Инциденты — справочное руководство
Примечание.
Для инцидентов, которые находятся в предварительной версии: Дополнительные условия предварительной версии Azure включают дополнительные юридические термины, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или в противном случае еще не выпущены в общую доступность.
В этой статье перечислены инциденты, которые вы можете получить от Microsoft Defender для облака и любых планов Microsoft Defender, которые вы включили. Инциденты, отображаемые в вашей среде, зависят от ресурсов и служб, которые вы защищаете, и настраиваемой конфигурации.
Инцидент безопасности — это корреляция оповещений с историей атаки, которая предоставляет общий доступ к сущности. Например, ресурс, IP-адрес, пользователь или общий доступ к шаблону цепочки убийств.
Вы можете выбрать инцидент, чтобы просмотреть все оповещения, связанные с инцидентом, и получить дополнительные сведения.
Узнайте, как управлять инцидентами безопасности.
Примечание.
Одно и то же оповещение может существовать как часть инцидента, а также отображаться в виде автономного оповещения.
Инцидент безопасности
Дополнительные сведения и примечания
| Предупреждение | Description | Серьезность |
|---|---|---|
| Инцидент безопасности обнаружил подозрительные действия виртуальных машин | Этот инцидент указывает на подозрительные действия на виртуальных машинах. Несколько оповещений из разных планов Defender для облака были активированы, показыв аналогичный шаблон на виртуальных машинах. Это может указывать на то, что субъект угроз получил несанкционированный доступ к вашей среде и пытается скомпрометировать его. | Умеренно высокий |
| Инцидент безопасности обнаружил подозрительное действие IP-адреса источника | Этот инцидент указывает на то, что подозрительные действия обнаружены на одном и том же исходном IP-адресе. Несколько оповещений из разных планов Defender для облака были активированы на одном IP-адресе, что повышает точность вредоносных действий в вашей среде. Подозрительные действия с тем же IP-адресом могут указывать на то, что злоумышленник получил несанкционированный доступ к вашей среде и пытается скомпрометировать его. | Умеренно высокий |
| Security incident detected on multiple resources (Обнаружен инцидент безопасности с несколькими ресурсами) | Этот инцидент указывает, что подозрительные действия обнаружены в облачных ресурсах. Были активированы несколько оповещений из разных планов Defender для облака, показыв, что аналогичные методы атаки были выполнены в облачных ресурсах. Это может указывать на то, что субъект угроз получил несанкционированный доступ к вашей среде и пытается скомпрометировать его. | Умеренно высокий |
| Инцидент безопасности обнаружил подозрительное действие пользователя (предварительная версия) | Этот инцидент указывает на подозрительные операции пользователей в вашей среде. Несколько оповещений из разных планов Defender для облака были активированы этим пользователем, что повышает точность вредоносных действий в вашей среде. Хотя это действие может быть законным, субъект угроз может использовать такие операции для компрометации ресурсов в вашей среде. Это может указывать на то, что учетная запись скомпрометирована и используется с вредоносным намерением. | Высокая |
| Инцидент безопасности обнаружил подозрительное действие субъекта-службы (предварительная версия) | Этот инцидент указывает на подозрительные операции субъекта-службы в вашей среде. Несколько оповещений из разных планов Defender для облака активируются этим субъектом-службой, что повышает точность вредоносных действий в вашей среде. Хотя это действие может быть законным, субъект угроз может использовать такие операции для компрометации ресурсов в вашей среде. Это может указывать на то, что субъект-служба скомпрометирован и используется с вредоносным намерением. | Высокая |
| Инцидент безопасности обнаружил подозрительное действие интеллектуального анализа криптографии (предварительная версия) | Сценарий 1. Этот инцидент указывает, что подозрительное действие интеллектуального анализа криптографии обнаружено после подозрительного действия пользователя или субъекта-службы. Несколько оповещений из разных планов Defender для облака были активированы в одном ресурсе, что повышает точность вредоносных действий в вашей среде. Подозрительные действия учетной записи могут указывать на то, что субъект угроз получил несанкционированный доступ к вашей среде, и успешное действие интеллектуального анализа криптографии может предложить успешно скомпрометировать ресурс и использовать его для криптовалют интеллектуального анализа данных, что может привести к увеличению затрат для вашей организации. Сценарий 2. Этот инцидент указывает на то, что подозрительное действие интеллектуального анализа данных криптографии обнаружено после атаки методом подбора на тот же ресурс виртуальной машины. Несколько оповещений из разных планов Defender для облака были активированы в одном ресурсе, что повышает точность вредоносных действий в вашей среде. Атака подбора на виртуальной машине может указывать на то, что субъект угроз пытается получить несанкционированный доступ к вашей среде, и успешное действие интеллектуального анализа криптографии может предложить успешно скомпрометировать ресурс и использовать его для криптовалют интеллектуального анализа данных, что может привести к увеличению затрат на вашу организацию. |
Высокая |
| Инцидент безопасности обнаружил подозрительное действие Key Vault (предварительная версия) | Сценарий 1. Этот инцидент указывает на то, что подозрительные действия обнаружены в вашей среде, связанной с использованием Key Vault. Несколько оповещений из разных планов Defender для облака были вызваны этим пользователем или субъектом-службой, что повышает точность вредоносных действий в вашей среде. Подозрительные действия Key Vault могут указывать на то, что субъект угроз пытается получить доступ к конфиденциальным данным, таким как ключи, секреты и сертификаты, и учетная запись скомпрометирована и используется с вредоносным намерением. Сценарий 2. Этот инцидент указывает на то, что подозрительные действия обнаружены в вашей среде, связанной с использованием Key Vault. Несколько оповещений из разных планов Defender для облака были активированы с одного IP-адреса, что повышает точность вредоносных действий в вашей среде. Подозрительные действия Key Vault могут указывать на то, что субъект угроз пытается получить доступ к конфиденциальным данным, таким как ключи, секреты и сертификаты, и учетная запись скомпрометирована и используется с вредоносным намерением. Сценарий 3. Этот инцидент указывает на то, что подозрительное действие обнаружено в вашей среде, связанной с использованием Key Vault. Несколько оповещений из разных планов Defender для облака были активированы в одном ресурсе, что повышает точность вредоносных действий в вашей среде. Подозрительные действия Key Vault могут указывать на то, что субъект угроз пытается получить доступ к конфиденциальным данным, таким как ключи, секреты и сертификаты, и учетная запись скомпрометирована и используется с вредоносным намерением. |
Высокая |
| Инцидент безопасности обнаружил подозрительное действие SAS (предварительная версия) | Этот инцидент указывает, что подозрительные действия обнаружены после потенциального неправильного использования маркера SAS. Несколько оповещений из разных планов Defender для облака были активированы в одном ресурсе, что повышает точность вредоносных действий в вашей среде. Использование маркера SAS может указывать на то, что субъект угроз получил несанкционированный доступ к учетной записи хранения и пытается получить доступ к конфиденциальным данным или эксфильтровать их. | Высокая |
| Инцидент безопасности обнаружил аномальное географическое расположение (предварительная версия) | Сценарий 1. Этот инцидент указывает на то, что в вашей среде обнаружена аномальная географическая активность. Несколько оповещений из разных планов Defender для облака были активированы в одном ресурсе, что повышает точность вредоносных действий в вашей среде. Подозрительные действия, исходящие из аномальных расположений, могут указывать на то, что субъект угроз получил несанкционированный доступ к вашей среде и пытается скомпрометировать его. Сценарий 2. Этот инцидент указывает на то, что в вашей среде обнаружена аномальная географическая активность. Несколько оповещений из разных планов Defender для облака были активированы с одного IP-адреса, что повышает точность вредоносных действий в вашей среде. Подозрительные действия, исходящие из аномальных расположений, могут указывать на то, что субъект угроз получил несанкционированный доступ к вашей среде и пытается скомпрометировать его. |
Высокая |
| Инцидент безопасности обнаружил подозрительные IP-действия (предварительная версия) | Сценарий 1. Этот инцидент указывает на то, что подозрительное действие обнаружено из подозрительного IP-адреса. Несколько оповещений из разных планов Defender для облака были активированы с одного IP-адреса, что повышает точность вредоносных действий в вашей среде. Подозрительные действия, исходящие из подозрительного IP-адреса, могут указывать на то, что злоумышленник получил несанкционированный доступ к вашей среде и пытается скомпрометировать его. Сценарий 2. Этот инцидент указывает на то, что подозрительные действия обнаружены из подозрительного IP-адреса. Несколько оповещений из разных планов Defender для облака были активированы для одного пользователя или субъекта-службы, что повышает точность вредоносных действий в вашей среде. Подозрительные действия, исходящие из подозрительного IP-адреса, могут указывать на то, что злоумышленник получил несанкционированный доступ к вашей среде и пытается скомпрометировать его. |
Высокая |
| Инцидент безопасности обнаружил подозрительное действие атаки без файлов (предварительная версия) | Этот инцидент указывает, что набор средств атак без файлов обнаружен на виртуальной машине после потенциальной попытки эксплойтов на том же ресурсе. На одной виртуальной машине активируются несколько оповещений из разных планов Defender для облака, что повышает точность вредоносных действий в вашей среде. Наличие набора средств атак без файлов на виртуальной машине может указывать на то, что субъект угроз получил несанкционированный доступ к вашей среде и пытается избежать обнаружения при выполнении дальнейших вредоносных действий. | Высокая |
| Инцидент безопасности обнаружил подозрительное действие DDOS (предварительная версия) | Этот инцидент указывает на то, что в вашей среде обнаружено подозрительное действие типа "Отказ в обслуживании" (DDOS). Атаки DDOS предназначены для перегрузки сети или приложения с большим объемом трафика, что приводит к недоступности для законных пользователей. Несколько оповещений из разных планов Defender для облака были активированы на одном IP-адресе, что повышает точность вредоносных действий в вашей среде. | Высокая |
| Инцидент безопасности обнаружил подозрительное действие кражи данных (предварительная версия) | Сценарий 1. Этот инцидент указывает на то, что подозрительное действие кражи данных обнаружено после подозрительного действия пользователя или субъекта-службы. Несколько оповещений из разных планов Defender для облака были активированы в одном ресурсе, что повышает точность вредоносных действий в вашей среде. Подозрительные действия учетной записи могут указывать на то, что субъект угроз получил несанкционированный доступ к вашей среде, и успешное удаление данных может предложить, что они пытаются украсть конфиденциальную информацию. Сценарий 2. Этот инцидент означает, что подозрительное действие кражи данных обнаружено после подозрительного действия пользователя или субъекта-службы. Несколько оповещений из разных планов Defender для облака были активированы с одного IP-адреса, что повышает точность вредоносных действий в вашей среде. Подозрительные действия учетной записи могут указывать на то, что субъект угроз получил несанкционированный доступ к вашей среде, и успешное удаление данных может предложить, что они пытаются украсть конфиденциальную информацию. Сценарий 3. Этот инцидент означает, что подозрительное действие кражи данных обнаружено после необычного сброса пароля на виртуальной машине. Несколько оповещений из разных планов Defender для облака были активированы с одного IP-адреса, что повышает точность вредоносных действий в вашей среде. Подозрительные действия учетной записи могут указывать на то, что субъект угроз получил несанкционированный доступ к вашей среде, и успешное удаление данных может предложить, что они пытаются украсть конфиденциальную информацию. |
Высокая |
| Инцидент безопасности обнаружил подозрительное действие API (предварительная версия) | Этот инцидент указывает, что обнаружено подозрительное действие API. Несколько оповещений из Defender для облака были активированы на одном ресурсе, что повышает точность вредоносных действий в вашей среде. Подозрительное использование API может указывать на то, что субъект угроз пытается получить доступ к конфиденциальной информации или выполнить несанкционированные действия. | Высокая |
| Инцидент безопасности обнаружил подозрительное действие кластера Kubernetes (предварительная версия) | Этот инцидент указывает, что подозрительные действия обнаружены в кластере Kubernetes после подозрительного действия пользователя. Несколько оповещений из разных планов Defender для облака были активированы в одном кластере, что повышает точность вредоносных действий в вашей среде. Подозрительное действие в кластере Kubernetes может указывать на то, что субъект угроз получил несанкционированный доступ к вашей среде и пытается скомпрометировать его. | Высокая |
| Инцидент безопасности обнаружил подозрительное действие хранилища (предварительная версия) | Сценарий 1. Этот инцидент указывает на то, что подозрительное действие хранилища обнаружено после подозрительного действия пользователя или субъекта-службы. Несколько оповещений из разных планов Defender для облака были активированы в одном ресурсе, что повышает точность вредоносных действий в вашей среде. Подозрительные действия учетной записи могут указывать на то, что субъект угроз получил несанкционированный доступ к вашей среде, и успешное подозрительное действие хранилища может предложить, что они пытаются получить доступ к потенциально конфиденциальным данным. Сценарий 2. Этот инцидент указывает на то, что подозрительное действие хранилища обнаружено после подозрительного действия пользователя или субъекта-службы. Несколько оповещений из разных планов Defender для облака были активированы с одного IP-адреса, что повышает точность вредоносных действий в вашей среде. Подозрительные действия учетной записи могут указывать на то, что субъект угроз получил несанкционированный доступ к вашей среде, и успешное подозрительное действие хранилища может предложить, что они пытаются получить доступ к потенциально конфиденциальным данным. |
Высокая |
| Инцидент безопасности обнаружил подозрительное действие набора средств Azure (предварительная версия) | Этот инцидент указывает, что подозрительные действия обнаружены после потенциального использования набора средств Azure. Несколько оповещений из разных планов Defender для облака были активированы для одного пользователя или субъекта-службы, что повышает точность вредоносных действий в вашей среде. Использование набора средств Azure может указывать на то, что злоумышленник получил несанкционированный доступ к вашей среде и пытается скомпрометировать его. | Высокая |
| Инцидент безопасности обнаружил подозрительное действие DNS (предварительная версия) | Сценарий 1. Этот инцидент указывает, что обнаружено подозрительное действие DNS. Несколько оповещений из разных планов Defender для облака были активированы в одном ресурсе, что повышает точность вредоносных действий в вашей среде. Подозрительное действие DNS может указывать на то, что субъект угроз получил несанкционированный доступ к вашей среде и пытается скомпрометировать его. Сценарий 2. Этот инцидент указывает на то, что обнаружена подозрительное действие DNS. Несколько оповещений из разных планов Defender для облака были активированы с одного IP-адреса, что повышает точность вредоносных действий в вашей среде. Подозрительное действие DNS может указывать на то, что субъект угроз получил несанкционированный доступ к вашей среде и пытается скомпрометировать его. |
Средняя |
| Инцидент безопасности обнаружил подозрительное действие SQL (предварительная версия) | Сценарий 1. Этот инцидент означает, что обнаружено подозрительное действие SQL. Несколько оповещений из разных планов Defender для облака были активированы с одного IP-адреса, что повышает точность вредоносных действий в вашей среде. Подозрительное действие SQL может указывать на то, что субъект угроз предназначен для сервера SQL Server и пытается скомпрометировать его. Сценарий 2. Этот инцидент указывает на обнаружение подозрительного действия SQL. Несколько оповещений из разных планов Defender для облака были активированы в одном ресурсе, что повышает точность вредоносных действий в вашей среде. Подозрительное действие SQL может указывать на то, что субъект угроз предназначен для сервера SQL Server и пытается скомпрометировать его. |
Высокая |
| Инцидент безопасности обнаружил подозрительное действие службы приложений (предварительная версия) | Сценарий 1. Этот инцидент указывает на то, что подозрительные действия обнаружены в среде службы приложений. Несколько оповещений из разных планов Defender для облака были активированы в одном ресурсе, что повышает точность вредоносных действий в вашей среде. Подозрительные действия службы приложений могут указывать на то, что субъект угроз нацелен на приложение и может попытаться скомпрометировать его. Сценарий 2. Этот инцидент указывает на то, что в среде службы приложений обнаружены подозрительные действия. Несколько оповещений из разных планов Defender для облака были активированы с одного IP-адреса, что повышает точность вредоносных действий в вашей среде. Подозрительные действия службы приложений могут указывать на то, что субъект угроз нацелен на приложение и может попытаться скомпрометировать его. |
Высокая |
| Инцидент безопасности обнаружил скомпрометированный компьютер | Этот инцидент указывает на подозрительные действия на одной или нескольких виртуальных машинах. Несколько оповещений из разных планов Defender для облака были активированы в хронологическом порядке в одном ресурсе после платформы MITRE ATT&CK. Это может указывать на то, что субъект угроз получил несанкционированный доступ к вашей среде и успешно скомпрометировал этот компьютер. | Умеренно высокий |
| Инцидент безопасности обнаружил скомпрометированный компьютер с взаимодействием botnet | Этот инцидент указывает на подозрительное действие ботнета на виртуальной машине. Несколько оповещений из разных планов Defender для облака были активированы в хронологическом порядке в одном ресурсе после платформы MITRE ATT&CK. Это может указывать на то, что субъект угроз получил несанкционированный доступ к вашей среде и пытается скомпрометировать его. | Умеренно высокий |
| Инцидент безопасности обнаружил скомпрометированные компьютеры с взаимодействием botnet | Этот инцидент указывает на подозрительные действия ботнета на виртуальных машинах. Несколько оповещений из разных планов Defender для облака были активированы в хронологическом порядке в одном ресурсе после платформы MITRE ATT&CK. Это может указывать на то, что субъект угроз получил несанкционированный доступ к вашей среде и пытается скомпрометировать его. | Умеренно высокий |
| Инцидент безопасности обнаружил скомпрометированный компьютер с вредоносным исходящим действием | Этот инцидент указывает на подозрительное исходящее действие на виртуальной машине. Несколько оповещений из разных планов Defender для облака были активированы в хронологическом порядке в одном ресурсе после платформы MITRE ATT&CK. Это может указывать на то, что субъект угроз получил несанкционированный доступ к вашей среде и пытается скомпрометировать его. | Умеренно высокий |
| Инцидент безопасности обнаружил скомпрометированные компьютеры | Этот инцидент указывает на подозрительные действия на одной или нескольких виртуальных машинах. Несколько оповещений из разных планов Defender для облака были активированы в хронологическом порядке в одном ресурсе после платформы MITRE ATT&CK. Это может указывать на то, что субъект угроз получил несанкционированный доступ к вашей среде и успешно скомпрометировал эти компьютеры. | Умеренно высокий |
| Инцидент безопасности обнаружил скомпрометированные компьютеры с вредоносным исходящим действием | Этот инцидент указывает на подозрительные исходящие действия с виртуальных машин. Несколько оповещений из разных планов Defender для облака были активированы в хронологическом порядке в одном ресурсе после платформы MITRE ATT&CK. Это может указывать на то, что субъект угроз получил несанкционированный доступ к вашей среде и пытается скомпрометировать его. | Умеренно высокий |
| Security incident detected on multiple machines (Обнаружен инцидент безопасности с несколькими компьютерами) | Этот инцидент указывает на подозрительные действия на одной или нескольких виртуальных машинах. Несколько оповещений из разных планов Defender для облака были активированы в хронологическом порядке в одном ресурсе после платформы MITRE ATT&CK. Это может указывать на то, что субъект угроз получил несанкционированный доступ к вашей среде и пытается скомпрометировать его. | Умеренно высокий |
| Security incident with shared process detected (Обнаружен инцидент безопасности с общим процессом) | Сценарий 1. Этот инцидент указывает на подозрительные действия на виртуальной машине. Несколько оповещений из разных планов Defender для облака активировали совместное использование одного процесса. Это может указывать на то, что субъект угроз получил несанкционированный доступ к вашей среде и пытается скомпрометировать его. Сценарий 2. Этот инцидент указывает на подозрительные действия на виртуальных машинах. Несколько оповещений из разных планов Defender для облака активировали совместное использование одного процесса. Это может указывать на то, что субъект угроз получил несанкционированный доступ к вашей среде и пытается скомпрометировать его. |
Умеренно высокий |
Следующие шаги
Управление инцидентами безопасности в Microsoft Defender для облака