Incidenter – en referensguide
Kommentar
För incidenter som är i förhandsversion: Tilläggsvillkoren för Azure Preview innehåller ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.
I den här artikeln visas de incidenter du kan få från Microsoft Defender för molnet och eventuella Microsoft Defender-planer som du har aktiverat. De incidenter som visas i din miljö beror på de resurser och tjänster som du skyddar och din anpassade konfiguration.
En säkerhetsincident är en korrelation mellan aviseringar och en attackhistoria som delar en entitet. Till exempel Resurs, IP-adress, Användare eller dela ett mönster för avlivningskedjan .
Du kan välja en incident för att visa alla aviseringar som är relaterade till incidenten och få mer information.
Lär dig hur du hanterar säkerhetsincidenter.
Kommentar
Samma avisering kan finnas som en del av en incident och vara synlig som en fristående avisering.
Säkerhetsincident
Mer information och anteckningar
| Varning | beskrivning | Allvarlighetsgrad |
|---|---|---|
| Säkerhetsincident upptäckte misstänkt aktivitet för virtuella datorer | Den här incidenten indikerar misstänkt aktivitet på dina virtuella datorer. Flera aviseringar från olika Defender för molnet planer har utlösts som avslöjar ett liknande mönster på dina virtuella datorer. Detta kan tyda på att en hotskådespelare har fått obehörig åtkomst till din miljö och försöker kompromettera den. | Medel/hög |
| Säkerhetsincident upptäckte misstänkt käll-IP-aktivitet | Den här incidenten anger att misstänkt aktivitet har identifierats på samma käll-IP-adress. Flera aviseringar från olika Defender för molnet planer har utlösts på samma IP-adress, vilket ökar återgivningen av skadlig aktivitet i din miljö. Misstänkt aktivitet på samma IP-adress kan tyda på att en angripare har fått obehörig åtkomst till din miljö och försöker kompromettera den. | Medel/hög |
| Säkerhetsincident identifierad på flera resurser | Den här incidenten indikerar att misstänkt aktivitet har identifierats på dina molnresurser. Flera aviseringar från olika Defender för molnet plan har utlösts, vilket avslöjar att liknande attackmetoder utfördes på dina molnresurser. Detta kan tyda på att en hotskådespelare har fått obehörig åtkomst till din miljö och försöker kompromettera den. | Medel/hög |
| Säkerhetsincident upptäckte misstänkt användaraktivitet (förhandsversion) | Den här incidenten anger misstänkta användaråtgärder i din miljö. Flera aviseringar från olika Defender för molnet planer har utlösts av den här användaren, vilket ökar återgivningen av skadlig aktivitet i din miljö. Även om den här aktiviteten kan vara legitim kan en hotakterare använda sådana åtgärder för att kompromettera resurser i din miljö. Detta kan tyda på att kontot har komprometterats och används med skadlig avsikt. | Högt |
| Säkerhetsincident upptäckte misstänkt aktivitet för tjänstens huvudnamn (förhandsversion) | Den här incidenten indikerar misstänkta åtgärder för tjänstens huvudnamn i din miljö. Flera aviseringar från olika Defender för molnet planer har utlösts av tjänstens huvudnamn, vilket ökar återgivningen av skadlig aktivitet i din miljö. Även om den här aktiviteten kan vara legitim kan en hotakterare använda sådana åtgärder för att kompromettera resurser i din miljö. Detta kan tyda på att tjänstens huvudnamn är komprometterat och används med skadlig avsikt. | Högt |
| Säkerhetsincident upptäckte misstänkt kryptoutvinningsaktivitet (förhandsversion) | Scenario 1: Den här incidenten anger att misstänkt kryptoutvinningsaktivitet har identifierats efter misstänkt aktivitet för användaren eller tjänstens huvudnamn. Flera aviseringar från olika Defender för molnet planer har utlösts på samma resurs, vilket ökar återgivningen av skadlig aktivitet i din miljö. Misstänkt kontoaktivitet kan tyda på att en hotskådespelare fått obehörig åtkomst till din miljö, och den efterföljande kryptoutvinningsaktiviteten kan tyda på att de har komprometterat din resurs och använder den för att bryta kryptovalutor, vilket kan leda till ökade kostnader för din organisation. Scenario 2: Den här incidenten anger att misstänkt kryptoutvinningsaktivitet har identifierats efter en råstyrkeattack på samma virtuella datorresurs. Flera aviseringar från olika Defender för molnet planer har utlösts på samma resurs, vilket ökar återgivningen av skadlig aktivitet i din miljö. Råstyrkeattacken på den virtuella datorn kan tyda på att en hotskådespelare försöker få obehörig åtkomst till din miljö, och den efterföljande kryptoutvinningsaktiviteten kan tyda på att de har komprometterat din resurs och använt den för att bryta kryptovalutor, vilket kan leda till ökade kostnader för din organisation. |
Högt |
| Säkerhetsincident upptäckte misstänkt Key Vault-aktivitet (förhandsversion) | Scenario 1: Den här incidenten anger att misstänkt aktivitet har identifierats i din miljö som rör användningen av Key Vault. Flera aviseringar från olika Defender för molnet planer har utlösts av den här användaren eller tjänstens huvudnamn, vilket ökar återgivningen av skadlig aktivitet i din miljö. Misstänkt Key Vault-aktivitet kan tyda på att en hotskådespelare försöker få åtkomst till dina känsliga data, till exempel nycklar, hemligheter och certifikat, och att kontot komprometteras och används med skadlig avsikt. Scenario 2: Den här incidenten anger att misstänkt aktivitet har identifierats i din miljö som rör användningen av Key Vault. Flera aviseringar från olika Defender för molnet planer har utlösts från samma IP-adress, vilket ökar återgivningen av skadlig aktivitet i din miljö. Misstänkt Key Vault-aktivitet kan tyda på att en hotskådespelare försöker få åtkomst till dina känsliga data, till exempel nycklar, hemligheter och certifikat, och att kontot komprometteras och används med skadlig avsikt. Scenario 3: Den här incidenten anger att misstänkt aktivitet har identifierats i din miljö som rör användningen av Key Vault. Flera aviseringar från olika Defender för molnet planer har utlösts på samma resurs, vilket ökar återgivningen av skadlig aktivitet i din miljö. Misstänkt Key Vault-aktivitet kan tyda på att en hotskådespelare försöker få åtkomst till dina känsliga data, till exempel nycklar, hemligheter och certifikat, och att kontot komprometteras och används med skadlig avsikt. |
Högt |
| Säkerhetsincident upptäckte misstänkt SAS-aktivitet (förhandsversion) | Den här incidenten indikerar att misstänkt aktivitet har identifierats efter potentiellt missbruk av en SAS-token. Flera aviseringar från olika Defender för molnet planer har utlösts på samma resurs, vilket ökar återgivningen av skadlig aktivitet i din miljö. Användningen av en SAS-token kan tyda på att en hotaktör har fått obehörig åtkomst till ditt lagringskonto och försöker komma åt eller exfiltera känsliga data. | Högt |
| Säkerhetsincidenten identifierade avvikande geografisk platsaktivitet (förhandsversion) | Scenario 1: Den här incidenten anger att avvikande geografisk platsaktivitet har identifierats i din miljö. Flera aviseringar från olika Defender för molnet planer har utlösts på samma resurs, vilket ökar återgivningen av skadlig aktivitet i din miljö. Misstänkt aktivitet som kommer från avvikande platser kan tyda på att en hotskådespelare fått obehörig åtkomst till din miljö och försöker kompromettera den. Scenario 2: Den här incidenten anger att avvikande geografisk platsaktivitet har identifierats i din miljö. Flera aviseringar från olika Defender för molnet planer har utlösts från samma IP-adress, vilket ökar återgivningen av skadlig aktivitet i din miljö. Misstänkt aktivitet som kommer från avvikande platser kan tyda på att en hotskådespelare fått obehörig åtkomst till din miljö och försöker kompromettera den. |
Högt |
| Säkerhetsincident upptäckte misstänkt IP-aktivitet (förhandsversion) | Scenario 1: Den här incidenten anger att misstänkt aktivitet har identifierats från en misstänkt IP-adress. Flera aviseringar från olika Defender för molnet planer har utlösts från samma IP-adress, vilket ökar återgivningen av skadlig aktivitet i din miljö. Misstänkt aktivitet från en misstänkt IP-adress kan tyda på att en angripare har fått obehörig åtkomst till din miljö och försöker kompromettera den. Scenario 2: Den här incidenten anger att misstänkt aktivitet har identifierats från en misstänkt IP-adress. Flera aviseringar från olika Defender för molnet planer har utlösts på samma användare eller tjänstens huvudnamn, vilket ökar återgivningen av skadlig aktivitet i din miljö. Misstänkt aktivitet från en misstänkt IP-adress kan tyda på att en angripare har fått obehörig åtkomst till din miljö och försöker kompromettera den. |
Högt |
| Säkerhetsincident upptäckte misstänkt fillös attackaktivitet (förhandsversion) | Den här incidenten anger att en fillös attackverktyg har identifierats på en virtuell dator efter ett potentiellt exploateringsförsök på samma resurs. Flera aviseringar från olika Defender för molnet planer har utlösts på samma virtuella dator, vilket ökar återgivningen av skadlig aktivitet i din miljö. Förekomsten av en fillös attackverktyg på den virtuella datorn kan tyda på att en hotaktör har fått obehörig åtkomst till din miljö och försöker undvika identifiering samtidigt som ytterligare skadliga aktiviteter utförs. | Högt |
| Säkerhetsincident upptäckte misstänkt DDOS-aktivitet (förhandsversion) | Den här incidenten anger att misstänkt DDOS-aktivitet (Distributed Denial of Service) har identifierats i din miljö. DDOS-attacker är utformade för att överbelasta nätverket eller programmet med en stor mängd trafik, vilket gör att det blir otillgängligt för legitima användare. Flera aviseringar från olika Defender för molnet planer har utlösts på samma IP-adress, vilket ökar återgivningen av skadlig aktivitet i din miljö. | Högt |
| Säkerhetsincident upptäckte misstänkt dataexfiltreringsaktivitet (förhandsversion) | Scenario 1: Den här incidenten anger att misstänkt dataexfiltreringsaktivitet har identifierats efter misstänkt aktivitet för användaren eller tjänstens huvudnamn. Flera aviseringar från olika Defender för molnet planer har utlösts på samma resurs, vilket ökar återgivningen av skadlig aktivitet i din miljö. Misstänkt kontoaktivitet kan tyda på att en hotskådespelare fått obehörig åtkomst till din miljö, och den efterföljande dataexfiltreringsaktiviteten kan tyda på att de försöker stjäla känslig information. Scenario 2: Den här incidenten anger att misstänkt dataexfiltreringsaktivitet har identifierats efter misstänkt aktivitet för användaren eller tjänstens huvudnamn. Flera aviseringar från olika Defender för molnet planer har utlösts från samma IP-adress, vilket ökar återgivningen av skadlig aktivitet i din miljö. Misstänkt kontoaktivitet kan tyda på att en hotskådespelare fått obehörig åtkomst till din miljö, och den efterföljande dataexfiltreringsaktiviteten kan tyda på att de försöker stjäla känslig information. Scenario 3: Den här incidenten anger att misstänkt dataexfiltreringsaktivitet har identifierats efter ovanlig lösenordsåterställning på en virtuell dator. Flera aviseringar från olika Defender för molnet planer har utlösts från samma IP-adress, vilket ökar återgivningen av skadlig aktivitet i din miljö. Misstänkt kontoaktivitet kan tyda på att en hotskådespelare fått obehörig åtkomst till din miljö, och den efterföljande dataexfiltreringsaktiviteten kan tyda på att de försöker stjäla känslig information. |
Högt |
| Säkerhetsincident upptäckte misstänkt API-aktivitet (förhandsversion) | Den här incidenten anger att misstänkt API-aktivitet har identifierats. Flera aviseringar från Defender för molnet har utlösts på samma resurs, vilket ökar återgivningen av skadlig aktivitet i din miljö. Misstänkt API-användning kan tyda på att en hotskådespelare försöker komma åt känslig information eller utföra obehöriga åtgärder. | Högt |
| Säkerhetsincident upptäckte misstänkt Kubernetes-klusteraktivitet (förhandsversion) | Den här incidenten anger att misstänkt aktivitet har identifierats i kubernetes-klustret efter misstänkt användaraktivitet. Flera aviseringar från olika Defender för molnet planer har utlösts i samma kluster, vilket ökar återgivningen av skadlig aktivitet i din miljö. Den misstänkta aktiviteten i Kubernetes-klustret kan tyda på att en hotskådespelare har fått obehörig åtkomst till din miljö och försöker kompromettera den. | Högt |
| Säkerhetsincident upptäckte misstänkt lagringsaktivitet (förhandsversion) | Scenario 1: Den här incidenten anger att misstänkt lagringsaktivitet har identifierats efter misstänkt aktivitet för användaren eller tjänstens huvudnamn. Flera aviseringar från olika Defender för molnet planer har utlösts på samma resurs, vilket ökar återgivningen av skadlig aktivitet i din miljö. Misstänkt kontoaktivitet kan tyda på att en hotskådespelare fått obehörig åtkomst till din miljö, och den efterföljande misstänkta lagringsaktiviteten kan tyda på att de försöker komma åt potentiellt känsliga data. Scenario 2: Den här incidenten anger att misstänkt lagringsaktivitet har identifierats efter misstänkt aktivitet för användaren eller tjänstens huvudnamn. Flera aviseringar från olika Defender för molnet planer har utlösts från samma IP-adress, vilket ökar återgivningen av skadlig aktivitet i din miljö. Misstänkt kontoaktivitet kan tyda på att en hotskådespelare fått obehörig åtkomst till din miljö, och den efterföljande misstänkta lagringsaktiviteten kan tyda på att de försöker komma åt potentiellt känsliga data. |
Högt |
| Säkerhetsincident upptäckte misstänkt Azure Toolkit-aktivitet (förhandsversion) | Den här incidenten anger att misstänkt aktivitet har identifierats efter potentiell användning av en Azure-verktygslåda. Flera aviseringar från olika Defender för molnet planer har utlösts på samma användare eller tjänstens huvudnamn, vilket ökar återgivningen av skadlig aktivitet i din miljö. Användningen av en Azure-verktygslåda kan tyda på att en angripare har fått obehörig åtkomst till din miljö och försöker kompromettera den. | Högt |
| Säkerhetsincident upptäckte misstänkt DNS-aktivitet (förhandsversion) | Scenario 1: Den här incidenten anger att misstänkt DNS-aktivitet har identifierats. Flera aviseringar från olika Defender för molnet planer har utlösts på samma resurs, vilket ökar återgivningen av skadlig aktivitet i din miljö. Misstänkt DNS-aktivitet kan tyda på att en hotskådespelare fått obehörig åtkomst till din miljö och försöker kompromettera den. Scenario 2: Den här incidenten anger att misstänkt DNS-aktivitet har identifierats. Flera aviseringar från olika Defender för molnet planer har utlösts från samma IP-adress, vilket ökar återgivningen av skadlig aktivitet i din miljö. Misstänkt DNS-aktivitet kan tyda på att en hotskådespelare fått obehörig åtkomst till din miljö och försöker kompromettera den. |
Medel |
| Säkerhetsincident upptäckte misstänkt SQL-aktivitet (förhandsversion) | Scenario 1: Den här incidenten anger att misstänkt SQL-aktivitet har identifierats. Flera aviseringar från olika Defender för molnet planer har utlösts från samma IP-adress, vilket ökar återgivningen av skadlig aktivitet i din miljö. Misstänkt SQL-aktivitet kan tyda på att en hotskådespelare riktar in sig på din SQL-server och försöker kompromettera den. Scenario 2: Den här incidenten anger att misstänkt SQL-aktivitet har identifierats. Flera aviseringar från olika Defender för molnet planer har utlösts på samma resurs, vilket ökar återgivningen av skadlig aktivitet i din miljö. Misstänkt SQL-aktivitet kan tyda på att en hotskådespelare riktar in sig på din SQL-server och försöker kompromettera den. |
Högt |
| Säkerhetsincident upptäckte misstänkt apptjänstaktivitet (förhandsversion) | Scenario 1: Den här incidenten anger att misstänkt aktivitet har identifierats i apptjänstmiljön. Flera aviseringar från olika Defender för molnet planer har utlösts på samma resurs, vilket ökar återgivningen av skadlig aktivitet i din miljö. Misstänkt apptjänstaktivitet kan tyda på att en hotskådespelare riktar in sig på ditt program och kanske försöker kompromettera det. Scenario 2: Den här incidenten anger att misstänkt aktivitet har identifierats i apptjänstmiljön. Flera aviseringar från olika Defender för molnet planer har utlösts från samma IP-adress, vilket ökar återgivningen av skadlig aktivitet i din miljö. Misstänkt apptjänstaktivitet kan tyda på att en hotskådespelare riktar in sig på ditt program och kanske försöker kompromettera det. |
Högt |
| Säkerhetsincident upptäckte komprometterad dator | Den här incidenten indikerar misstänkt aktivitet på en eller flera av dina virtuella datorer. Flera aviseringar från olika Defender för molnet planer har utlösts i kronologisk ordning på samma resurs, enligt MITRE ATT&CK-ramverket. Detta kan tyda på att en hotskådespelare har fått obehörig åtkomst till din miljö och har komprometterat den här datorn. | Medel/hög |
| Säkerhetsincident upptäckte komprometterad dator med botnet-kommunikation | Den här incidenten indikerar misstänkt botnet-aktivitet på den virtuella datorn. Flera aviseringar från olika Defender för molnet planer har utlösts i kronologisk ordning på samma resurs, enligt MITRE ATT&CK-ramverket. Detta kan tyda på att en hotskådespelare har fått obehörig åtkomst till din miljö och försöker kompromettera den. | Medel/hög |
| Säkerhetsincident identifierade komprometterade datorer med botnet-kommunikation | Den här incidenten indikerar misstänkt botnet-aktivitet på dina virtuella datorer. Flera aviseringar från olika Defender för molnet planer har utlösts i kronologisk ordning på samma resurs, enligt MITRE ATT&CK-ramverket. Detta kan tyda på att en hotskådespelare har fått obehörig åtkomst till din miljö och försöker kompromettera den. | Medel/hög |
| Säkerhetsincident upptäckte komprometterad dator med skadlig utgående aktivitet | Den här incidenten indikerar misstänkt utgående aktivitet på den virtuella datorn. Flera aviseringar från olika Defender för molnet planer har utlösts i kronologisk ordning på samma resurs, enligt MITRE ATT&CK-ramverket. Detta kan tyda på att en hotskådespelare har fått obehörig åtkomst till din miljö och försöker kompromettera den. | Medel/hög |
| Säkerhetsincident identifierade komprometterade datorer | Den här incidenten indikerar misstänkt aktivitet på en eller flera av dina virtuella datorer. Flera aviseringar från olika Defender för molnet planer har utlösts i kronologisk ordning på samma resurser, enligt MITRE ATT&CK-ramverket. Detta kan tyda på att en hotskådespelare har fått obehörig åtkomst till din miljö och har komprometterat dessa datorer. | Medel/hög |
| Säkerhetsincident identifierade komprometterade datorer med skadlig utgående aktivitet | Den här incidenten indikerar misstänkt utgående aktivitet från dina virtuella datorer. Flera aviseringar från olika Defender för molnet planer har utlösts i kronologisk ordning på samma resurser, enligt MITRE ATT&CK-ramverket. Detta kan tyda på att en hotskådespelare har fått obehörig åtkomst till din miljö och försöker kompromettera den. | Medel/hög |
| Säkerhetsincident identifierad på flera datorer | Den här incidenten indikerar misstänkt aktivitet på en eller flera av dina virtuella datorer. Flera aviseringar från olika Defender för molnet planer har utlösts i kronologisk ordning på samma resurs, enligt MITRE ATT&CK-ramverket. Detta kan tyda på att en hotskådespelare har fått obehörig åtkomst till din miljö och försöker kompromettera den. | Medel/hög |
| Säkerhetsincident med delad process identifierad | Scenario 1: Den här incidenten indikerar misstänkt aktivitet på den virtuella datorn. Flera aviseringar från olika Defender för molnet planer har utlösts för att dela samma process. Detta kan tyda på att en hotskådespelare har fått obehörig åtkomst till din miljö och försöker kompromettera den. Scenario 2: Den här incidenten indikerar misstänkt aktivitet på dina virtuella datorer. Flera aviseringar från olika Defender för molnet planer har utlösts för att dela samma process. Detta kan tyda på att en hotskådespelare har fått obehörig åtkomst till din miljö och försöker kompromettera den. |
Medel/hög |