gedetecteerd
(AppServices_CryptoCoinMinerDownload)
Bij analyse van hostgegevens is gedetecteerd dat een bestand is gedownload dat normaal gesproken is gekoppeld aan mining van digitale valuta.
(Van toepassing op: App Service op Linux)
Defense Evasion, Command and Control, Exploitation Normaal
Potential daning DNS record for an App Service resource detected (Mogelijke dansresource gedetecteerd)
(AppServices_PotentialDanglingDomain)
Er is een DNS-record gedetecteerd die naar een onlangs verwijderde App Service resource (ook wel bekend als 'dan wel aaneengepbelde DNS'-vermelding). Hierdoor bent u mogelijk vatbaar voor een overname van subdomeinen. Met subdomeinovernames kunnen kwaadwillende actoren verkeer dat is bedoeld voor het domein van een organisatie, omleiden naar een site die schadelijke activiteiten uitvoeren. In dit geval is een tekstrecord met de domeinverificatie-id gevonden. Dergelijke tekstrecords verhinderen het overnemen van subdomeinen, maar we raden nog steeds aan het domein met de aaneengeling te verwijderen. Als u de DNS-record naar het subdomein laat wijzen, loopt u risico als iemand in uw organisatie het TXT-bestand of de TXT-record in de toekomst verwijdert.
(Van toepassing op: App Service op Windows en App Service op Linux)
- Beperkt
Potential reverse shell detected (Mogelijke reverse shell gedetecteerd)
(AppServices_ReverseShell)
Bij analyse van hostgegevens op is een mogelijke reverse shell vastgesteld. Deze worden gebruikt om een geïnfecteerde computer te laten terugbellen naar een computer die het eigendom is van de aanvaller.
(Van toepassing op: App Service op Linux)
Exfiltration, Exploitation Normaal
Raw data download detected (Downloaden van onbewerkte gegevens gedetecteerd)
(AppServices_DownloadCodeFromWebsite)
Bij analyse van App Service-processen is een poging gedetecteerd om code te downloaden van websites met onbewerkte gegevens, zoals Pastebin. Deze actie is uitgevoerd door een PHP-proces. Dit gedrag is gekoppeld aan pogingen om webshells of andere schadelijke onderdelen te downloaden naar App Service.
(Van toepassing op: App Service op Windows)
Uitvoering Normaal
Saving curl output to disk detected (Opslaan van curl-uitvoer naar schijf gedetecteerd)
(AppServices_CurlToDisk)
Bij analyse van App Service-processen is gedetecteerd dat de uitvoer van een curl-opdracht wordt opgeslagen op schijf. Hoewel dit gedrag legitiem kan zijn, wordt dit gedrag in webtoepassingen ook waargenomen in schadelijke activiteiten, zoals pogingen om websites te infecteren met webshells.
(Van toepassing op: App Service op Windows)
- Beperkt
Spam folder referrer detected (Verwijzing naar map met spam gedetecteerd)
(AppServices_SpamReferrer)
Het activiteitenlogboek van Azure App Service geeft aan dat er webactiviteiten zijn geïdentificeerd die afkomstig zijn van een website die is gekoppeld aan spam-activiteit. Dit kan gebeuren als uw website is geïnfecteerd en wordt gebruikt voor spam-activiteit.
(Van toepassing op: App Service op Windows en App Service op Linux)
- Beperkt
Suspicious access to possibly vulnerable web page detected (Verdachte toegang tot mogelijk kwetsbare webpagina gedetecteerd)
(AppServices_ScanSensitivePage)
Het activiteitenlogboek van Azure App Service geeft aan dat er toegang is verkregen tot een webpagina die gevoelige gegevens lijkt te bevatten. Deze verdachte activiteit is afkomstig van een bron-IP-adres waarvan het toegangspatroon lijkt op dat van een webscanner.
Een dergelijke activiteit is vaak gekoppeld aan een poging van een aanvaller om uw netwerk te scannen om toegang te krijgen tot gevoelige of kwetsbare webpagina's.
(Van toepassing op: App Service op Windows en App Service op Linux)
- Beperkt
Verdachte domeinnaamverwijzing
(AppServices_CommandlineSuspectDomain)
Analyse van hostgegevens detecteert verwijzing naar verdachte domeinnaam. Deze activiteit, hoewel mogelijk legitiem gebruikersgedrag, is vaak een indicatie van het downloaden of uitvoeren van schadelijke software. Een typische, bijkomende aanvalsactiviteit betreft het downloaden en uitvoeren van meer schadelijke software of hulpprogramma's voor extern beheer.
(Van toepassing op: App Service op Linux)
Exfiltration Beperkt
Suspicious download using Certutil detected (Verdachte download met Certutil gedetecteerd)
(AppServices_DownloadUsingCertutil)
Bij analyse van hostgegevens op {NAME} is vastgesteld dat certutil.exe, een ingebouwde tool voor beheerders, is gebruikt voor het downloaden van een binair bestand in plaats van voor het algemene doel van het bewerken van certificaten en certificaatgegevens. Aanvallers misbruiken vaak de functionaliteit van geldige beheerhulpprogramma's om schadelijke bewerkingen uit te voeren, bijvoorbeeld door gebruik te maken van certutil.exe om een kwaadaardig uitvoerbaar bestand te downloaden en decoderen dat vervolgens wordt uitgevoerd.
(Van toepassing op: App Service op Windows)
Uitvoering Normaal
Suspicious PHP execution detected (Verdachte PHP-uitvoering gedetecteerd)
(AppServices_SuspectPhp)
Computerlogboeken geven aan dat er een verdacht PHP-proces wordt uitgevoerd. De actie omvat een poging om opdrachten van het besturingssysteem of PHP-code uit te voeren vanaf de opdracht regel met behulp van het PHP-proces. Hoewel dit gedrag legitiem kan zijn, kan dit gedrag in webtoepassingen ook duiden op schadelijke activiteiten, zoals pogingen om websites te infecteren met webshells.
(Van toepassing op: App Service op Windows en App Service op Linux)
Uitvoering Normaal
Suspicious PowerShell cmdlets executed (Verdachte PowerShell-cmdlets uitgevoerd)
(AppServices_PowerShellPowerSploitScriptExecution)
Analyse van hostgegevens duidt op de uitvoering van bekend schadelijke PowerSploit-cmdlets van PowerShell.
(Van toepassing op: App Service op Windows)
Uitvoering Normaal
Verdachte processen uitgevoerd
(AppServices_KnownCredential AccessTools)
Computerlogboeken geven aan dat het verdachte proces %{process path} op de computer werd uitgevoerd. Dit proces is vaak gekoppeld aan pogingen van aanvallers die toegang proberen te krijgen tot referenties.
(Van toepassing op: App Service op Windows)
Toegang tot referenties Hoog
Suspicious process name detected (Verdachte procesnaam gedetecteerd)
(AppServices_ProcessWithKnownSuspiciousExtension)
Bij analyse van hostgegevens op {NAME} is een proces gedetecteerd waarvan de naam verdacht is, bijvoorbeeld omdat het de naam is van een bekende hackerstool of een naam die lijkt op een naam die wordt gebruikt door hackertools om zich aan het zicht te onttrekken. Dit proces kan een legitieme activiteit zijn, maar ook een indicatie dat een van uw computers is geïnfecteerd.
(Van toepassing op: App Service op Windows)
Persistence, Defense Evasion Normaal
Suspicious SVCHOST process executed (Verdacht SVCHOST-proces uitgevoerd)
(AppServices_SVCHostFromInvalidPath)
Het systeemproces SVCHOST is uitgevoerd in een abnormale context. Malware maakt vaak gebruik van SVCHOST om schadelijke activiteiten te maskeren.
(Van toepassing op: App Service op Windows)
Defense Evasion, Execution Hoog
Suspicious User Agent detected (Verdachte gebruikersagent gedetecteerd)
(AppServices_UserAgentInjection)
Het activiteitenlogboek van Azure App geeft aan dat er aanvragen zijn gedaan met een verdachte gebruikersagent. Dit gedrag kan erop wijzen dat er wordt geprobeerd een beveiligingslek te misbruiken in uw App Service-toepassing.
(Van toepassing op: App Service op Windows en App Service op Linux)
Initial Access Normaal
Suspicious WordPress theme invocation detected (Aanroep van verdacht WordPress-thema gedetecteerd)
(AppServices_WpThemeInjection)
Het activiteitenlogboek van Azure App Service geeft aan dat er mogelijk code is geïnjecteerd in uw App Service-resource.
De gedetecteerde verdachte activiteit lijkt op een activiteit waarmee een WordPress-thema wordt bewerkt om uitvoering van code op de server mogelijk te maken, gevolgd door een directe webaanvraag om het gemanipuleerde themabestand aan te roepen.
Dit type activiteit kan deel uitmaken van een aanvalscampagne via WordPress.
Als uw App Service-resource geen WordPress-site host, is deze niet kwetsbaar voor deze specifieke misbruik van code-injectie en kunt u deze waarschuwing voor de resource veilig onderdrukken. Zie Waarschuwingen van Microsoft Defender for Cloud onderdrukken voor meer informatie over het onderdrukken van beveiligingswaarschuwingen.
(Van toepassing op: App Service op Windows en App Service op Linux)
Uitvoering Hoog
Vulnerability scanner detected (Scanner voor beveiligingsproblemen gedetecteerd)
(AppServices_DrupalScanner)
Het activiteitenlogboek van Azure App Service geeft aan dat er mogelijk een scanner voor beveiligingsproblemen is gebruikt met uw App Service-resource.
De verdachte activiteit lijkt op die van tools die zich richten op een CMS (Content Management System).
Als uw App Service-resource geen Drupal-site host, is deze niet kwetsbaar voor deze specifieke aanvallen op code-injectie en kunt u deze waarschuwing voor de resource veilig onderdrukken. Zie Waarschuwingen van Microsoft Defender for Cloud onderdrukken voor meer informatie over het onderdrukken van beveiligingswaarschuwingen.
(Van toepassing op: App Service op Windows)
PreAttack (Voorbereiding) Normaal
Vulnerability scanner detected (Scanner voor beveiligingsproblemen gedetecteerd)
(AppServices_JoomlaScanner)
Het activiteitenlogboek van Azure App Service geeft aan dat er mogelijk een scanner voor beveiligingsproblemen is gebruikt met uw App Service-resource.
De verdachte activiteit lijkt op die van tools die zich richten op Joomla-toepassingen.
Als uw App Service-resource geen Joomla-site host, is deze niet kwetsbaar voor deze specifieke aanvallen op code-injectie en kunt u deze waarschuwing voor de resource veilig onderdrukken. Zie Waarschuwingen van Microsoft Defender for Cloud onderdrukken voor meer informatie over het onderdrukken van beveiligingswaarschuwingen.
(Van toepassing op: App Service op Windows en App Service op Linux)
PreAttack (Voorbereiding) Normaal
Vulnerability scanner detected (Scanner voor beveiligingsproblemen gedetecteerd)
(AppServices_WpScanner)
Het activiteitenlogboek van Azure App Service geeft aan dat er mogelijk een scanner voor beveiligingsproblemen is gebruikt met uw App Service-resource.
De verdachte activiteit lijkt op die van tools die zich richten op WordPress-toepassingen.
Als uw App Service-resource geen WordPress-site host, is deze niet kwetsbaar voor deze specifieke misbruik van code-injectie en kunt u deze waarschuwing voor de resource veilig onderdrukken. Zie Waarschuwingen van Microsoft Defender for Cloud onderdrukken voor meer informatie over het onderdrukken van beveiligingswaarschuwingen.
(Van toepassing op: App Service op Windows en App Service op Linux)
PreAttack (Voorbereiding) Normaal
Web fingerprinting detected (Web-fingerprinting gedetecteerd)
(AppServices_WebFingerprinting)
Het activiteitenlogboek van Azure App Service geeft aan dat er mogelijk een activiteit voor web-fingerprinting heeft plaatsgevonden in uw App Service-resource.
Deze verdachte gedetecteerde activiteit is gekoppeld aan een tool met de naam Blind Elephant. De tool neemt een vingerafdruk van webservers en probeert zo de geïnstalleerde toepassingen en versies te detecteren.
Aanvallers gebruiken deze tool vaak om de webtoepassingen te doorzoeken en beveiligingsproblemen op te sporen.
(Van toepassing op: App Service op Windows en App Service op Linux)
PreAttack (Voorbereiding) Normaal
Website is gelabeld als kwaadaardig in de feed met bedreigingsinformatie
(AppServices_SmartScreen)
Uw website zoals hieronder wordt beschreven, is door Windows SmartScreen gemarkeerd als een schadelijke site. Als u denkt dat dit fout-positief is, neemt u contact op met Windows SmartScreen via de koppeling Feedback versturen.
(Van toepassing op: App Service op Windows en App Service op Linux)
Verzameling Normaal
Possible loss of data detected (Mogelijk verlies van gegevens gedetecteerd)
(AppServices_DataEgressArtifacts)
Bij analyse van host-/apparaatgegevens is een mogelijke toestand van het gegevensegressie gedetecteerd. Aanvallers verplaatsen vaak gegevens van computers die ze hebben geïnfecteerd.
(Van toepassing op: App Service op Linux)
Verzameling, exfiltratie Normaal
Detected suspicious file download (Downloaden van verdacht bestand gedetecteerd)
(AppServices_SuspectDownloadArtifacts)
Bij analyse van hostgegevens is een verdachte download van een extern bestand gedetecteerd.
(Van toepassing op: App Service op Linux)
Persistentie Normaal

Waarschuwingen voor containers - Kubernetes-clusters

Extra informatie en opmerkingen

Waarschuwing (waarschuwingstype) Beschrijving MITRE-tactieken
(Meer informatie)
Ernst
K8S API-aanvragen van proxy-IP-adres gedetecteerd
(K8S_TI_Proxy)
Analyse van het auditlogboek van Kubernetes heeft API-aanvragen naar uw cluster gedetecteerd vanaf een IP-adres dat is gekoppeld aan proxyservices, zoals TOR. Hoewel dit gedrag legitiem kan zijn, wordt dit vaak gezien in schadelijke activiteiten wanneer aanvallers hun bron-IP proberen te verbergen. Uitvoering Beperkt
Container with a sensitive volume mount detected (Container met koppeling van gevoelig volume gedetecteerd)
(K8S_SensitiveMount)
Analyse van het auditlogboek van Kubernetes toont aan dat er een nieuwe container is gemaakt met koppeling van een gevoelig volume. Het gedetecteerde volume is een hostPath-type dat een gevoelig bestand of een gevoelige map van het knooppunt aan de container bevestigt. Als de container wordt gecompromitteerd, kan de aanvaller deze mount gebruiken om toegang te krijgen tot het knooppunt. Escalatie van bevoegdheden Normaal
Wijziging van CoreDNS in Kubernetes gedetecteerd
(K8S_CoreDnsModification)
Analyse van auditlogboek van Kubernetes heeft een wijziging van de CoreDNS-configuratie gedetecteerd. De configuratie van CoreDNS kan worden gewijzigd door de configmap te overschrijven. Hoewel deze activiteit legitiem kan zijn, kunnen aanvallers, als ze machtigingen hebben om de configmap te wijzigen, het gedrag van de DNS-server van het cluster wijzigen en verontreinigd. Lateral movement Beperkt
Configuratie van toegangswebhook gedetecteerd
(K8S_AdmissionController)
Analyse van auditlogboek van Kubernetes heeft een nieuwe toegangswebhookconfiguratie gedetecteerd. Kubernetes heeft twee ingebouwde algemene toegangscontrollers: MutatingAdmissionWebhook en ValidatingAdmissionWebhook. Het gedrag van deze toegangscontrollers wordt bepaald door een toegangswebhook die de gebruiker in het cluster implementeert. Het gebruik van dergelijke toegangscontrollers kan legitiem zijn, maar aanvallers kunnen dergelijke webhooks gebruiken om de aanvragen te wijzigen (in het geval van MutatingAdmissionWebhook) of om de aanvragen te inspecteren en gevoelige informatie te verkrijgen (in het geval van ValidatingAdmissionWebhook). Toegang tot referenties, persistentie Beperkt
Digital currency mining container detected (Container voor mining van digitale valuta gedetecteerd)
(K8S_MaliciousContainerImage)
Analyse van het auditlogboek van Kubernetes toont aan dat er een container is gedetecteerd met een installatiekopie die is gekoppeld aan een tool voor mining van digitale valuta. Uitvoering Hoog
Exposed Kubeflow dashboard detected (Weergegeven Kubeflow-dashboard gedetecteerd)
(K8S_ExposedKubeflow)
Analyse van het auditlogboek van Kubernetes toont aan dat de Istio Ingress is weergegeven door een load balancer in een cluster waarop Kubeflow wordt uitgevoerd. Door deze actie kan het Kubeflow-dashboard worden weergegeven op internet. Als het dashboard wordt blootgesteld aan internet, kunnen aanvallers er toegang toe krijgen en schadelijke containers of code op het cluster uitvoeren. Meer informatie vindt u in het volgende artikel: https://www.microsoft.com/security/blog/2020/06/10/misconfigured-kubeflow-workloads-are-a-security-risk Initial Access Normaal
Exposed Kubernetes dashboard detected (Weergegeven Kubernetes-dashboard gedetecteerd)
(K8S_ExposedDashboard)
Analyse van het auditlogboek van Kubernetes toont aan dat het Kubernetes-dashboard is weergegeven door een LoadBalancer-service. Het dashboard dat wordt blootgesteld, biedt niet-geautheseerde toegang tot het clusterbeheer en vormt een beveiligingsrisico. Initial Access Hoog
Exposed Kubernetes service detected (Weergegeven Kubernetes-service gedetecteerd)
(K8S_ExposedService)
Analyse van het auditlogboek van Kubernetes toont aan dat een service is weergegeven door een load balancer. Deze service is gerelateerd aan een gevoelige toepassing die bewerkingen met grote gevolgen in het cluster toestaat, zoals het uitvoeren van processen op het knooppunt of het maken van nieuwe containers. In sommige gevallen vereist deze service geen verificatie. Als de service geen verificatie vereist, vormt het blootstellen van de service op internet een beveiligingsrisico. Initial Access Normaal
Exposed Redis service in AKS detected (Weergegeven Redis-service in AKS gedetecteerd)
(K8S_ExposedRedis)
Analyse van het auditlogboek van Kubernetes toont aan dat een Redis-service is weergegeven door een load balancer. Als de service geen verificatie vereist, vormt het blootstellen van de service op internet een beveiligingsrisico. Initial Access Beperkt
Kubernetes-gebeurtenissen verwijderd
(K8S_DeleteEvents)
Defender for Cloud heeft gedetecteerd dat sommige Kubernetes-gebeurtenissen zijn verwijderd. Kubernetes-gebeurtenissen zijn objecten in Kubernetes die informatie bevatten over wijzigingen in het cluster. Aanvallers kunnen deze gebeurtenissen verwijderen om hun bewerkingen in het cluster te verbergen. Defense Evasion Normaal
Kubernetes-penetratietestprogramma gedetecteerd
(K8S_PenTestToolsKubeHunter)
Analyse van het auditlogboek van Kubernetes heeft het gebruik gedetecteerd van het Kubernetes-penetratietestprogramma in het AKS-cluster. Hoewel dit gedrag legitiem kan zijn, kunnen aanvallers dergelijke openbare hulpprogramma's gebruiken voor schadelijke doeleinden. Uitvoering Beperkt
New container in the kube-system namespace detected (Nieuwe container in naamruimte kube-system gedetecteerd)
(K8S_KubeSystemContainer)
Analyse van het auditlogboek van Kubernetes heeft een nieuwe container in de naamruimte kube-system gedetecteerd die zich niet in een van de containers die normaal gesproken in deze naamruimte worden uitgevoerd, zich niet voordeed. De kube-system-naamruimten mogen geen gebruikersbronnen bevatten. Aanvallers kunnen deze naamruimte gebruiken om schadelijke onderdelen te verbergen. Persistentie Beperkt
New high privileges role detected (Nieuwe rol met hoge bevoegdheden gedetecteerd)
(K8S_HighPrivilegesRole)
Analyse van het auditlogboek van Kubernetes toont aan dat er een nieuwe rol met hoge bevoegdheden is gemaakt. Een binding met een rol met hoge bevoegdheden geeft de gebruiker\groep hoge bevoegdheden in het cluster. Onnodige bevoegdheden kunnen leiden tot escalatie van bevoegdheden in het cluster. Persistentie Beperkt
Privileged container detected (Geprivilegieerde container gedetecteerd)
(K8S_PrivilegedContainer)
Analyse van het auditlogboek van Kubernetes toont aan dat er een nieuwe geprivilegieerde container is gemaakt. Een bevoegde container heeft toegang tot de resources van het knooppunt en verbreekt de isolatie tussen containers. Als er sprake is van een aanval, kan een aanvaller de geprivilegieerde container gebruiken om toegang te krijgen tot het knooppunt. Escalatie van bevoegdheden Beperkt
Role binding to the cluster-admin role detected (Rolbinding met de rol van clusterbeheerder gedetecteerd)
(K8S_ClusterAdminBinding)
Analyse van het auditlogboek van Kubernetes heeft een nieuwe binding met de clusterbeheerdersrol gedetecteerd die beheerdersbevoegdheden biedt. Onnodige beheerdersbevoegdheden kunnen leiden tot escalatie van bevoegdheden in het cluster. Persistentie Beperkt
Afwijkende podimplementatie (preview)
(K8S_AnomalousPodDeployment)
Analyse van auditlogboek van Kubernetes heeft implementatie van pods gedetecteerd, wat afwijkende is op basis van de vorige implementatieactiviteit van pods. Deze activiteit wordt beschouwd als een afwijking wanneer rekening wordt gehouden met de manier waarop de verschillende functies die in de implementatiebewerking worden gezien, met elkaar in relatie staan. De functies die door deze analyse worden bewaakt, zijn onder andere het gebruikte containerregister, het account dat de implementatie uitvoert, de dag van de week, hoe vaak dit account podimplementaties uitvoert, de gebruikersagent die wordt gebruikt in de bewerking. Dit is een naamruimte die podimplementatie vaak of een andere functie is. De belangrijkste redenen voor het verhogen van deze waarschuwing als afwijkende activiteit worden beschreven onder de uitgebreide eigenschappen van de waarschuwing. Uitvoering Normaal
Overmatige rolmachtigingen toegewezen in Kubernetes-cluster (preview)
(K8S_ServiceAcountPermissionAnomaly)
Bij analyse van de Kubernetes-auditlogboeken is een overmatige machtigingenroltoewijzing aan uw cluster gedetecteerd. Bij het onderzoeken van roltoewijzingen zijn de vermelde machtigingen ongebruikelijk voor het specifieke serviceaccount. Bij deze detectie wordt rekening gehouden met eerdere roltoewijzingen aan hetzelfde serviceaccount in clusters die worden bewaakt door Azure, volume per machtiging en de impact van de specifieke machtiging. Het anomaliedetectiemodel dat voor deze waarschuwing wordt gebruikt, houdt rekening met de manier waarop deze machtiging wordt gebruikt voor alle clusters die worden bewaakt door Microsoft Defender for Cloud. Escalatie van bevoegdheden Beperkt

Waarschuwingen voor SQL Database en Azure Synapse Analytics

Extra informatie en opmerkingen

Waarschuwing Beschrijving MITRE-tactieken
(Meer informatie)
Ernst
A possible vulnerability to SQL Injection (Mogelijk beveiligingslek dat mogelijkheden biedt voor SQL-injectie)
(SQL. VM_VulnerabilityToSqlInjection
SQL. DB_VulnerabilityToSqlInjection
SQL.MI_VulnerabilityToSqlInjection
SQL. DW_VulnerabilityToSqlInjection)
Een toepassing heeft een onjuiste SQL-instructie gegenereerd in de database. Dit kan duiden op een mogelijke kwetsbaarheid voor SQL-injectieaanvallen. Er zijn twee mogelijke redenen voor een onjuiste instructie. Een fout in de toepassingscode waardoor de onjuiste SQL-instructie is gemaakt. Toepassingscode of opgeslagen procedures schonen gebruikersinvoer niet op tijdens het construeren van de onjuiste SQL-instructie, wat kan worden misbruikt voor SQL-injectie PreAttack (Voorbereiding) Normaal
Poging tot aanmelden door een mogelijk schadelijke toepassing
(SQL. DB_HarmfulApplication
SQL. VM_HarmfulApplication
SQL.MI_HarmfulApplication
SQL. DW_HarmfulApplication)
Een mogelijk schadelijke toepassing heeft geprobeerd toegang te krijgen tot SQL-server {name}. PreAttack (Voorbereiding) Hoog
Log on from an unusual Azure Data Center (Aanmelding vanuit een ongebruikelijk Azure-datacenter)
(SQL. DB_DataCenterAnomaly
SQL. VM_DataCenterAnomaly
SQL. DW_DataCenterAnomaly
SQL.MI_DataCenterAnomaly)
Er is een wijziging opgetreden in het toegangspatroon voor SQL Server, waarbij iemand zich heeft aangemeld bij de server vanuit een ongebruikelijk Azure-datacenter. In sommige gevallen wijst de waarschuwing op een legitieme actie (een nieuwe toepassing of Azure-service). In andere gevallen wijst de waarschuwing op een schadelijke actie (aanvaller die werkt vanuit een geïnfecteerde resource in Azure). Scannen Beperkt
Log on from an unusual location (Aanmelding vanaf een ongebruikelijke locatie)
(SQL. DB_GeoAnomaly
SQL. VM_GeoAnomaly
SQL. DW_GeoAnomaly
SQL.MI_GeoAnomaly)
Er is een wijziging opgetreden in het toegangspatroon voor SQL Server, waarbij iemand zich heeft aangemeld bij de server vanaf een ongebruikelijke geografische locatie. In sommige gevallen detecteert de waarschuwing een legitieme actie (een nieuwe toepassing of onderhoud door ontwikkelaars). In andere gevallen wijst de waarschuwing op een schadelijke actie (een voormalig werknemer of externe aanvaller). Misbruik Normaal
Principalgebruiker heeft zich de afgelopen zestig dagen niet aangemeld
(SQL. DB_PrincipalAnomaly
SQL. VM_PrincipalAnomaly
SQL. DW_PrincipalAnomaly
SQL.MI_PrincipalAnomaly)
Een principalgebruiker die de afgelopen zestig dagen niet is gezien, heeft zich aangemeld bij uw database. Als deze database nieuw is of als dit verwachte gedrag wordt veroorzaakt door recente wijzigingen in de gebruikers die toegang hebben tot de database, identificeert Defender for Cloud belangrijke wijzigingen in de toegangspatronen en wordt geprobeerd toekomstige fout-positieven te voorkomen. Misbruik Normaal
Aanmelding vanaf een verdacht IP-adres
(SQL. VM_SuspiciousIpAnomaly)
Er is toegang tot uw resource verkregen vanaf een IP-adres dat in Microsoft Threat Intelligence in verband is gebracht met verdachte activiteiten. PreAttack (Voorbereiding) Normaal
Potential SQL Brute Force attempt (Mogelijke Brute Force-aanval via SQL) Er is sprake geweest van een abnormaal groot aantal mislukte aanmeldingspogingen met verschillende referenties. In sommige gevallen detecteert de waarschuwing het uitvoeren van testen om binnen te dringen. In andere gevallen wijst de waarschuwing op een Brute Force-aanval. Scannen Hoog
Potential SQL injection (Mogelijke SQL-injectie)
(SQL. DB_PotentialSqlInjection
SQL. VM_PotentialSqlInjection
SQL.MI_PotentialSqlInjection
SQL. DW_PotentialSqlInjection
Synapse.SQLPool_PotentialSqlInjection)
Er is een actieve aanval uitgevoerd op een toepassing waarvan bekend is dat die kwetsbaar is voor SQL-injectie. Dit betekent dat een aanvaller schadelijke SQL-instructies probeert te injecteren met de kwetsbare toepassingscode of opgeslagen procedures. PreAttack (Voorbereiding) Hoog
Mogelijk onveilige actie
(SQL. DB_UnsafeCommands
SQL.MI_UnsafeCommands
SQL. DW_UnsafeCommands)
Er is geprobeerd om een mogelijk onveilige actie uit te voeren op uw database {naam} op server {naam}. - Hoog
Verdachte beveiligingsaanval met behulp van een geldige gebruiker Er is een mogelijke beveiligingsaanval op uw resource gedetecteerd. De aanvaller maakt gebruik van een geldig gebruikersaccount dat is gemachtigd voor aanmelden. PreAttack (Voorbereiding) Hoog
Vermoedelijke beveiligingsaanval Er is een mogelijke beveiligingsaanval op uw SQL-server {naam} gedetecteerd. PreAttack (Voorbereiding) Hoog
Geslaagde vermoedelijke beveiligingsaanval
(SQL. DB_BruteForce
SQL. VM_BruteForce
SQL. DW_BruteForce
SQL.MI_BruteForce)
Na een duidelijke beveiligingsaanval op uw resource is een geslaagde aanmelding gedetecteerd PreAttack (Voorbereiding) Hoog
Unusual export location (Ongebruikelijke exportlocatie) Iemand heeft een enorme hoeveelheid gegevens uit SQL-server {naam} uitgepakt op een ongebruikelijke locatie. Exfiltration Hoog

Waarschuwingen voor opensource relationele databases

Extra informatie en opmerkingen

Waarschuwing (waarschuwingstype) Beschrijving MITRE-tactieken
(Meer informatie)
Ernst
Verdachte beveiligingsaanval met behulp van een geldige gebruiker
(SQL. PostgreSQL_BruteForce
SQL. MariaDB_BruteForce
SQL. MySQL_BruteForce)
Er is een mogelijke beveiligingsaanval op uw resource gedetecteerd. De aanvaller gebruikt de geldige gebruiker (gebruikersnaam), die machtigingen heeft om zich aan te melden. PreAttack (Voorbereiding) Hoog
Geslaagde vermoedelijke beveiligingsaanval
(SQL. PostgreSQL_BruteForce
SQL. MySQL_BruteForce
SQL. MariaDB_BruteForce)
Er is een geslaagde aanmelding opgetreden na een duidelijke brute force-aanval op uw resource. PreAttack (Voorbereiding) Hoog
Vermoedelijke beveiligingsaanval
("SQL. MySQL_BruteForce)
Er is een mogelijke beveiligingsaanval op uw SQL-server {naam} gedetecteerd. PreAttack (Voorbereiding) Hoog
Poging tot aanmelden door een mogelijk schadelijke toepassing
(SQL. PostgreSQL_HarmfulApplication
SQL. MariaDB_HarmfulApplication
SQL. MySQL_HarmfulApplication)
Een mogelijk schadelijke toepassing heeft geprobeerd toegang te krijgen tot uw resource. PreAttack (Voorbereiding) Hoog
Principalgebruiker heeft zich de afgelopen zestig dagen niet aangemeld
(SQL. PostgreSQL_PrincipalAnomaly
SQL. MariaDB_PrincipalAnomaly
SQL. MySQL_PrincipalAnomaly)
Een principalgebruiker die de afgelopen zestig dagen niet is gezien, heeft zich aangemeld bij uw database. Als deze database nieuw is of als dit verwachte gedrag wordt veroorzaakt door recente wijzigingen in de gebruikers die toegang hebben tot de database, identificeert Defender for Cloud belangrijke wijzigingen in de toegangspatronen en wordt geprobeerd toekomstige fout-positieven te voorkomen. Misbruik Normaal
Aanmelden vanaf een domein dat 60 dagen niet is gezien
(SQL. MariaDB_DomainAnomaly
SQL. PostgreSQL_DomainAnomaly
SQL. MySQL_DomainAnomaly)
Een gebruiker heeft zich aangemeld bij uw resource vanuit een domein waar geen andere gebruikers verbinding mee hebben gemaakt in de afgelopen 60 dagen. Als deze resource nieuw is of als dit verwachte gedrag wordt veroorzaakt door recente wijzigingen in de gebruikers die toegang hebben tot de resource, identificeert Defender for Cloud belangrijke wijzigingen in de toegangspatronen en wordt geprobeerd toekomstige fout-positieven te voorkomen. Misbruik Normaal
Log on from an unusual Azure Data Center (Aanmelding vanuit een ongebruikelijk Azure-datacenter)
(SQL. PostgreSQL_DataCenterAnomaly
SQL. MariaDB_DataCenterAnomaly
SQL. MySQL_DataCenterAnomaly)
Iemand is aangemeld bij uw resource vanuit een ongebruikelijk Azure-datacentrum. Scannen Beperkt
Aanmelding van een ongebruikelijke cloudprovider
(SQL. PostgreSQL_CloudProviderAnomaly
SQL. MariaDB_CloudProviderAnomaly
SQL. MySQL_CloudProviderAnomaly)
Iemand is aangemeld bij uw resource vanaf een cloudprovider die de afgelopen 60 dagen niet is gezien. Bedreigingen kunnen snel en eenvoudig gebruikmaken van de beschikbare rekenkracht voor gebruik in hun campagnes. Als dit verwachte gedrag wordt veroorzaakt door de recente acceptatie van een nieuwe cloudprovider, leert Defender for Cloud dit in de toekomst en probeert het toekomstige fout-positieven te voorkomen. Misbruik Normaal
Log on from an unusual location (Aanmelding vanaf een ongebruikelijke locatie)
(SQL. MariaDB_GeoAnomaly
SQL. PostgreSQL_GeoAnomaly
SQL. MySQL_GeoAnomaly)
Iemand is aangemeld bij uw resource vanuit een ongebruikelijk Azure-datacentrum. Misbruik Normaal
Aanmelding vanaf een verdacht IP-adres
(SQL. PostgreSQL_SuspiciousIpAnomaly
SQL. MariaDB_SuspiciousIpAnomaly
SQL. MySQL_SuspiciousIpAnomaly)
Er is toegang tot uw resource verkregen vanaf een IP-adres dat in Microsoft Threat Intelligence in verband is gebracht met verdachte activiteiten. PreAttack (Voorbereiding) Normaal

Waarschuwingen voor Resource Manager

Extra informatie en opmerkingen

Waarschuwing (waarschuwingstype) Beschrijving MITRE-tactieken
(Meer informatie)
Ernst
Azure Resource Manager bewerking van verdacht IP-adres (preview)
(ARM_OperationFromSuspiciousIP)
Microsoft Defender voor Resource Manager een bewerking gedetecteerd vanaf een IP-adres dat is gemarkeerd als verdacht in feeds met bedreigingsinformatie. Uitvoering Normaal
Azure Resource Manager van verdacht proxy-IP-adres (preview)
(ARM_OperationFromSuspiciousProxyIP)
Microsoft Defender voor Resource Manager een bewerking voor resourcebeheer gedetecteerd vanaf een IP-adres dat is gekoppeld aan proxyservices, zoals TOR. Hoewel dit gedrag legitiem kan zijn, wordt dit vaak gezien in schadelijke activiteiten, wanneer bedreigingen hun bron-IP proberen te verbergen. Defense Evasion Normaal
MicroBurst exploitation toolkit used to enumerate resources in your subscriptions (MicroBurst exploitation toolkit gebruikt om resources in uw abonnementen op te semuleren)
(ARM_MicroBurst.AzDomainInfo)
De MicroBurst-module voor het verzamelen van informatie is uitgevoerd op uw abonnement. Dit hulpprogramma kan worden gebruikt voor het detecteren van resources, machtigingen en netwerkstructuren. Dit is gedetecteerd door analyse van Azure-activiteitenlogboeken en resourcebeheerbewerkingen in uw abonnement. - Hoog
MicroBurst exploitation toolkit used to enumerate resources in your subscriptions (MicroBurst exploitation toolkit gebruikt om resources in uw abonnementen op te semuleren)
(ARM_MicroBurst.AzureDomainInfo)
De MicroBurst-module voor het verzamelen van informatie is uitgevoerd op uw abonnement. Dit hulpprogramma kan worden gebruikt voor het detecteren van resources, machtigingen en netwerkstructuren. Dit is gedetecteerd door analyse van Azure-activiteitenlogboeken en resourcebeheerbewerkingen in uw abonnement. - Hoog
MicroBurst exploitation toolkit gebruikt om code uit te voeren op uw virtuele machine
(ARM_MicroBurst.AzVMBulkCMD)
MicroBurst-exploitatietoolkit is gebruikt om code op uw virtuele machines uit te voeren. Dit is gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement. Uitvoering Hoog
MicroBurst exploitation toolkit gebruikt om code uit te voeren op uw virtuele machine
(RM_MicroBurst.AzureRmVMBulkCMD)
MicroBurst-exploitatietoolkit is gebruikt om code op uw virtuele machines uit te voeren. Dit is gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement. - Hoog
MicroBurst exploitation toolkit gebruikt om sleutels te extraheren uit uw Azure-sleutelkluizen
(ARM_MicroBurst.AzKeyVaultKeysREST)
MicroBurst-exploitatietoolkit is gebruikt om sleutels te extraheren uit uw Azure-sleutelkluizen. Dit is gedetecteerd door analyse van Azure-activiteitenlogboeken en resourcebeheerbewerkingen in uw abonnement. - Hoog
MicroBurst exploitation toolkit gebruikt voor het extraheren van sleutels naar uw opslagaccounts
(ARM_MicroBurst.AZStorageKeysREST)
MicroBurst-exploitatietoolkit is gebruikt om sleutels voor uw opslagaccounts te extraheren. Dit is gedetecteerd door analyse van Azure-activiteitenlogboeken en resourcebeheerbewerkingen in uw abonnement. Verzameling Hoog
MicroBurst exploitation toolkit used to extract secrets from your Azure key vaults (MicroBurst exploitation toolkit gebruikt om geheimen te extraheren uit uw Azure-sleutelkluizen)
(ARM_MicroBurst.AzKeyVaultSecretsREST)
MicroBurst-exploitatietoolkit is gebruikt om geheimen te extraheren uit uw Azure-sleutelkluizen. Dit is gedetecteerd door analyse van Azure-activiteitenlogboeken en resourcebeheerbewerkingen in uw abonnement. - Hoog
Machtigingen verleend voor een RBAC-rol op een ongebruikelijke manier voor uw Azure-omgeving (preview)
(ARM_AnomalousRBACRoleAssignment)
Microsoft Defender voor Resource Manager heeft een RBAC-roltoewijzing gedetecteerd die ongebruikelijk is in vergelijking met andere toewijzingen die worden uitgevoerd door dezelfde assigner/uitgevoerd voor dezelfde toegewezen persoon/in uw tenant vanwege de volgende afwijkingen: toewijzingstijd, toewijzingslocatie, assigner, verificatiemethode, toegewezen entiteiten, gebruikte clientsoftware, toewijzingsverdeler. Deze bewerking is mogelijk uitgevoerd door een legitieme gebruiker in uw organisatie. Het kan er ook op wijzen dat een account in uw organisatie is geschonden en dat de bedreigingsacacteur machtigingen probeert te verlenen aan een extra gebruikersaccount dat hij of zij heeft. Lateral Movement, Defense Evasion Normaal
PowerZure exploitation toolkit used to elevate access from Azure AD to Azure
(ARM_PowerZure.AzureElevatedPrivileges)
PowerZure-exploitatietoolkit is gebruikt om de toegang van Azure AD naar Azure te verhogen. Dit is gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw tenant. - Hoog
PowerZure exploitation toolkit used to enumerate resources
(ARM_PowerZure.GetAzureTargets)
PowerZure-exploitatietoolkit is gebruikt voor het inventariseren van resources namens een rechtmatig gebruikersaccount in uw organisatie. Dit is gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement. Verzameling Hoog
PowerZure exploitation toolkit gebruikt voor het opsnoemen van opslagcontainers, shares en tabellen
(ARM_PowerZure.ShowStorageContent)
PowerZure-exploitatietoolkit is gebruikt voor het inventariseren van opslagshares, -tabellen en -containers. Dit is gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement. - Hoog
PowerZure exploitation toolkit gebruikt voor het uitvoeren van een Runbook in uw abonnement
(ARM_PowerZure.StartRunbook)
PowerZure-exploitatietoolkit is gebruikt om een runbook uit te voeren. Dit is gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement. - Hoog
PowerZure exploitation toolkit gebruikt voor het extraheren van Runbooks-inhoud
(ARM_PowerZure.AzureRunbookContent)
PowerZure-exploitatietoolkit die is gebruikt voor het extraheren van inhoud in runbooks. Dit is gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement. Verzameling Hoog
PREVIEW - Activity from a risky IP address (PREVIEW: activiteit vanaf een riskant IP-adres)
(ARM.MCAS_ActivityFromAnonymousIPAddresses)
Er is gebruikersactiviteit gedetecteerd vanaf een IP-adres dat is geïdentificeerd als het IP-adres van een anonieme proxy.
Deze proxy's worden gebruikt door mensen die het IP-adres van hun apparaat willen verbergen en kunnen worden gebruikt voor kwaadaardige doeleinden. Deze detectie maakt gebruik van een algoritme voor machine learning dat het aantal fout-positieven vermindert, zoals verkeerd gelabelde IP-adressen die veel worden gebruikt door gebruikers in de organisatie.
Vereist een actieve licentie voor Microsoft Defender for Cloud Apps.
- Normaal
PREVIEW - Activity from infrequent country (PREVIEW: activiteit vanuit niet-gangbaar land)
(ARM.MCAS_ActivityFromInfrequentCountry)
Er is activiteit vastgesteld afkomstig van een locatie die niet recent of nooit door een gebruiker in de organisatie is bezocht.
Deze detectie bekijkt eerdere activiteitlocaties om nieuwe en niet-frequente locaties vast te stellen. De engine voor de detectie van afwijkingen slaat informatie op over eerdere locaties die worden gebruikt door gebruikers in de organisatie.
Vereist een actieve licentie voor Microsoft Defender for Cloud Apps.
- Normaal
PREVIEW - Azurite toolkit run detected (PREVIEW: uitvoering van Azurite-toolkit gedetecteerd)
(ARM_Azurite)
Er is een bekende toolkit voor het verkennen van cloudomgevingen gedetecteerd in uw omgeving. De toolkit Azurite kan door een aanvaller (of penetratietester) worden gebruikt om de resources van uw abonnementen toe te wijzen en onveilige configuraties te identificeren. Verzameling Hoog
PREVIEW - Impossible travel activity (PREVIEW: activiteit met onmogelijk traject)
(ARM.MCAS_ImpossibleTravelActivity)
Er hebben twee gebruikersactiviteiten (in één of meerdere sessies) plaatsgevonden, afkomstig van geografische ver uit elkaar gelegen locaties. Dit gebeurt binnen een periode die korter is dan de tijd die de gebruiker nodig zou hebben om van de eerste locatie naar de tweede locatie te gaan. Dit geeft aan dat een andere gebruiker dezelfde referenties gebruikt.
Deze detectie maakt gebruik van een machine learning-algoritme dat overduidelijke fout-positieven negeert die bijdragen aan onmogelijke trajecten, zoals VPN's en locaties die regelmatig door andere gebruikers in de organisatie worden gebruikt. De detectie heeft een initiële leerperiode van zeven dagen, waarin het activiteitenpatroon van een nieuwe gebruiker wordt geleerd.
Vereist een actieve licentie voor Microsoft Defender for Cloud Apps.
- Normaal
PREVIEW - Suspicious management session using an inactive account detected (PREVIEW: verdachte beheersessie met een inactieve account gedetecteerd)
(ARM_UnusedAccountPersistence)
Analyse van activiteitenlogboeken voor abonnementen heeft verdacht gedrag opgeleverd. Een principal die gedurende een lange periode niet wordt gebruikt, voert nu acties uit waarmee persistentie kan worden verkregen voor een aanvaller. Persistentie Normaal
PREVIEW - Suspicious management session using PowerShell detected (PREVIEW: verdachte beheersessie met PowerShell gedetecteerd)
(ARM_UnusedAppPowershellPersistence)
Analyse van activiteitenlogboeken voor abonnementen heeft verdacht gedrag opgeleverd. Een principal die niet regelmatig gebruikmaakt van PowerShell voor het beheren van de abonnementsomgeving maakt nu wel gebruik van PowerShell en voert acties uit waarmee persistentie kan worden verkregen voor een aanvaller. Persistentie Normaal
PREVIEW - Suspicious management session using Azure portal detected (PREVIEW: verdachte beheersessie met Azure-portal gedetecteerd)
(ARM_UnusedAppIbizaPersistence)
Analyse van activiteitenlogboeken voor abonnementen heeft verdacht gedrag opgeleverd. Een principal die de Azure-portal (Ibiza) niet regelmatig gebruikt voor het beheren van de abonnementsomgeving (heeft de Azure-portal de afgelopen 45 dagen niet gebruikt voor beheertaken voor het beheren of heeft geen abonnement dat actief wordt beheerd), gebruikt nu de Azure-portal en voert acties uit waarmee persistentie voor een aanvaller kan worden verkregen. Persistentie Normaal
Aangepaste bevoorrechte rol die op een verdachte manier voor uw abonnement is gemaakt (preview)
(ARM_PrivilegedRoleDefinitionCreation)
Microsoft Defender for Resource Manager een verdacht maken van een aangepaste roldefinitie met bevoegdheden in uw abonnement gedetecteerd. Deze bewerking is mogelijk uitgevoerd door een legitieme gebruiker in uw organisatie. Het kan er ook op wijzen dat een account in uw organisatie is geschonden en dat de actor van de bedreiging een bevoorrechte rol probeert te maken die in de toekomst kan worden gebruikt om detectie te omzeilen. Escalatie van bevoegdheden, verdedigingsontwijking Beperkt
Gebruik van de MicroBurst-toolkit voor exploitatie om een willekeurige code uit te voeren of om referenties van Azure Automation account uit te voeren
(ARM_MicroBurst.RunCodeOnBehalf)
Gebruik van MicroBurst-exploitatietoolkit voor het uitvoeren van willekeurige code of het exfiltreren van Azure Automation-accountreferenties. Dit is gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement. Persistentie, toegang tot referenties Hoog
Gebruik van NetSPI-technieken om persistentie in uw Azure-omgeving te behouden
(ARM_NetSPI.MaintainPersistence)
Gebruik van NetSPI-persistentietechniek voor het maken van een webhook-achterdeur en het handhaven van persistentie in uw Azure-omgeving. Dit is gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement. - Hoog
Gebruik van de PowerZure-toolkit voor exploitatie om een willekeurige code uit te voeren of om referenties van Azure Automation account uit te voeren
(ARM_PowerZure.RunCodeOnBehalf)
Gebruik van PowerZure-exploitatietoolkit voor een poging tot het uitvoeren van code of het exfiltreren van Azure Automation-accountreferenties. Dit is gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement. - Hoog
Gebruik van de PowerZure-functie om persistentie in uw Azure-omgeving te behouden
(ARM_PowerZure. MaintainPersistence)
Er is een PowerZure-exploitatietoolkit gedetecteerd die een webhook-achterdeur aan het maken was om persistentie in de Azure-omgeving te handhaven. Dit is gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement. - Hoog

Waarschuwingen voor DNS

Extra informatie en opmerkingen

Waarschuwing (waarschuwingstype) Beschrijving MITRE-tactieken
(Meer informatie)
Ernst
Gebruik van afwijkende netwerkprotocollen
(AzureDNS_ProtocolAnomaly)
Er is afwijkend protocolgebruik gedetecteerd door analyse van DNS-transacties vanaf %{CompromisedEntity}. Dergelijk verkeer kan weliswaar onschadelijk zijn, maar kan wijzen op misbruik van dit veelgebruikte protocol om het filteren van netwerkverkeer te omzeilen. Veelvoorkomende gerelateerde activiteiten van aanvallers zijn het kopiëren van tools voor extern beheer naar een geïnfecteerde host en het exfiltreren van gebruikersgegevens van de host. Exfiltration -
Anoniemheid van netwerkactiviteit
(AzureDNS_DarkWeb)
Er is anonieme netwerkactiviteit gedetecteerd door analyse van DNS-transacties vanaf %{CompromisedEntity}. Dergelijke activiteiten, hoewel mogelijk legitiem gebruikersgedrag, worden vaak gebruikt door aanvallers om tracering en fingerprinting van netwerkcommunicatie te voorkomen. Een typische, bijkomende aanvalsactiviteit betreft het downloaden en uitvoeren van schadelijke software of hulpprogramma's voor extern beheer. Exfiltration -
Netwerkactiviteit anoniem maken met behulp van webproxy
(AzureDNS_DarkWebProxy)
Er is anonieme netwerkactiviteit gedetecteerd door analyse van DNS-transacties vanaf %{CompromisedEntity}. Dergelijke activiteiten, hoewel mogelijk legitiem gebruikersgedrag, worden vaak gebruikt door aanvallers om tracering en fingerprinting van netwerkcommunicatie te voorkomen. Een typische, bijkomende aanvalsactiviteit betreft het downloaden en uitvoeren van schadelijke software of hulpprogramma's voor extern beheer. Exfiltration -
Poging tot communicatie met verdacht domein dat is geseed
(AzureDNS_SinkholedDomain)
Er is een aanvraag voor een sinkholed domein gedetecteerd door analyse van DNS-transacties vanaf %{CompromisedEntity}. Dergelijke activiteiten, hoewel mogelijk legitiem gebruikersgedrag, zijn vaak een indicatie van het downloaden of uitvoeren van schadelijke software. Een typische, bijkomende aanvalsactiviteit betreft het downloaden en uitvoeren van meer schadelijke software of hulpprogramma's voor extern beheer. Exfiltration -
Communicatie met mogelijk phishing-domein
(AzureDNS_PhishingDomain)
Er is een aanvraag voor een potentieel phishingdomein gedetecteerd door analyse van DNS-transacties vanaf %{CompromisedEntity}. Dergelijke activiteit is mogelijk onschadelijk, maar wordt regelmatig door aanvallers uitgevoerd om referenties voor externe services te verzamelen. Een typische, bijkomende aanvalsactiviteit betreft de exploitatie van referenties voor de legitieme service. Exfiltration -
Communicatie met verdacht domein dat via algoritmen is gegenereerd
(AzureDNS_DomainGenerationAlgorithm)
Er is een mogelijk gebruik van een domein-genererend algoritme gedetecteerd door analyse van DNS-transacties vanaf %{CompromisedEntity}. Dergelijke activiteit is mogelijk onschadelijk, maar wordt regelmatig door aanvallers uitgevoerd om netwerkbewaking en -filtering te omzeilen. Een typische, bijkomende aanvalsactiviteit betreft het downloaden en uitvoeren van schadelijke software of hulpprogramma's voor extern beheer. Exfiltration -
Communicatie met verdacht domein dat is geïdentificeerd met bedreigingsinformatie
(AzureDNS_ThreatIntelSuspectDomain)
Communicatie met een verdacht domein is gedetecteerd door DNS-transacties van uw resource te analyseren en te vergelijken met bekende schadelijke domeinen die zijn geïdentificeerd door feeds met bedreigingsinformatie. Communicatie met schadelijke domeinen wordt vaak uitgevoerd door aanvallers en kan impliceren dat uw resource is aangetast. Initial Access Normaal
Communicatie met verdachte willekeurige domeinnaam
(AzureDNS_RandomizedDomain)
Er is gebruik van een verdachte, willekeurig gegenereerde domeinnaam gedetecteerd door analyse van DNS-transacties vanaf %{CompromisedEntity}. Dergelijke activiteit is mogelijk onschadelijk, maar wordt regelmatig door aanvallers uitgevoerd om netwerkbewaking en -filtering te omzeilen. Een typische, bijkomende aanvalsactiviteit betreft het downloaden en uitvoeren van schadelijke software of hulpprogramma's voor extern beheer. Exfiltration -
Activiteit voor mining van digitale valuta
(AzureDNS_CurrencyMining)
Er is mining-activiteit van digitale valuta gedetecteerd door analyse van DNS-transacties vanaf %{CompromisedEntity}. Dergelijke activiteiten, hoewel mogelijk legitiem gebruikersgedrag, worden vaak uitgevoerd door aanvallers na het compromitteerd van resources. Een typische, bijkomende aanvalsactiviteit betreft het downloaden en uitvoeren van veelvoorkomende mining-programma's. Exfiltration -
Activering van handtekening voor netwerkindringingsdetectie
(AzureDNS_SuspiciousDomain)
Er is bekende, kwaadaardige netwerksignatuur gedetecteerd door analyse van DNS-transacties vanaf %{CompromisedEntity}. Dergelijke activiteiten, hoewel mogelijk legitiem gebruikersgedrag, zijn vaak een indicatie van het downloaden of uitvoeren van schadelijke software. Een typische, bijkomende aanvalsactiviteit betreft het downloaden en uitvoeren van meer schadelijke software of hulpprogramma's voor extern beheer. Exfiltration -
Mogelijk downloaden van gegevens via DNS-tunnel
(AzureDNS_DataInfiltration)
Er is mogelijke DNS-tunnel gedetecteerd door analyse van DNS-transacties vanaf %{CompromisedEntity}. Dergelijke activiteiten, hoewel mogelijk legitiem gebruikersgedrag, worden vaak uitgevoerd door aanvallers om netwerkbewaking en -filtering te voorkomen. Een typische, bijkomende aanvalsactiviteit betreft het downloaden en uitvoeren van schadelijke software of hulpprogramma's voor extern beheer. Exfiltration -
Mogelijke gegevens exfiltratie via DNS-tunnel
(AzureDNS_DataExfiltration)
Er is mogelijke DNS-tunnel gedetecteerd door analyse van DNS-transacties vanaf %{CompromisedEntity}. Dergelijke activiteiten, hoewel mogelijk legitiem gebruikersgedrag, worden vaak uitgevoerd door aanvallers om netwerkbewaking en -filtering te voorkomen. Een typische, bijkomende aanvalsactiviteit betreft het downloaden en uitvoeren van schadelijke software of hulpprogramma's voor extern beheer. Exfiltration -
Mogelijke gegevensoverdracht via DNS-tunnel
(AzureDNS_DataObfuscation)
Er is mogelijke DNS-tunnel gedetecteerd door analyse van DNS-transacties vanaf %{CompromisedEntity}. Dergelijke activiteiten, hoewel mogelijk legitiem gebruikersgedrag, worden vaak uitgevoerd door aanvallers om netwerkbewaking en -filtering te voorkomen. Een typische, bijkomende aanvalsactiviteit betreft het downloaden en uitvoeren van schadelijke software of hulpprogramma's voor extern beheer. Exfiltration -

Waarschuwingen voor Azure Storage

Extra informatie en opmerkingen

Waarschuwing (waarschuwingstype) Beschrijving MITRE-tactieken
(Meer informatie)
Ernst
Toegang vanaf een verdacht IP-adres
(Storage.Blob_SuspiciousIp
Storage.Files_SuspiciousIp)
Geeft aan dat dit opslagaccount is geopend vanaf een IP-adres dat als verdacht wordt beschouwd. Deze waarschuwing is gebaseerd op bedreigingsinformatie van Microsoft.
Lees meer over de bedreigingsinformatiemogelijkheden van Microsoft.
Van toepassing op: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
Initial Access Normaal
PREVIEW - Anonieme scan van openbare opslagcontainers
(Storage. Blob_ContainerAnonymousScan)
Er is een reeks pogingen gedaan om anoniem openbare containers in uw opslagaccount te identificeren. Dit kan duiden op een reconnaissance-aanval, waarbij de aanvaller uw opslagaccount scant om openbaar toegankelijke containers te identificeren en vervolgens probeert gevoelige gegevens in deze containers te vinden.
Van toepassing op: Azure Blob Storage
PreAttack, Collection Gemiddeld/hoog
PREVIEW – Phishing content hosted on a storage account (PREVIEW: phishing-inhoud die wordt gehost in een opslagaccount)
(Storage.Blob_PhishingContent
Storage.Files_PhishingContent)
Een URL die is gebruikt in een phishing-aanval verwijst naar uw Azure Storage-account. Deze URL heeft eerder deel uitgemaakt van een phishing-aanval die was gericht op Microsoft 365-klanten.
Inhoud die op dergelijke pagina's wordt gehost, is meestal zo ontworpen dat bezoekers worden verleid om hun bedrijfsreferenties of financiële gegevens in te vullen in een webformulier dat legitiem lijkt.
Deze waarschuwing is gebaseerd op bedreigingsinformatie van Microsoft.
Lees meer over de bedreigingsinformatiemogelijkheden van Microsoft.
Van toepassing op: Azure Blob Storage, Azure Files
Verzameling Hoog
PREVIEW: Storage geïdentificeerd als bron voor de distributie van malware
(Storage. Files_WidespreadeAm)
Antimalwarewaarschuwingen geven aan dat een of meer geïnfecteerde bestanden zijn opgeslagen in een Azure-bestands share die is toegevoegd aan meerdere VM's. Als aanvallers toegang krijgen tot een VM met een aan elkaar geplaatste Azure-bestands share, kunnen ze deze gebruiken om malware te verspreiden naar andere VM's die dezelfde share aan elkaar hebben toegevoegd.
Van toepassing op: Azure Files
Laterale verplaatsing, uitvoering Hoog
PREVIEW: Storage account met mogelijk gevoelige gegevens is gedetecteerd met een openbaar weergegeven container
(Storage. Blob_OpenACL)
Het toegangsbeleid van een container in uw opslagaccount is gewijzigd om anonieme toegang toe te staan. Dit kan leiden tot een gegevenslek als de container gevoelige gegevens bevat. Deze waarschuwing is gebaseerd op analyse van het Azure-activiteitenlogboek.
Van toepassing op: Azure Blob Storage, Azure Data Lake Storage Gen2
Escalatie van bevoegdheden Normaal
Access from a Tor exit node to a storage account (Toegang tot een opslagaccount vanaf een Tor-afsluitknooppunt)
(Storage.Blob_TorAnomaly
Storage.Files_TorAnomaly)
Geeft aan dat dit account is geopend vanaf een IP-adres waarvan bekend is dat het actief afsluitknooppunt van Tor is (een anonieme proxy). Bij het bepalen van de ernst van deze waarschuwing wordt rekening gehouden met het gebruikte verificatietype (indien van toepassing) en of dit het eerste geval van dergelijke toegang is. Mogelijke oorzaken zijn een aanvaller die toegang heeft gehad tot uw opslagaccount via Tor of een rechtmatige gebruiker die toegang heeft gehad tot uw opslagaccount met behulp van Tor.
Van toepassing op: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
Probing, misbruik Hoog
Access from an unusual location to a storage account (Toegang tot een opslagaccount vanaf een ongebruikelijke locatie)
(Storage.Blob_GeoAnomaly
Storage.Files_GeoAnomaly)
Geeft aan dat er een wijziging is in het toegangspatroon voor een Azure Storage-account. Iemand heeft toegang verkregen tot dit account vanaf een IP-adres dat als niet-vertrouwd wordt beschouwd in vergelijking met recente activiteiten. Een aanvaller heeft toegang verkregen tot het account of een rechtmatige gebruiker heeft verbinding gemaakt vanaf een nieuwe of ongebruikelijke geografische locatie. Een voorbeeld van het laatste scenario is extern onderhoud vanuit een nieuwe toepassing of door een nieuwe ontwikkelaar.
Van toepassing op: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
Misbruik Beperkt
Anonymous access to a storage account (Anonieme toegang tot een opslagaccount)
(Storage.Blob_AnonymousAccessAnomaly)
Geeft aan dat er een wijziging is in het toegangspatroon voor een Azure Storage-account. Iemand heeft toegang tot een container in dit opslagaccount zonder te authenticeren. Toegang tot deze container wordt doorgaans geverifieerd door een SAS-token, een opslagaccountsleutel of een AAD. Dit kan erop wijzen dat een aanvaller openbare leestoegang tot het opslagaccount heeft misbruikt.
Van toepassing op: Azure Blob Storage
Misbruik Hoog
Potential malware uploaded to a storage account (Mogelijke malware die is geüpload naar een opslagaccount)
(Storage.Blob_MalwareHashReputation
Storage.Files_MalwareHashReputation)
Geeft aan dat een blob met mogelijk schadelijke software is geüpload naar een blobcontainer of een bestandsshare in een opslagaccount. Deze waarschuwing is gebaseerd op reputatieanalyse van hashes en maakt gebruik van Microsoft-bedreigingsinformatie, waaronder hashes voor virussen, Trojaanse paarden, spyware en ransomware. Mogelijke oorzaken zijn een bewuste upload van malware door een aanvaller of een onbedoelde upload van een mogelijk schadelijke blob door een legitieme gebruiker.
Van toepassing op: Azure Blob Storage, Azure Files (alleen voor transacties via REST-API)
Lees meer over de reputatieanalyse van hashes voor malware van Azure.
Lees meer over de bedreigingsinformatiemogelijkheden van Microsoft.
Lateral movement Hoog
Unusual access inspection in a storage account (Ongebruikelijke toegangsinspectie in een opslagaccount)
(Storage.Blob_AccessInspectionAnomaly
Storage.Files_AccessInspectionAnomaly)
Geeft aan dat de toegangsmachtigingen van een opslagaccount op een ongebruikelijke manier zijn geïnspecteerd, vergeleken met recente activiteit voor dit account. Een mogelijke oorzaak is dat een aanvaller verkennende activiteiten heeft uitgevoerd voor een toekomstige aanval.
Van toepassing op: Azure Blob Storage, Azure Files
Verzameling Normaal
Unusual amount of data extracted from a storage account (Ongebruikelijke hoeveelheid gegevens geëxtraheerd uit een opslagaccount)
(Storage.Blob_DataExfiltration.AmountOfDataAnomaly
Storage.Blob_DataExfiltration.NumberOfBlobsAnomaly
Storage.Files_DataExfiltration.AmountOfDataAnomaly
Storage.Files_DataExfiltration.NumberOfFilesAnomaly)
Geeft aan dat er een ongebruikelijk grote hoeveelheid gegevens is geëxtraheerd vergeleken met recente activiteiten voor deze opslagcontainer. Een mogelijke oorzaak is dat een aanvaller een grote hoeveelheid gegevens heeft geëxtraheerd uit een container met blobopslag.
Van toepassing op: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
Exfiltration Normaal
Unusual application accessed a storage account (Ongebruikelijke toepassing heeft toegang gehad tot een opslagaccount)
(Storage.Blob_ApplicationAnomaly
Storage.Files_ApplicationAnomaly)
Geeft aan dat een ongebruikelijke toepassing toegang heeft gehad tot dit opslagaccount. Een mogelijke oorzaak is dat een aanvaller met een nieuwe toepassing toegang heeft gehad tot uw opslagaccount.
Van toepassing op: Azure Blob Storage, Azure Files
Misbruik Normaal
Unusual change of access permissions in a storage account (Ongebruikelijke wijziging van toegangsmachtigingen in een opslagaccount)
(Storage.Blob_PermissionsChangeAnomaly
Storage.Files_PermissionsChangeAnomaly)
Geeft aan dat de toegangsmachtigingen van deze opslagcontainer op een ongebruikelijke manier zijn gewijzigd. Een mogelijke oorzaak is dat een aanvaller containermachtigingen heeft gewijzigd om de beveiligingspostuur te verzwakken of om persistentie te verkrijgen.
Van toepassing op: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
Persistentie Normaal
Unusual data exploration in a storage account (Ongebruikelijke gegevensverkenning in een opslagaccount)
(Storage.Blob_DataExplorationAnomaly
Storage.Files_DataExplorationAnomaly)
Geeft aan dat blobs of containers in een opslagaccount op een ongebruikelijke manier zijn geïnventariseerd, vergeleken met recente activiteit voor dit account. Een mogelijke oorzaak is dat een aanvaller verkennende activiteiten heeft uitgevoerd voor een toekomstige aanval.
Van toepassing op: Azure Blob Storage, Azure Files
Verzameling Normaal
Unusual deletion in a storage account (Ongebruikelijke verwijdering in een opslagaccount)
(Storage.Blob_DeletionAnomaly
Storage.Files_DeletionAnomaly)
Geeft aan dat er een of meer onverwachte verwijderingen zijn uitgevoerd in een opslagaccount, vergeleken met recente activiteiten voor dit account. Een mogelijke oorzaak is dat een aanvaller gegevens uit uw opslagaccount heeft verwijderd.
Van toepassing op: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
Exfiltration Normaal
Unusual upload of .cspkg to a storage account (Ongebruikelijke upload van .cspkg naar een opslagaccount)
(Storage.Blob_CspkgUploadAnomaly)
Geeft aan dat een pakket van Azure Cloud Services (. cspkg-bestand) op een ongebruikelijke manier is geüpload naar een opslagaccount, vergeleken met recente activiteit voor dit account. Een mogelijke oorzaak is dat een aanvaller zich heeft voorbereid om schadelijke code vanuit uw opslagaccount te implementeren naar een Azure-cloudservice.
Van toepassing op: Azure Blob Storage, Azure Data Lake Storage Gen2
Laterale verplaatsing, uitvoering Normaal
Unusual upload of .exe to a storage account (Ongebruikelijke upload van .exe naar een opslagaccount)
(Storage.Blob_ExeUploadAnomaly
Storage.Files_ExeUploadAnomaly)
Geeft aan dat een .exe-bestand op een ongebruikelijke manier is geüpload naar een opslagaccount, vergeleken met recente activiteit voor dit account. Een mogelijke oorzaak is dat een aanvaller een schadelijk uitvoerbaar bestand naar uw opslagaccount heeft geüpload of dat een legitieme gebruiker een uitvoerbaar bestand heeft geüpload.
Van toepassing op: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
Laterale verplaatsing, uitvoering Normaal

Waarschuwingen voor Azure Cosmos DB (preview-versie)

Extra informatie en opmerkingen

Waarschuwing Beschrijving MITRE-tactieken
(Meer informatie)
Ernst
PREVIEW - Access from an unusual location to a Cosmos DB account (PREVIEW: toegang tot een Cosmos DB-account vanaf een ongebruikelijke locatie) Geeft aan dat er een wijziging is in het toegangspatroon voor een Cosmos DB-account. Iemand heeft toegang verkregen tot dit account vanaf een onbekend IP-adres, in vergelijking met recente activiteit. Een aanvaller heeft toegang verkregen tot het account of een rechtmatige gebruiker heeft toegang gekregen vanaf een nieuwe en ongebruikelijke geografische locatie. Een voorbeeld van het laatste scenario is extern onderhoud vanuit een nieuwe toepassing of door een nieuwe ontwikkelaar. Misbruik Normaal
PREVIEW - Unusual amount of data extracted from a Cosmos DB account (PREVIEW: ongebruikelijke hoeveelheid gegevens geëxtraheerd uit een Cosmos DB-account) Geeft aan dat er een wijziging is in het patroon voor gegevensextractie voor een Azure Cosmos DB-account. Iemand heeft een ongebruikelijke hoeveelheid gegevens geëxtraheerd in vergelijking met recente activiteit. Een aanvaller kan een grote hoeveelheid gegevens hebben geëxtraheerd uit een Azure Cosmos DB-database (bijvoorbeeld via gegevensexfiltratie, een gegevenslek of een niet-geautoriseerde overdracht van gegevens). Het is ook mogelijk dat een legitieme gebruiker of toepassing een ongebruikelijke hoeveelheid gegevens uit een container heeft geëxtraheerd (bijvoorbeeld voor back-upactiviteit tijdens onderhoud). Exfiltration Normaal

Waarschuwingen voor Azure-netwerklaag

Extra informatie en opmerkingen

Waarschuwing Beschrijving MITRE-tactieken
(Meer informatie)
Ernst
Network communication with a malicious machine detected (Netwerkcommunicatie met een kwaadwillende computer gedetecteerd)
(Network_CommunicationWithC2)
Analyse van netwerkverkeer geeft aan dat uw computer (IP %{Victim IP}) heeft gecommuniceerd met wat mogelijk een Command-and-Control-center is. Wanneer de geïnfecteerde resource een load balancer is of een toepassingsgateway, kan de verdachte activiteit erop wijzen dat een of meer van de resources in de back-endpool (van de load balancer of toepassingsgateway) hebben gecommuniceerd met wat mogelijk een Command-and-Control-center is. Opdracht en controle Normaal
Possible compromised machine detected (Mogelijk geïnfecteerde computer gedetecteerd)
(Network_ResourceIpIndicatedAsMalicious)
Bedreigingsinformatie geeft aan dat uw computer (op IP %{Machine IP}) mogelijk is geïnfecteerd door malware van het type Conficker. Conficker was een computerworm die was gericht op het Microsoft Windows-besturingssysteem en die voor het eerst is gedetecteerd in november 2008. Conficker heeft miljoenen computers geïnfecteerd, waaronder computers van overheidsinstellingen, bedrijven en privégebruikers in meer dan 200 landen/regio's, waardoor dit de grootste bekende infectie met een computerworm is sinds de Welchia-worm van 2003. Opdracht en controle Normaal
Possible incoming %{Service Name} brute force attempts detected (Mogelijke binnenkomende Brute Force-aanvallen op %{Service Name} gedetecteerd)
(Generic_Incoming_BF_OneToOne)
Analyse van netwerkverkeer heeft binnenkomende communicatie van %{Service Name} naar %{Victim IP} gedetecteerd, gekoppeld aan uw resource %{Compromised Host} vanaf %{Attacker IP}. Wanneer de geïnfecteerde resource een load balancer is of een toepassingsgateway, is het verdachte binnenkomende verkeer doorgestuurd naar een of meer van de resources in de back-endpool (van de load balancer of toepassingsgateway). De netwerkgegevens waarvan een steekproef is genomen, vertonen verdachte activiteit tussen %{Start Time} en %{End Time} op poort %{Victim Port}. Deze activiteit komt overeen met Brute Force-aanvallen op servers van %{Service Name}. PreAttack (Voorbereiding) Normaal
Possible incoming SQL brute force attempts detected (Mogelijke binnenkomende Brute Force-aanvallen via SQL gedetecteerd)
(SQL_Incoming_BF_OneToOne)
Analyse van netwerkverkeer heeft binnenkomende SQL-communicatie naar %{Victim IP} gedetecteerd, gekoppeld aan uw resource %{Compromised Host} vanaf %{Attacker IP}. Wanneer de geïnfecteerde resource een load balancer is of een toepassingsgateway, is het verdachte binnenkomende verkeer doorgestuurd naar een of meer van de resources in de back-endpool (van de load balancer of toepassingsgateway). De netwerkgegevens waarvan een steekproef is genomen, vertonen verdachte activiteit tussen %{Start Time} en %{End Time} op poort %{Port Number} (%{SQL Service Type}). Deze activiteit komt overeen met aanhoudende aanvalspogingen tegen SQL-servers. PreAttack (Voorbereiding) Normaal
Mogelijke uitgaande Denial of Service-aanval gedetecteerd
(DDO's)
Analyse van netwerkverkeer heeft afwijkende uitgaande activiteit gedetecteerd die afkomstig is van %{CompromisedHost}, een resource in uw implementatie. Deze activiteit kan erop wijzen dat uw resource is geïnfecteerd en betrokken is bij Denial of Service-aanvallen op externe eindpunten. Wanneer de geïnfecteerde resource een load balancer is of een toepassingsgateway, kan de verdachte activiteit erop wijzen dat een of meer van de resources in de back-endpool (van de load balancer of toepassingsgateway) zijn geïnfecteerd. Op basis van het aantal verbindingen denken we dat de volgende IP-adressen mogelijk doelwit zijn van de DOS-aanval: %{Possible Victims}. Het is mogelijk dat de communicatie met sommige van deze IP-adressen legitiem is. Impact Normaal
Possible outgoing port scanning activity detected (Mogelijke activiteit voor het scannen van uitgaande poorten gedetecteerd)
(PortSweeping)
Analyse van netwerkverkeer heeft aangetoond dat er verdacht uitgaand verkeer afkomstig is van %{Compromised Host}. Dit verkeer kan het gevolg zijn van een activiteit om poorten te scannen. Wanneer de geïnfecteerde resource een load balancer is of een toepassingsgateway, is het verdachte uitgaande verkeer afkomstig van een of meer van de resources in de back-endpool (van de load balancer of toepassingsgateway). Als dit gedrag opzettelijk is, is het belangrijk om te weten dat het scannen van poorten in strijd is met de servicevoorwaarden van Azure. Als dit gedrag niet opzettelijk is, kan dit betekenen dat uw resource is geïnfecteerd. Detectie Normaal
Suspicious incoming RDP network activity from multiple sources (Verdachte binnenkomende RDP-netwerkactiviteit van meerdere bronnen)
(RDP_Incoming_BF_ManyToOne)
Analyse van netwerkverkeer heeft ongebruikelijke binnenkomende RDP-communicatie (Remote Desktop Protocol) naar %{Victim IP} gedetecteerd, gekoppeld aan uw resource %{Compromised Host} vanuit meerdere bronnen. Wanneer de geïnfecteerde resource een load balancer is of een toepassingsgateway, is het verdachte binnenkomende verkeer doorgestuurd naar een of meer van de resources in de back-endpool (van de load balancer of toepassingsgateway). De voorbeeldnetwerkgegevens tonen %{Number of Attacking IPs} unieke IP-adressen die verbinding maken met uw resource, wat abnormaal is voor deze omgeving. Deze activiteit kan wijzen op een poging om uw RDP-eindpunt vanaf meerdere hosts (Botnet) aan te vallen. PreAttack (Voorbereiding) Normaal
Suspicious incoming RDP network activity (Verdachte binnenkomende RDP-netwerkactiviteit)
(RDP_Incoming_BF_OneToOne)
Analyse van netwerkverkeer heeft ongebruikelijke binnenkomende RDP-communicatie (Remote Desktop Protocol) naar %{Victim IP} gedetecteerd, gekoppeld aan uw resource %{Compromised Host} vanaf %{Attacker IP}. Wanneer de geïnfecteerde resource een load balancer is of een toepassingsgateway, is het verdachte binnenkomende verkeer doorgestuurd naar een of meer van de resources in de back-endpool (van de load balancer of toepassingsgateway). De voorbeeldnetwerkgegevens tonen een aantal van %{Number of Connections} binnenkomende verbindingen naar uw resource, wat abnormaal is voor deze omgeving. Deze activiteit kan wijzen op een poging om uw RDP-eindpunt aan te vallen. PreAttack (Voorbereiding) Normaal
Suspicious incoming SSH network activity from multiple sources (Verdachte binnenkomende SSH-netwerkactiviteit van meerdere bronnen)
(SSH_Incoming_BF_ManyToOne)
Analyse van netwerkverkeer heeft ongebruikelijke binnenkomende SSH-communicatie naar %{Victim IP} gedetecteerd, gekoppeld aan uw resource %{Compromised Host} vanuit meerdere bronnen. Wanneer de geïnfecteerde resource een load balancer is of een toepassingsgateway, is het verdachte binnenkomende verkeer doorgestuurd naar een of meer van de resources in de back-endpool (van de load balancer of toepassingsgateway). De voorbeeldnetwerkgegevens tonen %{Number of Attacking IPs} unieke IP-adressen die verbinding maken met uw resource, wat abnormaal is voor deze omgeving. Deze activiteit kan wijzen op een poging om uw SSH-eindpunt vanaf meerdere hosts (Botnet) aan te vallen. PreAttack (Voorbereiding) Normaal
Suspicious incoming SSH network activity (Verdachte binnenkomende SSH-netwerkactiviteit)
(SSH_Incoming_BF_OneToOne)
Analyse van netwerkverkeer heeft ongebruikelijke binnenkomende SSH-communicatie naar %{Victim IP} gedetecteerd, gekoppeld aan uw resource %{Compromised Host} vanaf %{Attacker IP}. Wanneer de geïnfecteerde resource een load balancer is of een toepassingsgateway, is het verdachte binnenkomende verkeer doorgestuurd naar een of meer van de resources in de back-endpool (van de load balancer of toepassingsgateway). De voorbeeldnetwerkgegevens tonen een aantal van %{Number of Connections} binnenkomende verbindingen naar uw resource, wat abnormaal is voor deze omgeving. Deze activiteit kan wijzen op een Brute Force-aanval op uw SSH-eindpunt. PreAttack (Voorbereiding) Normaal
Suspicious outgoing %{Attacked Protocol} traffic detected (Verdacht uitgaand %{Attacked Protocol}-verkeer gedetecteerd)
(PortScanning)
Analyse van netwerkverkeer heeft aangetoond dat er verdacht uitgaand verkeer afkomstig is van %{Compromised Host} naar doelpoort %{Most Common Port}. Wanneer de geïnfecteerde resource een load balancer is of een toepassingsgateway, is het verdachte uitgaande verkeer afkomstig van een of meer van de resources in de back-endpool (van de load balancer of toepassingsgateway). Dit gedrag kan erop wijzen dat uw resource wordt gebruikt in Brute Force-aanvallen of port sweeping-aanvallen via %{Attacked Protocol}. Detectie Normaal
Suspicious outgoing RDP network activity to multiple destinations (Verdachte uitgaande RDP-netwerkactiviteit naar meerdere bestemmingen)
(RDP_Outgoing_BF_OneToMany)
Analyse van netwerkverkeer heeft afwijkende uitgaande RDP-communicatie (Remote Desktop Protocol) naar meerdere bestemmingen gedetecteerd, afkomstig van %{Compromised Host} (%{Attacker IP}), een resource in uw implementatie. Wanneer de geïnfecteerde resource een load balancer is of een toepassingsgateway, is het verdachte uitgaande verkeer afkomstig van een of meer van de resources in de back-endpool (van de load balancer of toepassingsgateway). De voorbeeldnetwerkgegevens geven aan dat uw computer verbinding maakt met %{Number of Attacked IPs} unieke IP-adressen, wat abnormaal is voor deze omgeving. Dit kan erop wijzen dat uw resource is geïnfecteerd en wordt gebruikt om externe RDP-eindpunten herhaaldelijk aan te vallen. Houd er rekening mee dat dit type activiteit ervoor kan zorgen dat uw IP-adres wordt gemarkeerd als kwaadaardig bij externe entiteiten. Detectie Hoog
Suspicious outgoing RDP network activity (Verdachte uitgaande RDP-netwerkactiviteit)
(RDP_Outgoing_BF_OneToOne)
Analyse van netwerkverkeer heeft afwijkende uitgaande RDP-communicatie (Remote Desktop Protocol) naar %{Victim IP} gedetecteerd, afkomstig van %{Compromised Host} (%{Attacker IP}), een resource in uw implementatie. Wanneer de geïnfecteerde resource een load balancer is of een toepassingsgateway, is het verdachte uitgaande verkeer afkomstig van een of meer van de resources in de back-endpool (van de load balancer of toepassingsgateway). De voorbeeldnetwerkgegevens tonen een aantal van %{Number of Connections} uitgaande verbindingen van uw resource, wat abnormaal is voor deze omgeving. Dit kan erop wijzen dat uw computer is geïnfecteerd en wordt gebruikt om externe RDP-eindpunten herhaaldelijk aan te vallen. Houd er rekening mee dat dit type activiteit ervoor kan zorgen dat uw IP-adres wordt gemarkeerd als kwaadaardig bij externe entiteiten. Lateral movement Hoog
Suspicious outgoing SSH network activity to multiple destinations (Verdachte uitgaande SSH-netwerkactiviteit naar meerdere bestemmingen)
(SSH_Outgoing_BF_OneToMany)
Analyse van netwerkverkeer heeft afwijkende uitgaande SSH-communicatie naar meerdere bestemmingen gedetecteerd, afkomstig van %{Compromised Host} (%{Attacker IP}), een resource in uw implementatie. Wanneer de geïnfecteerde resource een load balancer is of een toepassingsgateway, is het verdachte uitgaande verkeer afkomstig van een of meer van de resources in de back-endpool (van de load balancer of toepassingsgateway). De voorbeeldnetwerkgegevens geven aan dat uw resource verbinding maakt met %{Number of Attacked IPs} unieke IP-adressen, wat abnormaal is voor deze omgeving. Dit kan erop wijzen dat uw resource is geïnfecteerd en wordt gebruikt om externe SSH-eindpunten herhaaldelijk aan te vallen. Houd er rekening mee dat dit type activiteit ervoor kan zorgen dat uw IP-adres wordt gemarkeerd als kwaadaardig bij externe entiteiten. Detectie Normaal
Suspicious outgoing SSH network activity (Verdachte uitgaande SSH-netwerkactiviteit)
(SSH_Outgoing_BF_OneToOne)
Analyse van netwerkverkeer heeft afwijkende uitgaande SSH-communicatie naar %{Victim IP} gedetecteerd, afkomstig van %{Compromised Host} (%{Attacker IP}), een resource in uw implementatie. Wanneer de geïnfecteerde resource een load balancer is of een toepassingsgateway, is het verdachte uitgaande verkeer afkomstig van een of meer van de resources in de back-endpool (van de load balancer of toepassingsgateway). De voorbeeldnetwerkgegevens tonen een aantal van %{Number of Connections} uitgaande verbindingen van uw resource, wat abnormaal is voor deze omgeving. Dit kan erop wijzen dat uw resource is geïnfecteerd en wordt gebruikt om externe SSH-eindpunten herhaaldelijk aan te vallen. Houd er rekening mee dat dit type activiteit ervoor kan zorgen dat uw IP-adres wordt gemarkeerd als kwaadaardig bij externe entiteiten. Lateral movement Normaal
Traffic detected from IP addresses recommended for blocking (Verkeer gedetecteerd van IP-adressen die worden aanbevolen voor blokkering) Microsoft Defender for Cloud heeft inkomende verkeer gedetecteerd van IP-adressen die worden aanbevolen te worden geblokkeerd. Dit gebeurt meestal wanneer dit IP-adres niet regelmatig communiceert met deze resource. Het IP-adres is ook gemarkeerd als schadelijk door de bedreigingsinformatiebronnen van Defender for Cloud. Scannen Beperkt

Waarschuwingen voor Azure Key Vault

Extra informatie en opmerkingen

Waarschuwing (waarschuwingstype) Beschrijving MITRE-tactieken
(Meer informatie)
Ernst
Toegang vanaf een verdacht IP-adres tot een sleutelkluis
(KV_SuspiciousIPAccess)
Een sleutelkluis is toegankelijk via een IP-adres dat door Microsoft Threat Intelligence is geïdentificeerd als een verdacht IP-adres. Dit kan erop wijzen dat uw infrastructuur is aangetast. We raden verder onderzoek aan. Lees meer over de bedreigingsinformatiemogelijkheden van Microsoft. Toegang tot referenties Normaal
Access from a TOR exit node to a key vault (Toegang tot een sleutelkluis vanaf een Tor-afsluitknooppunt)
(KV_TORAccess)
Een sleutelkluis is geopend vanaf een bekend TOR-afsluitknooppunt. Dit kan een indicatie zijn dat een aanvaller de sleutelkluis heeft geopend en het TOR-netwerk gebruikt om zijn of haar locatie te verbergen. We raden verder onderzoek aan. Toegang tot referenties Normaal
High volume of operations in a key vault (Grote hoeveelheid bewerkingen in een sleutelkluis)
(KV_OperationVolumeAnomaly)
Er is een ongebruikelijk aantal sleutelkluisbewerkingen uitgevoerd door een gebruiker, service-principal en/of een specifieke sleutelkluis. Dit afwijkende activiteitenpatroon is mogelijk legitiem, maar kan ook een indicatie zijn dat een aanvaller toegang heeft verkregen tot de sleutelkluis en de geheimen erin. We raden verder onderzoek aan. Toegang tot referenties Normaal
Suspicious policy change and secret query in a key vault (Verdachte beleidswijziging en geheime query in een sleutelkluis)
(KV_PutGetAnomaly)
Een gebruiker of service-principal heeft een ongebruikelijke Vault Put-bewerking uitgevoerd voor een kluis om het toegewezen beleid te wijzigen, gevolgd door een of meer Get Secret-bewerkingen. Dit patroon wordt normaal gesproken niet uitgevoerd door de aangegeven gebruiker of service-principal. Dit kan een legitieme activiteit zijn, maar het kan ook een indicatie zijn dat een aanvaller het sleutelkluisbeleid heeft bijgewerkt om toegang te krijgen tot eerder ontoegankelijke geheimen. We raden verder onderzoek aan. Toegang tot referenties Normaal
Suspicious secret listing and query in a key vault (Verdachte weergave van geheimen en query in een sleutelkluis)
(KV_ListGetAnomaly)
Een gebruiker of service-principal heeft een ongebruikelijke List Secret-bewerking uitgevoerd voor een kluis om het toegewezen beleid te wijzigen, gevolgd door een of meer Get Secret-bewerkingen. Dit patroon wordt normaal gesproken niet uitgevoerd door de aangegeven gebruiker of service-principal en is meestal gekoppeld aan het dumpen van geheimen. Dit kan een legitieme activiteit zijn, maar het kan ook een indicatie zijn dat een aanvaller toegang heeft verkregen tot de sleutelkluis en probeert geheimen te achterhalen die kunnen worden gebruikt om zich zijdelings door uw netwerk te verplaatsen en/of om toegang te krijgen tot gevoelige resources. We raden verder onderzoek aan. Toegang tot referenties Normaal
Unusual application accessed a key vault (Ongebruikelijke toepassing heeft toegang gehad tot een sleutelkluis)
(KV_AppAnomaly)
Een sleutelkluis is geopend door een service-principal die normaal gesproken de kluis niet opent. Dit afwijkende toegangspatroon is mogelijk legitiem, maar kan ook een indicatie zijn dat een aanvaller toegang heeft verkregen tot de sleutelkluis in een poging om de geheimen in de kluis te achterhalen. We raden verder onderzoek aan. Toegang tot referenties Normaal
Unusual operation pattern in a key vault (Ongebruikelijk bewerkingspatroon in een sleutelkluis)
KV_OperationPatternAnomaly)
Er is een ongebruikelijk patroon van sleutelkluisbewerkingen vastgesteld voor een gebruiker, service-principal en/of een specifieke sleutelkluis. Dit afwijkende activiteitenpatroon is mogelijk legitiem, maar kan ook een indicatie zijn dat een aanvaller toegang heeft verkregen tot de sleutelkluis en de geheimen erin. We raden verder onderzoek aan. Toegang tot referenties Normaal
Unusual user accessed a key vault (Ongebruikelijke gebruiker heeft toegang gekregen tot een sleutelkluis)
(KV_UserAnomaly)
Een sleutelkluis is geopend door een gebruiker die normaal gesproken de kluis niet opent. Dit afwijkende toegangspatroon is mogelijk legitiem, maar kan ook een indicatie zijn dat een aanvaller toegang heeft verkregen tot de sleutelkluis in een poging om de geheimen in de kluis te achterhalen. We raden verder onderzoek aan. Toegang tot referenties Normaal
Unusual user-application pair accessed a key vault (Ongebruikelijke combinatie van gebruiker-toepassing heeft toegang gekregen tot een sleutelkluis)
(KV_UserAppAnomaly)
Een sleutelkluis is geopend door een gebruikersservice-principal die normaal gesproken de kluis niet opent. Dit afwijkende toegangspatroon is mogelijk legitiem, maar kan ook een indicatie zijn dat een aanvaller toegang heeft verkregen tot de sleutelkluis in een poging om de geheimen in de kluis te achterhalen. We raden verder onderzoek aan. Toegang tot referenties Normaal
User accessed high volume of key vaults (Gebruiker heeft groot aantal sleutelkluizen geopend)
(KV_AccountVolumeAnomaly)
Een gebruiker of service-principal heeft toegang gekregen tot een ongebruikelijk groot aantal sleutelkluizen. Dit afwijkende toegangspatroon is mogelijk legitiem, maar kan ook een indicatie zijn dat een aanvaller toegang heeft verkregen tot verschillende sleutelkluizen in een poging om de geheimen in de kluizen te achterhalen. We raden verder onderzoek aan. Toegang tot referenties Normaal

Waarschuwingen voor Azure DDoS Protection

Extra informatie en opmerkingen

Waarschuwing Beschrijving MITRE-tactieken
(Meer informatie)
Ernst
DDoS Attack detected for Public IP (DDoS-aanval gedetecteerd voor openbaar IP-adres) Er is een DDoS-aanval op een openbaar IP-adres gedetecteerd en beperkt. Scannen Hoog
DDoS Attack mitigated for Public IP (DDoS-aanval beperkt voor openbaar IP-adres) Er is een DDoS-aanval beperkt voor een openbaar IP-adres. Scannen Beperkt

Waarschuwingen voor beveiligingsincidenten

Extra informatie en opmerkingen

Waarschuwing Beschrijving MITRE-tactieken
(Meer informatie)
Ernst
Security incident with shared process detected (Er is een beveiligingsincident met een gedeeld proces gedetecteerd) Het incident dat is gestart om {Start Time (UTC)} en recent is gedetecteerd om {Detected Time (UTC)} geeft aan dat een aanvaller {Action taken} heeft uitgevoerd op uw resource {Host} - Hoog
Security incident detected on multiple resources (Er is een beveiligingsincident gedetecteerd op meerdere resources) Het incident dat is gestart om {Start Time (UTC)} en recent is gedetecteerd om {Detected Time (UTC)} geeft aan dat er soortgelijke aanvalsmethoden zijn uitgevoerd op uw cloudresources {Host} - Normaal
Security incident detected from same source (Beveiligingsincident gedetecteerd uit dezelfde bron) Het incident dat is gestart om {Start Time (UTC)} en recent is gedetecteerd om {Detected Time (UTC)} geeft aan dat een aanvaller {Action taken} heeft uitgevoerd op uw resource {Host} - Hoog
Security incident detected on multiple machines (Er is een beveiligingsincident gedetecteerd op meerdere machines) Het incident dat is gestart om {Start Time (UTC)} en recent is gedetecteerd om {Detected Time (UTC)} geeft aan dat een aanvaller {Action taken} heeft uitgevoerd op uw resources {Host} - Normaal

MITRE ATT&CK-tactieken

Inzicht in de intentie of de bedoeling van een aanval kan helpen om het onderzoeken en rapporteren van de gebeurtenis te vereenvoudigen. Om u hierbij te helpen, bevat Microsoft Defender for Cloud-waarschuwingen de MITRE-tactieken met veel waarschuwingen.

De reeks stappen die de voortgang beschrijft van een cyberaanval van verkenning tot gegevensexfiltratie wordt vaak een 'killchain' genoemd.

De ondersteunde kill chain-intenties van Defender for Cloud zijn gebaseerd op versie 7 van de MITRE ATT&CK-matrix en worden beschreven in de onderstaande tabel.

Tactiek Beschrijving
PreAttack (Voorbereiding) PreAttack kan een poging zijn om toegang te krijgen tot een bepaalde resource, ongeacht of dit met of zonder kwaadwillende intentie is, of een mislukte poging om toegang te krijgen tot een doelsysteem om informatie te verzamelen teneinde het systeem te infecteren. Deze stap wordt meestal gedetecteerd als een poging, afkomstig van buiten het netwerk, om het doelsysteem te scannen en een ingangspunt te identificeren.
Initiële toegang Initiële toegang is de fase waarin een aanvaller erin slaagt om voet aan de grond te krijgen in de aangevallen resource. Deze fase is relevant voor compute-hosts en resources zoals gebruikersaccounts, certificaten, enzovoort. Bedreigingsactoren hebben na deze fase vaak controle over de resource.
Persistentie Persistentie (Persistence in de matrix) is elke wijziging van toegang, actie of configuratie van een systeem waarmee een bedreigingsactor een permanente of persistente aanwezigheid kan verkrijgen in dat systeem. Het is belangrijk voor bedreigingsactoren dat ze ook na onderbrekingen toegang houden tot het aangevallen systeem. Voorbeelden van dergelijke onderbrekingen zijn het opnieuw opstarten van het systeem, verlies van referenties of andere fouten waardoor een tool voor externe toegang opnieuw moet worden gestart of een alternatieve achterdeur moet worden gevonden om de toegang te herstellen.
Escalatie van bevoegdheden Het verhogen of escaleren van bevoegdheden is het resultaat van acties waarmee een indringer de beschikking krijgt over een hoger machtigingsniveau op een systeem of in een netwerk. Bepaalde tools of acties vereisen een hoger bevoegdheidsniveau en zijn waarschijnlijk op verschillende punten tijdens een bewerking noodzakelijk. Gebruikersaccounts met machtigingen voor toegang tot specifieke systemen of voor het uitvoeren van specifieke functies die nodig zijn voor indringers om hun doelstelling te verwezenlijken, kunnen ook worden beschouwd als een escalatie van bevoegdheden.
Defense Evasion Hier gaat het om technieken die een indringer kan gebruiken om detectie te voorkomen of andere verdedigingsmechanismen te vermijden. Soms zijn deze acties hetzelfde als (of variaties van) technieken in andere categorieën met het toegevoegde voordeel van het ondermijnen van een bepaalde verdediging of beperking.
Toegang tot referenties Toegang tot referenties bestaat uit technieken die leiden tot toegang tot of controle over systeem-, domein- of servicereferenties die worden gebruikt binnen een bedrijfsomgeving. Indringers zullen waarschijnlijk proberen om geldige referenties te verkrijgen van gebruikers of beheerdersaccounts (lokale systeembeheerder of domeingebruikers met beheerderstoegang) voor gebruik binnen het netwerk. Als een indringer voldoende toegang heeft binnen een netwerk, kan hij of zij accounts maken voor later gebruik binnen de omgeving.
Discovery (Detectie) Detectie bestaat uit technieken waarmee de indringer kennis kan verkrijgen over het systeem en het interne netwerk. Wanneer indringers toegang hebben tot een nieuw systeem, moeten ze vaststellen waarover ze nu controle hebben en wat ze kunnen inzetten van dat systeem om hun huidige doelstelling of algemene doelstellingen van de aanval te realiseren. Het besturingssysteem biedt verschillende ingebouwde programma's die kunnen helpen bij deze fase van het verzamelen van gegevens na de overname van het systeem.
Lateral Movement (Zijdelingse verplaatsing) Zijdelingse verplaatsing bestaat uit technieken die een indringer in staat stellen om externe systemen in een netwerk over te nemen en te beheren, maar dit hoeft niet noodzakelijkerwijs het uitvoeren van tools op externe systemen te omvatten. De technieken voor zijdelingse verplaatsing kunnen ertoe leiden dat een indringer gegevens van een systeem verzamelt zonder dat hiervoor extra hulpmiddelen nodig zijn, zoals een tool voor externe toegang. Een indringer kan voor allerlei doelen gebruikmaken van zijdelingse verplaatsing, waaronder het op afstand uitvoeren van tools, het overschakelen naar andere systemen, toegang tot specifieke informatie of bestanden, toegang tot aanvullende referenties of om een bepaald effect te bewerkstelligen.
Uitvoering De uitvoeringstactiek bestaat uit technieken die leiden tot het uitvoeren van door de indringer beheerde code op een lokaal of extern systeem. Deze tactiek wordt vaak gebruikt in combinatie met zijdelingse verplaatsing om toegang uit te breiden tot externe systemen in een netwerk.
Verzameling Verzameling bestaat uit technieken die worden gebruikt voor het identificeren en verzamelen van informatie, zoals gevoelige bestanden, op een doelnetwerk voorafgaand aan exfiltratie. Deze categorie heeft ook betrekking op locaties op een systeem of netwerk waar de indringer kan zoeken naar gegevens om te exfiltreren.
Exfiltration (Exfiltratie) Exfiltratie verwijst naar technieken en kenmerken die leiden tot of helpen bij het verwijderen door de indringer van bestanden en informatie vanuit een doelnetwerk. Deze categorie heeft ook betrekking op locaties op een systeem of netwerk waar de indringer kan zoeken naar gegevens om te exfiltreren.
Opdracht en beheer De Command and Control-tactiek laat zien hoe indringers communiceren met systemen in hun beheer in een doelnetwerk.
Impact Gebeurtenissen uit deze categorie proberen hoofdzakelijk de beschikbaarheid of integriteit van een systeem, service of netwerk te verminderen, waaronder de manipulatie van gegevens om een bedrijfs- of operationeel proces te beïnvloeden. Dit gebeurt vaak met technieken zoals ransomware, beschadiging en gegevensmanipulatie.

Notitie

Voor waarschuwingen die in preview zijn: De Aanvullende voorwaarden voor Azure-previews omvatten aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die in bèta of preview zijn of die anders nog niet algemeen beschikbaar zijn.

Volgende stappen

Zie de volgende informatie voor meer informatie over beveiligingswaarschuwingen van Microsoft Defender for Cloud: