Alertas de segurança – um guia de referência

Este artigo lista os alertas de segurança que poderá receber do Azure Security Center e quaisquer planos do Azure Defender que tenha ativado. Os alertas mostrados no seu ambiente dependem dos recursos e serviços que está a proteger, bem como da sua configuração personalizada.

Na parte inferior desta página, há uma tabela que descreve a cadeia de morte do Azure Security Center alinhada com a versão 7 da matriz CK MITRE ATT&.

Saiba como responder a estes alertas.

Saiba como exportar alertas.

Alertas para máquinas Windows

Mais detalhes e notas

Alerta (tipo de alerta) Descrição Táticas MITRE
(Saibamais)
Gravidade
Foi detetada uma surgiun de um IP malicioso. [visto várias vezes] Uma autenticação remota bem sucedida para a conta [conta] e processo [processo] ocorreu, no entanto o endereço IP de logon (x.x.x.x) foi previamente reportado como malicioso ou altamente invulgar. Um ataque bem sucedido provavelmente ocorreu. Os ficheiros com as extensões .scr são ficheiros de poupança de ecrã e normalmente residem e executam a partir do diretório de sistemas Windows. - Alto
Foi detetada uma logon de um IP malicioso
(VM_ThreatIntelSuspectLogon)
Uma autenticação remota bem sucedida para a conta [conta] e processo [processo] ocorreu, no entanto o endereço IP de logon (x.x.x.x) foi previamente reportado como malicioso ou altamente invulgar. Um ataque bem sucedido provavelmente ocorreu. Acesso inicial Alto
Adição da conta de hóspedes ao grupo de administradores locais A análise dos dados do anfitrião detetou a adição da conta de Hóspedes incorporada ao grupo de Administradores Locais em %{Comprometeu-se com o Host}, que está fortemente associado à atividade do intruso. - Médio
Um registo de eventos foi limpo Os registos da máquina indicam uma operação de compensação de registo de eventos suspeito pelo utilizador: "%{user name}" na Máquina: '%{Comprometeu a Entidade}'. O registo %{log} foi limpo. - Informativo
Ação antimalware falhou Microsoft Antimalware encontrou um erro ao tomar uma ação em malware ou outro software potencialmente indesejado. - Médio
Ação antimalware tomada Microsoft Antimalware para a Azure tomou uma ação para proteger esta máquina de malware ou outro software potencialmente indesejado. - Médio
Exclusão de ficheiros largos antimalware na sua máquina virtual
(VM_AmBroadFilesExclusion)
A exclusão de ficheiros da extensão antimalware com uma regra de exclusão ampla foi detetada na sua máquina virtual através da análise das operações do Azure Resource Manager na sua subscrição. Tal exclusão praticamente desativa a proteção antimalware.
Os atacantes podem excluir ficheiros da varredura antimalware na sua máquina virtual para impedir a deteção enquanto executa código arbitrário ou infeta a máquina com malware.
- Médio
Antimalware desativado e execução de código na sua máquina virtual
(VM_AmDisablementAndCodeExecution)
Antimalware desativado ao mesmo tempo que a execução de código na sua máquina virtual. Isto foi detetado através da análise das operações do Azure Resource Manager na sua subscrição.
Os atacantes desativam os scanners antimalware para impedir a deteção durante a execução de ferramentas não autorizadas ou infetando a máquina com malware.
- Alto
Antimalware desativado na sua máquina virtual
(VM_AmDisablement)
Antimalware desativado na sua máquina virtual. Isto foi detetado através da análise das operações do Azure Resource Manager na sua subscrição.
Os atacantes podem desativar o antimalware da sua máquina virtual para evitar a deteção.
Evasão à Defesa Médio
Exclusão de ficheiros antimalware e execução de código na sua máquina virtual
(VM_AmFileExclusionAndCodeExecution)
O ficheiro excluído do seu scanner de antimalware ao mesmo tempo que o código foi executado através de uma extensão de script personalizada na sua máquina virtual. Isto foi detetado através da análise das operações do Azure Resource Manager na sua subscrição.
Os atacantes podem excluir ficheiros da varredura antimalware na sua máquina virtual para impedir a deteção enquanto executa ferramentas não autorizadas ou infeta a máquina com malware.
Evasão de defesa, execução Alto
Exclusão de ficheiros antimalware e execução de código na sua máquina virtual
(VM_AmTempFileExclusionAndCodeExecution)
A exclusão temporária de ficheiros da extensão antimalware paralela à execução do código através de extensão de script personalizado foi detetada na sua máquina virtual através da análise das operações do Azure Resource Manager na sua subscrição.
Os atacantes podem excluir ficheiros da varredura antimalware na sua máquina virtual para impedir a deteção enquanto executa código arbitrário ou infeta a máquina com malware.
Evasão de defesa, execução Alto
Exclusão de ficheiros antimalware na sua máquina virtual
(VM_AmTempFileExclusion)
Ficheiro excluído do seu scanner antimalware na sua máquina virtual. Isto foi detetado através da análise das operações do Azure Resource Manager na sua subscrição.
Os atacantes podem excluir ficheiros da varredura antimalware na sua máquina virtual para impedir a deteção enquanto executa ferramentas não autorizadas ou infeta a máquina com malware.
Evasão à Defesa Médio
A proteção antimalware em tempo real foi desativada na sua máquina virtual
(VM_AmRealtimeProtectionDisabled)
O desactivamento da proteção em tempo real da extensão antimalware foi detetado na sua máquina virtual através da análise das operações do Azure Resource Manager na sua subscrição.
Os atacantes podem desativar a proteção em tempo real da varredura antimalware na sua máquina virtual para evitar a deteção durante a execução de código arbitrário ou infetar a máquina com malware.
Evasão à Defesa Médio
A proteção antimalware em tempo real foi desativada temporariamente na sua máquina virtual
(VM_AmTempRealtimeProtectionDisablement)
A proteção em tempo real foi detetada na sua máquina virtual a proteção em tempo real, analisando as operações do Azure Resource Manager na sua subscrição.
Os atacantes podem desativar a proteção em tempo real da varredura antimalware na sua máquina virtual para evitar a deteção durante a execução de código arbitrário ou infetar a máquina com malware.
Evasão à Defesa Médio
A proteção antimalware em tempo real foi desativada temporariamente enquanto o código foi executado na sua máquina virtual
(VM_AmRealtimeProtectionDisablementAndCodeExec)
A proteção em tempo real desativação temporária da extensão antimalware paralela à execução de código através de extensão de script personalizado foi detetada na sua máquina virtual analisando as operações do Azure Resource Manager na sua subscrição.
Os atacantes podem desativar a proteção em tempo real da varredura antimalware na sua máquina virtual para evitar a deteção durante a execução de código arbitrário ou infetar a máquina com malware.
- Alto
Análises antimalware bloqueadas para ficheiros potencialmente relacionados com campanhas de malware na sua máquina virtual (Preview)
(VM_AmMalwareCampaignRelatedExclusion)
Uma regra de exclusão foi detetada na sua máquina virtual para evitar que a extensão do antimalware verificasse certos ficheiros suspeitos de estarem relacionados com uma campanha de malware. A regra foi detetada através da análise das operações do Azure Resource Manager na sua subscrição. Os atacantes podem excluir ficheiros de varreduras antimalware para impedir a deteção durante a execução de código arbitrário ou infetar a máquina com malware. Evasão à Defesa Médio
Antimalware temporariamente desativado na sua máquina virtual
(VM_AmTemporarilyDisablement)
Antimalware temporariamente desativado na sua máquina virtual. Isto foi detetado através da análise das operações do Azure Resource Manager na sua subscrição.
Os atacantes podem desativar o antimalware da sua máquina virtual para evitar a deteção.
- Médio
Exclusão de ficheiro incomum de antimalware na sua máquina virtual
(VM_UnusualAmFileExclusion)
A exclusão invulgar de ficheiros da extensão antimalware foi detetada na sua máquina virtual analisando as operações do Azure Resource Manager na sua subscrição.
Os atacantes podem excluir ficheiros da varredura antimalware na sua máquina virtual para impedir a deteção enquanto executa código arbitrário ou infeta a máquina com malware.
Evasão à Defesa Médio
Extensão de script personalizado com comando suspeito na sua máquina virtual
(VM_CustomScriptExtensionSuspiciousCmd)
A extensão de script personalizada com comando suspeito foi detetada na sua máquina virtual analisando as operações do Azure Resource Manager na sua subscrição.
Os atacantes podem utilizar a extensão de script personalizada para executar um código malicioso na sua máquina virtual através do Azure Resource Manager.
Execução Médio
Extensão de script personalizado com ponto de entrada suspeito na sua máquina virtual
(VM_CustomScriptExtensionSuspiciousEntryPoint)
A extensão de script personalizada com um ponto de entrada suspeito foi detetada na sua máquina virtual analisando as operações do Azure Resource Manager na sua subscrição. O ponto de entrada refere-se a um repositório de GitHub suspeito.
Os atacantes podem utilizar extensões de script personalizadas para executar código malicioso nas suas máquinas virtuais através do Azure Resource Manager.
Execução Médio
Extensão de script personalizado com carga útil suspeita na sua máquina virtual
(VM_CustomScriptExtensionSuspiciousPayload)
A extensão de script personalizada com uma carga útil de um repositório de GitHub suspeito foi detetada na sua máquina virtual através da análise das operações do Azure Resource Manager na sua subscrição.
Os atacantes podem utilizar extensões de script personalizadas para executar código malicioso nas suas máquinas virtuais através do Azure Resource Manager.
Execução Médio
Ações detetadas indicativas de desativação e eliminação de ficheiros de registo do IIS A análise dos dados do anfitrião detetou ações que mostram que os ficheiros de registo do IIS estão a ser desativados e/ou eliminados. - Médio
Mistura anómala detetada de caracteres maiússãos e minúsculas na linha de comando A análise dos dados do anfitrião em %{Host comprometido} detetou uma linha de comando com mistura anómala de caracteres maiússãos e minúsculas. Este tipo de padrão, embora possivelmente benigno, também é típico de atacantes que tentam esconder-se de regras sensíveis a casos ou haxixe que combinam quando realizam tarefas administrativas num hospedeiro comprometido. - Médio
Alteração detetada para uma chave de registo que pode ser abusada para contornar a UAC A análise dos dados do anfitrião em %{Host comprometido} detetou que uma chave de registo que pode ser abusada para contornar o UAC (User Account Control) foi alterada. Este tipo de configuração, embora possivelmente benigna, também é típica da atividade do atacante quando se tenta passar de um acesso desprivilegiado (utilizador padrão) para um acesso privilegiado (por exemplo, administrador) num hospedeiro comprometido. - Médio
Descodição detetada de uma ferramenta de certutil.exe incorporada A análise dos dados do anfitrião em %{Host comprometido} detetou que certutil.exe, um utilitário de administrador incorporado, estava a ser usado para descodificar um executável em vez do seu propósito principal que se relaciona com a manipulação de certificados e dados de certificados. Os atacantes são conhecidos por abusar da funcionalidade de ferramentas de administração legítimas para efetuar ações maliciosas, por exemplo, utilizando uma ferramenta como o certutil.exe para descodificar um executável malicioso que, em seguida, será executado posteriormente. - Alto
Habilitação detetada da chave de registo WDigest UseLogonCredential A análise dos dados do anfitrião detetou uma alteração na chave de registo HKLM\SYSTEM\CurrentControlSet\ControlSet\Control\SecurityProviders\WDigest\ "UseLogonCredential". Especificamente, esta chave foi atualizada para permitir que as credenciais de início de súns sejam armazenadas em texto claro na memória LSA. Uma vez ativado, um intruso pode despejar palavras-passe claras da memória LSA com ferramentas de colheita credenciais como Mimikatz. - Médio
Detetado codificado executável em dados da linha de comando A análise dos dados do anfitrião em %{Anfitrião Comprometido} detetou uma base-64 codificada executável. Isto foi anteriormente associado a atacantes que tentam construir executáveis no voo através de uma sequência de comandos, e tentar fugir aos sistemas de deteção de intrusões, garantindo que nenhum comando individual desencadearia um alerta. Isto pode ser uma atividade legítima, ou uma indicação de um hospedeiro comprometido. - Alto
Linha de comando obfuscada detetada Os atacantes usam técnicas de obfuscção cada vez mais complexas para evitar deteções que vão contra os dados subjacentes. A análise dos dados do anfitrião em %{Host comprometido} detetou indicadores suspeitos de obfuscção na linha de comando. - Informativo
Indicadores de ransomware Petya detetados A análise dos dados do anfitrião em %{Host Comprometido} detetou indicadores associados ao ransomware Petya. Consulte https://blogs.technet.microsoft.com/mmpc/2017/06/27/new-ransomware-old-techniques-petya-adds-worm-capabilities/ para obter mais informações. Reveja a linha de comando associada neste alerta e aumente este alerta para a sua equipa de segurança. - Alto
Detetada possível execução de keygen executável A análise dos dados do anfitrião em %{Host Comprometido} detetou a execução de um processo cujo nome é indicativo de uma ferramenta de keygen; tais ferramentas são normalmente usadas para derrotar mecanismos de licenciamento de software, mas o seu download é muitas vezes agregado com outros softwares maliciosos. O grupo de atividades GOLD é conhecido por utilizar esses keygens para obter secretamente acesso à porta dos fundos aos anfitriões que comprometem. - Médio
Detetada possível execução de sequestrador de malware A análise dos dados do anfitrião em %{Anfitrião Comprometido} detetou um nome de ficheiro que já foi associado a um dos métodos do grupo de atividades GOLD de instalar malware num hospedeiro de vítima. - Alto
Detetou possível atividade de reconhecimento local A análise dos dados do anfitrião em %{Host Comprometido} detetou uma combinação de comandos systeminfo que já foi associado a um dos métodos do grupo de atividade GOLD para realizar atividade de reconhecimento. Embora o "systeminfo.exe" seja uma ferramenta legítima Windows, executá-la duas vezes seguidas da forma como ocorreu aqui é raro. -
Detetado uso potencialmente suspeito da ferramenta Telegram A análise dos dados do anfitrião mostra a instalação do Telegram, um serviço gratuito de mensagens instantâneas baseado na nuvem que existe tanto para sistema móvel como para desktop. Os atacantes são conhecidos por abusar deste serviço para transferir binários maliciosos para qualquer outro computador, telefone ou tablet. - Médio
Supressão detetada de aviso legal apresentado aos utilizadores em início de sessão A análise dos dados do anfitrião em %{Anfitrião Comprometido} detetou alterações na chave de registo que controla se um aviso legal é apresentado aos utilizadores quando iniciam sessão. A análise de segurança da Microsoft determinou que esta é uma atividade comum realizada por atacantes depois de ter comprometido um hospedeiro. - Baixo
Detetada combinação suspeita de HTA e PowerShell mshta.exe (Microsoft HTML Application Host) que é um binário microsoft assinado está a ser usado pelos atacantes para lançar comandos mal-intencionados do PowerShell. Os atacantes recorrem frequentemente a um ficheiro HTA com VBScript inline. Quando uma vítima navega no ficheiro HTA e opta por executá-lo, os comandos e scripts PowerShell que contém são executados. A análise dos dados do anfitrião em %{Host comprometido} detetou mshta.exe de lançamento dos comandos PowerShell. - Médio
Detetados argumentos de linha de comando suspeitos A análise dos dados do hospedeiro em %{Anfitrião Comprometido} detetou argumentos de linha de comando suspeitos que foram utilizados em conjunto com uma concha inversa utilizada pelo grupo de atividade HYDROGEN. - Alto
Comando suspeito detetado usado para iniciar todos os executáveis em um diretório A análise dos dados do anfitrião detetou um processo suspeito em execução em %{Host comprometido}. O comando indica uma tentativa de iniciar todos os executáveis (*.exe) que podem residir num diretório. Isto pode ser uma indicação de um hospedeiro comprometido. - Médio
Credenciais suspeitas detetadas no comando A análise dos dados do anfitrião em %{Anfitrião Comprometido} detetou uma palavra-passe suspeita a ser usada para executar um ficheiro pelo grupo de atividade BORON. Este grupo de atividades é conhecido por usar esta palavra-passe para executar malware Pirpi em um hospedeiro de vítima. - Alto
Credenciais de documentos suspeitos detetadas A análise dos dados do anfitrião em %{Anfitrião Comprometido} detetou um haxixe de senha pré-computação suspeito e comum usado por malware que está a ser usado para executar um ficheiro. O grupo de atividades HYDROGEN é conhecido por usar esta palavra-passe para executar malware num hospedeiro da vítima. - Alto
Detetada execução suspeita do comando VBScript.Encode A análise dos dados do anfitrião em %{Host comprometido} detetou a execução do comando VBScript.Encode. Isto codifica os scripts em texto ilegível, dificultando a revisão do código por parte dos utilizadores. A pesquisa de ameaças da Microsoft mostra que os atacantes usam frequentemente ficheiros VBscript codificados como parte do seu ataque para evitar sistemas de deteção. Isto pode ser uma atividade legítima, ou uma indicação de um hospedeiro comprometido. - Médio
Detetada execução suspeita através de rundll32.exe A análise dos dados do anfitrião em %{Host comprometido} detetou rundll32.exe a ser utilizado para executar um processo com um nome incomum, consistente com o esquema de nomeação de processo anteriormente visto pelo grupo de atividade GOLD ao instalar o seu implante de primeira fase num hospedeiro comprometido. - Alto
Comandos de limpeza de ficheiros suspeitos detetados A análise dos dados do anfitrião em %{Anfitrião Comprometido} detetou uma combinação de comandos systeminfo que já foi associado a um dos métodos do grupo de atividade GOLD para realizar atividade de auto-limpeza pós-compromisso. Embora o 'systeminfo.exe' seja uma ferramenta legítima Windows, executá-la duas vezes seguidas, seguida de um comando de apagar a forma como ocorreu aqui é raro. - Alto
Deteção de ficheiros suspeitos detetados A análise dos dados do hospedeiro em %{Hospedeiro Comprometido} detetou a criação ou execução de um processo que previamente indicou ações pós-compromisso tomadas num hospedeiro de vítima pelo grupo de atividade BARIUM. Este grupo de atividades é conhecido por usar esta técnica para descarregar malware adicional para um hospedeiro comprometido depois de um anexo em um doc de phishing ter sido aberto. - Alto
Detetadas comunicações de tubos de nome suspeito A análise dos dados do anfitrião em %{Host comprometido} detetou dados que vinham a ser escritos num tubo de nome local a partir de um comando de consola Windows. Os tubos nomeados são conhecidos por serem um canal usado pelos atacantes para a tarefa e comunicação com um implante malicioso. Isto pode ser uma atividade legítima, ou uma indicação de um hospedeiro comprometido. - Alto
Detetada atividade de rede suspeita A análise do tráfego de rede de %{Host comprometido} detetou atividade de rede suspeita. Este tráfego, embora possivelmente benigno, é normalmente utilizado por um intruso para comunicar com servidores maliciosos para o descarregamento de ferramentas, comando e controlo e exfiltração de dados. A atividade típica do intruso inclui copiar ferramentas de administração remotas para um hospedeiro comprometido e exfiltrar os dados do utilizador a partir dele. - Baixo
Detetada nova regra de firewall suspeita A análise dos dados hospedeiros detetados foi adicionada através de netsh.exe para permitir o tráfego de um executável num local suspeito. - Médio
Detetado uso suspeito de Cacls para diminuir o estado de segurança do sistema Os atacantes usam inúmeras maneiras como força bruta, phishing de lanças, etc. para alcançar um compromisso inicial e obter um ponto de apoio na rede. Uma vez alcançado o compromisso inicial, muitas vezes tomam medidas para reduzir as definições de segurança de um sistema. Cacls — abreviação para alterar a lista de controlo de acessos é a Microsoft Windows utilitário de linha de comando nativo frequentemente utilizado para modificar a permissão de segurança em pastas e ficheiros. Muitas vezes o binário é usado pelos atacantes para reduzir as definições de segurança de um sistema. Isto é feito dando a todos o acesso total a alguns dos binários do sistema como ftp.exe, net.exe, wscript.exe etc. A análise dos dados do anfitrião em %{Host comprometido} detetou uma utilização suspeita de Cacls para reduzir a segurança de um sistema. - Médio
Detetado uso suspeito da Switch FTP-s A análise dos dados de criação de processos a partir do %{Anfitrião Comprometido} detetou a utilização do interruptor FTP "-s:filename". Este switch é utilizado para especificar um ficheiro de script FTP para o cliente executar. É sabido que malware ou processos maliciosos utilizam este interruptor FTP (-s:filename) para apontar para um ficheiro de script que está configurado para ligar a um servidor FTP remoto e descarregar binários maliciosos adicionais. - Médio
Detetado uso suspeito de Pcalua.exe para lançar código executável A análise dos dados do anfitrião em %{Host comprometido} detetou a utilização de pcalua.exe para lançar código executável. Pcalua.exe é componente do Microsoft Windows "Program Compatibilidade Assistant" que deteta problemas de compatibilidade durante a instalação ou execução de um programa. Os atacantes são conhecidos por abusar da funcionalidade de ferramentas legítimas do sistema Windows para executar ações maliciosas, por exemplo, utilizando pcalua.exe com o -um switch para lançar executáveis maliciosos, quer localmente, quer a partir de ações remotas. - Médio
Detetou a desativação de serviços críticos A análise dos dados do anfitrião em %{Host comprometido} detetou a execução do comando "net.exe stop" que está a ser utilizado para parar serviços críticos como o SharedAccess ou o Segurança do Windows Center. A paragem de qualquer um destes serviços pode ser uma indicação de um comportamento malicioso. - Médio
Comportamento relacionado com a mineração de moeda digital detetado A análise dos dados do anfitrião em %{Anfitrião Comprometido} detetou a execução de um processo ou comando normalmente associado à mineração de moeda digital. - Alto
Construção dinâmica de scripts PS A análise dos dados do anfitrião em %{Host comprometido} detetou um script PowerShell a ser construído dinamicamente. Os atacantes às vezes usam esta abordagem de construir progressivamente um script para evitar sistemas IDS. Isto pode ser uma atividade legítima, ou uma indicação de que uma das suas máquinas foi comprometida. - Médio
Executável encontrado correndo de um local suspeito A análise dos dados do anfitrião detetou um ficheiro executável em %{Anfitrião Comprometido} que está a funcionar a partir de um local em comum com ficheiros suspeitos conhecidos. Este executável pode ser uma atividade legítima, ou uma indicação de um hospedeiro comprometido. - Alto
Comportamento de ataque sem ficheiro detetado
(VM_FilelessAttackBehavior. Windows)
A memória do processo especificado contém comportamentos geralmente utilizados por ataques sem ficheiros. Comportamentos específicos incluem:
1) Shellcode, que é um pequeno pedaço de código normalmente usado como carga útil na exploração de uma vulnerabilidade de software.
2) Ligações de rede ativas. Consulte networkConnections abaixo para obter mais detalhes.
3) Chamadas de função para interfaces sensíveis ao sistema operativo de segurança. Consulte as capacidades de oss abaixo para obter as capacidades de OS referenciadas.
4) Contém um fio que foi iniciado num segmento de código atribuído dinamicamente. Este é um padrão comum para ataques de injeção de processo.
Evasão à Defesa Baixo
Técnica de ataque sem ficheiro detetada
(VM_FilelessAttackTechnique. Windows)
A memória do processo especificado abaixo contém evidências de uma técnica de ataque sem ficheiro. Os ataques sem ficheiros são usados pelos atacantes para executar código enquanto evitam a deteção por software de segurança. Comportamentos específicos incluem:
1) Shellcode, que é um pequeno pedaço de código normalmente usado como carga útil na exploração de uma vulnerabilidade de software.
2) Imagem executável injetada no processo, tal como num ataque de injeção de código.
3) Ligações de rede ativas. Consulte networkConnections abaixo para obter mais detalhes.
4) Chamadas de função para interfaces sensíveis ao sistema operativo de segurança. Consulte as capacidades de oss abaixo para obter as capacidades de OS referenciadas.
5) Oca de processo, que é uma técnica usada por malware em que um processo legítimo é carregado no sistema para funcionar como um recipiente para código hostil.
6) Contém um fio que foi iniciado num segmento de código atribuído dinamicamente. Este é um padrão comum para ataques de injeção de processo.
Evasão de defesa, execução Alto
Kit de ferramentas de ataque sem ficheiro detetado
(VM_FilelessAttackToolkit. Windows)
A memória do processo especificado contém um conjunto de ferramentas de ataque sem ficheiro: [nome do kit de ferramentas]. Os kits de ferramentas de ataque sem ficheiros utilizam técnicas que minimizam ou eliminam vestígios de malware no disco e reduzem consideravelmente as chances de deteção por soluções de digitalização de malware baseadas em discos. Comportamentos específicos incluem:
1) Kits de ferramentas bem conhecidos e software de mineração de criptomoedas.
2) Shellcode, que é um pequeno pedaço de código normalmente usado como carga útil na exploração de uma vulnerabilidade de software.
3) Injetado executável malicioso na memória do processo.
Evasão de defesa, execução Médio
Software de alto risco detetado A análise dos dados do anfitrião de %{Host comprometido} detetou o uso de software que foi associado à instalação de malware no passado. Uma técnica comum utilizada na distribuição de software malicioso é empacotá-lo dentro de ferramentas benignas, como a que se vê neste alerta. Ao utilizar estas ferramentas, o malware pode ser instalado silenciosamente em segundo plano. - Médio
Foram enumerados membros do grupo de Administradores Locais Os registos de máquinas indicam uma enumeração bem sucedida no nome de domínio do grupo %{Enumerado} % {Nome do grupo enumerado}} Especificamente, %{Enumerando o nome do domínio do utilizador} % {Enumerando o nome do utilizador} enumerando remotamente os membros do grupo %{Enumerado Nome do Domínio do Grupo} % {Enumerado Nome do Grupo} Esta atividade pode ser uma atividade legítima, ou uma indicação de que uma máquina da sua organização foi comprometida e usada para reconhecimento %{vmname}. - Informativo
Regra de firewall maliciosa criada pelo implante do servidor ZINC [visto várias vezes] Uma regra de firewall foi criada usando técnicas que combinam com um ator conhecido, ZINC. A regra foi possivelmente usada para abrir uma porta em %{Host comprometido} para permitir comunicações de controlo de comando &. Este comportamento foi visto [x] vezes hoje nas seguintes máquinas: [Nomes de máquinas] - Alto
Atividade de SQL maliciosa Os registos da máquina indicam que '%{nome do processo}' foi executado por conta: %{user name}. Esta atividade é considerada maliciosa. - Alto
Várias contas de domínio questionadas A análise dos dados hospedeiros determinou que um número incomum de contas de domínio distintas estão a ser consultadas num curto espaço de tempo a partir de %{Host Comprometido}. Este tipo de atividade pode ser legítimo, mas também pode ser uma indicação de compromisso. - Médio
Possível dumping de credencial detetado [visto várias vezes] A análise dos dados hospedeiros detetou a utilização da ferramenta de janelas nativas (por exemplo, sqldumper.exe) a ser utilizada de forma a permitir extrair credenciais da memória. Os atacantes usam frequentemente estas técnicas para extrair credenciais que depois usam para movimentos laterais e escalada de privilégios. Este comportamento foi visto [x] vezes hoje nas seguintes máquinas: [Nomes de máquinas] - Médio
Potencial tentativa de contornar AppLocker detetada A análise dos dados do anfitrião em %{Host comprometido} detetou uma potencial tentativa de contornar as restrições do AppLocker. O AppLocker pode ser configurado para implementar uma política que limita o que os executáveis podem ser executados num sistema de Windows. O padrão de linha de comando semelhante ao identificado neste alerta foi anteriormente associado a tentativas de intrusos de contornar a política do AppLocker utilizando executáveis fidedignos (permitidos pela política AppLocker) para executar código não fidedigno. Isto pode ser uma atividade legítima, ou uma indicação de um hospedeiro comprometido. - Alto
Execução psExec detetada
(VM_RunByPsExec)
A análise dos dados do anfitrião indica que o processo %{Process Name} foi executado pela utilidade PsExec. O PsExec pode ser utilizado para executar processos remotamente. Esta técnica pode ser usada para fins maliciosos. Movimento Lateral, Execução Informativo
Indicadores de ransomware detetados [vistos várias vezes] A análise dos dados do anfitrião indica atividade suspeita tradicionalmente associada ao ecrã de bloqueio e ransomware de encriptação. O ransomware do ecrã de bloqueio exibe uma mensagem de ecrã completo que impede o uso interativo do anfitrião e o acesso aos seus ficheiros. O ransomware de encriptação impede o acesso encriptando ficheiros de dados. Em ambos os casos é normalmente exibida uma mensagem de resgate, solicitando o pagamento para restaurar o acesso ao ficheiro. Este comportamento foi visto [x] vezes hoje nas seguintes máquinas: [Nomes de máquinas] - Alto
Indicadores de ransomware detetados A análise dos dados do anfitrião indica atividade suspeita tradicionalmente associada ao ecrã de bloqueio e ransomware de encriptação. O ransomware do ecrã de bloqueio exibe uma mensagem de ecrã completo que impede o uso interativo do anfitrião e o acesso aos seus ficheiros. O ransomware de encriptação impede o acesso encriptando ficheiros de dados. Em ambos os casos é normalmente exibida uma mensagem de resgate, solicitando o pagamento para restaurar o acesso ao ficheiro. - Alto
Grupo de serviço Raro SVCHOST executado
(VM_SvcHostRunInRareServiceGroup)
O processo do sistema SVCHOST foi observado a executar um grupo de serviço raro. Malware usa frequentemente o SVCHOST para mascarar a sua atividade maliciosa. Evasão de defesa, execução Informativo
Ataque de chaves pegajosas detetado A análise dos dados do anfitrião indica que um intruso pode estar a subverter um binário de acessibilidade (por exemplo, chaves pegajosas, teclado no ecrã, narrador) de forma a fornecer acesso backdoor ao anfitrião %{Host comprometido}. - Médio
Ataque de força bruta bem-sucedido
(VM_LoginBruteForceSuccess)
Foram detetados vários sinais de tentativas da mesma fonte. Alguns autenticaram com sucesso ao hospedeiro.
Isto assemelha-se a um ataque de explosão, no qual um intruso realiza inúmeras tentativas de autenticação para encontrar credenciais de conta válidas.
Exploração Médio/Alto
Nível de integridade do suspeito indicativo de sequestro de RDP A análise dos dados do anfitrião detetou o tscon.exe a correr com privilégios SYSTEM - isto pode ser indicativo de um intruso que abusa deste binário de forma a mudar o contexto para qualquer outro utilizador registado no utilizador neste hospedeiro; é uma técnica de intruso conhecida para comprometer contas de utilizador adicionais e mover-se lateralmente através de uma rede. - Médio
Instalação de serviço suspeito A análise dos dados hospedeiros detetou a instalação de tscon.exe como um serviço: este binário a ser iniciado como um serviço potencialmente permite que um intruso mude trivialmente para qualquer outro utilizador registado neste hospedeiro, sequestrando ligações RDP; é uma técnica de intruso conhecida para comprometer contas de utilizador adicionais e mover-se lateralmente através de uma rede. - Médio
Suspeitos de kerberos golden ticket parâmetros de ataque observados A análise dos dados hospedeiros detetou parâmetros de linha de comando consistentes com um ataque de Bilhete Dourado Kerberos. - Médio
Criação de conta suspeita detetada Análise dos dados do anfitrião em %{Anfitrião Comprometido} detetada criação ou utilização de uma conta local %{Nome de conta suspeita} : este nome da conta assemelha-se muito a uma conta Windows padrão ou nome de grupo '%{Similar Ao Nome da Conta}'. Esta é potencialmente uma conta fraudulenta criada por um intruso, assim chamada para evitar ser notada por um administrador humano. - Médio
Atividade suspeita detetada
(VM_SuspiciousActivity)
A análise dos dados do anfitrião detetou uma sequência de um ou mais processos em execução no nome da máquina %{} que historicamente foram associados a atividades maliciosas. Enquanto os comandos individuais podem parecer benignos o alerta é classificado com base numa agregação destes comandos. Isto pode ser uma atividade legítima, ou uma indicação de um hospedeiro comprometido. Execução Médio
Atividade de autenticação suspeita
(VM_LoginBruteForceValidUserFailed)
Apesar de nenhum deles ter sido bem sucedido, alguns deles usaram contas foram reconhecidas pelo hospedeiro. Isto assemelha-se a um ataque de dicionário, no qual um intruso executa inúmeras tentativas de autenticação usando um dicionário de nomes de conta e senhas predefinidas para encontrar credenciais válidas para aceder ao anfitrião. Isto indica que alguns dos nomes da sua conta de anfitrião podem existir num dicionário de nomes de conta bem conhecido. Pesquisa Médio
Segmento de código suspeito detetado Indica que foi atribuído um segmento de código utilizando métodos não padrão, tais como injeção refletora e oca do processo. O alerta fornece características adicionais do segmento de código que foram processados para fornecer contexto para as capacidades e comportamentos do segmento de código relatado. - Médio
Execução de comando suspeito
(VM_SuspiciousCommandLineExecution)
Os registos da máquina indicam uma execução suspeita da linha de comando pelo utilizador %{user name}. Execução Alto
Ficheiro de extensão dupla suspeito executado A análise dos dados do anfitrião indica uma execução de um processo com uma dupla extensão suspeita. Esta extensão pode levar os utilizadores a pensar que os ficheiros são seguros de serem abertos e pode indicar a presença de malware no sistema. - Alto
Download suspeito usando Certutil detetado [visto várias vezes] A análise dos dados do anfitrião em %{Host Comprometido} detetou a utilização de certutil.exe, um utilitário de administrador incorporado, para o descarregamento de um binário em vez do seu propósito principal que se relaciona com a manipulação de certificados e dados de certificados. Os atacantes são conhecidos por abusar da funcionalidade de ferramentas legítimas de administrador para executar ações maliciosas, por exemplo, usando certutil.exe para descarregar e descodificar um executável malicioso que será posteriormente executado. Este comportamento foi visto [x] vezes hoje nas seguintes máquinas: [Nomes de máquinas] - Médio
Descarregamento suspeito usando Certutil detetado A análise dos dados do anfitrião em %{Host Comprometido} detetou a utilização de certutil.exe, um utilitário de administrador incorporado, para o descarregamento de um binário em vez do seu propósito principal que se relaciona com a manipulação de certificados e dados de certificados. Os atacantes são conhecidos por abusar da funcionalidade de ferramentas legítimas de administrador para executar ações maliciosas, por exemplo, usando certutil.exe para descarregar e descodificar um executável malicioso que será posteriormente executado. - Médio
Execução suspeita falhada da extensão de script personalizado na sua máquina virtual
(VM_CustomScriptExtensionSuspiciousFailure)
Uma falha suspeita de uma extensão de script personalizada foi detetada na sua máquina virtual analisando as operações do Azure Resource Manager na sua subscrição.
Tais falhas podem estar associadas a scripts maliciosos executados por esta extensão.
Execução Médio
Atividade suspeita de powershell detetada A análise dos dados do anfitrião detetou um script PowerShell em execução em %{Host comprometido} que tem funcionalidades em comum com scripts suspeitos conhecidos. Este script pode ser uma atividade legítima, ou uma indicação de um hospedeiro comprometido. - Alto
Cmdlets de PowerShell suspeitos executados A análise dos dados do anfitrião indica a execução de cmdlets powersploits mal-intencionados conhecidos. - Médio
Processo suspeito executado [visto várias vezes] Os registos da máquina indicam que o processo suspeito: '%{Processo suspeito}' estava a funcionar na máquina, muitas vezes associado a tentativas de acesso a credenciais de acesso ao intruso. Este comportamento foi visto [x] vezes hoje nas seguintes máquinas: [Nomes de máquinas] - Alto
Processos suspeitos executados Os registos da máquina indicam que o processo suspeito: '%{Processo suspeito}' estava a funcionar na máquina, muitas vezes associado a tentativas de acesso a credenciais de acesso ao intruso. - Alto
Nome do processo suspeito detetado [visto várias vezes] A análise dos dados do anfitrião em %{Anfitrião Comprometido} detetou um processo cujo nome é suspeito, por exemplo correspondendo a uma ferramenta de intruso conhecida ou nomeado de uma forma sugestiva de ferramentas atacantes que tentam esconder-se à vista de todos. Este processo pode ser uma atividade legítima, ou uma indicação de que uma das suas máquinas foi comprometida. Este comportamento foi visto [x] vezes hoje nas seguintes máquinas: [Nomes de máquinas] - Médio
Nome suspeito do processo detetado A análise dos dados do anfitrião em %{Anfitrião Comprometido} detetou um processo cujo nome é suspeito, por exemplo correspondendo a uma ferramenta de intruso conhecida ou nomeado de uma forma sugestiva de ferramentas atacantes que tentam esconder-se à vista de todos. Este processo pode ser uma atividade legítima, ou uma indicação de que uma das suas máquinas foi comprometida. - Médio
Explosão de rescisão de processo suspeito
(VM_TaskkillBurst)
A análise dos dados do anfitrião indica uma rutura suspeita de terminação do processo em %{Nome da Máquina}. Especificamente, os processos %{NumberOfCommands} foram eliminados entre %{Begin} e %{Ending}. Evasão à Defesa Baixo
Processo de Screensaver suspeito executado
(VM_SuspiciousScreenSaverExecution)
O processo '%{processe name}' foi observado executando a partir de um local incomum. Os ficheiros com as extensões .scr são ficheiros de poupança de ecrã e normalmente residem e executam a partir do diretório de sistemas Windows. Evasão de defesa, execução Médio
Atividade de SQL suspeita Os registos da máquina indicam que '%{nome do processo}' foi executado por conta: %{user name}. Esta atividade é incomum com esta conta. - Médio
Processo SVCHOST suspeito executado O processo do sistema SVCHOST foi observado em execução num contexto anormal. Malware usa frequentemente o SVCHOST para mascarar a sua atividade maliciosa. - Alto
Processo de sistema suspeito executado
(VM_SystemProcessInAbnormalContext)
O processo do sistema %{nome do processo} foi observado em execução num contexto anormal. Malware usa frequentemente este nome de processo para mascarar a sua atividade maliciosa. Evasão de defesa, execução Alto
Atividade Suspeita de Cópia Sombra em Volume A análise dos dados hospedeiros detetou uma atividade de eliminação de cópias de sombra no recurso. A Cópia Sombra de Volume (VSC) é um artefacto importante que armazena os instantâneos de dados. Alguns malwares e especificamente ransomware, direcionam a VSC para sabotar estratégias de backup. - Alto
Valor suspeito do registo da Janela detetado A análise dos dados do anfitrião em %{Host Comprometido} detetou uma tentativa de alteração da configuração do registo de Janelas que poderia ser indicativa de ocultar janelas de aplicações em secções não visíveis do ambiente de trabalho. Isto pode ser uma atividade legítima, ou uma indicação de uma máquina comprometida: este tipo de atividade foi previamente associado a adware conhecido (ou software indesejado) como Win32/OneSystemCare e Win32/SystemHealer e malware como Win32/Creprote. Quando o valor da Janela posição é definido para 201329664 (Hex: 0x0c00 0c00, correspondente a X-eixo=0c00 e o eixo Y=0c00) esta coloca a janela da aplicação da consola numa secção não visível do ecrã do utilizador numa área que está escondida da vista por baixo do menu de início visível/barra de tarefas. O valor hex suspeito conhecido inclui, mas não limitado a c000c000 - Baixo
Processo com nome suspeito detetado A análise dos dados do anfitrião em %{Anfitrião Comprometido} detetou um processo cujo nome é muito semelhante, mas diferente de um processo muito comummente executado (%{Similar Ao Nome do Processo}). Embora este processo possa ser um agressor benigno, por vezes são conhecidos por se esconderem à vista de todos, nomeando as suas ferramentas maliciosas para se assemelharem a nomes legítimos do processo. - Médio
Config incomum reiniciado na sua máquina virtual
(VM_VMAccessUnusualConfigReset)
Foi detetada uma configuração invulgar na sua máquina virtual analisando as operações do Azure Resource Manager na sua subscrição.
Embora esta ação possa ser legítima, os atacantes podem tentar utilizar a extensão VM Access para redefinir a configuração na sua máquina virtual e comprometê-la.
Acesso Credencial Médio
Exclusão incomum da extensão de script personalizado na sua máquina virtual
(VM_CustomScriptExtensionUnusualDeletion)
A eliminação invulgar de uma extensão de script personalizada foi detetada na sua máquina virtual analisando as operações do Azure Resource Manager na sua subscrição.
Os atacantes podem utilizar extensões de script personalizadas para executar código malicioso nas suas máquinas virtuais através do Azure Resource Manager.
Execução Médio
Execução incomum de extensão de script personalizado na sua máquina virtual
(VM_CustomScriptExtensionUnusualExecution)
A execução invulgar de uma extensão de script personalizada foi detetada na sua máquina virtual analisando as operações do Azure Resource Manager na sua subscrição.
Os atacantes podem utilizar extensões de script personalizadas para executar código malicioso nas suas máquinas virtuais através do Azure Resource Manager.
Execução Médio
Execução de processo incomum detetada A análise dos dados do anfitrião em %{Anfitrião Comprometido} detetou a execução de um processo por %{User Name} que era incomum. Contas como %{User Name} tendem a executar um conjunto limitado de operações, esta execução foi determinada como fora de carácter e pode ser suspeita. - Alto
Senha de utilizador incomum reiniciada na sua máquina virtual
(VM_VMAccessUnusualPasswordReset)
Foi detetada uma redefinição invulgar da palavra-passe do utilizador na sua máquina virtual, analisando as operações do Azure Resource Manager na sua subscrição.
Embora esta ação possa ser legítima, os atacantes podem tentar utilizar a extensão VM Access para redefinir as credenciais de um utilizador local na sua máquina virtual e comprometê-la.
Acesso Credencial Médio
Chave SSH do utilizador incomum reiniciada na sua máquina virtual
(VM_VMAccessUnusualSSHReset)
Foi detetada uma reinicialização invulgar da chave SSH no utilizador na sua máquina virtual, analisando as operações do Azure Resource Manager na sua subscrição.
Embora esta ação possa ser legítima, os atacantes podem tentar utilizar a extensão VM Access para redefinir a chave SSH de uma conta de utilizador na sua máquina virtual e comprometê-la.
Acesso Credencial Médio
Alocação de objetos HTTP VBScript detetada Foi detetada a criação de um ficheiro VBScript utilizando o Pedido de Comando. O seguinte script contém o comando de atribuição de objetos HTTP. Esta ação pode ser usada para descarregar ficheiros maliciosos. - Alto
Windows método de persistência do registo detetado
(VM_RegistryPersistencyKey)
A análise dos dados do anfitrião detetou uma tentativa de persistir um executável no registo Windows. O software maligno, muitas vezes, utiliza esta técnica para continuam a vigorar após um arranque. Persistência Baixo

Alertas para máquinas Linux

Mais detalhes e notas

Alerta (tipo de alerta) Descrição Táticas MITRE
(Saibamais)
Gravidade
Acesso ao ficheiro htaccess detetado
(VM_SuspectHtaccessFileAccess)
A análise dos dados do anfitrião em %{Host comprometido} detetou uma possível manipulação de um ficheiro htaccess. Htaccess é um poderoso ficheiro de configuração que permite fazer múltiplas alterações num servidor web que executa o software Apache Web, incluindo funcionalidade de redirecionamento básico, ou para funções mais avançadas, como a proteção básica de palavras-passe. Os atacantes modificam frequentemente ficheiros htaccess em máquinas que comprometeram para ganhar persistência. Persistência, Evasão de Defesa, Execução Médio
Um ficheiro de história foi ilibado. A análise dos dados do anfitrião indica que o ficheiro de registo do histórico de comando foi limpo. Os agressores podem fazer isto para cobrir os seus vestígios. A operação foi realizada pelo utilizador: "%{user name}". - Médio
Exclusão de ficheiros largos antimalware na sua máquina virtual
(VM_AmBroadFilesExclusion)
A exclusão de ficheiros da extensão antimalware com uma regra de exclusão ampla foi detetada na sua máquina virtual através da análise das operações do Azure Resource Manager na sua subscrição. Tal exclusão praticamente desativa a proteção antimalware.
Os atacantes podem excluir ficheiros da varredura antimalware na sua máquina virtual para impedir a deteção enquanto executa código arbitrário ou infeta a máquina com malware.
- Médio
Antimalware desativado e execução de código na sua máquina virtual
(VM_AmDisablementAndCodeExecution)
Antimalware desativado ao mesmo tempo que a execução de código na sua máquina virtual. Isto foi detetado através da análise das operações do Azure Resource Manager na sua subscrição.
Os atacantes desativam os scanners antimalware para impedir a deteção durante a execução de ferramentas não autorizadas ou infetando a máquina com malware.
- Alto
Antimalware desativado na sua máquina virtual
(VM_AmDisablement)
Antimalware desativado na sua máquina virtual. Isto foi detetado através da análise das operações do Azure Resource Manager na sua subscrição.
Os atacantes podem desativar o antimalware da sua máquina virtual para evitar a deteção.
Evasão à Defesa Médio
Exclusão de ficheiros antimalware e execução de código na sua máquina virtual
(VM_AmFileExclusionAndCodeExecution)
O ficheiro excluído do seu scanner de antimalware ao mesmo tempo que o código foi executado através de uma extensão de script personalizada na sua máquina virtual. Isto foi detetado através da análise das operações do Azure Resource Manager na sua subscrição.
Os atacantes podem excluir ficheiros da varredura antimalware na sua máquina virtual para impedir a deteção enquanto executa ferramentas não autorizadas ou infeta a máquina com malware.
Evasão de defesa, execução Alto
Exclusão de ficheiros antimalware e execução de código na sua máquina virtual
(VM_AmTempFileExclusionAndCodeExecution)
A exclusão temporária de ficheiros da extensão antimalware paralela à execução do código através de extensão de script personalizado foi detetada na sua máquina virtual através da análise das operações do Azure Resource Manager na sua subscrição.
Os atacantes podem excluir ficheiros da varredura antimalware na sua máquina virtual para impedir a deteção enquanto executa código arbitrário ou infeta a máquina com malware.
Evasão de defesa, execução Alto
Exclusão de ficheiros antimalware na sua máquina virtual
(VM_AmTempFileExclusion)
Ficheiro excluído do seu scanner antimalware na sua máquina virtual. Isto foi detetado através da análise das operações do Azure Resource Manager na sua subscrição.
Os atacantes podem excluir ficheiros da varredura antimalware na sua máquina virtual para impedir a deteção enquanto executa ferramentas não autorizadas ou infeta a máquina com malware.
Evasão à Defesa Médio
A proteção antimalware em tempo real foi desativada na sua máquina virtual
(VM_AmRealtimeProtectionDisabled)
O desactivamento da proteção em tempo real da extensão antimalware foi detetado na sua máquina virtual através da análise das operações do Azure Resource Manager na sua subscrição.
Os atacantes podem desativar a proteção em tempo real da varredura antimalware na sua máquina virtual para evitar a deteção durante a execução de código arbitrário ou infetar a máquina com malware.
Evasão à Defesa Médio
A proteção antimalware em tempo real foi desativada temporariamente na sua máquina virtual
(VM_AmTempRealtimeProtectionDisablement)
A proteção em tempo real foi detetada na sua máquina virtual a proteção em tempo real, analisando as operações do Azure Resource Manager na sua subscrição.
Os atacantes podem desativar a proteção em tempo real da varredura antimalware na sua máquina virtual para evitar a deteção durante a execução de código arbitrário ou infetar a máquina com malware.
Evasão à Defesa Médio
A proteção antimalware em tempo real foi desativada temporariamente enquanto o código foi executado na sua máquina virtual
(VM_AmRealtimeProtectionDisablementAndCodeExec)
A proteção em tempo real desativação temporária da extensão antimalware paralela à execução de código através de extensão de script personalizado foi detetada na sua máquina virtual analisando as operações do Azure Resource Manager na sua subscrição.
Os atacantes podem desativar a proteção em tempo real da varredura antimalware na sua máquina virtual para evitar a deteção durante a execução de código arbitrário ou infetar a máquina com malware.
- Alto
Análises antimalware bloqueadas para ficheiros potencialmente relacionados com campanhas de malware na sua máquina virtual (Preview)
(VM_AmMalwareCampaignRelatedExclusion)
Uma regra de exclusão foi detetada na sua máquina virtual para evitar que a extensão do antimalware verificasse certos ficheiros suspeitos de estarem relacionados com uma campanha de malware. A regra foi detetada através da análise das operações do Azure Resource Manager na sua subscrição. Os atacantes podem excluir ficheiros de varreduras antimalware para impedir a deteção durante a execução de código arbitrário ou infetar a máquina com malware. Evasão à Defesa Médio
Antimalware temporariamente desativado na sua máquina virtual
(VM_AmTemporarilyDisablement)
Antimalware temporariamente desativado na sua máquina virtual. Isto foi detetado através da análise das operações do Azure Resource Manager na sua subscrição.
Os atacantes podem desativar o antimalware da sua máquina virtual para evitar a deteção.
- Médio
Exclusão de ficheiro incomum de antimalware na sua máquina virtual
(VM_UnusualAmFileExclusion)
A exclusão invulgar de ficheiros da extensão antimalware foi detetada na sua máquina virtual analisando as operações do Azure Resource Manager na sua subscrição.
Os atacantes podem excluir ficheiros da varredura antimalware na sua máquina virtual para impedir a deteção enquanto executa código arbitrário ou infeta a máquina com malware.
Evasão à Defesa Médio
Tentativa de parar o serviço apt-daily-upgrade.timer detetado [visto várias vezes] A análise dos dados do anfitrião em %{Anfitrião Comprometido} detetou uma tentativa de parar o serviço apt-daily-upgrade.timer. Em alguns ataques recentes, os atacantes têm sido observados a parar este serviço, a descarregar ficheiros maliciosos e a conceder privilégios de execução para o seu ataque. Este comportamento foi visto [x] vezes hoje nas seguintes máquinas: [Nomes de máquinas] - Baixo
Tentativa de parar o serviço apt-daily-upgrade.timer detetado
(VM_TimerServiceDisabled)
A análise dos dados do anfitrião em %{Anfitrião Comprometido} detetou uma tentativa de parar o serviço apt-daily-upgrade.timer. Em alguns ataques recentes, os atacantes têm sido observados a parar este serviço, a descarregar ficheiros maliciosos e a conceder privilégios de execução para o seu ataque. Evasão à Defesa Baixo
Comportamento semelhante aos bots linux comuns detetados [visto várias vezes] A análise dos dados do anfitrião em %{Host comprometido} detetou a execução de um processo normalmente associado a botnets Linux comuns. Este comportamento foi visto [x] vezes hoje nas seguintes máquinas: [Nomes de máquinas] - Médio
Comportamento semelhante aos bots linux comuns detetados
(VM_CommonBot)
A análise dos dados do anfitrião em %{Host comprometido} detetou a execução de um processo normalmente associado a botnets Linux comuns. Execução, Recolha, Comando e Controlo Médio
Comportamento semelhante ao ransomware Fairware detetado [visto várias vezes] A análise dos dados do anfitrião em %{Anfitrião Comprometido} detetou a execução de comandos rm-rf aplicados a locais suspeitos. Uma vez que o rm-rf apaga novamente ficheiros, normalmente é utilizado em pastas discretas. Neste caso, está a ser usado num local que pode remover muitos dados. O ransomware Fairware é conhecido por executar comandos rm-rf nesta pasta. Este comportamento foi visto [x] vezes hoje nas seguintes máquinas: [Nomes de máquinas] - Médio
Comportamento semelhante ao ransomware Fairware detetado
(VM_FairwareMalware)
A análise dos dados do anfitrião em %{Anfitrião Comprometido} detetou a execução de comandos rm-rf aplicados a locais suspeitos. Uma vez que o rm-rf apaga novamente ficheiros, normalmente é utilizado em pastas discretas. Neste caso, está a ser usado num local que pode remover muitos dados. O ransomware Fairware é conhecido por executar comandos rm-rf nesta pasta. Execução Médio
Comportamento semelhante ao ransomware detetado [visto várias vezes] A análise dos dados do anfitrião em %{Anfitrião Comprometido} detetou a execução de ficheiros que têm semelhanças com ransomware conhecido que podem impedir os utilizadores de aceder ao seu sistema ou ficheiros pessoais, e exige o pagamento de resgate para recuperar o acesso. Este comportamento foi visto [x] vezes hoje nas seguintes máquinas: [Nomes de máquinas] - Alto
Contentor com imagem de mineiro detetado Os registos da máquina indicam a execução de um contentor Docker que executa uma imagem associada a uma mineração de moeda digital. Este comportamento pode indicar que os seus recursos são abusados por um agressor. - Alto
Extensão de script personalizado com comando suspeito na sua máquina virtual
(VM_CustomScriptExtensionSuspiciousCmd)
A extensão de script personalizada com comando suspeito foi detetada na sua máquina virtual analisando as operações do Azure Resource Manager na sua subscrição.
Os atacantes podem utilizar a extensão de script personalizada para executar um código malicioso na sua máquina virtual através do Azure Resource Manager.
Execução Médio
Extensão de script personalizado com ponto de entrada suspeito na sua máquina virtual
(VM_CustomScriptExtensionSuspiciousEntryPoint)
A extensão de script personalizada com um ponto de entrada suspeito foi detetada na sua máquina virtual analisando as operações do Azure Resource Manager na sua subscrição. O ponto de entrada refere-se a um repositório de GitHub suspeito.
Os atacantes podem utilizar extensões de script personalizadas para executar código malicioso nas suas máquinas virtuais através do Azure Resource Manager.
Execução Médio
Extensão de script personalizado com carga útil suspeita na sua máquina virtual
(VM_CustomScriptExtensionSuspiciousPayload)
A extensão de script personalizada com uma carga útil de um repositório de GitHub suspeito foi detetada na sua máquina virtual através da análise das operações do Azure Resource Manager na sua subscrição.
Os atacantes podem utilizar extensões de script personalizadas para executar código malicioso nas suas máquinas virtuais através do Azure Resource Manager.
Execução Médio
Mistura anómala detetada de caracteres maiússãos e minúsculas na linha de comando A análise dos dados do anfitrião em %{Host comprometido} detetou uma linha de comando com mistura anómala de caracteres maiússãos e minúsculas. Este tipo de padrão, embora possivelmente benigno, também é típico de atacantes que tentam esconder-se de regras sensíveis a casos ou haxixe que combinam quando realizam tarefas administrativas num hospedeiro comprometido. - Médio
Download de ficheiros detetados a partir de uma fonte maliciosa conhecida [visto várias vezes]
(VM_SuspectDownload)
A análise dos dados do anfitrião detetou o download de um ficheiro de uma fonte de malware conhecida em %{Host comprometido}. Este comportamento foi visto ao longo de [x] vezes hoje nas seguintes máquinas: [Nomes de máquinas] Escalada de Privilégio, Execução, Exfiltração, Comando e Controlo Médio
Download de ficheiros detetados a partir de uma fonte maliciosa conhecida A análise dos dados do anfitrião detetou o download de um ficheiro de uma fonte de malware conhecida em %{Host comprometido}. - Médio
Detetada tentativa de persistência [vista várias vezes] A análise dos dados do anfitrião em %{Host comprometido} detetou a instalação de um script de arranque para o modo de utilizador único. É extremamente raro que qualquer processo legítimo precise de ser executado nesse modo, o que pode indicar que um intruso adicionou um processo malicioso a todos os níveis de execução para garantir a persistência. Este comportamento foi visto [x] vezes hoje nas seguintes máquinas: [Nomes de máquinas] - Médio
Tentativa de persistência detetada
(VM_NewSingleUserModeStartupScript)
A análise de dados do anfitrião detetou que foi instalado um script de arranque para o modo de utilizador único.
Como é raro que qualquer processo legítimo seja necessário para ser executado nesse modo, isto pode indicar que um intruso adicionou um processo malicioso a todos os níveis de execução para garantir a persistência.
Persistência Médio
Detetado descarregamento de ficheiros suspeitos [visto várias vezes] A análise dos dados do anfitrião detetou o descarregamento suspeito de ficheiros remotos em %{Host comprometido}. Este comportamento foi visto 10 vezes hoje nas seguintes máquinas: [Nome da máquina] - Baixo
Descarregado de ficheiros suspeitos detetados
(VM_SuspectDownloadArtifacts)
A análise dos dados do anfitrião detetou o descarregamento suspeito de ficheiros remotos em %{Host comprometido}. Persistência Baixo
Detetada atividade de rede suspeita A análise do tráfego de rede de %{Host comprometido} detetou atividade de rede suspeita. Este tráfego, embora possivelmente benigno, é normalmente utilizado por um intruso para comunicar com servidores maliciosos para o descarregamento de ferramentas, comando e controlo e exfiltração de dados. A atividade típica do intruso inclui copiar ferramentas de administração remotas para um hospedeiro comprometido e exfiltrar os dados do utilizador a partir dele. - Baixo
Detetou uma utilização suspeita do comando de sapo de utilizador [visto várias vezes] A análise dos dados do anfitrião detetou uma utilização suspeita do comando do utilizador em %{Host comprometido}. Este comportamento foi visto [x] vezes hoje nas seguintes máquinas: [Nomes de máquinas] - Médio
Detetado uso suspeito do comando de sapo de utilizador
(VM_SuspectUserAddition)
A análise dos dados do anfitrião detetou uma utilização suspeita do comando do utilizador em %{Host comprometido}. Persistência Médio
Comportamento relacionado com a mineração de moeda digital detetado A análise dos dados do anfitrião em %{Anfitrião Comprometido} detetou a execução de um processo ou comando normalmente associado à mineração de moeda digital. - Alto
Desativação da exploração madeireira auditada [vista várias vezes] O sistema de auditoria Linux fornece uma forma de rastrear informações relevantes para a segurança no sistema. Regista o máximo de informação possível sobre os eventos que estão a acontecer no seu sistema. A desativação de registos auditivos pode dificultar a descoberta de violações das políticas de segurança utilizadas no sistema. Este comportamento foi visto [x] vezes hoje nas seguintes máquinas: [Nomes de máquinas] - Baixo
Executável encontrado correndo de um local suspeito
(VM_SuspectExecutablePath)
A análise dos dados do anfitrião detetou um ficheiro executável em %{Anfitrião Comprometido} que está a funcionar a partir de um local em comum com ficheiros suspeitos conhecidos. Este executável pode ser uma atividade legítima, ou uma indicação de um hospedeiro comprometido. Execução Alto
Exploração da vulnerabilidade Xorg [vista várias vezes] A análise dos dados do anfitrião em %{Host comprometido} detetou o utilizador de Xorg com argumentos suspeitos. Os atacantes podem usar esta técnica em tentativas de escalada de privilégio. Este comportamento foi visto [x] vezes hoje nas seguintes máquinas: [Nomes de máquinas] - Médio
Daemon estivador exposto na tomada TCP
(VM_ExposedDocker)
Os registos da máquina indicam que o seu Daemon Docker (estivador) expõe uma tomada TCP. Por predefinição, a configuração do Docker não utiliza encriptação ou autenticação quando uma tomada TCP está ativada. Isto permite o acesso total ao daemon Docker, por qualquer pessoa com acesso ao porto relevante. Execução, Exploração Médio
Ataque de força bruta falhado do SSH
(VM_SshBruteForceFailed)
Os ataques de força bruta falhados foram detetados a partir dos seguintes atacantes: %{Attackers}. Os atacantes estavam a tentar aceder ao anfitrião com os seguintes nomes de utilizador: %{Contas utilizadas no sinal falhado para hospedar tentativas}. Pesquisa Médio
Comportamento de ataque sem ficheiro detetado
(AppServices_FilelessAttackBehaviorDetection)
A memória do processo especificado abaixo contém comportamentos geralmente usados por ataques sem ficheiros.
Comportamentos específicos incluem: {lista de comportamentos observados}
Execução Médio
Técnica de ataque sem ficheiro detetada
(VM_FilelessAttackTechnique.Linux)
A memória do processo especificado abaixo contém evidências de uma técnica de ataque sem ficheiro. Os ataques sem ficheiros são usados pelos atacantes para executar código enquanto evitam a deteção por software de segurança.
Comportamentos específicos incluem: {lista de comportamentos observados}
Execução Alto
Kit de ferramentas de ataque sem ficheiro detetado
(VM_FilelessAttackToolkit.Linux)
A memória do processo especificado abaixo contém um kit de ferramentas de ataque sem ficheiro: {ToolKitName}. Os kits de ferramentas de ataque sem ficheiros normalmente não têm uma presença no sistema de ficheiros, dificultando a deteção pelo software antivírus tradicional.
Comportamentos específicos incluem: {lista de comportamentos observados}
Evasão de defesa, execução Alto
Execução de ficheiros ocultos detetada A análise dos dados do anfitrião indica que um ficheiro oculto foi executado por %{user name}. Esta atividade pode ser uma atividade legítima, ou uma indicação de um hospedeiro comprometido. - Informativo
Indicadores associados ao conjunto de ferramentas DDOS detetados [vistos várias vezes] A análise dos dados do anfitrião em %{Anfitrião Comprometido} detetou nomes de ficheiros que fazem parte de um conjunto de ferramentas associado a malware capaz de lançar ataques DDoS, abrir portas e serviços e assumir o controlo total sobre o sistema infetado. Isto também pode ser uma atividade legítima. Este comportamento foi visto [x] vezes hoje nas seguintes máquinas: [Nomes de máquinas] - Médio
Indicadores associados ao conjunto de ferramentas DDOS detetados
(VM_KnownLinuxDDoSToolkit)
A análise dos dados do anfitrião em %{Anfitrião Comprometido} detetou nomes de ficheiros que fazem parte de um conjunto de ferramentas associado a malware capaz de lançar ataques DDoS, abrir portas e serviços e assumir o controlo total sobre o sistema infetado. Isto também pode ser uma atividade legítima. Persistência, Movimento Lateral, Execução, Exploração Médio
Reconhecimento de hospedeiro local detetado [visto várias vezes] A análise dos dados do anfitrião em %{Anfitrião Comprometido} detetou a execução de um comando normalmente associado ao reconhecimento comum do bot Linux. Este comportamento foi visto [x] vezes hoje nas seguintes máquinas: [Nomes de máquinas] - Médio
Reconhecimento local de hospedeiro detetado
(VM_LinuxReconnaissance)
A análise dos dados do anfitrião em %{Anfitrião Comprometido} detetou a execução de um comando normalmente associado ao reconhecimento comum do bot Linux. Deteção Médio
Manipulação da firewall hospedeira detetada [vista várias vezes]
(VM_FirewallDisabled)
A análise dos dados do anfitrião em %{Host comprometido} detetou uma possível manipulação da firewall no hospedeiro. Os atacantes muitas vezes desativam isto para exfiltrar dados. Este comportamento foi visto [x] vezes hoje nas seguintes máquinas: [Nomes de máquinas] Evasão de Defesa, Exfiltração Médio
Manipulação da firewall hospedeira detetada A análise dos dados do anfitrião em %{Host comprometido} detetou uma possível manipulação da firewall no hospedeiro. Os atacantes muitas vezes desativam isto para exfiltrar dados. - Médio
Agente da CALDEIRA MITRE detetado
(VM_MitreCalderaTools)
Os registos da máquina indicam que o processo suspeito: '%{Processo suspeito}' estava a funcionar em %{Host comprometido}. Isto é frequentemente associado com o agente MITRE 54ndc47 que poderia ser usado maliciosamente para atacar outras máquinas de alguma forma. Todos Médio
Nova chave SSH adicionada [vista várias vezes]
(VM_SshKeyAddition)
Uma nova chave SSH foi adicionada ao ficheiro de chaves autorizado. Este comportamento foi visto [x] vezes hoje nas seguintes máquinas: [Nomes de máquinas] Persistência Baixo
Nova chave SSH adicionada Uma nova chave SSH foi adicionada ao ficheiro de chaves autorizado - Baixo
Possível ferramenta de ataque detetada [vista várias vezes] Os registos da máquina indicam que o processo suspeito: '%{Processo suspeito}' estava a funcionar em %{Host comprometido}. Esta ferramenta é frequentemente associada a utilizadores maliciosos que atacam outras máquinas de alguma forma. Este comportamento foi visto [x] vezes hoje nas seguintes máquinas: [Nomes de máquinas] - Médio
Possível ferramenta de ataque detetada
(VM_KnownLinuxAttackTool)
Os registos da máquina indicam que o processo suspeito: '%{Processo suspeito}' estava a funcionar em %{Host comprometido}. Esta ferramenta é frequentemente associada a utilizadores maliciosos que atacam outras máquinas de alguma forma. Execução, Recolha, Comando e Controlo, Sondagem Médio
Possível backdoor detetado [visto várias vezes] A análise dos dados do anfitrião detetou um ficheiro suspeito a ser descarregado e executado em %{Anfitrião Comprometido} na sua subscrição. Esta atividade tem sido anteriormente associada à instalação de uma porta dos fundos. Este comportamento foi visto [x] vezes hoje nas seguintes máquinas: [Nomes de máquinas] - Médio
Possível ferramenta de acesso credencial detetada [vista várias vezes] Os registos da máquina indicam que uma possível ferramenta de acesso credencial conhecida estava a funcionar em %{Host Comprometido} lançado por processo: '%{Processo suspeito}'. Esta ferramenta é frequentemente associada a tentativas de acesso a credenciais de intruso. Este comportamento foi visto [x] vezes hoje nas seguintes máquinas: [Nomes de máquinas] - Médio
Possível ferramenta de acesso credencial detetada
(VM_KnownLinuxCredentialAccessTool)
Os registos da máquina indicam que uma possível ferramenta de acesso credencial conhecida estava a funcionar em %{Host Comprometido} lançado por processo: '%{Processo suspeito}'. Esta ferramenta é frequentemente associada a tentativas de acesso a credenciais de intruso. Acesso Credencial Médio
Possível exploração de Hadoop Yarn
(VM_HadoopYarnExploit)
A análise dos dados do anfitrião em %{Hospedeiro Comprometido} detetou a possível exploração do serviço Hadoop Yarn. Exploração Médio
Possível exploração do carteiro detetado
(VM_MailserverExploitation)
A análise dos dados do anfitrião em %{Anfitrião Comprometido} detetou uma execução incomum na conta do servidor de correio Exploração Médio
Possível Atividade de adulteração de registo detetada [vista várias vezes] A análise dos dados do anfitrião em %{Host comprometido} detetou uma possível remoção de ficheiros que rastreiem a atividade do utilizador durante o seu funcionamento. Os atacantes tentam frequentemente evitar a deteção e não deixam vestígios de atividades maliciosas eliminando tais ficheiros de registo. Este comportamento foi visto [x] vezes hoje nas seguintes máquinas: [Nomes de máquinas] - Médio
Possível atividade de adulteração de registos detetada
(VM_SystemLogRemoval)
A análise dos dados do anfitrião em %{Host comprometido} detetou uma possível remoção de ficheiros que rastreiem a atividade do utilizador durante o seu funcionamento. Os atacantes tentam frequentemente evitar a deteção e não deixam vestígios de atividades maliciosas eliminando tais ficheiros de registo. Evasão à Defesa Médio
Possível perda de dados detetados [visto várias vezes] A análise dos dados do anfitrião em %{Host comprometido} detetou uma possível condição de saída de dados. Os atacantes muitas vezes afastam dados de máquinas que comprometeram. Este comportamento foi visto [x]] vezes hoje nas seguintes máquinas: [Nomes de máquinas] - Médio
Possível perda de dados detetados
(VM_DataEgressArtifacts)
A análise dos dados do anfitrião em %{Host comprometido} detetou uma possível condição de saída de dados. Os atacantes muitas vezes afastam dados de máquinas que comprometeram. Coleção, Exfiltração Médio
Possível concha maliciosa detetada [vista várias vezes]
(VM_Webshell)
A análise dos dados do anfitrião em %{Host comprometido} detetou uma possível concha web. Os atacantes muitas vezes enviam uma concha web para uma máquina que comprometeram a ganhar persistência ou para posterior exploração. Este comportamento foi visto [x] vezes hoje nas seguintes máquinas: [Nomes de máquinas] Persistência, Exploração Médio
Possível concha web maliciosa detetada A análise dos dados do anfitrião em %{Host comprometido} detetou uma possível concha web. Os atacantes muitas vezes enviam uma concha web para uma máquina que comprometeram a ganhar persistência ou para posterior exploração. - Médio
Possível alteração da palavra-passe usando o método criptografado [visto várias vezes] A análise dos dados do anfitrião em %{Anfitrião Comprometido} detetou a alteração da palavra-passe utilizando o método cript. Os atacantes podem fazer esta mudança para continuar o acesso e ganhar persistência após o compromisso. Este comportamento foi visto [x] vezes hoje nas seguintes máquinas: [Nomes de máquinas] - Médio
Potencial sobreposição de ficheiros comuns [vistos várias vezes] A análise dos dados hospedeiros detetou execuções comuns a serem substituídas em %{Host Comprometido}. Os atacantes sobreporão ficheiros comuns como forma de obstacular as suas ações ou de persistência. Este comportamento foi visto [x] vezes hoje nas seguintes máquinas: [Nomes de máquinas] - Médio
Potencial sobreposição de ficheiros comuns
(VM_OverridingCommonFiles)
A análise dos dados hospedeiros detetou execuções comuns a serem substituídas em %{Host Comprometido}. Os atacantes sobreporão ficheiros comuns como forma de obstacular as suas ações ou de persistência. Persistência Médio
Potencial encaminhamento da porta para endereço IP externo [visto várias vezes] A análise dos dados do anfitrião em %{Host comprometido} detetou o início do encaminhamento da porta para um endereço IP externo. Este comportamento foi visto [x] vezes hoje nas seguintes máquinas: [Nomes de máquinas] - Médio
Potencial encaminhamento de porta para endereço IP externo
(VM_SuspectPortForwarding)
A análise de dados do anfitrião detetou o início do encaminhamento da porta para um endereço IP externo. Exfiltração, Comando e Controlo Médio
Potencial concha inversa detetada [vista várias vezes] A análise dos dados do anfitrião em %{Host comprometido} detetou uma potencial concha inversa. Estes são usados para obter uma máquina comprometida para chamar de volta para uma máquina que um intruso possui. Este comportamento foi visto [x] vezes hoje nas seguintes máquinas: [Nomes de máquinas] - Médio
Potencial concha inversa detetada
(VM_ReverseShell)
A análise dos dados do anfitrião em %{Host comprometido} detetou uma potencial concha inversa. Estes são usados para obter uma máquina comprometida para chamar de volta para uma máquina que um intruso possui. Exfiltração, Exploração Médio
Comando privilegiado executado em contentor Os registos da máquina indicam que um comando privilegiado foi executado num contentor do Docker. Um comando privilegiado estendeu privilégios na máquina de acolhimento. - Baixo
Recipiente privilegiado detetado Os registos da máquina indicam que um contentor privilegiado do Docker está a funcionar. Um recipiente privilegiado tem acesso total aos recursos do hospedeiro. Se estiver comprometido, um intruso pode utilizar o recipiente privilegiado para aceder à máquina hospedeira. - Baixo
Processo associado à mineração de moeda digital detetado [visto várias vezes] A análise dos dados do anfitrião em %{Anfitrião Comprometido} detetou a execução de um processo normalmente associado à mineração de moeda digital. Este comportamento foi visto mais de 100 vezes hoje nas seguintes máquinas: [Nome da máquina] - Médio
Processo associado à mineração de moeda digital detetado A análise de dados do anfitrião detetou a execução de um processo que normalmente está associado à mineração de moeda digital. Exploração, Execução Médio
Processo visto a aceder ao ficheiro de chaves autorizado sSH de uma forma invulgar
(VM_SshKeyAccess)
Um ficheiro de chaves autorizado SSH foi acedido num método semelhante a campanhas de malware conhecidas. Este acesso pode indicar que um intruso está a tentar obter acesso persistente a uma máquina. - Baixo
Python codificado descarregador detetado [visto várias vezes] A análise dos dados do anfitrião em %{Host Comprometido} detetou a execução de Python codificado que descarrega e executa código a partir de um local remoto. Isto pode ser uma indicação de atividade maliciosa. Este comportamento foi visto [x] vezes hoje nas seguintes máquinas: [Nomes de máquinas] - Baixo
Screenshot tirada no hospedeiro [visto várias vezes] A análise dos dados do anfitrião em %{Host comprometido} detetou o utilizador de uma ferramenta de captura de ecrã. Os atacantes podem usar estas ferramentas para aceder a dados privados. Este comportamento foi visto [x] vezes hoje nas seguintes máquinas: [Nomes de máquinas] - Baixo
Incompatibilidade da extensão do script detetada [vista várias vezes] A análise dos dados do anfitrião em %{Anfitrião Comprometido} detetou uma incompatibilidade entre o intérprete de script e a extensão do ficheiro de script fornecido como entrada. Isto tem sido frequentemente associado a execuções de scripts de intrusos. Este comportamento foi visto [x] vezes hoje nas seguintes máquinas: [Nomes de máquinas] - Médio
Incompatibilidade da extensão do script detetada
(VM_MismatchedScriptFeatures)
A análise dos dados do anfitrião em %{Anfitrião Comprometido} detetou uma incompatibilidade entre o intérprete de script e a extensão do ficheiro de script fornecido como entrada. Isto tem sido frequentemente associado a execuções de scripts de intrusos. Evasão à Defesa Médio
Shellcode detetado [visto várias vezes] A análise dos dados do anfitrião em %{Host comprometido} detetou o código de concha a ser gerado a partir da linha de comando. Este processo pode ser uma atividade legítima, ou uma indicação de que uma das suas máquinas foi comprometida. Este comportamento foi visto [x] vezes hoje nas seguintes máquinas: [Nomes de máquinas] - Médio
O servidor SSH está a correr dentro de um contentor
(VM_ContainerSSH)
Os registos da máquina indicam que um servidor SSH está a funcionar dentro de um contentor do Docker. Embora este comportamento possa ser intencional, indica frequentemente que um recipiente está mal configurado ou violado. Execução Médio
Ataque de força bruta SSH bem-sucedido
(VM_SshBruteForceSuccess)
A análise dos dados hospedeiros detetou um ataque de força bruta bem-sucedido. O IP %{Attacker source IP} foi visto a fazer várias tentativas de login. Os logins bem sucedidos foram feitos a partir desse IP com o seguinte utilizador(s): %{Contas utilizadas para iniciar sessão com sucesso no anfitrião}. Isto significa que o hospedeiro pode ser comprometido e controlado por um ator mal-intencionado. Exploração Alto
Criação de conta suspeita detetada Análise dos dados do anfitrião em %{Anfitrião Comprometido} detetada criação ou utilização de uma conta local %{Nome de conta suspeita} : este nome da conta assemelha-se muito a uma conta Windows padrão ou nome de grupo '%{Similar Ao Nome da Conta}'. Esta é potencialmente uma conta fraudulenta criada por um intruso, assim chamada para evitar ser notada por um administrador humano. - Médio
Compilação suspeita detetada [vista várias vezes] A análise dos dados do anfitrião em %{Host comprometido} detetou uma compilação suspeita. Os atacantes compilam muitas vezes explorações numa máquina que comprometeram para aumentar os privilégios. Este comportamento foi visto [x] vezes hoje nas seguintes máquinas: [Nomes de máquinas] - Médio
Compilação suspeita detetada
(VM_SuspectCompilation)
A análise dos dados do anfitrião em %{Host comprometido} detetou uma compilação suspeita. Os atacantes compilam muitas vezes explorações numa máquina que comprometeram para aumentar os privilégios. Escalada de Privilégio, Exploração Médio
Execução suspeita falhada da extensão de script personalizado na sua máquina virtual
(VM_CustomScriptExtensionSuspiciousFailure)
Uma falha suspeita de uma extensão de script personalizada foi detetada na sua máquina virtual analisando as operações do Azure Resource Manager na sua subscrição.
Tais falhas podem estar associadas a scripts maliciosos executados por esta extensão.
Execução Médio
Módulo de núcleo suspeito detetado [visto várias vezes] A análise dos dados do anfitrião em %{Anfitrião Comprometido} detetou um ficheiro de objeto partilhado a ser carregado como um módulo de núcleo. Isto pode ser uma atividade legítima, ou uma indicação de que uma das suas máquinas foi comprometida. Este comportamento foi visto [x] vezes hoje nas seguintes máquinas: [Nomes de máquinas] - Médio
Acesso suspeito de senha [visto várias vezes] A análise dos dados do anfitrião detetou acesso suspeito a palavras-passe encriptadas do utilizador em %{Host Comprometido}. Este comportamento foi visto [x] vezes hoje nas seguintes máquinas: [Nomes de máquinas] - Informativo
Acesso de senha suspeita A análise dos dados do anfitrião detetou acesso suspeito a palavras-passe encriptadas do utilizador em %{Host Comprometido}. - Informativo
Execução php suspeita detetada
(VM_SuspectPhp)
Os registos da máquina indicam que está a decorrer um processo php suspeito. A ação incluiu uma tentativa de executar comandos de SO ou código PHP a partir da linha de comando utilizando o processo PHP. Embora este comportamento possa ser legítimo, em aplicações web este comportamento também é observado em atividades maliciosas, como tentativas de infetar sites com conchas web. Execução Médio
Pedido suspeito à API de Kubernetes
(VM_KubernetesAPI)
Os registos da máquina indicam que foi feito um pedido suspeito à API de Kubernetes. O pedido foi enviado de um nó kubernetes, possivelmente de um dos contentores que funcionam no nó. Embora este comportamento possa ser intencional, pode indicar que o nó está a executar um recipiente comprometido. Execução Médio
Config incomum reiniciado na sua máquina virtual
(VM_VMAccessUnusualConfigReset)
Foi detetada uma configuração invulgar na sua máquina virtual analisando as operações do Azure Resource Manager na sua subscrição.
Embora esta ação possa ser legítima, os atacantes podem tentar utilizar a extensão VM Access para redefinir a configuração na sua máquina virtual e comprometê-la.
Acesso Credencial Médio
Exclusão incomum da extensão de script personalizado na sua máquina virtual
(VM_CustomScriptExtensionUnusualDeletion)
A eliminação invulgar de uma extensão de script personalizada foi detetada na sua máquina virtual analisando as operações do Azure Resource Manager na sua subscrição.
Os atacantes podem utilizar extensões de script personalizadas para executar código malicioso nas suas máquinas virtuais através do Azure Resource Manager.
Execução Médio
Execução incomum de extensão de script personalizado na sua máquina virtual
(VM_CustomScriptExtensionUnusualExecution)
A execução invulgar de uma extensão de script personalizada foi detetada na sua máquina virtual analisando as operações do Azure Resource Manager na sua subscrição.
Os atacantes podem utilizar extensões de script personalizadas para executar código malicioso nas suas máquinas virtuais através do Azure Resource Manager.
Execução Médio
Senha de utilizador incomum reiniciada na sua máquina virtual
(VM_VMAccessUnusualPasswordReset)
Foi detetada uma redefinição invulgar da palavra-passe do utilizador na sua máquina virtual, analisando as operações do Azure Resource Manager na sua subscrição.
Embora esta ação possa ser legítima, os atacantes podem tentar utilizar a extensão VM Access para redefinir as credenciais de um utilizador local na sua máquina virtual e comprometê-la.
Acesso Credencial Médio
Chave SSH do utilizador incomum reiniciada na sua máquina virtual
(VM_VMAccessUnusualSSHReset)
Foi detetada uma reinicialização invulgar da chave SSH no utilizador na sua máquina virtual, analisando as operações do Azure Resource Manager na sua subscrição.
Embora esta ação possa ser legítima, os atacantes podem tentar utilizar a extensão VM Access para redefinir a chave SSH de uma conta de utilizador na sua máquina virtual e comprometê-la.
Acesso Credencial Médio

Alertas para o Serviço de Aplicações Azure

Mais detalhes e notas

Alerta (tipo de alerta) Descrição Táticas MITRE
(Saibamais)
Gravidade
Uma tentativa de executar comandos Linux num Serviço de Aplicações Windows
(AppServices_LinuxCommandOnWindows)
A análise dos processos do Serviço de Aplicações detetou uma tentativa de executar um comando Linux num Serviço de Aplicações Windows. Esta ação estava a decorrer pela aplicação web. Este comportamento é frequentemente visto durante campanhas que exploram uma vulnerabilidade numa aplicação web comum.
(Aplica-se a: Serviço de Aplicações em Windows)
- Médio
Um IP que se ligou ao seu Serviço de Aplicações Azure FTP Interface foi encontrado na Threat Intelligence
(AppServices_IncomingTiClientIpFtp)
O registo FTP do Serviço de Aplicações Azure indica uma ligação a partir de um endereço de origem que foi encontrado no feed de inteligência de ameaça. Durante esta ligação, um utilizador acedeu às páginas listadas.
(Aplica-se a: Serviço de aplicações em Windows e Serviço de Aplicações em Linux)
Acesso Inicial Médio
Tentativa de executar comando de alto privilégio detetado
(AppServices_HighPrivilegeCommand)
A análise dos processos do Serviço de Aplicações detetou uma tentativa de executar um comando que requer privilégios elevados.
O comando correu no contexto da aplicação web. Embora este comportamento possa ser legítimo, em aplicações web este comportamento também é observado em atividades maliciosas.
(Aplica-se a: Serviço de Aplicações em Windows)
- Médio
Alerta de teste do Azure Security Center para o Serviço de Aplicações (não uma ameaça)
(AppServices_EICAR)
Este é um alerta de teste gerado pelo Centro de Segurança Azure. Não são necessárias mais medidas.
(Aplica-se a: Serviço de aplicações em Windows e Serviço de Aplicações em Linux)
- Alto
Ligação à página web a partir de endereço IP anómalo detetado
(AppServices_AnomalousPageAccess)
O registo de atividade do Serviço de Aplicações Azure indica uma ligação anómala a uma página web sensível a partir do endereço IP de origem listada. Isto pode indicar que alguém está a tentar um ataque de força bruta nas páginas de administração de aplicações web. Pode também ser o resultado de um novo endereço IP ser utilizado por um utilizador legítimo. Se o endereço IP de origem for fidedigno, pode suprimir com segurança este alerta para este recurso. Para aprender a suprimir os alertas do Azure Defender, consulte os alertas de Supressão do Azure Defender.
(Aplica-se a: Serviço de aplicações em Windows e Serviço de Aplicações em Linux)
Acesso Inicial Médio
Registo de DNS pendente para um recurso do Serviço de Aplicações detetado
(AppServices_DanglingDomain)
Foi detetado um registo de DNS que aponta para um recurso recentemente eliminado do Serviço de Aplicações (também conhecido como entrada "pendente de DNS"). Isto deixa-te suscetível a uma aquisição de subdomínios. As aquisições de subdomínio permitem que atores maliciosos redirecionem o tráfego destinado ao domínio de uma organização para um site que executa atividades maliciosas.
(Aplica-se a: Serviço de aplicações em Windows e Serviço de Aplicações em Linux)
- Alto
Detetado codificado executável em dados da linha de comando
(AppServices_Base64EncodedExecutableInCommandLineParams)
A análise dos dados do anfitrião em {Hospedeiro comprometido} detetou uma base-64 codificada executável. Isto foi anteriormente associado a atacantes que tentam construir executáveis no voo através de uma sequência de comandos, e tentar fugir aos sistemas de deteção de intrusões, garantindo que nenhum comando individual desencadearia um alerta. Isto pode ser uma atividade legítima, ou uma indicação de um hospedeiro comprometido.
(Aplica-se a: Serviço de Aplicações em Windows)
Evasão de defesa, execução Alto
Download de ficheiros detetados a partir de uma fonte maliciosa conhecida
(AppServices_SuspectDownload)
A análise dos dados do anfitrião detetou o download de um ficheiro a partir de uma fonte de malware conhecida no seu anfitrião.
(Aplica-se a: Serviço de Aplicações em Linux)
Escalada de Privilégio, Execução, Exfiltração, Comando e Controlo Médio
Comportamento relacionado com a mineração de moeda digital detetado
(AppServices_DigitalCurrencyMining)
A análise dos dados dos anfitriões em Inn-Flow-WebJobs detetou a execução de um processo ou comando normalmente associado à mineração de moeda digital.
(Aplica-se a: Serviço de aplicações em Windows e Serviço de Aplicações em Linux)
Execução Alto
Descodificado executável usando certutil
(AppServices_ExecutableDecodedUsingCertutil)
A análise dos dados do anfitrião sobre [entidade comprometida] detetou que certutil.exe, um utilitário de administrador incorporado, estava a ser usado para descodificar um executável em vez do seu propósito principal que diz respeito à manipulação de certificados e dados de certificados. Os atacantes são conhecidos por abusar da funcionalidade de ferramentas de administração legítimas para efetuar ações maliciosas, por exemplo, utilizando uma ferramenta como o certutil.exe para descodificar um executável malicioso que, em seguida, será executado posteriormente.
(Aplica-se a: Serviço de Aplicações em Windows)
Evasão de defesa, execução Alto
Comportamento de ataque sem ficheiro detetado
(AppServices_FilelessAttackBehaviorDetection)
A memória do processo especificado abaixo contém comportamentos geralmente usados por ataques sem ficheiros.
Comportamentos específicos incluem: {lista de comportamentos observados}
(Aplica-se a: Serviço de aplicações em Windows e Serviço de Aplicações em Linux)
Execução Médio
Técnica de ataque sem ficheiro detetada
(AppServices_FilelessAttackTechniqueDetection)
A memória do processo especificado abaixo contém evidências de uma técnica de ataque sem ficheiro. Os ataques sem ficheiros são usados pelos atacantes para executar código enquanto evitam a deteção por software de segurança.
Comportamentos específicos incluem: {lista de comportamentos observados}
(Aplica-se a: Serviço de aplicações em Windows e Serviço de Aplicações em Linux)
Execução Alto
Kit de ferramentas de ataque sem ficheiro detetado
(AppServices_FilelessAttackToolkitDetection)
A memória do processo especificado abaixo contém um kit de ferramentas de ataque sem ficheiro: {ToolKitName}. Os kits de ferramentas de ataque sem ficheiros normalmente não têm uma presença no sistema de ficheiros, dificultando a deteção pelo software antivírus tradicional.
Comportamentos específicos incluem: {lista de comportamentos observados}
(Aplica-se a: Serviço de aplicações em Windows e Serviço de Aplicações em Linux)
Evasão de defesa, execução Alto
Deteção de NMap
(AppServices_Nmap)
O registo de atividades do Azure App Service indica uma possível atividade de impressão digital na web no seu recurso de Serviço de Aplicações.
A atividade suspeita detetada está associada ao NMAP. Os atacantes usam frequentemente esta ferramenta para sondar a aplicação web para encontrar vulnerabilidades.
(Aplica-se a: Serviço de aplicações em Windows e Serviço de Aplicações em Linux)
Pré-Ataque Médio
Conteúdo de phishing alojado em Azure Webapps
(AppServices_PhishingContent)
URL usado para ataque de phishing encontrado no site da Azure AppServices. Esta URL fazia parte de um ataque de phishing enviado a Microsoft 365 clientes. O conteúdo normalmente atrai os visitantes a introduzir as suas credenciais corporativas ou informações financeiras num website de aparência legítima.
(Aplica-se a: Serviço de aplicações em Windows e Serviço de Aplicações em Linux)
Coleção Alto
Ficheiro PHP na pasta de upload
(AppServices_PhpInUploadFolder)
O registo de atividades do Azure App Service indica um acesso a uma página php suspeita localizada na pasta de upload.
Este tipo de pasta não contém geralmente ficheiros PHP. A existência deste tipo de ficheiro pode indicar uma exploração aproveitando-se de vulnerabilidades arbitrárias de upload de ficheiros.
(Aplica-se a: Serviço de aplicações em Windows e Serviço de Aplicações em Linux)
Execução Médio
Possível download cryptocoinminer detetado
(AppServices_CryptoCoinMinerDownload)
A análise dos dados dos anfitriões detetou o descarregamento de um ficheiro normalmente associado à mineração de moeda digital.
(Aplica-se a: Serviço de Aplicações em Linux)
Evasão, Comando e Controlo de Defesa, Exploração Médio
Potencial registo de DNS pendente para um recurso do Serviço de Aplicações detetado
(AppServices_PotentialDanglingDomain)
Foi detetado um registo de DNS que aponta para um recurso recentemente eliminado do Serviço de Aplicações (também conhecido como entrada "pendente de DNS"). Isto pode deixá-lo suscetível a uma aquisição de subdomínio. As aquisições de subdomínio permitem que atores maliciosos redirecionem o tráfego destinado ao domínio de uma organização para um site que executa atividades maliciosas. Neste caso, foi encontrado um registo de texto com o ID de Verificação de Domínio. Estes registos de texto impedem a aquisição de subdomínios, mas recomendamos ainda a remoção do domínio pendente. Se deixar o registo DNS apontando para o subdomínio, está em risco se alguém da sua organização eliminar o ficheiro TXT ou gravar no futuro.
(Aplica-se a: Serviço de aplicações em Windows e Serviço de Aplicações em Linux)
- Baixo
Potencial concha inversa detetada
(AppServices_ReverseShell)
A análise dos dados hospedeiros detetou uma potencial concha inversa. Estes são usados para obter uma máquina comprometida para chamar de volta para uma máquina que um intruso possui.
(Aplica-se a: Serviço de Aplicações em Linux)
Exfiltração, Exploração Médio
Descarregamento de dados brutos detetado
(AppServices_DownloadCodeFromWebsite)
A análise dos processos do Serviço de Aplicações detetou uma tentativa de descarregar código a partir de sites de dados brutos, como Pastebin. Esta ação foi gerida por um processo php. Este comportamento está associado a tentativas de descarregar conchas web ou outros componentes maliciosos para o Serviço de Aplicações.
(Aplica-se a: Serviço de Aplicações em Windows)
Execução Médio
Economizando a saída do caracol para o disco detetado
(AppServices_CurlToDisk)
A análise dos processos do Serviço de Aplicações detetou o funcionamento de um comando de caracóis no qual a saída foi guardada no disco. Embora este comportamento possa ser legítimo, em aplicações web este comportamento também é observado em atividades maliciosas, como tentativas de infetar sites com conchas web.
(Aplica-se a: Serviço de Aplicações em Windows)
- Baixo
Retío de pasta de correio publicitário não pode ser detetado
(AppServices_SpamReferrer)
O registo de atividades do Azure App Service indica atividade web que foi identificada como originária de um site associado à atividade de spam. Isto pode ocorrer se o seu website estiver comprometido e utilizado para a atividade de spam.
(Aplica-se a: Serviço de aplicações em Windows e Serviço de Aplicações em Linux)
- Baixo
Acesso suspeito a uma página web possivelmente vulnerável detetada
(AppServices_ScanSensitivePage)
O registo de atividades do Azure App Service indica uma página web que parece ser sensível foi acedida. Esta atividade suspeita teve origem num endereço IP de origem cujo padrão de acesso se assemelha ao de um scanner web.
Esta atividade é frequentemente associada a uma tentativa de um intruso de digitalizar a sua rede para tentar obter acesso a páginas web sensíveis ou vulneráveis.
(Aplica-se a: Serviço de aplicações em Windows e Serviço de Aplicações em Linux)
- Baixo
Referência de nome de domínio suspeito
(AppServices_CommandlineSuspectDomain)
A análise dos dados hospedeiros detetou referência a nome de domínio suspeito. Tal atividade, embora possivelmente um comportamento legítimo do utilizador, é frequentemente uma indicação do descarregamento ou execução de software malicioso. A atividade típica de intrusos relacionados é suscetível de incluir o download e execução de mais software malicioso ou ferramentas de administração remota.
(Aplica-se a: Serviço de Aplicações em Linux)
Exfiltração Baixo
Descarregamento suspeito usando Certutil detetado
(AppServices_DownloadUsingCertutil)
A análise dos dados do anfitrião em {NAME} detetou a utilização de certutil.exe, um utilitário de administrador incorporado, para o descarregamento de um binário em vez do seu propósito principal que diz respeito à manipulação de certificados e dados de certificados. Os atacantes são conhecidos por abusar da funcionalidade de ferramentas legítimas de administrador para executar ações maliciosas, por exemplo, usando certutil.exe para descarregar e descodificar um executável malicioso que será posteriormente executado.
(Aplica-se a: Serviço de Aplicações em Windows)
Execução Médio
Execução php suspeita detetada
(AppServices_SuspectPhp)
Os registos da máquina indicam que está a decorrer um processo php suspeito. A ação incluiu uma tentativa de executar comandos do sistema operativo ou código PHP a partir da linha de comando, utilizando o processo PHP. Embora este comportamento possa ser legítimo, em aplicações web este comportamento pode indicar atividades maliciosas, como tentativas de infetar sites com conchas web.
(Aplica-se a: Serviço de aplicações em Windows e Serviço de Aplicações em Linux)
Execução Médio
Cmdlets de PowerShell suspeitos executados
(AppServices_PowerShellPowerSploitScriptExecution)
A análise dos dados do anfitrião indica a execução de cmdlets powersploits mal-intencionados conhecidos.
(Aplica-se a: Serviço de Aplicações em Windows)
Execução Médio
Processos suspeitos executados
(AppServices_KnownCredential AccessTools)
Os registos da máquina indicam que o processo suspeito: '%{process path}' estava a funcionar na máquina, muitas vezes associada a tentativas de acesso a credenciais de acesso do intruso.
(Aplica-se a: Serviço de Aplicações em Windows)
Acesso Credencial Alto
Nome suspeito do processo detetado
(AppServices_ProcessWithKnownSuspiciousExtension)
A análise dos dados do anfitrião em {NAME} detetou um processo cujo nome é suspeito, por exemplo correspondendo a uma ferramenta de intruso conhecida ou nomeado de uma forma sugestiva de ferramentas atacantes que tentam esconder-se à vista de todos. Este processo pode ser uma atividade legítima, ou uma indicação de que uma das suas máquinas foi comprometida.
(Aplica-se a: Serviço de Aplicações em Windows)
Persistência, Evasão da Defesa Médio
Processo SVCHOST suspeito executado
(AppServices_SVCHostFromInvalidPath)
O processo do sistema SVCHOST foi observado em execução num contexto anormal. Malware frequentemente usa SVCHOST para mascarar a sua atividade maliciosa.
(Aplica-se a: Serviço de Aplicações em Windows)
Evasão de defesa, execução Alto
Agente utilizador suspeito detetado
(AppServices_UserAgentInjection)
O registo de atividades do Azure App Service indica pedidos com um agente de utilizador suspeito. Este comportamento pode indicar tentativas de explorar uma vulnerabilidade na sua aplicação De Serviço de Aplicações.
(Aplica-se a: Serviço de aplicações em Windows e Serviço de Aplicações em Linux)
Acesso Inicial Médio
Invocação temática suspeita wordPress detetada
(AppServices_WpThemeInjection)
O registo de atividade do Serviço de Aplicações Azure indica uma possível atividade de injeção de código no seu recurso de Serviço de Aplicação.
A atividade suspeita detetada assemelha-se à de uma manipulação do tema WordPress para suportar a execução do código lateral do servidor, seguida de um pedido direto da web para invocar o ficheiro temático manipulado.
Este tipo de atividade foi visto no passado como parte de uma campanha de ataque sobre o WordPress.
Se o seu recurso de Serviço de Aplicações não estiver hospedado num site WordPress, este não é vulnerável a esta exploração específica de injeção de código e pode suprimir com segurança este alerta para o recurso. Para aprender a suprimir os alertas do Azure Defender, consulte os alertas de Supressão do Azure Defender.
(Aplica-se a: Serviço de aplicações em Windows e Serviço de Aplicações em Linux)
Execução Alto
Scanner de vulnerabilidade detetado
(AppServices_DrupalScanner)
O registo de atividades do Azure App Service indica que um possível scanner de vulnerabilidade foi utilizado no seu recurso De Serviço de Aplicações.
A atividade suspeita detetada assemelha-se à das ferramentas direcionadas a um sistema de gestão de conteúdos (CMS).
Se o seu recurso de Serviço de Aplicações não estiver hospedado num site Drupal, não é vulnerável a esta exploração específica de injeção de código e pode suprimir com segurança este alerta para o recurso. Para aprender a suprimir os alertas do Azure Defender, consulte os alertas de Supressão do Azure Defender.
(Aplica-se a: Serviço de Aplicações em Windows)
Pré-Ataque Médio
Scanner de vulnerabilidade detetado
(AppServices_JoomlaScanner)
O registo de atividades do Azure App Service indica que um possível scanner de vulnerabilidade foi utilizado no seu recurso De Serviço de Aplicações.
A atividade suspeita detetada assemelha-se à das ferramentas que visam as aplicações de Joomla.
Se o seu recurso de Serviço de Aplicações não estiver hospedado num site Joomla, não é vulnerável a esta exploração específica de injeção de código e pode suprimir com segurança este alerta para o recurso. Para aprender a suprimir os alertas do Azure Defender, consulte os alertas de Supressão do Azure Defender.
(Aplica-se a: Serviço de aplicações em Windows e Serviço de Aplicações em Linux)
Pré-Ataque Médio
Scanner de vulnerabilidade detetado
(AppServices_WpScanner)
O registo de atividades do Azure App Service indica que um possível scanner de vulnerabilidade foi utilizado no seu recurso De Serviço de Aplicações.
A atividade suspeita detetada assemelha-se à das ferramentas que visam as aplicações WordPress.
Se o seu recurso de Serviço de Aplicações não estiver hospedado num site WordPress, este não é vulnerável a esta exploração específica de injeção de código e pode suprimir com segurança este alerta para o recurso. Para aprender a suprimir os alertas do Azure Defender, consulte os alertas de Supressão do Azure Defender.
(Aplica-se a: Serviço de aplicações em Windows e Serviço de Aplicações em Linux)
Pré-Ataque Médio
Impressão digital na Web detetada
(AppServices_WebFingerprinting)
O registo de atividades do Azure App Service indica uma possível atividade de impressão digital na web no seu recurso de Serviço de Aplicações.
A atividade suspeita detetada está associada a uma ferramenta chamada Elefante Cego. A ferramenta impressões digitais web servidores e tenta detetar as aplicações e versão instaladas.
Os atacantes usam frequentemente esta ferramenta para sondar a aplicação web para encontrar vulnerabilidades.
(Aplica-se a: Serviço de aplicações em Windows e Serviço de Aplicações em Linux)
Pré-Ataque Médio
O site é marcado como malicioso no feed de inteligência de ameaças
(AppServices_SmartScreen)
O seu website descrito abaixo está marcado como um site malicioso pelo Windows SmartScreen. Se achar que se trata de um falso positivo, contacte Windows SmartScreen através do link de feedback do relatório fornecido.
(Aplica-se a: Serviço de aplicações em Windows e Serviço de Aplicações em Linux)
Coleção Médio
Possível perda de dados detetados
(AppServices_DataEgressArtifacts)
A análise dos dados do hospedeiro/dispositivo detetou uma possível condição de saída de dados. Os atacantes muitas vezes afastam dados de máquinas que comprometeram.
(Aplica-se a: Serviço de Aplicações em Linux)
Coleção, Exfiltração Médio
Descarregado de ficheiros suspeitos detetados
(AppServices_SuspectDownloadArtifacts)
A análise dos dados do anfitrião detetou descarregamento suspeito de ficheiros remotos.
(Aplica-se a: Serviço de Aplicações em Linux)
Persistência Médio

Alertas para contentores - Aglomerados kubernetes

Mais detalhes e notas

Alerta (tipo de alerta) Descrição Táticas MITRE
(Saibamais)
Gravidade
Pedidos de API K8S a partir de endereço IP proxy detetado
(K8S_TI_Proxy)
A análise do registo de auditoria da Kubernetes detetou pedidos de API no seu cluster a partir de um endereço IP que está associado a serviços de procuração, como o TOR. Embora este comportamento possa ser legítimo, é frequentemente visto em atividades maliciosas, quando os atacantes tentam esconder o seu IP de origem. Execução Baixo
Recipiente com um suporte de volume sensível detetado
(K8S_SensitiveMount)
A análise do registo de auditoria da Kubernetes detetou um novo recipiente com um suporte de volume sensível. O volume detetado é um tipo hostPath que monta um ficheiro ou pasta sensível do nó para o recipiente. Se o recipiente ficar comprometido, o intruso pode usar este suporte para aceder ao nó. Escalamento de Privilégios Médio
Modificação coreDNS em Kubernetes detetada
(K8S_CoreDnsModification)
A análise do registo de auditoria da Kubernetes detetou uma modificação da configuração coreDNS. A configuração do CoreDNS pode ser modificada através da sua configuração. Embora esta atividade possa ser legítima, se os atacantes tiverem permissões para modificar o configmap, podem alterar o comportamento do servidor DNS do cluster e envenená-lo. Movimento Lateral Baixo
Criação de configuração webhook de admissão detetada
(K8S_AdmissionController)
A análise do registo de auditoria da Kubernetes detetou uma nova configuração do webhook de admissão. A Kubernetes tem dois controladores de admissão genéricos incorporados: MutatingAdmissionWebhook e ValidatingAdmissionWebhook. O comportamento destes controladores de admissão é determinado por um webhook de admissão que o utilizador implementa no cluster. A utilização de tais controladores de admissão pode ser legítima, no entanto os atacantes podem usar esses webhooks para modificar os pedidos (no caso de MutatingAdmissionWebhook) ou inspecionar os pedidos e obter informações sensíveis (em caso de ValidaçãoadmissionWebhook). Acesso credencial, Persistência Baixo
Recipiente de mineração de moeda digital detetado
(K8S_MaliciousContainerImage)
A análise do registo de auditoria da Kubernetes detetou um contentor que tem uma imagem associada a uma ferramenta de mineração de moeda digital. Execução Alto
Painel de Kubeflow exposto detetado
(K8S_ExposedKubeflow)
A análise do registo de auditoria de Kubernetes detetou a exposição do Istio Ingress por um equilibrador de carga num cluster que executa o Kubeflow. Esta ação pode expor o painel de kubeflow à internet. Se o painel estiver exposto à internet, os atacantes podem aceder-lhe e executar contentores ou códigos maliciosos no cluster. Encontre mais detalhes no seguinte artigo: https://www.microsoft.com/security/blog/2020/06/10/misconfigured-kubeflow-workloads-are-a-security-risk Acesso Inicial Médio
Painel de kubernetes exposto detetado
(K8S_ExposedDashboard)
A análise do registo de auditoria da Kubernetes detetou a exposição do Painel de Instrumentos de Kubernetes por um serviço LoadBalancer. O painel exposto permite um acesso não autenticado à gestão do cluster e representa uma ameaça à segurança. Acesso Inicial Alto
Serviço de Kubernetes exposto detetado
(K8S_ExposedService)
A análise do registo de auditoria da Kubernetes detetou a exposição de um serviço por um equilibrador de carga. Este serviço está relacionado com uma aplicação sensível que permite operações de alto impacto no cluster, como processos de execução no nó ou criação de novos contentores. Em alguns casos, este serviço não requer autenticação. Se o serviço não necessitar de autenticação, expô-lo à internet representa um risco de segurança. Acesso Inicial Médio
Serviço Redis exposto em AKS detetado
(K8S_ExposedRedis)
A análise do registo de auditoria da Kubernetes detetou a exposição de um serviço Redis por um equilibrador de carga. Se o serviço não necessitar de autenticação, expô-lo à internet representa um risco de segurança. Acesso Inicial Baixo
Eventos de Kubernetes eliminados
(K8S_DeleteEvents)
O Centro de Segurança detetou que alguns eventos de Kubernetes foram apagados. Os eventos de Kubernetes são objetos em Kubernetes que contêm informações sobre mudanças no cluster. Os agressores podem apagar esses eventos por esconderem as suas operações no aglomerado. Evasão à Defesa Médio
Ferramenta de teste de penetração de Kubernetes detetada
(K8S_PenTestToolsKubeHunter)
A análise do registo de auditoria da Kubernetes detetou o uso da ferramenta de teste de penetração de Kubernetes no cluster AKS. Embora este comportamento possa ser legítimo, os atacantes podem usar tais ferramentas públicas para fins maliciosos. Execução Baixo
Novo recipiente no espaço de nome do sistema kube detetado
(K8S_KubeSystemContainer)
A análise do registo de auditoria da Kubernetes detetou um novo contentor no espaço de nomes do sistema kube que não está entre os contentores que normalmente funcionam neste espaço de nome. Os espaços de nome do sistema kube não devem conter recursos do utilizador. Os atacantes podem usar este espaço de nome para esconder componentes maliciosos. Persistência Baixo
Novo papel de alto privilégio detetado
(K8S_HighPrivilegesRole)
A análise do registo de auditoria da Kubernetes detetou um novo papel com privilégios elevados. Uma ligação a um papel com privilégios elevados confere ao utilizador privilégios elevados no cluster. Privilégios desnecessários podem causar uma escalada de privilégios no aglomerado. Persistência Baixo
Contentor privilegiado detetado
(K8S_PrivilegedContainer)
A análise do registo de auditoria da Kubernetes detetou um novo contentor privilegiado. Um recipiente privilegiado tem acesso aos recursos do nó e quebra o isolamento entre contentores. Se estiver comprometido, um intruso pode usar o recipiente privilegiado para ter acesso ao nó. Escalamento de Privilégios Baixo
Papel vinculativo para o papel de administrador de cluster detetado
(K8S_ClusterAdminBinding)
A análise do registo de auditoria da Kubernetes detetou uma nova ligação à função de administrador de cluster que dá privilégios ao administrador. Privilégios de administrador desnecessários podem causar uma escalada de privilégios no cluster. Persistência Baixo

Alertas para contentores - nível de hospedeiro

Os alertas do Azure Defender para os anfitriões dos contentores não se limitam aos alertas abaixo. Muitos dos alertas indicados nos alertas para a camada de rede Azure, alertas para máquinas Windows, e alertas para as tabelas de máquinas Linux também podem ser acionados nos seus anfitriões de contentores. A equipa global de inteligência de ameaças da Microsoft mede e afina continuamente muitos tipos de alertas contra os clusters kubernetes para otimizar a deteção e reduzir falsos positivos.

Mais detalhes e notas

Alerta (tipo de alerta) Descrição Táticas MITRE
(Saibamais)
Gravidade
Contentor com imagem de mineiro detetado
(VM_MinerInContainerImage)
Os registos da máquina indicam a execução de um contentor Docker que executa uma imagem associada a uma mineração de moeda digital. Execução Alto
Estivador constrói operação detetada num nó de Kubernetes
(VM_ImageBuildOnNode)
Os registos da máquina indicam uma operação de construção de uma imagem de contentor num nó kubernetes. Embora este comportamento possa ser legítimo, os atacantes podem construir as suas imagens maliciosas localmente para evitar a deteção. Evasão à Defesa Baixo
Daemon estivado exposto detetado
(VM_ExposedDocker)
Os registos da máquina indicam que o seu Daemon Docker (estivador) expõe uma tomada TCP. Por predefinição, a configuração do Docker não utiliza encriptação ou autenticação quando uma tomada TCP está ativada. Isto permite o acesso total ao daemon Docker, por qualquer pessoa com acesso ao porto relevante. Execução, Exploração Médio
Comando privilegiado executado em contentor
(VM_PrivilegedExecutionInContainer)
Os registos da máquina indicam que um comando privilegiado foi executado num contentor do Docker. Um comando privilegiado estendeu privilégios na máquina de acolhimento. Escalamento de Privilégios Baixo
Recipiente privilegiado detetado
(VM_PrivilegedContainerArtifacts)
Os registos da máquina indicam que um contentor privilegiado do Docker está a funcionar. Um recipiente privilegiado tem acesso total aos recursos do hospedeiro. Se estiver comprometido, um intruso pode utilizar o recipiente privilegiado para aceder à máquina hospedeira. Escalada de Privilégio, Execução Baixo
O servidor SSH está a correr dentro de um contentor
(VM_ContainerSSH)
Os registos da máquina indicam que um servidor SSH está a funcionar dentro de um contentor do Docker. Embora este comportamento possa ser intencional, indica frequentemente que um recipiente está mal configurado ou violado. Execução Médio
Pedido suspeito à API de Kubernetes
(VM_KubernetesAPI)
Os registos da máquina indicam que foi feito um pedido suspeito à API de Kubernetes. O pedido foi enviado de um nó kubernetes, possivelmente de um dos contentores que funcionam no nó. Embora este comportamento possa ser intencional, pode indicar que o nó está a executar um recipiente comprometido. Execução Médio
Pedido suspeito para o Painel de Kubernetes
(VM_KubernetesDashboard)
Os registos da máquina indicam que foi feito um pedido suspeito ao Painel kubernetes. O pedido foi enviado de um nó kubernetes, possivelmente de um dos contentores que funcionam no nó. Embora este comportamento possa ser intencional, pode indicar que o nó está a executar um recipiente comprometido. Movimento lateral Médio

Alertas para Base de Dados SQL e Azure Synapse Analytics

Mais detalhes e notas

Alerta Descrição Táticas MITRE
(Saibamais)
Gravidade
Uma possível vulnerabilidade à injeção de SQL
(SQL. VM_VulnerabilityToSqlInjection
SQL. DB_VulnerabilityToSqlInjection
SQL.MI_VulnerabilityToSqlInjection
SQL. DW_VulnerabilityToSqlInjection)
Uma aplicação gerou uma declaração SQL defeituosa na base de dados. Isto pode indicar uma possível vulnerabilidade a ataques de injeção SQL. Há duas razões possíveis para uma declaração defeituosa. Um defeito no código de aplicação pode ter construído a declaração de SQL defeituosa. Ou, o código de aplicação ou os procedimentos armazenados não higienizaram a entrada do utilizador ao construir a declaração de SQL defeituosa, que pode ser explorada para SQL injeção. Pré-Ataque Médio
Tentativa de início de são por uma aplicação potencialmente prejudicial
(SQL. DB_HarmfulApplication
SQL. VM_HarmfulApplication
SQL.MI_HarmfulApplication
SQL. DW_HarmfulApplication)
Uma aplicação potencialmente prejudicial tentou aceder a SQL servidor '{name}'. Pré-Ataque Alto
Faça login a partir de um centro de dados Azure incomum
(SQL. DB_DataCenterAnomaly
SQL. VM_DataCenterAnomaly
SQL. DW_DataCenterAnomaly
SQL.MI_DataCenterAnomaly)
Houve uma mudança no padrão de acesso a um SQL Server, onde alguém inscreveu-se no servidor a partir de um centro de dados Azure incomum. Em alguns casos, o alerta deteta uma ação legítima (uma nova aplicação ou serviço Azure). Noutros casos, o alerta deteta uma ação maliciosa (atacante que opera a partir de recurso violado em Azure). Pesquisa Baixo
Faça login a partir de um local incomum
(SQL. DB_GeoAnomaly
SQL. VM_GeoAnomaly
SQL. DW_GeoAnomaly
SQL.MI_GeoAnomaly)
Houve uma mudança no padrão de acesso a SQL Server, onde alguém inscreveu no servidor a partir de uma localização geográfica incomum. Em alguns casos, o alerta deteta uma ação legítima (uma nova manutenção de programador ou aplicação). Noutros casos, o alerta deteta uma ação maliciosa (um ex-funcionário ou agressor externo). Exploração Médio
Login de um utilizador principal não visto em 60 dias
(SQL. DB_PrincipalAnomaly
SQL. VM_PrincipalAnomaly
SQL. DW_PrincipalAnomaly
SQL.MI_PrincipalAnomaly)
Um utilizador principal não visto nos últimos 60 dias entrou na sua base de dados. Se esta base de dados for nova ou se este comportamento for esperado causado por alterações recentes nos utilizadores que acedem à base de dados, o Centro de Segurança identificará alterações significativas nos padrões de acesso e tentará evitar futuros falsos positivos. Exploração Médio
Login a partir de um IP suspeito
(SQL. VM_SuspiciousIpAnomaly)
O seu recurso foi acedido com sucesso a partir de um endereço IP que a Microsoft Threat Intelligence associou a atividades suspeitas. Pré-Ataque Médio
Potencial SQL tentativa da Força Bruta Um número anormalmente elevado de sinal falhado em tentativas com diferentes credenciais ocorreu. Em alguns casos, o alerta deteta testes de penetração em ação. Noutros casos, o alerta deteta um ataque de força bruta. Pesquisa Alto
Injeção de SQL potencial
(SQL. DB_PotentialSqlInjection
SQL. VM_PotentialSqlInjection
SQL.MI_PotentialSqlInjection
SQL. DW_PotentialSqlInjection
Synapse.SQLPool_PotentialSqlInjection)
Ocorreu uma exploração ativa contra uma aplicação identificada vulnerável à injeção de SQL. Isto significa que um intruso está a tentar injetar declarações SQL maliciosas utilizando o código de aplicação vulnerável ou procedimentos armazenados. Pré-Ataque Alto
Ação potencialmente insegura
(SQL. DB_UnsafeCommands
SQL.MI_UnsafeCommands
SQL. DW_UnsafeCommands)
Uma ação potencialmente insegura foi tentada na sua base de dados '{name}' no servidor '{name}'. - Alto
Suspeito de ataque à força bruta usando um utilizador válido Um potencial ataque de força bruta foi detetado no seu recurso. O intruso está a utilizar o utilizador válido SA, que tem permissões para iniciar sessão. Pré-Ataque Alto
Suspeito de ataque à força bruta Um potencial ataque de força bruta foi detetado no seu servidor SQL '{name}'. Pré-Ataque Alto
Suspeito de ataque à força bruta bem-sucedido
(SQL. DB_BruteForce
SQL. VM_BruteForce
SQL. DW_BruteForce
SQL.MI_BruteForce)
Um login bem sucedido ocorreu após um aparente ataque de força bruta no seu recurso Pré-Ataque Alto
Local de exportação incomum Alguém extraiu uma quantidade massiva de dados do seu SQL Server '{name}' para um local incomum. Exfiltração Alto

Alertas para bases de dados relacionais de código aberto

Mais detalhes e notas

Alerta (tipo de alerta) Descrição Táticas MITRE
(Saibamais)
Gravidade
Suspeito de ataque à força bruta usando um utilizador válido
(SQL. PostgreSQL_BruteForce
SQL. MariaDB_BruteForce
SQL. MySQL_BruteForce)
Um potencial ataque de força bruta foi detetado no seu recurso. O intruso está a utilizar o utilizador válido (nome de utilizador), que tem permissões para iniciar sessão. Pré-Ataque Alto
Suspeito de ataque à força bruta bem-sucedido
(SQL. PostgreSQL_BruteForce
SQL. MySQL_BruteForce
SQL. MariaDB_BruteForce)
Um login bem sucedido ocorreu após um aparente ataque de força bruta no seu recurso. Pré-Ataque Alto
Suspeito de ataque à força bruta
"SQL. MySQL_BruteForce")
Um potencial ataque de força bruta foi detetado no seu servidor SQL '{name}'. Pré-Ataque Alto
Tentativa de início de são por uma aplicação potencialmente prejudicial
(SQL. PostgreSQL_HarmfulApplication
SQL. MariaDB_HarmfulApplication
SQL. MySQL_HarmfulApplication)
Uma aplicação potencialmente prejudicial tentou aceder ao seu recurso. Pré-Ataque Alto
Login de um utilizador principal não visto em 60 dias
(SQL. PostgreSQL_PrincipalAnomaly
SQL. MariaDB_PrincipalAnomaly
SQL. MySQL_PrincipalAnomaly)
Um utilizador principal não visto nos últimos 60 dias entrou na sua base de dados. Se esta base de dados for nova ou se este comportamento for esperado causado por alterações recentes nos utilizadores que acedem à base de dados, o Centro de Segurança identificará alterações significativas nos padrões de acesso e tentará evitar futuros falsos positivos. Exploração Médio
Login de um domínio não visto em 60 dias
(SQL. MariaDB_DomainAnomaly
SQL. PostgreSQL_DomainAnomaly
SQL. MySQL_DomainAnomaly)
Um utilizador iniciou sessão no seu recurso a partir de um domínio que nenhum outro utilizador ligou nos últimos 60 dias. Se este recurso for novo ou se este comportamento for esperado causado por recentes alterações nos utilizadores que acedem ao recurso, o Centro de Segurança identificará alterações significativas nos padrões de acesso e tentará evitar futuros falsos positivos. Exploração Médio
Faça login a partir de um centro de dados Azure incomum
(SQL. PostgreSQL_DataCenterAnomaly
SQL. MariaDB_DataCenterAnomaly
SQL. MySQL_DataCenterAnomaly)
Alguém acedeu ao seu recurso a partir de um centro de dados Azure incomum. Pesquisa Baixo
Logon de um fornecedor de nuvem incomum
(SQL. PostgreSQL_CloudProviderAnomaly
SQL. MariaDB_CloudProviderAnomaly
SQL. MySQL_CloudProviderAnomaly)
Alguém acedeu ao seu recurso de um fornecedor de nuvem que não foi visto nos últimos 60 dias. É rápido e fácil para os atores ameaçarem obter poder de computação descartável para uso nas suas campanhas. Se este comportamento for esperado causado pela recente adoção de um novo provedor de nuvem, o Security Center aprenderá ao longo do tempo e tentará evitar futuros falsos positivos. Exploração Médio
Faça login a partir de um local incomum
(SQL. MariaDB_GeoAnomaly
SQL. PostgreSQL_GeoAnomaly
SQL. MySQL_GeoAnomaly)
Alguém acedeu ao seu recurso a partir de um centro de dados Azure incomum. Exploração Médio
Login a partir de um IP suspeito
(SQL. PostgreSQL_SuspiciousIpAnomaly
SQL. MariaDB_SuspiciousIpAnomaly
SQL. MySQL_SuspiciousIpAnomaly)
O seu recurso foi acedido com sucesso a partir de um endereço IP que a Microsoft Threat Intelligence associou a atividades suspeitas. Pré-Ataque Médio

Alertas para Gestor de Recursos

Mais detalhes e notas

Alerta (tipo de alerta) Descrição Táticas MITRE
(Saibamais)
Gravidade
Operação do Gestor de Recursos Azure a partir de endereço IP suspeito (Pré-visualização)
(ARM_OperationFromSuspiciousIP)
O Azure Defender for Resource Manager detetou uma operação a partir de um endereço IP que foi marcado como suspeito em feeds de inteligência de ameaça. Execução Médio
Operação Azure Resource Manager a partir de endereço IP de procuração suspeita (Pré-visualização)
(ARM_OperationFromSuspiciousProxyIP)
O Azure Defender for Resource Manager detetou uma operação de gestão de recursos a partir de um endereço IP que está associado a serviços de procuração, como o TOR. Embora este comportamento possa ser legítimo, é frequentemente visto em atividades maliciosas, quando os atores de ameaça tentam esconder o seu IP de origem. Evasão à Defesa Médio
Kit de ferramentas de exploração MicroBurst usado para enumerar recursos nas suas subscrições
(ARM_MicroBurst.AzDomainInfo)
O módulo de Recolha de Informação da MicroBurst foi executado na sua subscrição. Esta ferramenta pode ser usada para descobrir recursos, permissões e estruturas de rede. Isto foi detetado através da análise dos registos de atividade do Azure e das operações de gestão de recursos na sua subscrição - Alto
Kit de ferramentas de exploração MicroBurst usado para enumerar recursos nas suas subscrições
(ARM_MicroBurst.AzureDomainInfo)
O módulo de Recolha de Informação da MicroBurst foi executado na sua subscrição. Esta ferramenta pode ser usada para descobrir recursos, permissões e estruturas de rede. Isto foi detetado através da análise dos registos de atividade do Azure e das operações de gestão de recursos na sua subscrição - Alto
Kit de ferramentas de exploração MicroBurst usado para executar código na sua máquina virtual
(ARM_MicroBurst.AzVMBulkCMD)
O kit de ferramentas de exploração da MicroBurst foi usado para executar código nas suas máquinas virtuais. Isto foi detetado através da análise das operações do Azure Resource Manager na sua subscrição. Execução Alto
Kit de ferramentas de exploração MicroBurst usado para executar código na sua máquina virtual
(RM_MicroBurst.AzureRmVMBulkCMD)
O kit de ferramentas de exploração da MicroBurst foi usado para executar código nas suas máquinas virtuais. Isto foi detetado através da análise das operações do Azure Resource Manager na sua subscrição. - Alto
Kit de ferramentas de exploração MicroBurst usado para extrair chaves dos seus cofres-chave Azure
(ARM_MicroBurst.AzKeyVaultKeysREST)
O kit de ferramentas de exploração da MicroBurst foi usado para extrair chaves dos seus cofres de chaves Azure. Isto foi detetado através da análise de registos de AtividadeS Azure e operações de gestão de recursos na sua subscrição. - Alto
Kit de ferramentas de exploração MicroBurst usado para extrair chaves para as suas contas de armazenamento
(ARM_MicroBurst.AZStorageKeysREST)
O kit de ferramentas de exploração da MicroBurst foi usado para extrair chaves das suas contas de armazenamento. Isto foi detetado através da análise de registos de AtividadeS Azure e operações de gestão de recursos na sua subscrição. Coleção Alto
Kit de ferramentas de exploração MicroBurst usado para extrair segredos dos seus cofres-chave Azure
(ARM_MicroBurst.AzKeyVaultSecretsREST)
O kit de ferramentas de exploração da MicroBurst foi usado para extrair segredos dos seus cofres chave Azure. Isto foi detetado através da análise de registos de AtividadeS Azure e operações de gestão de recursos na sua subscrição. - Alto
Permissões concedidas para um papel RBAC de uma forma invulgar para o seu ambiente Azure (Preview)
(ARM_AnomalousRBACRoleAssignment)
O Azure Defender for Resource Manager detetou uma atribuição de funções RBAC que é incomum quando comparada com outras atribuições realizadas pelo mesmo destinatário/realizada para o mesmo destinatário/no seu inquilino devido às seguintes anomalias: tempo de atribuição, localização do destinatário, destinatário, método de autenticação, entidades atribuídas, software cliente utilizado, extensão de atribuição. Esta operação pode ter sido realizada por um utilizador legítimo na sua organização. Em alternativa, pode indicar que uma conta na sua organização foi violada e que o ator ameaça está a tentar conceder permissões a uma conta de utilizador adicional que possuem. Movimento Lateral, Evasão de Defesa Médio
Kit de ferramentas de exploração PowerZure usado para elevar o acesso de Azure AD a Azure
(ARM_PowerZure.AzureElevatedPrivileges)
O kit de ferramentas de exploração PowerZure foi usado para elevar o acesso de AzureAD a Azure. Isto foi detetado através da análise das operações do Azure Resource Manager no seu inquilino. - Alto
Kit de ferramentas de exploração PowerZure usado para enumerar recursos
(ARM_PowerZure.GetAzureTargets)
O kit de ferramentas de exploração PowerZure foi utilizado para enumerar recursos em nome de uma conta de utilizador legítima na sua organização. Isto foi detetado através da análise das operações do Azure Resource Manager na sua subscrição. Coleção Alto
Kit de ferramentas de exploração PowerZure usado para enumerar recipientes de armazenamento, partilhas e tabelas
(ARM_PowerZure.ShowStorageContent)
O kit de ferramentas de exploração PowerZure foi usado para enumerar partilhas de armazenamento, mesas e contentores. Isto foi detetado através da análise das operações do Azure Resource Manager na sua subscrição. - Alto
Kit de ferramentas de exploração PowerZure usado para executar um Runbook na sua subscrição
(ARM_PowerZure.StartRunbook)
O kit de ferramentas de exploração PowerZure foi usado para executar um Runbook. Isto foi detetado através da análise das operações do Azure Resource Manager na sua subscrição. - Alto
Kit de ferramentas de exploração PowerZure usado para extrair conteúdo de Runbooks
(ARM_PowerZure.AzureRunbookContent)
O kit de ferramentas de exploração PowerZure foi usado para extrair conteúdo do Runbook. Isto foi detetado através da análise das operações do Azure Resource Manager na sua subscrição. Coleção Alto
PRÉ-VISUALIZAÇÃO - Atividade a partir de um endereço IP de risco
(ARM. MCAS_ActivityFromAnonymousIPAddresses)
Foi detetada atividade dos utilizadores a partir de um endereço IP que tenha sido identificado como um endereço IP de procuração anónimo.
Estes proxies são usados por pessoas que querem esconder o endereço IP do seu dispositivo, e podem ser usados para intenção maliciosa. Esta deteção utiliza um algoritmo de aprendizagem automática que reduz falsos positivos, tais como endereços IP com etiquetas erradas que são amplamente utilizados pelos utilizadores na organização.
Requer uma licença de Microsoft Cloud App Security ativa.
- Médio
PREVIEW - Atividade de país pouco frequente
(ARM. MCAS_ActivityFromInfrequentCountry)
A atividade de um local que não tenha sido recentemente ou nunca visitado por qualquer utilizador da organização ocorreu.
Esta deteção considera locais de atividade passados para determinar locais novos e pouco frequentes. O motor de deteção de anomalias armazena informações sobre locais anteriores utilizados pelos utilizadores na organização.
Requer uma licença de Microsoft Cloud App Security ativa.
- Médio
PREVIEW - Azurite toolkit run detetado
(ARM_Azurite)
Foi detetado um conjunto de ferramentas de reconhecimento em ambiente nublado conhecido no seu ambiente. A ferramenta Azurite pode ser usada por um intruso (ou teste de penetração) para mapear os recursos das suas subscrições e identificar configurações inseguras. Coleção Alto
PREVIEW - Atividade de viagem impossível
(ARM. MCAS_ImpossibleTravelActivity)
Duas atividades do utilizador (em uma única ou múltipla sessão) ocorreram, originárias de locais geograficamente distantes. Isto ocorre num período de tempo mais curto do que o tempo que o utilizador levaria a viajar do primeiro para o segundo. Isto indica que um utilizador diferente está a usar as mesmas credenciais.
Esta deteção utiliza um algoritmo de aprendizagem automática que ignora os óbvios falsos positivos que contribuem para as condições impossíveis de viagem, tais como VPNs e locais regularmente utilizados por outros utilizadores da organização. A deteção tem um período inicial de aprendizagem de sete dias, durante o qual aprende o padrão de atividade de um novo utilizador.
Requer uma licença de Microsoft Cloud App Security ativa.
- Médio
PREVIEW - Sessão de gestão suspeita utilizando uma conta inativa detetada
(ARM_UnusedAccountPersistence)
A análise de registos de atividade de subscrição detetou comportamentos suspeitos. Um principal que não está a ser utilizado durante um longo período de tempo está agora a realizar ações que podem garantir a persistência de um intruso. Persistência Médio
PREVIEW - Sessão de gestão suspeita usando PowerShell detetado
(ARM_UnusedAppPowershellPersistence)
A análise de registos de atividade de subscrição detetou comportamentos suspeitos. Um diretor que não usa regularmente o PowerShell para gerir o ambiente de subscrição está agora a usar o PowerShell, e a realizar ações que podem garantir a persistência de um intruso. Persistência Médio
PREVIEW – Sessão de gestão suspeita utilizando o portal Azure detetado
(ARM_UnusedAppIbizaPersistence)
A análise dos registos de atividade da subscrição detetou um comportamento suspeito. Um principal que não usa regularmente o portal Azure (Ibiza) para gerir o ambiente de subscrição (não utilizou o portal Azure para gerir nos últimos 45 dias, ou uma subscrição que está a gerir ativamente), está agora a usar o portal Azure e a realizar ações que podem garantir a persistência de um intruso. Persistência Médio
Papel personalizado privilegiado criado para a sua subscrição de forma suspeita (Pré-visualização)
(ARM_PrivilegedRoleDefinitionCreation)
O Azure Defender for Resource Manager detetou uma criação suspeita de definição de função personalizada privilegiada na sua subscrição. Esta operação pode ter sido realizada por um utilizador legítimo na sua organização. Em alternativa, pode indicar que uma conta na sua organização foi violada, e que o ator ameaça está a tentar criar um papel privilegiado a usar no futuro para evitar a deteção. Escalada de Privilégio, Evasão da Defesa Baixo
Utilização do kit de ferramentas de exploração MicroBurst para executar um código arbitrário ou exfiltrate credenciais de conta Azure Automation
(ARM_MicroBurst.RunCodeOnBehalf)
Utilização do kit de ferramentas de exploração MicroBurst para executar um código arbitrário ou exfiltrar credenciais de conta Azure Automation. Isto foi detetado através da análise das operações do Azure Resource Manager na sua subscrição. Persistência, Acesso Credencial Alto
Utilização de técnicas NetSPI para manter a persistência no seu ambiente Azure
(ARM_NetSPI.KeepPersistence)
Utilização da técnica de persistência da NetSPI para criar uma porta traseira webhook e manter a persistência no seu ambiente Azure. Isto foi detetado através da análise das operações do Azure Resource Manager na sua subscrição. - Alto
Utilização do kit de ferramentas de exploração PowerZure para executar um código arbitrário ou exfiltrate credenciais de conta Azure Automation
(ARM_PowerZure.RunCodeOnBehalf)
O kit de ferramentas de exploração PowerZure detetou a tentativa de executar credenciais de conta código ou exfiltrate Azure Automation. Isto foi detetado através da análise das operações do Azure Resource Manager na sua subscrição. - Alto
Utilização da função PowerZure para manter a persistência no seu ambiente Azure
(ARM_PowerZure.KeepPersistence)
O kit de ferramentas de exploração PowerZure detetou a criação de uma porta traseira webhook para manter a persistência no seu ambiente Azure. Isto foi detetado através da análise das operações do Azure Resource Manager na sua subscrição. - Alto

Alertas para DNS

Mais detalhes e notas

Alerta (tipo de alerta) Descrição Táticas MITRE
(Saibamais)
Gravidade
Utilização do protocolo de rede anómalo
(AzureDNS_ProtocolAnomaly)
A análise das transações de DNS a partir de %{Comprometeu a Entidade} detetou a utilização de protocolos anómalos. Este tráfego, embora possivelmente benigno, pode indicar abuso deste protocolo comum para contornar a filtragem do tráfego da rede. A atividade típica do intruso inclui copiar ferramentas de administração remotas para um hospedeiro comprometido e exfiltrar os dados do utilizador a partir dele. Exfiltração -
Atividade da rede de anonimato
(AzureDNS_DarkWeb)
A análise das transações de DNS de %{Comprometeu a Entidade} detetou a atividade da rede de anonimato. Tal atividade, embora possivelmente um comportamento legítimo do utilizador, é frequentemente utilizada pelos atacantes para evitar o rastreio e a recolha de impressões digitais das comunicações de rede. A atividade típica de intrusos relacionados é suscetível de incluir o download e execução de software malicioso ou ferramentas de administração remota. Exfiltração -
Atividade da rede de anonimato usando proxy web
(AzureDNS_DarkWebProxy)
A análise das transações de DNS de %{Comprometeu a Entidade} detetou a atividade da rede de anonimato. Tal atividade, embora possivelmente um comportamento legítimo do utilizador, é frequentemente utilizada pelos atacantes para evitar o rastreio e a recolha de impressões digitais das comunicações de rede. A atividade típica de intrusos relacionados é suscetível de incluir o download e execução de software malicioso ou ferramentas de administração remota. Exfiltração -
Tentativa de comunicação com domínio suspeito e sumidouro
(AzureDNS_SinkholedDomain)
Análise de transações de DNS de %{Comprometeu-se com o pedido de domínio afundado. Tal atividade, embora possivelmente um comportamento legítimo do utilizador, é frequentemente uma indicação do descarregamento ou execução de software malicioso. A atividade típica de intrusos relacionados é suscetível de incluir o download e execução de mais software malicioso ou ferramentas de administração remota. Exfiltração -
Comunicação com possível domínio de phishing
(AzureDNS_PhishingDomain)
A análise das transações de DNS a partir de %{CompromisedEntity} detetou um pedido para um possível domínio de phishing. Tal atividade, embora possivelmente benigna, é frequentemente realizada por atacantes para recolher credenciais para serviços remotos. A atividade típica de intrusos relacionados é suscetível de incluir a exploração de quaisquer credenciais no serviço legítimo. Exfiltração -
Comunicação com domínio gerado algoritmos suspeitos
(AzureDNS_DomainGenerationAlgorithm)
A análise das transações de DNS a partir de %{Comprometeu a Entidade} detetou uma possível utilização de um algoritmo de geração de domínio. Tal atividade, embora possivelmente benigna, é frequentemente realizada por atacantes para evitar a monitorização e filtragem da rede. A atividade típica de intrusos relacionados é suscetível de incluir o download e execução de software malicioso ou ferramentas de administração remota. Exfiltração -
Comunicação com domínio suspeito identificado pela inteligência de ameaça
(AzureDNS_ThreatIntelSuspectDomain)
A comunicação com domínio suspeito foi detetada através da análise de transações de DNS a partir do seu recurso e comparando com domínios maliciosos conhecidos identificados por feeds de inteligência de ameaças. A comunicação a domínios maliciosos é frequentemente realizada por atacantes e pode implicar que o seu recurso está comprometido." Acesso Inicial Médio
Comunicação com nome de domínio aleatório suspeito
(AzureDNS_RandomizedDomain)
A análise das transações de DNS a partir de %{Comprometeu-se} detetou o uso de um nome de domínio gerado aleatoriamente suspeito. Tal atividade, embora possivelmente benigna, é frequentemente realizada por atacantes para evitar a monitorização e filtragem da rede. A atividade típica de intrusos relacionados é suscetível de incluir o download e execução de software malicioso ou ferramentas de administração remota. Exfiltração -
Atividade de mineração de moeda digital
(AzureDNS_CurrencyMining)
A análise das transações de DNS a partir de %{Comprometeu a Entidade} detetou a atividade mineira de moeda digital. Tal atividade, embora possivelmente um comportamento legítimo do utilizador, é frequentemente realizada por atacantes após o compromisso de recursos. A atividade típica de intrusos relacionados é suscetível de incluir o download e execução de ferramentas mineiras comuns. Exfiltração -
Ativação de assinatura de deteção de intrusão em rede
(AzureDNS_SuspiciousDomain)
A análise das transações dns de %{Comprometeu-se} detetou uma assinatura de rede maliciosa conhecida. Tal atividade, embora possivelmente um comportamento legítimo do utilizador, é frequentemente uma indicação do descarregamento ou execução de software malicioso. A atividade típica de intrusos relacionados é suscetível de incluir o download e execução de mais software malicioso ou ferramentas de administração remota. Exfiltração -
Possível transferência de dados através do túnel DNS
(AzureDNS_DataInfiltration)
A análise das transações de DNS de %{CompromisedEntity} detetou um possível túnel DNS. Tal atividade, embora possivelmente um comportamento legítimo do utilizador, é frequentemente realizada por atacantes para evitar a monitorização e filtragem da rede. A atividade típica de intrusos relacionados é suscetível de incluir o download e execução de software malicioso ou ferramentas de administração remota. Exfiltração -
Possível exfiltração de dados através do túnel DNS
(AzureDNS_DataExfiltration)
A análise das transações de DNS de %{CompromisedEntity} detetou um possível túnel DNS. Tal atividade, embora possivelmente um comportamento legítimo do utilizador, é frequentemente realizada por atacantes para evitar a monitorização e filtragem da rede. A atividade típica de intrusos relacionados é suscetível de incluir o download e execução de software malicioso ou ferramentas de administração remota. Exfiltração -
Possível transferência de dados através do túnel DNS
(AzureDNS_DataObfuscation)
A análise das transações de DNS de %{CompromisedEntity} detetou um possível túnel DNS. Tal atividade, embora possivelmente um comportamento legítimo do utilizador, é frequentemente realizada por atacantes para evitar a monitorização e filtragem da rede. A atividade típica de intrusos relacionados é suscetível de incluir o download e execução de software malicioso ou ferramentas de administração remota. Exfiltração -

Alertas para Azure Armazenamento

Mais detalhes e notas

Alerta (tipo de alerta) Descrição Táticas MITRE
(Saibamais)
Gravidade
Acesso a partir de um endereço IP suspeito
(Armazenamento. Blob_SuspiciousIp
Armazenamento. Files_SuspiciousIp)
Indica que esta conta de armazenamento foi acedida com sucesso a partir de um endereço IP que é considerado suspeito. Este alerta é alimentado pela Microsoft Threat Intelligence.
Saiba mais sobre as capacidades de inteligência de ameaça da Microsoft.
Aplica-se a: Azure Blob Armazenamento, Azure Files, Azure Data Lake Armazenamento Gen2
Acesso Inicial Médio
PREVIEW - Digitalização anónima de contentores de armazenamento público
(Armazenamento. Blob_ContainerAnonymousScan)
Foram feitas várias tentativas para identificar anonimamente contentores públicos na sua conta de armazenamento. Isto pode indicar um ataque de reconhecimento, onde o intruso verifica a sua conta de armazenamento para identificar contentores acessíveis ao público e, em seguida, tenta encontrar dados sensíveis dentro deles.
Aplica-se a: Azure Blob Armazenamento
Pré-Ataque, Coleção Médio / Alto
PREVIEW – Conteúdo de phishing alojado numa conta de armazenamento
(Armazenamento. Blob_PhishingContent
Armazenamento. Files_PhishingContent)
Um URL usado num ataque de phishing aponta para a sua conta Azure Armazenamento. Este URL fazia parte de um ataque de phishing que afetava os utilizadores de Microsoft 365.
Normalmente, os conteúdos alojados nessas páginas são projetados para enganar os visitantes a introduzir as suas credenciais corporativas ou informações financeiras num formulário web que parece legítimo.
Este alerta é alimentado pela Microsoft Threat Intelligence.
Saiba mais sobre as capacidades de inteligência de ameaça da Microsoft.
Aplica-se a: Azure Blob Armazenamento, Ficheiros Azure
Coleção Alto
PREVIEW - Armazenamento conta identificada como fonte de distribuição de malware
(Armazenamento. Files_WidespreadeAm)
Os alertas antimalware indicam que um ficheiro(s) infetado é armazenado numa partilha de ficheiros Azure que é montada em vários VMs. Se os atacantes tiverem acesso a um VM com uma partilha de ficheiros Azure montado, podem usá-lo para espalhar malware para outros VMs que montam a mesma partilha.
Aplica-se a: Ficheiros Azure
Movimento Lateral, Execução Alto
PREVIEW - Armazenamento conta com dados potencialmente sensíveis foi detetado com um recipiente exposto publicamente
(Armazenamento. Blob_OpenACL)
A política de acesso de um contentor na sua conta de armazenamento foi modificada para permitir o acesso anónimo. Isto pode levar a uma violação de dados se o recipiente tiver quaisquer dados sensíveis. Este alerta baseia-se na análise do registo de atividades do Azure.
Aplica-se a: Azure Blob Armazenamento, Azure Data Lake Armazenamento Gen2
Escalamento de Privilégios Médio
Acesso de um nó de saída tor para uma conta de armazenamento
(Armazenamento. Blob_TorAnomaly
Armazenamento. Files_TorAnomaly)
Indica que esta conta foi acedida com sucesso a partir de um endereço IP que é conhecido como um nó de saída ativo de Tor (um proxy anonimizador). A gravidade deste alerta considera o tipo de autenticação utilizado (caso exista), e se este é o primeiro caso de tal acesso. As causas potenciais podem ser um intruso que acedeu à sua conta de armazenamento usando o Tor, ou um utilizador legítimo que acedeu à sua conta de armazenamento utilizando o Tor.
Aplica-se a: Azure Blob Armazenamento, Azure Files, Azure Data Lake Armazenamento Gen2
Sondagem, Exploração Alto
Acesso de um local incomum para uma conta de armazenamento
(Armazenamento. Blob_GeoAnomaly
Armazenamento. Files_GeoAnomaly)
Indica que houve uma alteração no padrão de acesso a uma conta Armazenamento Azure. Alguém acedeu a esta conta a partir de um endereço IP considerado desconhecido quando comparado com a atividade recente. Ou um intruso obteve acesso à conta, ou um utilizador legítimo ligou-se a partir de uma localização geográfica nova ou invulgar. Um exemplo deste último é a manutenção remota de uma nova aplicação ou desenvolvedor.
Aplica-se a: Azure Blob Armazenamento, Azure Files, Azure Data Lake Armazenamento Gen2
Exploração Baixo
Acesso anónimo a uma conta de armazenamento
(Armazenamento. Blob_AnonymousAccessAnomaly)
Indica que houve uma alteração no padrão de acesso a uma conta Armazenamento Azure. Alguém acedeu a um condesso nesta conta sem autenticar. O acesso a este recipiente é normalmente autenticado por ficha SAS, chave de conta de armazenamento ou AAD. Isto pode indicar que um intruso explorou o público a ler o acesso à conta de armazenamento.
Aplica-se a: Azure Blob Armazenamento
Exploração Alto
Malware potencial enviado para uma conta de armazenamento
(Armazenamento. Blob_MalwareHashReputation
Armazenamento. Files_MalwareHashReputation)
Indica que uma bolha contendo um malware potencial foi enviada para um recipiente blob ou uma partilha de ficheiros numa conta de armazenamento. Este alerta baseia-se na análise da reputação de haxixe, aproveitando o poder da inteligência de ameaça da Microsoft, que inclui hashes para vírus, cavalos de Troia, spyware e ransomware. As potenciais causas podem incluir um upload de malware intencional por um intruso, ou um upload não intencional de uma bolha potencialmente maliciosa por um utilizador legítimo.
Aplica-se a: Azure Blob Armazenamento, Ficheiros Azure (Apenas para transações sobre REST API)
Saiba mais sobre a análise de reputação de haxixe da Azure para malware.
Saiba mais sobre as capacidades de inteligência de ameaça da Microsoft.
Movimento Lateral Alto
Inspeção de acesso incomum em uma conta de armazenamento
(Armazenamento. Blob_AccessInspectionAnomaly
Armazenamento. Files_AccessInspectionAnomaly)
Indica que as permissões de acesso de uma conta de armazenamento foram inspecionadas de forma invulgar, em comparação com a atividade recente nesta conta. Uma causa potencial é que um atacante fez reconhecimento para um ataque futuro.
Aplica-se a: Azure Blob Armazenamento, Ficheiros Azure
Coleção Médio
Quantidade invulgar de dados extraídos de uma conta de armazenamento
(Armazenamento. Blob_DataExfiltration.AmountOfDataAnomaly
Armazenamento. Blob_DataExfiltration.NumberOfBlobsAnomaly
Armazenamento. Files_DataExfiltration.AmountOfDataAnomaly
Armazenamento. Files_DataExfiltration.NumberOfFilesAnomaly)
Indica que foi extraída uma quantidade anormalmente grande de dados em comparação com a atividade recente neste recipiente de armazenamento. Uma causa potencial é que um intruso extraiu uma grande quantidade de dados de um recipiente que contém armazenamento de bolhas.
Aplica-se a: Azure Blob Armazenamento, Azure Files, Azure Data Lake Armazenamento Gen2
Exfiltração Médio
Aplicação incomum acedeu a uma conta de armazenamento
(Armazenamento. Blob_ApplicationAnomaly
Armazenamento. Files_ApplicationAnomaly)
Indica que uma aplicação incomum acedeu a esta conta de armazenamento. Uma causa potencial é que um intruso acedeu à sua conta de armazenamento usando uma nova aplicação.
Aplica-se a: Azure Blob Armazenamento, Ficheiros Azure
Exploração Médio
Alteração invulgar de permissões de acesso numa conta de armazenamento
(Armazenamento. Blob_PermissionsChangeAnomaly
Armazenamento. Files_PermissionsChangeAnomaly)
Indica que as permissões de acesso deste recipiente de armazenamento foram alteradas de forma invulgar. Uma causa potencial é que um intruso mudou as permissões do contentor para enfraquecer a sua postura de segurança ou para ganhar persistência.
Aplica-se a: Azure Blob Armazenamento, Azure Files, Azure Data Lake Armazenamento Gen2
Persistência Médio
Exploração incomum de dados numa conta de armazenamento
(Armazenamento. Blob_DataExplorationAnomaly
Armazenamento. Files_DataExplorationAnomaly)
Indica que as bolhas ou contentores numa conta de armazenamento foram enumeradas de uma forma anormal, em comparação com a atividade recente nesta conta. Uma causa potencial é que um atacante fez reconhecimento para um ataque futuro.
Aplica-se a: Azure Blob Armazenamento, Ficheiros Azure
Coleção Médio
Exclusão incomum numa conta de armazenamento
(Armazenamento. Blob_DeletionAnomaly
Armazenamento. Files_DeletionAnomaly)
Indica que uma ou mais operações de eliminação inesperadas ocorreram numa conta de armazenamento, em comparação com a atividade recente nesta conta. Uma causa potencial é que um intruso apagou dados da sua conta de armazenamento.
Aplica-se a: Azure Blob Armazenamento, Azure Files, Azure Data Lake Armazenamento Gen2
Exfiltração Médio
Upload incomum de .cspkg para uma conta de armazenamento
(Armazenamento. Blob_CspkgUploadAnomaly)
Indica que um pacote Azure Cloud Services (ficheiro.cspkg) foi enviado para uma conta de armazenamento de uma forma invulgar, em comparação com a atividade recente nesta conta. Uma causa potencial é que um intruso se prepara para implementar código malicioso da sua conta de armazenamento para um serviço de nuvem Azure.
Aplica-se a: Azure Blob Armazenamento, Azure Data Lake Armazenamento Gen2
Movimento Lateral, Execução Médio
Carregamento incomum de .exe para uma conta de armazenamento
(Armazenamento. Blob_ExeUploadAnomaly
Armazenamento. Files_ExeUploadAnomaly)
Indica que um ficheiro .exe foi enviado para uma conta de armazenamento de uma forma invulgar, em comparação com a atividade recente nesta conta. Uma causa potencial é que um intruso tenha enviado um ficheiro executável malicioso para a sua conta de armazenamento, ou que um utilizador legítimo tenha carregado um ficheiro executável.
Aplica-se a: Azure Blob Armazenamento, Azure Files, Azure Data Lake Armazenamento Gen2
Movimento Lateral, Execução Médio

Alertas para Azure Cosmos DB (Pré-visualização)

Mais detalhes e notas

Alerta Descrição Táticas MITRE
(Saibamais)
Gravidade
PREVIEW - Acesso de um local incomum a uma conta De Cosmos DB Indica que houve uma alteração no padrão de acesso a uma conta DB do Azure Cosmos. Alguém acedeu a esta conta a partir de um endereço IP desconhecido, em comparação com a atividade recente. Ou um intruso acedeu à conta, ou um utilizador legítimo acedeu a ela a partir de uma nova e incomum localização geográfica. Um exemplo deste último é a manutenção remota de uma nova aplicação ou desenvolvedor. Exploração Médio
PREVIEW - Quantidade incomum de dados extraídos de uma conta DB cosmos Indica que houve uma alteração no padrão de extração de dados de uma conta DB da Azure Cosmos. Alguém extraiu uma quantidade incomum de dados em comparação com a atividade recente. Um intruso pode ter extraído uma grande quantidade de dados de uma base de dados DB da Azure Cosmos (por exemplo, exfiltração de dados ou fuga de dados, ou uma transferência não autorizada de dados). Ou, um utilizador ou aplicação legítimo pode ter extraído uma quantidade incomum de dados de um recipiente (por exemplo, para atividade de backup de manutenção). Exfiltração Médio

Alertas para a camada de rede Azure

Mais detalhes e notas

Alerta Descrição Táticas MITRE
(Saibamais)
Gravidade
Comunicação de rede com uma máquina maliciosa detetada
(Network_CommunicationWithC2)
A análise do tráfego da rede indica que a sua máquina (IP %{Victim IP}) comunicou com o que possivelmente é um centro de comando e controlo. Quando o recurso comprometido é um equilibrador de carga ou um gateway de aplicação, a atividade suspeita pode indicar que um ou mais dos recursos no pool de backend (do equilibrador de carga ou gateway de aplicação) comunicaram com o que possivelmente é um centro de Comando e Controlo. Comando e Controlo Médio
Possível máquina comprometida detetada
(Network_ResourceIpIndicatedAsMalicious)
A inteligência da ameaça indica que a sua máquina (em IP %{Machine IP}) pode ter sido comprometida por um malware do tipo Conficker. Conficker era um worm de computador que tinha como alvo o sistema operativo Microsoft Windows e foi detetado pela primeira vez em novembro de 2008. Conficker infetou milhões de computadores, incluindo governo, negócios e computadores domésticos em mais de 200 países/regiões, tornando-se a maior infeção conhecida do worm do computador desde o worm Welchia 2003. Comando e Controlo Médio
Possível entrada %{Nome de serviço} tentativas de força bruta detetadas
(Generic_Incoming_BF_OneToOne)
A análise do tráfego de rede detetou a comunicação de entrada %{Service Name} para %{Victim IP}, associada ao seu recurso %{Host comprometido} de %{Attacker IP}. Quando o recurso comprometido é um equilibrador de carga ou um gateway de aplicação, o tráfego de entrada suspeito foi encaminhado para um ou mais dos recursos no pool de backend (do equilibrador de carga ou gateway de aplicação). Especificamente, os dados de rede amostrados mostram atividade suspeita entre %{Start Time} e %{End Time} na porta %{Porta vítima}. Esta atividade é consistente com tentativas de força bruta contra servidores %{Service Name} . Pré-Ataque Médio
Possíveis tentativas de entrada SQL brutas detetadas
(SQL_Incoming_BF_OneToOne)
A análise de tráfego de rede detetou a entrada SQL comunicação para %{Vítima IP}, associada ao seu recurso %{Host Comprometido}, a partir de %{Attacker IP}. Quando o recurso comprometido é um equilibrador de carga ou um gateway de aplicação, o tráfego de entrada suspeito foi encaminhado para um ou mais dos recursos no pool de backend (do equilibrador de carga ou gateway de aplicação). Especificamente, os dados de rede amostrados mostram atividade suspeita entre %{Start Time} e %{End Time} na porta %{Número de porta} (%{SQL Tipo de Serviço}). Esta atividade é consistente com as tentativas de força bruta contra servidores SQL. Pré-Ataque Médio
Possível ataque denial-of-service de saída detetado
(DDOS)
A análise do tráfego de rede detetou atividade de saída anómala originária de %{Host Comprometido}, um recurso na sua implementação. Esta atividade pode indicar que o seu recurso foi comprometido e está agora envolvido em ataques de negação de serviço contra pontos finais externos. Quando o recurso comprometido é um equilibrador de carga ou um gateway de aplicação, a atividade suspeita pode indicar que um ou mais dos recursos no pool de backend (do balanceador de carga ou gateway de aplicação) foi comprometido. Com base no volume de ligações, acreditamos que os seguintes IPs são possivelmente os alvos do ataque DOS: %{Possíveis Vítimas}. Note-se que é possível que a comunicação a alguns destes IPs seja legítima. Impacto Médio
Possível atividade de digitalização portuária de saída detetada
(PortSweeping)
A análise do tráfego da rede detetou tráfego de saída suspeito de %{Host comprometido}. Este tráfego pode ser o resultado de uma atividade de digitalização portuária. Quando o recurso comprometido é um equilibrador de carga ou um gateway de aplicação, o tráfego de saída suspeito foi originado de um ou mais dos recursos no pool de backend (do equilibrador de carga ou gateway de aplicação). Se este comportamento for intencional, por favor note que a realização de uma verificação da porta é contra os Termos de Serviço do Azure. Se este comportamento não for intencional, pode significar que o seu recurso foi comprometido. Deteção Médio
Atividade de rede RDP de entrada suspeita de múltiplas fontes
(RDP_Incoming_BF_ManyToOne)
A análise do tráfego de rede detetou comunicação anómala de acesso remoto de desktop protocol (RDP) para %{Vítima IP}, associada ao seu recurso %{Host comprometido}, a partir de várias fontes. Quando o recurso comprometido é um equilibrador de carga ou um gateway de aplicação, o tráfego de entrada suspeito foi encaminhado para um ou mais dos recursos no pool de backend (do equilibrador de carga ou gateway de aplicação). Especificamente, os dados de rede amostrados mostram %{Número de IPs de ataque} IPs exclusivos que se conectam ao seu recurso, que é considerado anormal para este ambiente. Esta atividade pode indicar uma tentativa bruta de forçar o seu ponto final RDP de vários anfitriões (Botnet) Pré-Ataque Médio
Atividade de rede RDP de entrada suspeita
(RDP_Incoming_BF_OneToOne)
A análise do tráfego de rede detetou comunicação anómala de acesso remoto ao protocolo de ambiente de trabalho remoto (RDP) para %{Vítima IP}, associada ao seu recurso %{Host comprometido}, a partir de %{Attacker IP}. Quando o recurso comprometido é um equilibrador de carga ou um gateway de aplicação, o tráfego de entrada suspeito foi encaminhado para um ou mais dos recursos no pool de backend (do equilibrador de carga ou gateway de aplicação). Especificamente, os dados de rede amostrados mostram %{Número de ligações} ligações de entrada ao seu recurso, que é considerada anormal para este ambiente. Esta atividade pode indicar uma tentativa bruta de forçar o seu ponto final RDP Pré-Ataque Médio
Atividade de rede SSH de entrada suspeita de múltiplas fontes
(SSH_Incoming_BF_ManyToOne)
A análise de tráfego de rede detetou uma comunicação SSH de entrada anómala para %{Vítima IP}, associada ao seu recurso %{Host comprometido}, a partir de várias fontes. Quando o recurso comprometido é um equilibrador de carga ou um gateway de aplicação, o tráfego de entrada suspeito foi encaminhado para um ou mais dos recursos no pool de backend (do equilibrador de carga ou gateway de aplicação). Especificamente, os dados de rede amostrados mostram %{Número de IPs de ataque} IPs exclusivos que se conectam ao seu recurso, que é considerado anormal para este ambiente. Esta atividade pode indicar uma tentativa bruta de forçar o seu ponto final SSH de vários anfitriões (Botnet) Pré-Ataque Médio
Atividade de rede SSH de entrada suspeita
(SSH_Incoming_BF_OneToOne)
A análise do tráfego de rede detetou uma comunicação SSH de entrada anómala para %{Vítima IP}, associada ao seu recurso %{Host comprometido}, a partir de %{Attacker IP}. Quando o recurso comprometido é um equilibrador de carga ou um gateway de aplicação, o tráfego de entrada suspeito foi encaminhado para um ou mais dos recursos no pool de backend (do equilibrador de carga ou gateway de aplicação). Especificamente, os dados de rede amostrados mostram %{Número de ligações} ligações de entrada ao seu recurso, que é considerada anormal para este ambiente. Esta atividade pode indicar uma tentativa bruta de forçar o seu ponto final SSH Pré-Ataque Médio
Tráfego suspeito de saída %{Protocolo atacado} detetado
(PortScanning)
A análise do tráfego de rede detetou tráfego de saída suspeito de %{Host comprometido} para a porta de destino %{Mais Porto Comum}. Quando o recurso comprometido é um equilibrador de carga ou um gateway de aplicação, o tráfego de saída suspeito foi originado de um ou mais dos recursos no pool de backend (do equilibrador de carga ou gateway de aplicação). Este comportamento pode indicar que o seu recurso está a participar em tentativas de força bruta de %{Attack} ou ataques de varredura de portas. Deteção Médio
Atividade de rede RDP de saída suspeita para vários destinos
(RDP_Outgoing_BF_OneToMany)
A análise de tráfego de rede detetou comunicação anómala de desktop protocol remoto de saída (RDP) para vários destinos originários de %{Host comprometido} (%{Attacker IP}), um recurso na sua implementação. Quando o recurso comprometido é um equilibrador de carga ou um gateway de aplicação, o tráfego de saída suspeito foi originado de um ou mais dos recursos no pool de backend (do equilibrador de carga ou gateway de aplicação). Especificamente, os dados de rede amostrados mostram a sua máquina conectando-se a %{Número de IPs atacados} IPs exclusivos, que é considerado anormal para este ambiente. Esta atividade pode indicar que o seu recurso foi comprometido e é agora usado para forçar pontos finais externos de PDR. Tenha em atenção que este tipo de atividade, possivelmente, pode fazer com que o IP seja sinalizados como malicioso por entidades externas. Deteção Alto
Atividade de rede RDP de saída suspeita
(RDP_Outgoing_BF_OneToOne)
A análise do tráfego de rede detetou comunicação anómala de protocolo de ambiente de trabalho remoto de saída (RDP) para %{Vítima IP} originária de %{Host Comprometido} (%{Attacker IP}), um recurso na sua implementação. Quando o recurso comprometido é um equilibrador de carga ou um gateway de aplicação, o tráfego de saída suspeito foi originado de um ou mais dos recursos no pool de backend (do equilibrador de carga ou gateway de aplicação). Especificamente, os dados de rede amostrados mostram %{Número de ligações} ligações de saída do seu recurso, que é considerado anormal para este ambiente. Esta atividade pode indicar que a máquina foi comprometida e que, agora, está a ser utilizada força bruta externa nos pontos finais RDP. Tenha em atenção que este tipo de atividade, possivelmente, pode fazer com que o IP seja sinalizados como malicioso por entidades externas. Movimento Lateral Alto
Atividade de rede SSH de saída suspeita para vários destinos
(SSH_Outgoing_BF_OneToMany)
A análise de tráfego de rede detetou uma comunicação SSH de saída anómala para vários destinos originários de %{Host Comprometido} (%{Attacker IP}), um recurso na sua implementação. Quando o recurso comprometido é um equilibrador de carga ou um gateway de aplicação, o tráfego de saída suspeito foi originado de um ou mais dos recursos no pool de backend (do equilibrador de carga ou gateway de aplicação). Especificamente, os dados de rede amostrados mostram o seu recurso conectando-se a %{Número de IPs atacados} IPs exclusivos, que é considerado anormal para este ambiente. Esta atividade pode indicar que o seu recurso foi comprometido e é agora usado para forçar pontos finais externos de SSH. Tenha em atenção que este tipo de atividade, possivelmente, pode fazer com que o IP seja sinalizados como malicioso por entidades externas. Deteção Médio
Atividade de rede SSH de saída suspeita
(SSH_Outgoing_BF_OneToOne)
A análise de tráfego de rede detetou uma comunicação SSH de saída anómala para %{Vítima IP} originária de %{Host Comprometido} (%{Attacker IP}), um recurso na sua implementação. Quando o recurso comprometido é um equilibrador de carga ou um gateway de aplicação, o tráfego de saída suspeito foi originado de um ou mais dos recursos no pool de backend (do equilibrador de carga ou gateway de aplicação). Especificamente, os dados de rede amostrados mostram %{Número de ligações} ligações de saída do seu recurso, que é considerado anormal para este ambiente. Esta atividade pode indicar que o seu recurso foi comprometido e é agora usado para forçar pontos finais externos de SSH. Tenha em atenção que este tipo de atividade, possivelmente, pode fazer com que o IP seja sinalizados como malicioso por entidades externas. Movimento Lateral Médio
Tráfego detetado a partir de endereços IP recomendados para bloqueio O Centro de Segurança Azure detetou o tráfego de entrada a partir de endereços IP que são recomendados para serem bloqueados. Isto ocorre normalmente quando este endereço IP não comunica regularmente com este recurso. Alternativamente, o endereço IP foi sinalizado como malicioso pelas fontes de inteligência de ameaça do Centro de Segurança. Pesquisa Baixo

Alertas para cofre de chaves Azure

Mais detalhes e notas

Alerta (tipo de alerta) Descrição Táticas MITRE
(Saibamais)
Gravidade
Acesso de um endereço IP suspeito a um cofre de chaves
(KV_SuspiciousIPAccess)
Um cofre chave foi acedido com sucesso por um IP que foi identificado pela Microsoft Threat Intelligence como um endereço IP suspeito. Isto pode indicar que a sua infraestrutura foi comprometida. Recomendamos uma investigação mais aprofundada. Saiba mais sobre as capacidades de inteligência de ameaça da Microsoft. Acesso Credencial Médio
Acesso de um nó de saída TOR para um cofre de chaves
(KV_TORAccess)
Um cofre chave foi acedido a partir de um conhecido nó de saída TOR. Isto pode ser uma indicação de que um ator ameaça acedeu ao cofre e está a usar a rede TOR para esconder a sua localização de origem. Recomendamos mais investigações. Acesso Credencial Médio
Grande volume de operações num cofre chave
(KV_OperationVolumeAnomaly)
Um número anómalo de operações de cofre chave foi realizado por um utilizador, diretor de serviço e/ou um cofre de chaves específico. Este padrão de atividade anómala pode ser legítimo, mas pode ser uma indicação de que um ator ameaça tenha tido acesso ao cofre-chave e aos segredos contidos nele. Recomendamos mais investigações. Acesso Credencial Médio
Mudança de política suspeita e consulta secreta em um cofre chave
(KV_PutGetAnomaly)
Um utilizador ou diretor de serviço realizou uma operação de mudança de política de Vault Put anómala seguida de uma ou mais operações secret Get. Este padrão não é normalmente realizado pelo utilizador especificado ou pelo principal de serviço. Isto pode ser uma atividade legítima, mas pode ser uma indicação de que um ator ameaça atualizou a política chave do cofre para aceder a segredos anteriormente inacessíveis. Recomendamos mais investigações. Acesso Credencial Médio
Listagem secreta suspeita e consulta em um cofre chave
(KV_ListGetAnomaly)
Um utilizador ou diretor de serviço realizou uma operação anómala da Lista Secreta seguida de uma ou mais operações da Secret Get. Este padrão não é normalmente realizado pelo utilizador ou principal de serviço especificado e é tipicamente associado a dumping secreto. Isto pode ser uma atividade legítima, mas pode ser uma indicação de que um ator ameaça tenha tido acesso ao cofre chave e está a tentar descobrir segredos que podem ser usados para se mover lateralmente através da sua rede e/ou ter acesso a recursos sensíveis. Recomendamos mais investigações. Acesso Credencial Médio
Aplicação incomum acedeu a um cofre de chaves
(KV_AppAnomaly)
Um cofre chave foi acedido por um diretor de serviço que normalmente não acede a ele. Este padrão de acesso anómalo pode ser uma atividade legítima, mas pode ser uma indicação de que um ator ameaça tenha tido acesso ao cofre chave numa tentativa de aceder aos segredos contidos nele. Recomendamos mais investigações. Acesso Credencial Médio
Padrão de operação incomum em um cofre chave
KV_OperationPatternAnomaly)
Um padrão anómalo de operações de cofre chave foi realizado por um utilizador, diretor de serviço e/ou um cofre de chaves específico. Este padrão de atividade anómala pode ser legítimo, mas pode ser uma indicação de que um ator ameaça tenha tido acesso ao cofre-chave e aos segredos contidos nele. Recomendamos mais investigações. Acesso Credencial Médio
Um utilizador incomum acedeu a um cofre de chaves
(KV_UserAnomaly)
Um cofre chave foi acedido por um utilizador que normalmente não acede ao mesmo. Este padrão de acesso anómalo pode ser uma atividade legítima, mas pode ser uma indicação de que um ator ameaça tenha tido acesso ao cofre chave numa tentativa de aceder aos segredos contidos nele. Recomendamos mais investigações. Acesso Credencial Médio
Par incomum de aplicação de utilizador acedeu a um cofre de chaves
(KV_UserAppAnomaly)
Um cofre chave foi acedido por um par principal de serviço de utilizador que normalmente não acede ao mesmo. Este padrão de acesso anómalo pode ser uma atividade legítima, mas pode ser uma indicação de que um ator ameaça tenha tido acesso ao cofre chave numa tentativa de aceder aos segredos contidos nele. Recomendamos mais investigações. Acesso Credencial Médio
O utilizador acedeu a um grande volume de cofres chave
(KV_AccountVolumeAnomaly)
Um utilizador ou diretor de serviço acedeu a um volume anómalo elevado de cofres chave. Este padrão de acesso anómalo pode ser uma atividade legítima, mas pode ser uma indicação de que um ator ameaça tenha tido acesso a vários cofres chave numa tentativa de aceder aos segredos contidos dentro deles. Recomendamos mais investigações. Acesso Credencial Médio

Alertas para a Proteção DDoS do Azure

Mais detalhes e notas

Alerta Descrição Táticas MITRE
(Saibamais)
Gravidade
Ataque de DDoS detetado para IP público Ataque DDoS detetado para IP Público (endereço IP) e sendo atenuado. Pesquisa Alto
Ataque de DDoS atenuado para IP público Ataque DDoS atenuado para IP público (endereço IP). Pesquisa Baixo

Alertas de incidentes de segurança

Mais detalhes e notas

Alerta Descrição Táticas MITRE
(Saibamais)
Gravidade
Incidente de segurança com processo partilhado detetado O incidente que começou em {Start Time (UTC)} e recentemente detetado em {Detected Time (UTC)} indica que um intruso tem {Action taken} o seu recurso {Host} - Alto
Incidente de segurança detetado em vários recursos O incidente que começou em {Start Time (UTC)} e recentemente detetado em {Detected Time (UTC)} indica que métodos de ataque semelhantes foram realizados nos seus recursos de nuvem {Host} - Médio
Incidente de segurança detetado pela mesma fonte O incidente que começou em {Start Time (UTC)} e recentemente detetado em {Detected Time (UTC)} indica que um intruso tem {Action taken} o seu recurso {Host} - Alto
Incidente de segurança detetado em várias máquinas O incidente que começou em {Start Time (UTC)} e recentemente detetado em {Detected Time (UTC)} indica que um intruso tem {Action taken} os seus recursos {Host} - Médio

MITRE ATT&táticas CK

Compreender a intenção de um ataque pode ajudá-lo a investigar e reportar o evento mais facilmente. Para ajudar nestes esforços, os alertas do Azure Security Center incluem as táticas do MITRE com muitos alertas.

A série de passos que descrevem a progressão de um ciberataque desde o reconhecimento à exfiltração de dados é muitas vezes referida como uma "cadeia de morte".

As intenções de cadeia de morte suportadas do Security Center baseiam-se na versão 7 da matriz CK MITRE ATT& e descritas na tabela abaixo.

Tática Descrição
Pré-Ataque O PreAttack pode ser uma tentativa de aceder a um determinado recurso, independentemente de uma intenção maliciosa, ou uma tentativa falhada de aceder a um sistema alvo para recolher informações antes da exploração. Este passo é geralmente detetado como uma tentativa, originária de fora da rede, de digitalizar o sistema alvo e identificar um ponto de entrada.
Acesso Inicial O Acesso Inicial é o estágio em que um intruso consegue obter um ponto de apoio sobre o recurso atacado. Esta fase é relevante para anfitriões de computação e recursos tais como contas de utilizador, certificados etc. Os atores de ameaça serão muitas vezes capazes de controlar o recurso após esta fase.
Persistência Persistência é qualquer mudança de acesso, ação ou configuração para um sistema que dá a um ator ameaça uma presença persistente nesse sistema. Os atores de ameaça muitas vezes terão de manter o acesso aos sistemas através de interrupções como o reinício do sistema, perda de credenciais ou outras falhas que exigiriam uma ferramenta de acesso remoto para reiniciar ou fornecer uma porta traseira alternativa para que eles recuperassem o acesso.
Escalamento de Privilégios A escalada de privilégios é o resultado de ações que permitem a um adversário obter um nível mais elevado de permissões num sistema ou rede. Certas ferramentas ou ações requerem um maior nível de privilégio para trabalhar e são provavelmente necessárias em muitos pontos ao longo de uma operação. As contas dos utilizadores com permissões de acesso a sistemas específicos ou a desempenhar funções específicas necessárias para que os adversários atinjam o seu objetivo também podem ser consideradas uma escalada de privilégio.
Evasão à Defesa A evasão da defesa consiste em técnicas que um adversário pode usar para evitar a deteção ou evitar outras defesas. Por vezes, estas ações são as mesmas que (ou variações de) técnicas noutras categorias que têm o benefício adicional de subverter uma determinada defesa ou mitigação.
Acesso Credencial O acesso credencial representa técnicas que resultam no acesso ou controlo sobre o sistema, domínio ou credenciais de serviço que são usadas dentro de um ambiente empresarial. Os adversários provavelmente tentarão obter credenciais legítimas de utilizadores ou contas de administrador (administrador de sistema local ou utilizadores de domínio com acesso ao administrador) para usar dentro da rede. Com acesso suficiente dentro de uma rede, um adversário pode criar contas para posterior utilização dentro do ambiente.
Deteção A descoberta consiste em técnicas que permitem ao adversário adquirir conhecimento sobre o sistema e a rede interna. Quando os adversários têm acesso a um novo sistema, devem orientar-se para aquilo que têm agora o controlo e quais os benefícios que o sistema desse sistema dá aos seus objetivos atuais ou globais durante a intrusão. O sistema operativo fornece muitas ferramentas nativas que ajudam nesta fase de recolha de informação pós-compromisso.
Movimento lateral O movimento lateral consiste em técnicas que permitem a um adversário aceder e controlar sistemas remotos numa rede e que poderiam, mas não necessariamente, incluir a execução de ferramentas em sistemas remotos. As técnicas de movimento lateral poderiam permitir que um adversário recolhesse informações de um sistema sem precisar de ferramentas adicionais, como uma ferramenta de acesso remoto. Um adversário pode usar movimento lateral para muitos fins, incluindo execução remota de ferramentas, apostando em sistemas adicionais, acesso a informações ou ficheiros específicos, acesso a credenciais adicionais ou para causar um efeito.
Execução A tática de execução representa técnicas que resultam na execução de código controlado pelo adversário num sistema local ou remoto. Esta tática é frequentemente usada em conjunto com o movimento lateral para expandir o acesso a sistemas remotos numa rede.
Coleção A recolha consiste em técnicas usadas para identificar e recolher informações, como ficheiros sensíveis, a partir de uma rede alvo antes da exfiltração. Esta categoria abrange também as localizações de um sistema ou rede onde o adversário pode procurar informações para exfiltrar.
Exfiltração Exfiltração refere-se a técnicas e atributos que resultam ou ajudam no adversário removendo ficheiros e informações de uma rede alvo. Esta categoria abrange também as localizações de um sistema ou rede onde o adversário pode procurar informações para exfiltrar.
Comando e Controlo A tática de comando e controlo representa como os adversários comunicam com sistemas sob o seu controlo dentro de uma rede alvo.
Impacto Os eventos de impacto tentam principalmente reduzir diretamente a disponibilidade ou integridade de um sistema, serviço ou rede; incluindo manipulação de dados para impactar um negócio ou processo operacional. Isto referia-se frequentemente a técnicas como ransomware, desfiguração, manipulação de dados, entre outras.

Nota

Para alertas que estão em pré-visualização: Os Termos Complementares de Pré-visualização do Azure incluem termos legais adicionais aplicáveis às funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não lançadas em disponibilidade geral.

Passos seguintes

Para saber mais sobre os alertas de segurança do Azure Defender, consulte o seguinte: