Güvenlik uyarıları - başvuru kılavuzu
Bu makalede, Bulut için Microsoft Defender ve etkinleştirdiğiniz tüm Microsoft Defender planlarından alabileceğiniz güvenlik uyarıları listelenir. Ortamınızda gösterilen uyarılar, koruduğunuz kaynaklara ve hizmetlere ve özelleştirilmiş yapılandırmanıza bağlıdır.
Bu sayfanın alt kısmında MITRE ATT&CK matrisinin 9. sürümüyle hizalanmış Bulut için Microsoft Defender sonlandırma zincirini açıklayan bir tablo yer alır.
Bu uyarılara nasıl yanıt vereceğinizi öğrenin.
Uyarıları dışarı aktarmayı öğrenin.
Not
Farklı kaynaklardan gelen uyarıların görünmesi farklı zaman alabilir. Örneğin, ağ trafiğinin analizini gerektiren uyarıların görünmesi, sanal makinelerde çalışan şüpheli işlemlerle ilgili uyarılardan daha uzun sürebilir.
Windows makineleri için uyarılar
Sunucular için Microsoft Defender Plan 2, Uç Nokta için Microsoft Defender tarafından sağlananlara ek olarak benzersiz algılamalar ve uyarılar sağlar. Windows makineleri için sağlanan uyarılar şunlardır:
Kötü amaçlı bir IP'den oturum açma algılandı. [birden çok kez görüldü]
Açıklama: [account] hesabı ve işlemi [işlem] için başarılı bir uzaktan kimlik doğrulaması oluştu, ancak oturum açma IP adresi (x.x.x.x) daha önce kötü amaçlı veya son derece olağan dışı olarak bildirildi. Başarılı bir saldırı gerçekleşmiş olabilir. .scr uzantılı dosyalar ekran koruyucu dosyalarıdır ve normalde Windows sistem dizininde bulunur ve yürütülür.
Önem Derecesi: Yüksek
Uyarlamalı uygulama denetimi ilkesi ihlali denetlendi
VM_AdaptiveApplicationControlWindowsViolationAudited
Açıklama: Aşağıdaki kullanıcılar bu makinede kuruluşunuzun uygulama denetim ilkesini ihlal eden uygulamalar çalıştırmıştı. Makineyi kötü amaçlı yazılımlara veya uygulama güvenlik açıklarına maruz bırakabilir.
MITRE taktikleri: Yürütme
Önem Derecesi: Bilgilendiren
Konuk hesabının Yerel Yönetici istrators grubuna eklenmesi
Açıklama: Konak verilerinin analizinde, %{Güvenliği Aşılmış Konak} üzerindeki Yerel Yönetici istrators grubuna yerleşik Konuk hesabının eklendiği algılandı ve bu grup saldırgan etkinliğiyle güçlü bir şekilde ilişkilendirildi.
Önem Derecesi: Orta
Olay günlüğü temizlendi
Açıklama: Makine günlükleri, '%{CompromisedEntity}' makinesindeki '%{user name}' kullanıcı tarafından yapılan şüpheli olay günlüğü temizleme işlemini gösteriyor. %{log channel} günlüğü temizlendi.
Önem Derecesi: Bilgilendiren
Kötü Amaçlı Yazılımdan Koruma Eylemi Başarısız Oldu
Açıklama: Microsoft Kötü Amaçlı Yazılımdan Koruma kötü amaçlı yazılım veya diğer istenmeyebilecek yazılımlar üzerinde eylem yaparken bir hatayla karşılaştı.
Önem Derecesi: Orta
Kötü Amaçlı Yazılımdan Koruma Eylemi Gerçekleştirilen
Açıklama: Azure için Microsoft Kötü Amaçlı Yazılımdan Koruma, bu makineyi kötü amaçlı yazılımlardan veya istenmeyebilecek diğer yazılımlardan korumak için bir eylemde bulundu.
Önem Derecesi: Orta
Sanal makinenizde kötü amaçlı yazılımdan koruma geniş dosya dışlaması
(VM_AmBroadFilesExclusion)
Açıklama: Aboneliğinizdeki Azure Resource Manager işlemleri çözümlenerek sanal makinenizde geniş bir dışlama kuralına sahip kötü amaçlı yazılımdan koruma uzantısından dosya dışlama algılandı. Bu tür bir dışlama, Kötü amaçlı yazılımdan korumayı pratik olarak devre dışı bırakır. Saldırganlar, rastgele kod çalıştırırken veya makineye kötü amaçlı yazılım bulaştırırken algılamayı önlemek için sanal makinenizdeki kötü amaçlı yazılımdan koruma taramasından dosyaları dışlayabilir.
Önem Derecesi: Orta
Sanal makinenizde kötü amaçlı yazılımdan koruma devre dışı bırakıldı ve kod yürütme
(VM_AmDisablementAndCodeExecution)
Açıklama: Kötü amaçlı yazılımdan koruma, sanal makinenizde kod yürütmeyle aynı anda devre dışı bırakıldı. Bu, aboneliğinizdeki Azure Resource Manager işlemleri çözümlenerek algılandı. Saldırganlar, yetkisiz araçları çalıştırırken veya makineye kötü amaçlı yazılım bulaştırırken algılamayı önlemek için kötü amaçlı yazılımdan koruma tarayıcılarını devre dışı bırakır.
Önem Derecesi: Yüksek
Sanal makinenizde kötü amaçlı yazılımdan koruma devre dışı bırakıldı
(VM_AmDisablement)
Açıklama: Sanal makinenizde kötü amaçlı yazılımdan koruma devre dışı bırakıldı. Bu, aboneliğinizdeki Azure Resource Manager işlemleri çözümlenerek algılandı. Saldırganlar algılamayı önlemek için sanal makinenizde kötü amaçlı yazılımdan koruma yazılımını devre dışı bırakabilir.
MITRE taktikleri: Savunma Kaçamak
Önem Derecesi: Orta
Sanal makinenizde kötü amaçlı yazılımdan koruma dosyası dışlama ve kod yürütme
(VM_AmFileExclusionAndCodeExecution)
Açıklama: Sanal makinenizdeki özel bir betik uzantısı aracılığıyla kod yürütülürken kötü amaçlı yazılımdan koruma tarayıcınızdan dışlanan dosya. Bu, aboneliğinizdeki Azure Resource Manager işlemleri çözümlenerek algılandı. Saldırganlar, yetkisiz araçları çalıştırırken veya makineye kötü amaçlı yazılım bulaştırırken algılamayı önlemek için sanal makinenizdeki kötü amaçlı yazılımdan koruma taramasından dosyaları dışlayabilir.
MITRE taktikleri: Savunma Kaçamak, Yürütme
Önem Derecesi: Yüksek
Sanal makinenizde kötü amaçlı yazılımdan koruma dosyası dışlama ve kod yürütme
(VM_AmTempFileExclusionAndCodeExecution)
Açıklama: Sanal makinenizde, aboneliğinizdeki Azure Resource Manager işlemleri çözümlenerek özel betik uzantısı aracılığıyla kod yürütülmesine paralel olarak kötü amaçlı yazılımdan koruma uzantısından geçici dosya dışlaması algılandı. Saldırganlar, rastgele kod çalıştırırken veya makineye kötü amaçlı yazılım bulaştırırken algılamayı önlemek için sanal makinenizdeki kötü amaçlı yazılımdan koruma taramasından dosyaları dışlayabilir.
MITRE taktikleri: Savunma Kaçamak, Yürütme
Önem Derecesi: Yüksek
Sanal makinenizde kötü amaçlı yazılımdan koruma dosyası dışlaması
(VM_AmTempFileExclusion)
Açıklama: Sanal makinenizdeki kötü amaçlı yazılımdan koruma tarayıcınızdan dışlanan dosya. Bu, aboneliğinizdeki Azure Resource Manager işlemleri çözümlenerek algılandı. Saldırganlar, yetkisiz araçları çalıştırırken veya makineye kötü amaçlı yazılım bulaştırırken algılamayı önlemek için sanal makinenizdeki kötü amaçlı yazılımdan koruma taramasından dosyaları dışlayabilir.
MITRE taktikleri: Savunma Kaçamak
Önem Derecesi: Orta
Sanal makinenizde kötü amaçlı yazılımdan koruma gerçek zamanlı koruma devre dışı bırakıldı
(VM_AmRealtimeProtectionDisabled)
Açıklama: Aboneliğinizdeki Azure Resource Manager işlemleri çözümlenerek sanal makinenizde kötü amaçlı yazılımdan koruma uzantısının gerçek zamanlı koruma devre dışı bırakılması algılandı. Saldırganlar, rastgele kod çalıştırırken veya makineye kötü amaçlı yazılım bulaştırırken algılamayı önlemek için sanal makinenizdeki kötü amaçlı yazılımdan koruma taramasından gerçek zamanlı korumayı devre dışı bırakabilir.
MITRE taktikleri: Savunma Kaçamak
Önem Derecesi: Orta
Sanal makinenizde kötü amaçlı yazılımdan koruma gerçek zamanlı koruma geçici olarak devre dışı bırakıldı
(VM_AmTempRealtimeProtectionDisablement)
Açıklama: Aboneliğinizdeki Azure Resource Manager işlemleri çözümlenerek sanal makinenizde kötü amaçlı yazılımdan koruma uzantısının gerçek zamanlı geçici devre dışı bırakılması algılandı. Saldırganlar, rastgele kod çalıştırırken veya makineye kötü amaçlı yazılım bulaştırırken algılamayı önlemek için sanal makinenizdeki kötü amaçlı yazılımdan koruma taramasından gerçek zamanlı korumayı devre dışı bırakabilir.
MITRE taktikleri: Savunma Kaçamak
Önem Derecesi: Orta
Sanal makinenizde kod yürütülürken kötü amaçlı yazılımdan koruma gerçek zamanlı koruma geçici olarak devre dışı bırakıldı
(VM_AmRealtimeProtectionDisablementAndCodeExec)
Açıklama: Özel betik uzantısı aracılığıyla kod yürütmeye paralel olarak kötü amaçlı yazılımdan koruma uzantısının gerçek zamanlı koruma geçici devre dışı bırakılması, aboneliğinizdeki Azure Resource Manager işlemleri çözümlenerek sanal makinenizde algılandı. Saldırganlar, rastgele kod çalıştırırken veya makineye kötü amaçlı yazılım bulaştırırken algılamayı önlemek için sanal makinenizdeki kötü amaçlı yazılımdan koruma taramasından gerçek zamanlı korumayı devre dışı bırakabilir.
Önem Derecesi: Yüksek
Sanal makinenizdeki kötü amaçlı yazılım kampanyalarıyla ilgili olabilecek dosyalar için kötü amaçlı yazılımdan koruma taramaları engellendi (Önizleme)
(VM_AmMalwareCampaignRelatedExclusion)
Açıklama: Kötü amaçlı yazılımdan koruma uzantınızın kötü amaçlı yazılım kampanyasıyla ilgili olduğundan şüphelenilen bazı dosyaları taramasını önlemek için sanal makinenizde bir dışlama kuralı algılandı. Kural, aboneliğinizdeki Azure Resource Manager işlemleri çözümlenerek algılandı. Saldırganlar, rastgele kod çalıştırırken veya makineye kötü amaçlı yazılım bulaştırırken algılamayı önlemek için dosyaları kötü amaçlı yazılımdan koruma taramalarından dışlayabilir.
MITRE taktikleri: Savunma Kaçamak
Önem Derecesi: Orta
Sanal makinenizde kötü amaçlı yazılımdan koruma geçici olarak devre dışı bırakıldı
(VM_AmTemporarilyDisablement)
Açıklama: Sanal makinenizde kötü amaçlı yazılımdan koruma geçici olarak devre dışı bırakıldı. Bu, aboneliğinizdeki Azure Resource Manager işlemleri çözümlenerek algılandı. Saldırganlar algılamayı önlemek için sanal makinenizde kötü amaçlı yazılımdan koruma yazılımını devre dışı bırakabilir.
Önem Derecesi: Orta
Sanal makinenizde kötü amaçlı yazılımdan koruma olağandışı dosya dışlaması
(VM_UnusualAmFileExclusion)
Açıklama: Aboneliğinizdeki Azure Resource Manager işlemleri çözümlenerek sanal makinenizde kötü amaçlı yazılımdan koruma uzantısından olağan dışı dosya dışlaması algılandı. Saldırganlar, rastgele kod çalıştırırken veya makineye kötü amaçlı yazılım bulaştırırken algılamayı önlemek için sanal makinenizdeki kötü amaçlı yazılımdan koruma taramasından dosyaları dışlayabilir.
MITRE taktikleri: Savunma Kaçamak
Önem Derecesi: Orta
Tehdit bilgileri tarafından tanımlanan şüpheli etki alanıyla iletişim
(AzureDNS_ThreatIntelSuspectDomain)
Açıklama: Kaynağınızdaki DNS işlemleri analiz edilerek ve tehdit bilgileri akışları tarafından tanımlanan bilinen kötü amaçlı etki alanlarıyla karşılaştırılarak şüpheli etki alanıyla iletişim algılandı. Kötü amaçlı etki alanlarıyla iletişim genellikle saldırganlar tarafından gerçekleştirilir ve kaynağınızın gizliliğinin tehlikeye atıldığı anlamına gelebilir.
MITRE taktikleri: İlk Erişim, Kalıcılık, Yürütme, Komut ve Denetim, Kötüye Kullanma
Önem Derecesi: Orta
IIS günlük dosyalarını devre dışı bırakmayı ve silmeyi gösteren eylemler algılandı
Açıklama: Iis günlük dosyalarının devre dışı bırakıldığını ve/veya silindiğini gösteren konak verilerinin analizi algılandı eylemleri.
Önem Derecesi: Orta
Komut satırında büyük ve küçük harf karakterlerinin anormal karışımı algılandı
Açıklama: %{Güvenliği Aşılmış Konak} üzerindeki konak verilerinin analizinde, büyük ve küçük harf karakterlerinden oluşan anormal bir karışıklığı olan bir komut satırı algılandı. Bu tür bir düzen, büyük olasılıkla zararsız olsa da, güvenliği aşılmış bir konakta yönetim görevleri gerçekleştirirken büyük/küçük harfe duyarlı veya karma tabanlı kural eşleştirmesinden saklanmaya çalışan saldırganlara da tipik bir örnektir.
Önem Derecesi: Orta
UAC'yi atlamak için kötüye kullanılabilecek bir kayıt defteri anahtarında değişiklik algılandı
Açıklama: %{Güvenliği Aşılmış Ana Bilgisayar} üzerindeki konak verilerinin analizi, UAC'yi atlamak için kötüye kullanılabilecek bir kayıt defteri anahtarının (Kullanıcı Hesabı Denetimi) değiştirildiğini algılandı. Bu tür bir yapılandırma, riskli bir konakta ayrıcalıksız (standart kullanıcı) ayrıcalıklı (örneğin yönetici) erişime geçmeye çalışırken saldırgan etkinliklerinin tipik bir örneğidir.
Önem Derecesi: Orta
Yerleşik certutil.exe aracı kullanılarak yürütülebilir dosyanın kodunun çözülmesi algılandı
Açıklama: %{Güvenliği Aşılmış Ana Bilgisayar} üzerindeki konak verilerinin analizi, yerleşik bir yönetici yardımcı programı olan certutil.exe, sertifikaları ve sertifika verilerini düzenlemeyle ilgili temel amacı yerine yürütülebilir dosyanın kodunu çözmek için kullanıldığını algılandı. Saldırganların kötü amaçlı eylemler kullanmak gerçekleştirmek için yasal yönetici araçlarının işlevlerini kötüye kullandığı bilinir; örneğin daha sonra yürütülecek kötü amaçlı bir yürütülebilir dosyanın kodunu çözmek için certutil.exe gibi bir araç kullanarak.
Önem Derecesi: Yüksek
WDigest UseLogonCredential kayıt defteri anahtarının etkinleştirilmesi algılandı
Açıklama: Konak verilerinin analizi, HKLM\SYSTEM\ CurrentControlSet\Control\SecurityProviders\WDigest\ "UseLogonCredential" kayıt defteri anahtarında bir değişiklik algılandı. Özellikle bu anahtar, oturum açma kimlik bilgilerinin LSA belleğinde düz metinde depolanmasına izin verecek şekilde güncelleştirildi. Etkinleştirildikten sonra saldırgan, Mimikatz gibi kimlik bilgileri toplama araçlarıyla LSA belleğinden düz metin parolalarını döküm edebilir.
Önem Derecesi: Orta
Komut satırı verilerinde kodlanmış yürütülebilir dosya algılandı
Açıklama: %{Güvenliği Aşılmış Konak} üzerindeki konak verilerinin analizinde base-64 ile kodlanmış bir yürütülebilir dosya algılandı. Bu, daha önce bir komut dizisi aracılığıyla anında yürütülebilir dosyalar oluşturmayı deneyen ve tek tek hiçbir komutun uyarı tetiklemediğinden emin olarak yetkisiz erişim algılama sistemlerinden kaçınmaya çalışan saldırganlarla ilişkilendirildi. Bu yasal bir etkinlik veya güvenliği aşılmış bir konağın göstergesi olabilir.
Önem Derecesi: Yüksek
Belirsiz komut satırı algılandı
Açıklama: Saldırganlar, temel alınan verilerde çalışan algılamalardan kaçmak için giderek daha karmaşık olan gizleme tekniklerini kullanır. %{Güvenliği Aşılmış Konak} üzerindeki konak verilerinin analizi, komut satırında şüpheli gizleme göstergeleri algılandı.
Önem Derecesi: Bilgilendiren
Keygen yürütülebilir dosyasının olası yürütülebilir dosyası algılandı
Açıklama: %{Güvenliği Aşılmış Ana Bilgisayar} üzerindeki konak verilerinin analizi, adı bir keygen aracının göstergesi olan bir işlemin yürütülmesini algılamıştı; bu tür araçlar genellikle yazılım lisanslama mekanizmalarını yenmek için kullanılır, ancak indirmeleri genellikle diğer kötü amaçlı yazılımlarla birlikte sunulur. ETKINLIK grubu GOLD'un bu tür keygen'lerden yararlanarak ele geçirdikleri konaklara gizlice arka kapı erişimi sağladığı bilinmektedir.
Önem Derecesi: Orta
Kötü amaçlı yazılım bırakmanın olası yürütmesi algılandı
Açıklama: %{Güvenliği Aşılmış Konak} üzerindeki konak verilerinin analizi, daha önce GOLD adlı etkinlik grubunun bir kurban konağına kötü amaçlı yazılım yükleme yöntemlerinden biriyle ilişkilendirilmiş bir dosya adı algılandı.
Önem Derecesi: Yüksek
Olası yerel keşif etkinliği algılandı
Açıklama: %{Güvenliği Aşılmış Konak} üzerindeki konak verilerinin analizi, daha önce GOLD etkinlik grubunun keşif etkinliği gerçekleştirme yöntemlerinden biriyle ilişkilendirilmiş systeminfo komutlarının bir bileşimini algılamıştır. 'systeminfo.exe' meşru bir Windows aracı olsa da, burada gerçekleşen şekilde bunu arka arkaya iki kez yürütmek nadirdir.
Önem Derecesi: Düşük
Telegram aracının şüpheli olabilecek kullanımı algılandı
Açıklama: Konak verilerinin analizi, hem mobil hem de masaüstü sistemi için mevcut olan ücretsiz bir bulut tabanlı anlık ileti hizmeti olan Telegram'ın yüklenmesini gösterir. Saldırganların kötü amaçlı ikili dosyaları başka herhangi bir bilgisayara, telefona veya tablete aktarmak için bu hizmeti kötüye kullanabilecekleri bilinmektedir.
Önem Derecesi: Orta
Oturum açma sırasında kullanıcılara görüntülenen yasal bildirimin gizlenmesi algılandı
Açıklama: %{Güvenliği Aşılmış Ana Bilgisayar} üzerindeki konak verilerinin analizi, kayıt defteri anahtarında oturum açtıklarında kullanıcılara yasal uyarı görüntülenip görüntülenmeyeceğini denetleen değişiklikler algıladı. Microsoft güvenlik analizi, bunun bir konağın güvenliğini tehlikeye attıktan sonra saldırganlar tarafından gerçekleştirdiği yaygın bir etkinlik olduğunu belirledi.
Önem Derecesi: Düşük
HTA ve PowerShell'in şüpheli bileşimi algılandı
Açıklama: kötü amaçlı PowerShell komutlarını başlatmak için saldırganlar tarafından imzalı bir Microsoft ikili dosyası olan mshta.exe (Microsoft HTML Uygulama Konağı) kullanılıyor. Saldırganlar genellikle satır içi VBScript içeren bir HTA dosyasına sahip olmak için başvurur. Bir kurban HTA dosyasına göz atıp çalıştırmayı seçtiğinde, içerdiği PowerShell komutları ve betikleri yürütülür. %{Güvenliği Aşılmış Konak} üzerindeki konak verilerinin analizi, PowerShell komutlarını başlatırken mshta.exe algılandı.
Önem Derecesi: Orta
Şüpheli komut satırı bağımsız değişkenleri algılandı
Açıklama: %{Güvenliği Aşılmış Konak} üzerindeki konak verilerinin analizinde, HIDROJEN etkinlik grubu tarafından kullanılan ters kabukla birlikte kullanılan şüpheli komut satırı bağımsız değişkenleri algılandı.
Önem Derecesi: Yüksek
Bir dizindeki tüm yürütülebilir dosyaları başlatmak için kullanılan şüpheli komut satırı algılandı
Açıklama: Konak verilerinin analizi %{Güvenliği Aşılmış Konak} üzerinde çalışan şüpheli bir işlem algılandı. Komut satırı, bir dizinde bulunabilecek tüm yürütülebilir dosyaları (*.exe) başlatma girişimini gösterir. Bu, güvenliği aşılmış bir konağın göstergesi olabilir.
Önem Derecesi: Orta
Komut satırında şüpheli kimlik bilgileri algılandı
Açıklama: %{Güvenliği Aşılmış Konak} üzerindeki konak verilerinin analizinde, BORON etkinlik grubuna göre bir dosyayı yürütmek için şüpheli bir parola kullanıldığı algılandı. Bu etkinlik grubunun, bu parolayı bir kurban konağı üzerinde Pirpi kötü amaçlı yazılımını yürütmek için kullandığı bilinmektedir.
Önem Derecesi: Yüksek
Şüpheli belge kimlik bilgileri algılandı
Açıklama: %{Güvenliği Aşılmış Ana Bilgisayar} üzerindeki konak verilerinin analizi, bir dosyayı yürütmek için kötü amaçlı yazılım tarafından kullanılan şüpheli, ortak bir önceden derlenmiş parola karması algıladı. HIDROJEN etkinlik grubunun bu parolayı bir kurban konağı üzerinde kötü amaçlı yazılım yürütmek için kullandığı bilinmektedir.
Önem Derecesi: Yüksek
VBScript.Encode komutunun şüpheli yürütülmesi algılandı
Açıklama: %{Güvenliği Aşılmış Konak} üzerindeki konak verilerinin analizi, VBScript.Encode komutunun yürütülmesini algılamıştır. Bu, betikleri okunamayan bir metne kodlayarak kullanıcıların kodu incelemesini zorlaştırır. Microsoft tehdit araştırması, saldırganların algılama sistemlerinden kaçmak için genellikle saldırılarının bir parçası olarak kodlanmış VBscript dosyalarını kullandığını göstermektedir. Bu yasal bir etkinlik veya güvenliği aşılmış bir konağın göstergesi olabilir.
Önem Derecesi: Orta
rundll32.exe aracılığıyla şüpheli yürütme algılandı
Açıklama: %{Güvenliği Aşılmış Ana Bilgisayar} üzerindeki konak verilerinin analizi, güvenliği aşılmış bir konağa ilk aşama implantını yüklerken daha önce ETKINLIK grubu GOLD tarafından kullanılan işlem adlandırma düzeniyle tutarlı olarak, yaygın olmayan bir adla işlem yürütmek için kullanılan rundll32.exe algılandı.
Önem Derecesi: Yüksek
Şüpheli dosya temizleme komutları algılandı
Açıklama: %{Güvenliği Aşılmış Ana Bilgisayar} üzerindeki konak verilerinin analizi, daha önce GOLD etkinlik grubundaki kendi kendine temizleme etkinliği gerçekleştirme yöntemlerinden biriyle ilişkilendirilmiş systeminfo komutlarının bir bileşimini algılamıştır. 'systeminfo.exe' yasal bir Windows aracı olsa da, bunu arka arkaya iki kez yürütmek ve ardından burada gerçekleşen şekilde bir silme komutu nadirdir.
Önem Derecesi: Yüksek
Şüpheli dosya oluşturma algılandı
Açıklama: %{Güvenliği Aşılmış Konak} üzerindeki konak verilerinin analizi, daha önce BARIUM etkinlik grubu tarafından bir kurban konağı üzerinde gerçekleştirilen güvenlik ihlalleri sonrası eylemi gösteren bir işlemin oluşturulduğu veya yürütüldüğünü algılandı. Bu etkinlik grubunun, kimlik avı belgesindeki bir ek açıldıktan sonra güvenliği aşılmış bir konağa daha fazla kötü amaçlı yazılım indirmek için bu tekniği kullandığı bilinmektedir.
Önem Derecesi: Yüksek
Şüpheli adlandırılmış kanal iletişimleri algılandı
Açıklama: %{Güvenliği Aşılmış Konak} üzerindeki konak verilerinin analizi, windows konsol komutundan yerel adlandırılmış bir kanala yazılan veriler algılandı. Adlandırılmış kanallar, saldırganlar tarafından kötü amaçlı bir implantla görev yapmak ve iletişim kurmak için kullanılan bir kanal olarak bilinir. Bu yasal bir etkinlik veya güvenliği aşılmış bir konağın göstergesi olabilir.
Önem Derecesi: Yüksek
Şüpheli ağ etkinliği algılandı
Açıklama: %{Güvenliği Aşılmış Konak} kaynaklı ağ trafiğinin analizinde şüpheli ağ etkinliği algılandı. Bu tür trafik, muhtemelen zararsız olsa da, genellikle bir saldırgan tarafından araçların indirilmesi, komut ve denetim ve veri sızdırma amacıyla kötü amaçlı sunucularla iletişim kurmak için kullanılır. Tipik bir saldırgan etkinliği, uzaktan yönetim araçlarını güvenliği aşılmış bir konağa kopyalamayı ve kullanıcı verilerini oradan dışarı aktarmayı içerir.
Önem Derecesi: Düşük
Şüpheli yeni güvenlik duvarı kuralı algılandı
Açıklama: Şüpheli bir konumdaki yürütülebilir dosyadan gelen trafiğe izin vermek için netsh.exe aracılığıyla yeni bir güvenlik duvarı kuralı eklendiğini algılanan konak verilerinin analizi.
Önem Derecesi: Orta
Sistemin güvenlik durumunu düşürmek için Cacl'lerin şüpheli kullanımı algılandı
Açıklama: Saldırganlar ilk güvenliği aşmak ve ağda bir ayak izi elde etmek için deneme yanılma, mızrak kimlik avı vb. gibi sayısız yolu kullanır. İlk güvenlik sorununa ulaşıldıktan sonra genellikle sistemin güvenlik ayarlarını düşürmeye yönelik adımlar atılır. Caclsâ€"short for change access control list is Microsoft Windows native command-line utility is used the security permission on folders and files. İkili dosya, sistemin güvenlik ayarlarını düşürmek için saldırganlar tarafından çok fazla kullanılır. Bu, Herkese ftp.exe, net.exe, wscript.exe gibi bazı sistem ikili dosyalarına tam erişim vererek yapılır. %{Güvenliği Aşılmış Konak} üzerindeki konak verilerinin analizi, sistemin güvenliğini azaltmak için şüpheli Cacl kullanımı algılandı.
Önem Derecesi: Orta
FTP -s Anahtarının şüpheli kullanımı algılandı
Açıklama: %{Güvenliği Aşılmış Konak} öğesinden işlem oluşturma verilerinin analizinde FTP "-s:filename" anahtarının kullanıldığı algılandı. Bu anahtar, istemcinin çalıştırılacak FTP betik dosyasını belirtmek için kullanılır. Kötü amaçlı yazılım veya kötü amaçlı işlemlerin bu FTP anahtarını (-s:filename) kullanarak uzak ftp sunucusuna bağlanacak ve daha kötü amaçlı ikili dosyalar indirecek şekilde yapılandırılmış bir betik dosyasına işaret ettiği bilinmektedir.
Önem Derecesi: Orta
Yürütülebilir kodu başlatmak için şüpheli Pcalua.exe kullanımı algılandı
Açıklama: %{Güvenliği Aşılmış Konak} üzerindeki konak verilerinin analizinde yürütülebilir kodu başlatmak için pcalua.exe kullanıldığı algılandı. Pcalua.exe, bir programın yüklenmesi veya yürütülmesi sırasında uyumluluk sorunlarını algılayan Microsoft Windows "Program Uyumluluk Yardımcısı"nın bileşenidir. Saldırganların, kötü amaçlı eylemler gerçekleştirmek için meşru Windows sistem araçlarının işlevselliğini kötüye kullandığı bilinmektedir. Örneğin, yerel olarak veya uzak paylaşımlardan kötü amaçlı yürütülebilir dosyaları başlatmak için -a anahtarıyla pcalua.exe kullanma.
Önem Derecesi: Orta
Kritik hizmetlerin devre dışı bırakılması algılandı
Açıklama: %{Güvenliği Aşılmış Ana Bilgisayar} üzerindeki konak verilerinin analizi, SharedAccess veya Windows Güvenliği uygulaması gibi kritik hizmetleri durdurmak için kullanılan "net.exe stop" komutunun yürütülmesini algılandı. Bu hizmetlerden herhangi birinin durdurulması kötü amaçlı bir davranışın göstergesi olabilir.
Önem Derecesi: Orta
Dijital para birimi madenciliğiyle ilgili davranış algılandı
Açıklama: %{Güvenliği Aşılmış Konak} üzerindeki konak verilerinin analizi, normalde dijital para birimi madenciliğiyle ilişkili bir işlemin veya komutun yürütülmesini algılandı.
Önem Derecesi: Yüksek
Dinamik PS betik oluşturma
Açıklama: %{Güvenliği Aşılmış Konak} üzerindeki konak verilerinin analizi, dinamik olarak oluşturulan bir PowerShell betiği algıladı. Saldırganlar bazen IDS sistemlerinden kurtulmak için aşamalı olarak bir betik oluşturma yaklaşımını kullanır. Bu yasal bir etkinlik veya makinelerinizden birinin gizliliğinin ihlal edildiğinin göstergesi olabilir.
Önem Derecesi: Orta
Şüpheli bir konumdan çalıştırılan yürütülebilir dosya bulundu
Açıklama: Konak verilerinin analizi, bilinen şüpheli dosyalarla ortak bir konumdan çalışan %{Güvenliği Aşılmış Konak} üzerinde yürütülebilir bir dosya algılandı. Bu yürütülebilir dosya yasal etkinlik veya güvenliği aşılmış bir konağın göstergesi olabilir.
Önem Derecesi: Yüksek
Dosyasız saldırı davranışı algılandı
(VM_FilelessAttackBehavior.Windows)
Açıklama: Belirtilen işlemin belleği, dosyasız saldırılar tarafından yaygın olarak kullanılan davranışları içerir. Belirli davranışlar şunlardır:
- Shellcode, genellikle bir yazılım güvenlik açığının kötüye kullanılmasında yük olarak kullanılan küçük bir kod parçasıdır.
- Etkin ağ bağlantıları. Ayrıntılar için aşağıdaki Ağ Bağlan ions bölümüne bakın.
- Güvenlik duyarlı işletim sistemi arabirimlerine işlev çağrıları. Başvuruda olunan işletim sistemi özellikleri için aşağıdaki Özellikler bölümüne bakın.
- Dinamik olarak ayrılmış bir kod kesiminde başlatılan bir iş parçacığı içerir. Bu, işlem ekleme saldırıları için yaygın bir desendir.
MITRE taktikleri: Savunma Kaçamak
Önem Derecesi: Düşük
Dosyasız saldırı tekniği algılandı
(VM_FilelessAttackTechnique.Windows)
Açıklama: Aşağıda belirtilen işlemin belleği, dosyasız saldırı tekniğinin kanıtlarını içerir. Dosyasız saldırılar, güvenlik yazılımı tarafından algılanmaktan kaçınılırken kod yürütmek için saldırganlar tarafından kullanılır. Belirli davranışlar şunlardır:
- Shellcode, genellikle bir yazılım güvenlik açığının kötüye kullanılmasında yük olarak kullanılan küçük bir kod parçasıdır.
- Kod ekleme saldırısı gibi işleme eklenen yürütülebilir görüntü.
- Etkin ağ bağlantıları. Ayrıntılar için aşağıdaki Ağ Bağlan ions bölümüne bakın.
- Güvenlik duyarlı işletim sistemi arabirimlerine işlev çağrıları. Başvuruda olunan işletim sistemi özellikleri için aşağıdaki Özellikler bölümüne bakın.
- İşlem içi boşlama, kötü amaçlı yazılımlar tarafından kullanılan ve saldırgan kod için kapsayıcı görevi görmek üzere sisteme meşru bir işlemin yüklendiği bir tekniktir.
- Dinamik olarak ayrılmış bir kod kesiminde başlatılan bir iş parçacığı içerir. Bu, işlem ekleme saldırıları için yaygın bir desendir.
MITRE taktikleri: Savunma Kaçamak, Yürütme
Önem Derecesi: Yüksek
Dosyasız saldırı araç seti algılandı
(VM_FilelessAttackToolkit.Windows)
Açıklama: Belirtilen işlemin belleği dosyasız saldırı araç seti içeriyor: [araç seti adı]. Dosyasız saldırı araç setleri, disk üzerindeki kötü amaçlı yazılım izlemelerini en aza indiren veya ortadan kaldıran ve disk tabanlı kötü amaçlı yazılım tarama çözümleriyle algılama olasılığını büyük ölçüde azaltan teknikler kullanır. Belirli davranışlar şunlardır:
- İyi bilinen araç setleri ve kripto madenciliği yazılımı.
- Shellcode, genellikle bir yazılım güvenlik açığının kötüye kullanılmasında yük olarak kullanılan küçük bir kod parçasıdır.
- İşlem belleğine kötü amaçlı yürütülebilir dosya eklendi.
MITRE taktikleri: Savunma Kaçamak, Yürütme
Önem Derecesi: Orta
Yüksek riskli yazılım algılandı
Açıklama: %{Güvenliği Aşılmış Konak} ana bilgisayar verilerinin analizi, geçmişte kötü amaçlı yazılım yüklemesiyle ilişkili yazılımların kullanımını algılamıştır. Kötü amaçlı yazılımların dağıtımında kullanılan yaygın bir teknik, bunu bu uyarıda görülen gibi zararsız araçlar içinde paketlemektir. Bu araçları kullandığınızda kötü amaçlı yazılım arka planda sessizce yüklenebilir.
Önem Derecesi: Orta
Yerel Yönetici oluşturucular grup üyeleri numaralandırıldı
Açıklama: Makine günlükleri %{Numaralandırılmış Grup Etki Alanı Adı}%{Numaralandırılmış Grup Adı} grubunda başarılı bir numaralandırma olduğunu gösteriyor. Özellikle, %{Kullanıcı Etki Alanı Adı Numaralandırılıyor}%{Kullanıcı Adı Numaralandırılıyor} %{Numaralandırılmış Grup Etki Alanı Adı}%{Numaralandırılmış Grup Adı} grubunun üyelerini uzaktan numaralandırdı. Bu etkinlik yasal bir etkinlik veya kuruluşunuzdaki bir makinenin gizliliğinin ihlal edildiğinin ve %{vmname} keşfi için kullanıldığının göstergesi olabilir.
Önem Derecesi: Bilgilendiren
ÇINKO sunucu implantı tarafından oluşturulan kötü amaçlı güvenlik duvarı kuralı [birden çok kez görüldü]
Açıklama: Bilinen bir aktör olan ÇINKO ile eşleşen teknikler kullanılarak bir güvenlik duvarı kuralı oluşturuldu. Kural büyük olasılıkla Komut ve Denetim iletişimlerine izin vermek üzere %{Güvenliği Aşılmış Konak} üzerindeki bir bağlantı noktasını açmak için kullanılmıştır. Bu davranış bugün şu makinelerde [x] kez görüldü: [Makine adları]
Önem Derecesi: Yüksek
Kötü amaçlı SQL etkinliği
Açıklama: Makine günlükleri '%{process name}' öğesinin %{user name} hesabı tarafından yürütüldüğünü gösteriyor. Bu etkinlik, kötü amaçlı olarak değerlendirilir.
Önem Derecesi: Yüksek
Sorgulanan Birden Çok Etki Alanı Hesabı
Açıklama: Konak verilerinin analizi, %{Güvenliği Aşılmış Konak} tarihinden itibaren kısa bir süre içinde olağan dışı sayıda farklı etki alanı hesabının sorgulandığını belirledi. Bu tür bir etkinlik meşru olabilir, ancak aynı zamanda bir uzlaşma göstergesi de olabilir.
Önem Derecesi: Orta
Olası kimlik bilgisi dökümü algılandı [birden çok kez görüldü]
Açıklama: Konak verilerinin analizi, bellekten kimlik bilgilerini ayıklamaya olanak tanıyan bir şekilde kullanılan yerel Windows aracının (örneğin, sqldumper.exe) kullanıldığını algılamıştır. Saldırganlar genellikle bu teknikleri daha sonra yanal hareket ve ayrıcalık yükseltme için daha fazla kullandıkları kimlik bilgilerini ayıklamak için kullanır. Bu davranış bugün şu makinelerde [x] kez görüldü: [Makine adları]
Önem Derecesi: Orta
AppLocker'ı atlama girişimi algılandı
Açıklama: %{Güvenliği Aşılmış Konak} üzerindeki konak verilerinin analizi, AppLocker kısıtlamalarını atlama girişiminde bulundu. AppLocker, Bir Windows sisteminde hangi yürütülebilir dosyaları çalıştırmasına izin verileceğine ilişkin bir ilke uygulayacak şekilde yapılandırılabilir. Bu uyarıda tanımlanana benzer komut satırı deseni, daha önce güvenilmeyen kodu yürütmek için güvenilen yürütülebilir dosyaları (AppLocker ilkesi tarafından izin verilen) kullanarak AppLocker ilkesini aşma girişimleriyle ilişkilendirilmiştir. Bu yasal bir etkinlik veya güvenliği aşılmış bir konağın göstergesi olabilir.
Önem Derecesi: Yüksek
Seyrek yürütülen SVCHOST hizmet grubu
(VM_SvcHostRunInRareServiceGroup)
Açıklama: Sistem işlemi SVCHOST'un nadir bir hizmet grubu çalıştırıldığı gözlemlendi. Kötü amaçlı yazılım genellikle kötü amaçlı etkinliğini maskelemek için SVCHOST kullanır.
MITRE taktikleri: Savunma Kaçamak, Yürütme
Önem Derecesi: Bilgilendiren
Yapışkan anahtar saldırısı algılandı
Açıklama: Konak verilerinin analizi, saldırganın %{Güvenliği Aşılmış Konak} konağına arka kapı erişimi sağlamak için erişilebilirlik ikili dosyasını (örneğin yapışkan tuşlar, ekran klavyesi, ekran okuyucusu) devre dışı bırakabileceğini gösterir.
Önem Derecesi: Orta
Başarılı deneme yanılma saldırısı
(VM_LoginBruteForceSuccess)
Açıklama: Aynı kaynaktan birkaç oturum açma girişimi algılandı. Bazıları konakta başarıyla kimlik doğrulaması yaptı. Bu, bir saldırganın geçerli hesap kimlik bilgilerini bulmak için çok sayıda kimlik doğrulaması girişiminde bulunduğu ani bir saldırıya benzer.
MITRE taktikleri: Exploitation
Önem Derecesi: Orta/Yüksek
RDP ele geçirmesinin şüpheli bütünlük düzeyi göstergesi
Açıklama: Konak verilerinin analizi, SİSTEM ayrıcalıklarıyla çalışan tscon.exe algılamıştır. Bu, bir saldırganın bu konakta oturum açmış diğer kullanıcılara bağlamı değiştirmek için bu ikili dosyaya kötü davrandığını gösteriyor olabilir; bu, daha fazla kullanıcı hesabının güvenliğini aşmak ve bir ağ üzerinde daha sonra hareket etmek için bilinen bir saldırgan tekniğidir.
Önem Derecesi: Orta
Şüpheli hizmet yüklemesi
Açıklama: Konak verilerinin analizi, hizmet olarak tscon.exe yüklemesini algılamıştır: Hizmet olarak başlatılan bu ikili, bir saldırganın RDP bağlantılarını ele geçirerek bu konakta oturum açmış diğer kullanıcılara önemsiz bir şekilde geçiş yapmasına olanak tanır; bu, daha fazla kullanıcı hesabının güvenliğini aşmak ve ağ üzerinde yan yana hareket etmek için bilinen bir saldırgan tekniğidir.
Önem Derecesi: Orta
Şüpheli Kerberos Altın Anahtar saldırı parametreleri gözlemlendi
Açıklama: Kerberos Altın Anahtar saldırısıyla tutarlı olarak algılanan konak verileri komut satırı parametrelerinin analizi.
Önem Derecesi: Orta
Şüpheli Hesap Oluşturma Algılandı
Açıklama: %{Güvenliği Aşılmış Ana Bilgisayar} üzerindeki ana bilgisayar verilerinin analizinde yerel bir hesap %{Şüpheli hesap adı} oluşturuldu veya kullanıldı: bu hesap adı standart bir Windows hesabına veya '%{Hesap Adına Benzer}' grup adına çok benziyor. Bu potansiyel olarak bir saldırgan tarafından oluşturulan ve bir insan yönetici tarafından fark edilmemek için adlandırılmış bir hesaptır.
Önem Derecesi: Orta
Şüpheli Etkinlik Algılandı
(VM_SuspiciousActivity)
Açıklama: Konak verilerinin analizi, %{machine name} üzerinde çalışan ve geçmişte kötü amaçlı etkinliklerle ilişkilendirilmiş bir veya daha fazla işlem dizisi algılandı. Tek tek komutlar zararsız görünse de uyarı, bu komutların bir toplaması temelinde puanlanır. Bu yasal bir etkinlik veya güvenliği aşılmış bir konağın göstergesi olabilir.
MITRE taktikleri: Yürütme
Önem Derecesi: Orta
Şüpheli kimlik doğrulama etkinliği
(VM_LoginBruteForceValidUserFailed)
Açıklama: Hiçbiri başarılı olmasa da, bazı hesaplar konak tarafından tanındı. Bu, bir saldırganın konağa erişmek için geçerli kimlik bilgilerini bulmak için önceden tanımlanmış hesap adları ve parolaları içeren bir sözlük kullanarak çok sayıda kimlik doğrulama girişiminde bulunduğu bir sözlük saldırısına benzer. Bu, bazı konak hesap adlarınızın iyi bilinen bir hesap adı sözlüğünde bulunabileceğini gösterir.
MITRE taktikleri: Yoklama
Önem Derecesi: Orta
Şüpheli kod kesimi algılandı
Açıklama: Yansıtıcı ekleme ve işlem içi boşlama gibi standart olmayan yöntemler kullanılarak bir kod kesiminin ayrıldığını gösterir. Uyarı, bildirilen kod kesiminin özelliklerine ve davranışlarına bağlam sağlamak için işlenen kod kesiminin daha fazla özelliğini sağlar.
Önem Derecesi: Orta
Şüpheli çift uzantı dosyası yürütüldü
Açıklama: Konak verilerinin analizi, şüpheli çift uzantılı bir işlemin yürütülmesini gösterir. Bu uzantı, kullanıcıları dosyaların açılmasının güvenli olduğunu düşünmeleri için kandırabilir ve sistemde kötü amaçlı yazılım olduğunu gösterebilir.
Önem Derecesi: Yüksek
Certutil kullanılarak şüpheli indirme algılandı [birden çok kez görüldü]
Açıklama: %{Güvenliği Aşılmış Ana Bilgisayar} üzerindeki konak verilerinin analizi, yerleşik bir yönetici yardımcı programı olan certutil.exe'nin, sertifikaları ve sertifika verilerini düzenlemeyle ilgili temel amacı yerine ikili dosya indirilmesi için kullanıldığını algılamıştır. Saldırganların kötü amaçlı eylemler gerçekleştirmek için meşru yönetici araçlarının işlevselliğini kötüye kullandığı bilinmektedir. Örneğin, daha sonra yürütülecek kötü amaçlı yürütülebilir dosyaları indirmek ve kodunu çözmek için certutil.exe kullanma. Bu davranış bugün şu makinelerde [x] kez görüldü: [Makine adları]
Önem Derecesi: Orta
Certutil kullanılarak şüpheli indirme algılandı
Açıklama: %{Güvenliği Aşılmış Ana Bilgisayar} üzerindeki konak verilerinin analizi, yerleşik bir yönetici yardımcı programı olan certutil.exe'nin, sertifikaları ve sertifika verilerini düzenlemeyle ilgili temel amacı yerine ikili dosya indirilmesi için kullanıldığını algılamıştır. Saldırganların kötü amaçlı eylemler gerçekleştirmek için meşru yönetici araçlarının işlevselliğini kötüye kullandığı bilinmektedir. Örneğin, daha sonra yürütülecek kötü amaçlı yürütülebilir dosyaları indirmek ve kodunu çözmek için certutil.exe kullanma.
Önem Derecesi: Orta
Şüpheli PowerShell Etkinliği Algılandı
Açıklama: Konak verilerinin analizi, %{Güvenliği Aşılmış Konak} üzerinde çalışan ve bilinen şüpheli betiklerle ortak özelliklere sahip bir PowerShell betiği algılandı. Bu betik yasal bir etkinlik veya güvenliği aşılmış bir konağın göstergesi olabilir.
Önem Derecesi: Yüksek
Yürütülen şüpheli PowerShell cmdlet'leri
Açıklama: Konak verilerinin analizi, bilinen kötü amaçlı PowerShell PowerSploit cmdlet'lerinin yürütülmesini gösterir.
Önem Derecesi: Orta
Şüpheli işlem yürütüldü [birden çok kez görüldü]
Açıklama: Makine günlükleri, şüpheli işlemin makinede çalıştığını ve çoğunlukla saldırganın kimlik bilgilerine erişme girişimleriyle ilişkili olduğunu gösteriyor. Bu davranış bugün şu makinelerde [x] kez görüldü: [Makine adları]
Önem Derecesi: Yüksek
Şüpheli işlem yürütüldü
Açıklama: Makine günlükleri, şüpheli işlemin makinede çalıştığını ve çoğunlukla saldırganın kimlik bilgilerine erişme girişimleriyle ilişkili olduğunu gösteriyor.
Önem Derecesi: Yüksek
Şüpheli işlem adı algılandı [birden çok kez görüldü]
Açıklama: %{Güvenliği Aşılmış Konak} üzerindeki konak verilerinin analizi, adı şüpheli olan bir işlem algılandı, örneğin bilinen bir saldırgan aracına karşılık geliyor veya açıkça görünmeye çalışan saldırgan araçlarını önerecek şekilde adlandırıldı. Bu işlem yasal bir etkinlik veya makinelerinizden birinin gizliliğinin ihlal edildiğinin göstergesi olabilir. Bu davranış bugün şu makinelerde [x] kez görüldü: [Makine adları]
Önem Derecesi: Orta
Şüpheli işlem adı algılandı
Açıklama: %{Güvenliği Aşılmış Konak} üzerindeki konak verilerinin analizi, adı şüpheli olan bir işlem algılandı, örneğin bilinen bir saldırgan aracına karşılık geliyor veya açıkça görünmeye çalışan saldırgan araçlarını önerecek şekilde adlandırıldı. Bu işlem yasal bir etkinlik veya makinelerinizden birinin gizliliğinin ihlal edildiğinin göstergesi olabilir.
Önem Derecesi: Orta
Şüpheli SQL etkinliği
Açıklama: Makine günlükleri '%{process name}' öğesinin %{user name} hesabı tarafından yürütüldüğünü gösteriyor. Bu etkinlik bu hesapla sık karşılaşılan bir durumdur.
Önem Derecesi: Orta
Şüpheli SVCHOST işlemi yürütüldü
Açıklama: Sistem işlemi SVCHOST'un anormal bir bağlamda çalıştığı gözlemlendi. Kötü amaçlı yazılım genellikle kötü amaçlı etkinliğini maskelemek için SVCHOST kullanır.
Önem Derecesi: Yüksek
Şüpheli sistem işlemi yürütüldü
(VM_SystemProcessInAbnormalContext)
Açıklama: %{process name} sistem işleminin anormal bir bağlamda çalıştığı gözlemlendi. Kötü amaçlı yazılım, kötü amaçlı etkinliğini maskelemek için genellikle bu işlem adını kullanır.
MITRE taktikleri: Savunma Kaçamak, Yürütme
Önem Derecesi: Yüksek
Şüpheli Birim Gölge Kopyası Etkinliği
Açıklama: Konak verilerinin analizinde kaynakta bir gölge kopya silme etkinliği algılandı. Birim Gölge Kopyası (VSC), veri anlık görüntülerini depolayan önemli bir yapıttır. Bazı kötü amaçlı yazılımlar ve özellikle Fidye Yazılımı, VSC'yi yedekleme stratejilerini sabote etmek için hedefler.
Önem Derecesi: Yüksek
Şüpheli WindowPosition kayıt defteri değeri algılandı
Açıklama: %{Güvenliği Aşılmış Ana Bilgisayar} üzerindeki konak verilerinin analizinde, masaüstünde görünmeyen bölümlerde uygulama pencerelerinin gizlendiğini gösteren bir WindowPosition kayıt defteri yapılandırma değişikliği girişimi algılandı. Bu yasal bir etkinlik veya güvenliği aşılmış bir makinenin göstergesi olabilir: Bu etkinlik türü daha önce Win32/OneSystemCare ve Win32/SystemHealer gibi bilinen adware (veya istenmeyen yazılımlar) ve Win32/Creprote gibi kötü amaçlı yazılımlarla ilişkilendirilmiştir. WindowPosition değeri 201329664 olarak ayarlandığında (X-axis=0c00 ve Y-axis=0c00'e karşılık gelen Onaltılık: 0x0c00 0c00) bu, konsol uygulamasının penceresini görünür başlangıç menüsünün/görev çubuğunun altındaki görünümden gizlenmiş bir alana kullanıcı ekranının görünür olmayan bir bölümüne yerleştirir. Bilinen şüpheli Onaltılık değer c000c000 değerini içerir ancak bunlarla sınırlı değildir.
Önem Derecesi: Düşük
Şüpheli adlandırılmış işlem algılandı
Açıklama: %{Güvenliği Aşılmış Konak} üzerindeki konak verilerinin analizi, adı çok benzer ancak çok yaygın olarak çalıştırılan bir işlemden (%{İşlem Adına Benzer}) farklı olan bir işlem algılandı. Bu işlem iyi huylu olsa da saldırganların kötü amaçlı araçlarını meşru işlem adlarına benzeyecek şekilde adlandırarak bazen görünürde gizlendikleri bilinmektedir.
Önem Derecesi: Orta
Sanal makinenizde olağan dışı yapılandırma sıfırlaması
(VM_VMAccessUnusualConfigReset)
Açıklama: Aboneliğinizdeki Azure Resource Manager işlemleri çözümlenerek sanal makinenizde olağan dışı bir yapılandırma sıfırlaması algılandı. Bu eylem yasal olsa da, saldırganlar sanal makinenizdeki yapılandırmayı sıfırlamak ve güvenliğini aşmak için VM Erişim uzantısını kullanmayı deneyebilir.
MITRE taktikleri: Kimlik Bilgisi Erişimi
Önem Derecesi: Orta
Olağan dışı işlem yürütme algılandı
Açıklama: %{Güvenliği Aşılmış Konak} üzerindeki konak verilerinin analizi, %{User Name} tarafından olağan dışı bir işlem yürütüldüğünü algılandı. %{User Name} gibi hesaplar sınırlı bir işlem kümesi gerçekleştirme eğilimindedir, bu yürütmenin karakter dışı olduğu belirlendi ve şüpheli olabilir.
Önem Derecesi: Yüksek
Sanal makinenizde olağan dışı kullanıcı parolası sıfırlama
(VM_VMAccessUnusualPasswordReset)
Açıklama: Aboneliğinizdeki Azure Resource Manager işlemleri çözümlenerek sanal makinenizde olağan dışı bir kullanıcı parola sıfırlaması algılandı. Bu eylem yasal olsa da, saldırganlar sanal makinenizdeki yerel bir kullanıcının kimlik bilgilerini sıfırlamak ve güvenliğini aşmak için VM Erişim uzantısını kullanmayı deneyebilir.
MITRE taktikleri: Kimlik Bilgisi Erişimi
Önem Derecesi: Orta
Sanal makinenizde olağan dışı kullanıcı SSH anahtarı sıfırlama
(VM_VMAccessUnusualSSHReset)
Açıklama: Aboneliğinizdeki Azure Resource Manager işlemleri çözümlenerek sanal makinenizde olağan dışı bir kullanıcı SSH anahtarı sıfırlaması algılandı. Bu eylem yasal olsa da, saldırganlar sanal makinenizdeki bir kullanıcı hesabının SSH anahtarını sıfırlamak ve güvenliğini aşmak için VM Erişim uzantısını kullanmayı deneyebilir.
MITRE taktikleri: Kimlik Bilgisi Erişimi
Önem Derecesi: Orta
VBScript HTTP nesne ayırma algılandı
Açıklama: Komut İstemi kullanılarak VBScript dosyası oluşturma işlemi algılandı. Aşağıdaki betik HTTP nesne ayırma komutunu içerir. Bu eylem kötü amaçlı dosyaları indirmek için kullanılabilir.
Sanal makinenizde ŞÜPHELI GPU uzantısı yüklemesi (Önizleme)
(VM_GPUDriverExtensionUnusualExecution)
Açıklama: Aboneliğinizdeki Azure Resource Manager işlemleri çözümlenerek sanal makinenizde şüpheli bir GPU uzantısı yüklemesi algılandı. Saldırganlar şifreleme hırsızlığı gerçekleştirmek için Azure Resource Manager aracılığıyla sanal makinenize GPU sürücüleri yüklemek için GPU sürücü uzantısını kullanabilir.
MITRE taktikleri: Etki
Önem Derecesi: Düşük
Linux makineleri için uyarılar
Sunucular için Microsoft Defender Plan 2, Uç Nokta için Microsoft Defender tarafından sağlananlara ek olarak benzersiz algılamalar ve uyarılar sağlar. Linux makineleri için sağlanan uyarılar şunlardır:
geçmiş dosyası temizlendi
Açıklama: Konak verilerinin analizi, komut geçmişi günlük dosyasının temizlendiğini gösterir. Saldırganlar, izlerini kapatmak için bunu yapabilir. İşlem şu kullanıcı tarafından gerçekleştirildi: '%{user name}'.
Önem Derecesi: Orta
Uyarlamalı uygulama denetimi ilkesi ihlali denetlendi
(VM_AdaptiveApplicationControlLinuxViolationAudited)
Açıklama: Aşağıdaki kullanıcılar bu makinede kuruluşunuzun uygulama denetim ilkesini ihlal eden uygulamalar çalıştırmıştı. Makineyi kötü amaçlı yazılımlara veya uygulama güvenlik açıklarına maruz bırakabilir.
MITRE taktikleri: Yürütme
Önem Derecesi: Bilgilendiren
Sanal makinenizde kötü amaçlı yazılımdan koruma geniş dosya dışlaması
(VM_AmBroadFilesExclusion)
Açıklama: Aboneliğinizdeki Azure Resource Manager işlemleri çözümlenerek sanal makinenizde geniş bir dışlama kuralına sahip kötü amaçlı yazılımdan koruma uzantısından dosya dışlama algılandı. Bu tür bir dışlama, Kötü amaçlı yazılımdan korumayı pratik olarak devre dışı bırakır. Saldırganlar, rastgele kod çalıştırırken veya makineye kötü amaçlı yazılım bulaştırırken algılamayı önlemek için sanal makinenizdeki kötü amaçlı yazılımdan koruma taramasından dosyaları dışlayabilir.
Önem Derecesi: Orta
Sanal makinenizde kötü amaçlı yazılımdan koruma devre dışı bırakıldı ve kod yürütme
(VM_AmDisablementAndCodeExecution)
Açıklama: Kötü amaçlı yazılımdan koruma, sanal makinenizde kod yürütmeyle aynı anda devre dışı bırakıldı. Bu, aboneliğinizdeki Azure Resource Manager işlemleri çözümlenerek algılandı. Saldırganlar, yetkisiz araçları çalıştırırken veya makineye kötü amaçlı yazılım bulaştırırken algılamayı önlemek için kötü amaçlı yazılımdan koruma tarayıcılarını devre dışı bırakır.
Önem Derecesi: Yüksek
Sanal makinenizde kötü amaçlı yazılımdan koruma devre dışı bırakıldı
(VM_AmDisablement)
Açıklama: Sanal makinenizde kötü amaçlı yazılımdan koruma devre dışı bırakıldı. Bu, aboneliğinizdeki Azure Resource Manager işlemleri çözümlenerek algılandı. Saldırganlar algılamayı önlemek için sanal makinenizde kötü amaçlı yazılımdan koruma yazılımını devre dışı bırakabilir.
MITRE taktikleri: Savunma Kaçamak
Önem Derecesi: Orta
Sanal makinenizde kötü amaçlı yazılımdan koruma dosyası dışlama ve kod yürütme
(VM_AmFileExclusionAndCodeExecution)
Açıklama: Sanal makinenizdeki özel bir betik uzantısı aracılığıyla kod yürütülürken kötü amaçlı yazılımdan koruma tarayıcınızdan dışlanan dosya. Bu, aboneliğinizdeki Azure Resource Manager işlemleri çözümlenerek algılandı. Saldırganlar, yetkisiz araçları çalıştırırken veya makineye kötü amaçlı yazılım bulaştırırken algılamayı önlemek için sanal makinenizdeki kötü amaçlı yazılımdan koruma taramasından dosyaları dışlayabilir.
MITRE taktikleri: Savunma Kaçamak, Yürütme
Önem Derecesi: Yüksek
Sanal makinenizde kötü amaçlı yazılımdan koruma dosyası dışlama ve kod yürütme
(VM_AmTempFileExclusionAndCodeExecution)
Açıklama: Sanal makinenizde, aboneliğinizdeki Azure Resource Manager işlemleri çözümlenerek özel betik uzantısı aracılığıyla kod yürütülmesine paralel olarak kötü amaçlı yazılımdan koruma uzantısından geçici dosya dışlaması algılandı. Saldırganlar, rastgele kod çalıştırırken veya makineye kötü amaçlı yazılım bulaştırırken algılamayı önlemek için sanal makinenizdeki kötü amaçlı yazılımdan koruma taramasından dosyaları dışlayabilir.
MITRE taktikleri: Savunma Kaçamak, Yürütme
Önem Derecesi: Yüksek
Sanal makinenizde kötü amaçlı yazılımdan koruma dosyası dışlaması
(VM_AmTempFileExclusion)
Açıklama: Sanal makinenizdeki kötü amaçlı yazılımdan koruma tarayıcınızdan dışlanan dosya. Bu, aboneliğinizdeki Azure Resource Manager işlemleri çözümlenerek algılandı. Saldırganlar, yetkisiz araçları çalıştırırken veya makineye kötü amaçlı yazılım bulaştırırken algılamayı önlemek için sanal makinenizdeki kötü amaçlı yazılımdan koruma taramasından dosyaları dışlayabilir.
MITRE taktikleri: Savunma Kaçamak
Önem Derecesi: Orta
Sanal makinenizde kötü amaçlı yazılımdan koruma gerçek zamanlı koruma devre dışı bırakıldı
(VM_AmRealtimeProtectionDisabled)
Açıklama: Aboneliğinizdeki Azure Resource Manager işlemleri çözümlenerek sanal makinenizde kötü amaçlı yazılımdan koruma uzantısının gerçek zamanlı koruma devre dışı bırakılması algılandı. Saldırganlar, rastgele kod çalıştırırken veya makineye kötü amaçlı yazılım bulaştırırken algılamayı önlemek için sanal makinenizdeki kötü amaçlı yazılımdan koruma taramasından gerçek zamanlı korumayı devre dışı bırakabilir.
MITRE taktikleri: Savunma Kaçamak
Önem Derecesi: Orta
Sanal makinenizde kötü amaçlı yazılımdan koruma gerçek zamanlı koruma geçici olarak devre dışı bırakıldı
(VM_AmTempRealtimeProtectionDisablement)
Açıklama: Aboneliğinizdeki Azure Resource Manager işlemleri çözümlenerek sanal makinenizde kötü amaçlı yazılımdan koruma uzantısının gerçek zamanlı geçici devre dışı bırakılması algılandı. Saldırganlar, rastgele kod çalıştırırken veya makineye kötü amaçlı yazılım bulaştırırken algılamayı önlemek için sanal makinenizdeki kötü amaçlı yazılımdan koruma taramasından gerçek zamanlı korumayı devre dışı bırakabilir.
MITRE taktikleri: Savunma Kaçamak
Önem Derecesi: Orta
Sanal makinenizde kod yürütülürken kötü amaçlı yazılımdan koruma gerçek zamanlı koruma geçici olarak devre dışı bırakıldı
(VM_AmRealtimeProtectionDisablementAndCodeExec)
Açıklama: Özel betik uzantısı aracılığıyla kod yürütmeye paralel olarak kötü amaçlı yazılımdan koruma uzantısının gerçek zamanlı koruma geçici devre dışı bırakılması, aboneliğinizdeki Azure Resource Manager işlemleri çözümlenerek sanal makinenizde algılandı. Saldırganlar, rastgele kod çalıştırırken veya makineye kötü amaçlı yazılım bulaştırırken algılamayı önlemek için sanal makinenizdeki kötü amaçlı yazılımdan koruma taramasından gerçek zamanlı korumayı devre dışı bırakabilir.
Önem Derecesi: Yüksek
Sanal makinenizdeki kötü amaçlı yazılım kampanyalarıyla ilgili olabilecek dosyalar için kötü amaçlı yazılımdan koruma taramaları engellendi (Önizleme)
(VM_AmMalwareCampaignRelatedExclusion)
Açıklama: Kötü amaçlı yazılımdan koruma uzantınızın kötü amaçlı yazılım kampanyasıyla ilgili olduğundan şüphelenilen bazı dosyaları taramasını önlemek için sanal makinenizde bir dışlama kuralı algılandı. Kural, aboneliğinizdeki Azure Resource Manager işlemleri çözümlenerek algılandı. Saldırganlar, rastgele kod çalıştırırken veya makineye kötü amaçlı yazılım bulaştırırken algılamayı önlemek için dosyaları kötü amaçlı yazılımdan koruma taramalarından dışlayabilir.
MITRE taktikleri: Savunma Kaçamak
Önem Derecesi: Orta
Sanal makinenizde kötü amaçlı yazılımdan koruma geçici olarak devre dışı bırakıldı
(VM_AmTemporarilyDisablement)
Açıklama: Sanal makinenizde kötü amaçlı yazılımdan koruma geçici olarak devre dışı bırakıldı. Bu, aboneliğinizdeki Azure Resource Manager işlemleri çözümlenerek algılandı. Saldırganlar algılamayı önlemek için sanal makinenizde kötü amaçlı yazılımdan koruma yazılımını devre dışı bırakabilir.
Önem Derecesi: Orta
Sanal makinenizde kötü amaçlı yazılımdan koruma olağandışı dosya dışlaması
(VM_UnusualAmFileExclusion)
Açıklama: Aboneliğinizdeki Azure Resource Manager işlemleri çözümlenerek sanal makinenizde kötü amaçlı yazılımdan koruma uzantısından olağan dışı dosya dışlaması algılandı. Saldırganlar, rastgele kod çalıştırırken veya makineye kötü amaçlı yazılım bulaştırırken algılamayı önlemek için sanal makinenizdeki kötü amaçlı yazılımdan koruma taramasından dosyaları dışlayabilir.
MITRE taktikleri: Savunma Kaçamak
Önem Derecesi: Orta
Algılanan fidye yazılımına benzer davranış [birden çok kez görüldü]
Açıklama: %{Güvenliği Aşılmış Ana Bilgisayar} üzerindeki konak verilerinin analizi, kullanıcıların sistem veya kişisel dosyalarına erişmesini engelleyebilecek bilinen fidye yazılımlarına benzeyen dosyaların yürütülmesini algılamış ve yeniden erişim kazanmak için fidye ödemesi talep ediyor. Bu davranış bugün şu makinelerde [x] kez görüldü: [Makine adları]
Önem Derecesi: Yüksek
Tehdit bilgileri tarafından tanımlanan şüpheli etki alanıyla iletişim
(AzureDNS_ThreatIntelSuspectDomain)
Açıklama: Kaynağınızdaki DNS işlemleri analiz edilerek ve tehdit bilgileri akışları tarafından tanımlanan bilinen kötü amaçlı etki alanlarıyla karşılaştırılarak şüpheli etki alanıyla iletişim algılandı. Kötü amaçlı etki alanlarıyla iletişim genellikle saldırganlar tarafından gerçekleştirilir ve kaynağınızın gizliliğinin tehlikeye atıldığı anlamına gelebilir.
MITRE taktikleri: İlk Erişim, Kalıcılık, Yürütme, Komut ve Denetim, Kötüye Kullanma
Önem Derecesi: Orta
Bir madenci görüntüsü algılanan kapsayıcı
(VM_MinerInContainerImage)
Açıklama: Makine günlükleri, dijital para birimi madenciliğiyle ilişkilendirilmiş bir görüntü çalıştıran docker kapsayıcısının yürütülmesini gösterir.
MITRE taktikleri: Yürütme
Önem Derecesi: Yüksek
Komut satırında büyük ve küçük harf karakterlerinin anormal karışımı algılandı
Açıklama: %{Güvenliği Aşılmış Konak} üzerindeki konak verilerinin analizinde, büyük ve küçük harf karakterlerinden oluşan anormal bir karışıklığı olan bir komut satırı algılandı. Bu tür bir düzen, büyük olasılıkla zararsız olsa da, güvenliği aşılmış bir konakta yönetim görevleri gerçekleştirirken büyük/küçük harfe duyarlı veya karma tabanlı kural eşleştirmesinden saklanmaya çalışan saldırganlara da tipik bir örnektir.
Önem Derecesi: Orta
Bilinen kötü amaçlı bir kaynaktan dosya indirme algılandı
Açıklama: Konak verilerinin analizi, %{Güvenliği Aşılmış Konak} üzerindeki bilinen bir kötü amaçlı yazılım kaynağından bir dosyanın indirilmesini algılamıştır.
Önem Derecesi: Orta
Şüpheli ağ etkinliği algılandı
Açıklama: %{Güvenliği Aşılmış Konak} kaynaklı ağ trafiğinin analizinde şüpheli ağ etkinliği algılandı. Bu tür trafik, muhtemelen zararsız olsa da, genellikle bir saldırgan tarafından araçların indirilmesi, komut ve denetim ve veri sızdırma amacıyla kötü amaçlı sunucularla iletişim kurmak için kullanılır. Tipik bir saldırgan etkinliği, uzaktan yönetim araçlarını güvenliği aşılmış bir konağa kopyalamayı ve kullanıcı verilerini oradan dışarı aktarmayı içerir.
Önem Derecesi: Düşük
Dijital para birimi madenciliğiyle ilgili davranış algılandı
Açıklama: %{Güvenliği Aşılmış Konak} üzerindeki konak verilerinin analizi, normalde dijital para birimi madenciliğiyle ilişkili bir işlemin veya komutun yürütülmesini algılandı.
Önem Derecesi: Yüksek
Denetlenen günlüğü devre dışı bırakma [birden çok kez görüldü]
Açıklama: Linux Denetim sistemi, sistemle ilgili güvenlikle ilgili bilgileri izlemek için bir yol sağlar. Sisteminizde gerçekleşen olaylar hakkında mümkün olduğunca çok bilgi kaydeder. Denetlenen günlüğün devre dışı bırakılması, sistemde kullanılan güvenlik ilkelerinin ihlallerinin keşfedilmesine neden olabilir. Bu davranış bugün şu makinelerde [x] kez görüldü: [Makine adları]
Önem Derecesi: Düşük
Xorg güvenlik açığından yararlanma [birden çok kez görüldü]
Açıklama: %{Güvenliği Aşılmış Konak} üzerindeki konak verilerinin analizinde, Xorg kullanıcısı şüpheli bağımsız değişkenlerle algılandı. Saldırganlar ayrıcalık yükseltme girişimlerinde bu tekniği kullanabilir. Bu davranış bugün şu makinelerde [x] kez görüldü: [Makine adları]
Önem Derecesi: Orta
Başarısız SSH deneme yanılma saldırısı
(VM_SshBruteForceFailed)
Açıklama: Başarısız deneme yanılma saldırıları şu saldırganlardan algılandı: %{Saldırganlar}. Saldırganlar ana bilgisayara şu kullanıcı adlarıyla erişmeye çalışıyorlardı: %{Konak denemelerinde başarısız oturum açmada kullanılan hesaplar}.
MITRE taktikleri: Yoklama
Önem Derecesi: Orta
Dosyasız Saldırı Davranışı Algılandı
(VM_FilelessAttackBehavior.Linux)
Açıklama: Aşağıda belirtilen işlemin belleği, dosyasız saldırılar tarafından yaygın olarak kullanılan davranışları içerir. Belirli davranışlar şunlardır: {gözlemlenen davranış listesi}
MITRE taktikleri: Yürütme
Önem Derecesi: Düşük
Dosyasız Saldırı Tekniği Algılandı
(VM_FilelessAttackTechnique.Linux)
Açıklama: Aşağıda belirtilen işlemin belleği, dosyasız saldırı tekniğinin kanıtlarını içerir. Dosyasız saldırılar, güvenlik yazılımı tarafından algılanmaktan kaçınılırken kod yürütmek için saldırganlar tarafından kullanılır. Belirli davranışlar şunlardır: {gözlemlenen davranış listesi}
MITRE taktikleri: Yürütme
Önem Derecesi: Yüksek
Dosyasız Saldırı Araç Seti Algılandı
(VM_FilelessAttackToolkit.Linux)
Açıklama: Aşağıda belirtilen işlemin belleği dosyasız bir saldırı araç seti içeriyor: {ToolKitName}. Dosyasız saldırı araç setleri genellikle dosya sisteminde bulunmaz ve geleneksel virüsten koruma yazılımı tarafından algılamayı zorlaştırır. Belirli davranışlar şunlardır: {gözlemlenen davranış listesi}
MITRE taktikleri: Savunma Kaçamak, Yürütme
Önem Derecesi: Yüksek
Gizli dosya yürütme algılandı
Açıklama: Konak verilerinin analizi, gizli bir dosyanın %{user name} tarafından yürütüldüğünü gösterir. Bu etkinlik meşru bir etkinlik veya güvenliği aşılmış bir konağın göstergesi olabilir.
Önem Derecesi: Bilgilendiren
Yeni SSH anahtarı eklendi [birden çok kez görüldü]
(VM_SshKeyAddition)
Açıklama: Yetkili anahtarlar dosyasına yeni bir SSH anahtarı eklendi. Bu davranış bugün şu makinelerde [x] kez görüldü: [Makine adları]
MITRE taktikleri: Kalıcılık
Önem Derecesi: Düşük
Yeni SSH anahtarı eklendi
Açıklama: Yetkili anahtarlar dosyasına yeni bir SSH anahtarı eklendi.
Önem Derecesi: Düşük
Olası arka kapı algılandı [birden çok kez görüldü]
Açıklama: Konak verilerinin analizinde şüpheli bir dosyanın indirildiği algılandı ve aboneliğinizde %{Güvenliği Aşılmış Konak} üzerinde çalıştırıldı. Bu etkinlik daha önce bir arka kapı yüklemesiyle ilişkilendirilmiştir. Bu davranış bugün şu makinelerde [x] kez görüldü: [Makine adları]
Önem Derecesi: Orta
Algılanan posta sunucusu için olası açıklardan yararlanma
(VM_MailserverExploitation )
Açıklama: %{Güvenliği Aşılmış Konak} üzerindeki konak verilerinin analizi, posta sunucusu hesabı altında olağan dışı bir yürütme algılandı
MITRE taktikleri: Exploitation
Önem Derecesi: Orta
Olası kötü amaçlı web kabuğu algılandı
Açıklama: %{Güvenliği Aşılmış Konak} üzerindeki konak verilerinin analizinde olası bir web kabuğu algılandı. Saldırganlar genellikle kalıcılık kazanmak veya daha fazla yararlanma amacıyla güvenliği aşmış oldukları bir makineye bir web kabuğu yükler.
Önem Derecesi: Orta
crypt-method kullanılarak olası parola değişikliği algılandı [birden çok kez görüldü]
Açıklama: %{Güvenliği Aşılmış Konak} üzerindeki konak verilerinin analizi, şifreleme yöntemi kullanılarak parola değişikliği algılandı. Saldırganlar, erişime devam etmek ve riskten sonra kalıcılık kazanmak için bu değişikliği yapabilir. Bu davranış bugün şu makinelerde [x] kez görüldü: [Makine adları]
Önem Derecesi: Orta
Dijital para birimi madenciliğiyle ilişkili işlem algılandı [birden çok kez görüldü]
Açıklama: %{Güvenliği Aşılmış Konak} üzerindeki konak verilerinin analizi, normalde dijital para birimi madenciliğiyle ilişkili bir işlemin yürütülmesini algılandı. Bu davranış bugün şu makinelerde 100'den fazla kez görüldü: [Makine adı]
Önem Derecesi: Orta
Dijital para birimi madenciliğiyle ilişkili işlem algılandı
Açıklama: Konak veri analizi normalde dijital para madenciliğiyle ilişkili bir işlemin yürütülmesini algılamıştı.
MITRE taktikleri: Sömürü, Yürütme
Önem Derecesi: Orta
Python kodlanmış indirici algılandı [birden çok kez görüldü]
Açıklama: %{Güvenliği Aşılmış Konak} üzerindeki konak verilerinin analizi, uzak bir konumdan kod indiren ve çalıştıran kodlanmış Python'ın yürütüldüğünü algılandı. Bu, kötü amaçlı etkinliklerin göstergesi olabilir. Bu davranış bugün şu makinelerde [x] kez görüldü: [Makine adları]
Önem Derecesi: Düşük
Konakta alınan ekran görüntüsü [birden çok kez görüldü]
Açıklama: %{Güvenliği Aşılmış Konak} üzerindeki konak verilerinin analizi, bir ekran yakalama aracının kullanıcısını algılandı. Saldırganlar özel verilere erişmek için bu araçları kullanabilir. Bu davranış bugün şu makinelerde [x] kez görüldü: [Makine adları]
Önem Derecesi: Düşük
Kabuk kodu algılandı [birden çok kez görüldü]
Açıklama: %{Güvenliği Aşılmış Konak} üzerindeki konak verilerinin analizi, komut satırından kabuk kodu oluşturulduğunu algılandı. Bu işlem yasal bir etkinlik veya makinelerinizden birinin gizliliğinin ihlal edildiğinin göstergesi olabilir. Bu davranış bugün şu makinelerde [x] kez görüldü: [Makine adları]
Önem Derecesi: Orta
Başarılı SSH deneme yanılma saldırısı
(VM_SshBruteForceSuccess)
Açıklama: Konak verilerinin analizi başarılı bir deneme yanılma saldırısı algılandı. %{Saldırgan kaynağı IP} IP'sinin birden çok oturum açma girişiminde bulunu olduğu görüldü. Bu IP'den şu kullanıcılarla başarılı oturum açma işlemleri yapıldı: %{Konakta başarıyla oturum açmak için kullanılan hesaplar}. Bu, konağın gizliliğinin ihlal edilebileceği ve kötü amaçlı bir aktör tarafından denetlenebileceği anlamına gelir.
MITRE taktikleri: Exploitation
Önem Derecesi: Yüksek
Şüpheli Hesap Oluşturma Algılandı
Açıklama: %{Güvenliği Aşılmış Ana Bilgisayar} üzerindeki ana bilgisayar verilerinin analizinde yerel bir hesap %{Şüpheli hesap adı} oluşturuldu veya kullanıldı: bu hesap adı standart bir Windows hesabına veya '%{Hesap Adına Benzer}' grup adına çok benziyor. Bu potansiyel olarak bir saldırgan tarafından oluşturulan ve bir insan yönetici tarafından fark edilmemek için adlandırılmış bir hesaptır.
Önem Derecesi: Orta
Şüpheli çekirdek modülü algılandı [birden çok kez görüldü]
Açıklama: %{Güvenliği Aşılmış Konak} üzerindeki konak verilerinin analizi, çekirdek modülü olarak yüklenen bir paylaşılan nesne dosyası algılandı. Bu yasal bir etkinlik veya makinelerinizden birinin gizliliğinin ihlal edildiğinin göstergesi olabilir. Bu davranış bugün şu makinelerde [x] kez görüldü: [Makine adları]
Önem Derecesi: Orta
Şüpheli parola erişimi [birden çok kez görüldü]
Açıklama: Konak verilerinin analizi, %{Güvenliği Aşılmış Konak} üzerindeki şifrelenmiş kullanıcı parolalarına şüpheli erişim algılandı. Bu davranış bugün şu makinelerde [x] kez görüldü: [Makine adları]
Önem Derecesi: Bilgilendiren
Şüpheli parola erişimi
Açıklama: Konak verilerinin analizi, %{Güvenliği Aşılmış Konak} üzerindeki şifrelenmiş kullanıcı parolalarına şüpheli erişim algılandı.
Önem Derecesi: Bilgilendiren
Kubernetes Panosuna şüpheli istek
(VM_KubernetesDashboard)
Açıklama: Makine günlükleri Kubernetes Panosu'na şüpheli bir istek yapıldığını gösterir. İstek bir Kubernetes düğümünden, büyük olasılıkla düğümde çalışan kapsayıcılardan birinden gönderildi. Bu davranış kasıtlı olarak gerçekleştirilse de düğümün güvenliği aşılmış bir kapsayıcı çalıştırdığını gösterebilir.
MITRE taktikleri: LateralMovement
Önem Derecesi: Orta
Sanal makinenizde olağan dışı yapılandırma sıfırlaması
(VM_VMAccessUnusualConfigReset)
Açıklama: Aboneliğinizdeki Azure Resource Manager işlemleri çözümlenerek sanal makinenizde olağan dışı bir yapılandırma sıfırlaması algılandı. Bu eylem yasal olsa da, saldırganlar sanal makinenizdeki yapılandırmayı sıfırlamak ve güvenliğini aşmak için VM Erişim uzantısını kullanmayı deneyebilir.
MITRE taktikleri: Kimlik Bilgisi Erişimi
Önem Derecesi: Orta
Sanal makinenizde olağan dışı kullanıcı parolası sıfırlama
(VM_VMAccessUnusualPasswordReset)
Açıklama: Aboneliğinizdeki Azure Resource Manager işlemleri çözümlenerek sanal makinenizde olağan dışı bir kullanıcı parola sıfırlaması algılandı. Bu eylem yasal olsa da, saldırganlar sanal makinenizdeki yerel bir kullanıcının kimlik bilgilerini sıfırlamak ve güvenliğini aşmak için VM Erişim uzantısını kullanmayı deneyebilir.
MITRE taktikleri: Kimlik Bilgisi Erişimi
Önem Derecesi: Orta
Sanal makinenizde olağan dışı kullanıcı SSH anahtarı sıfırlama
(VM_VMAccessUnusualSSHReset)
Açıklama: Aboneliğinizdeki Azure Resource Manager işlemleri çözümlenerek sanal makinenizde olağan dışı bir kullanıcı SSH anahtarı sıfırlaması algılandı. Bu eylem yasal olsa da, saldırganlar sanal makinenizdeki bir kullanıcı hesabının SSH anahtarını sıfırlamak ve güvenliğini aşmak için VM Erişim uzantısını kullanmayı deneyebilir.
MITRE taktikleri: Kimlik Bilgisi Erişimi
Önem Derecesi: Orta
Sanal makinenizde ŞÜPHELI GPU uzantısı yüklemesi (Önizleme)
(VM_GPUDriverExtensionUnusualExecution)
Açıklama: Aboneliğinizdeki Azure Resource Manager işlemleri çözümlenerek sanal makinenizde şüpheli bir GPU uzantısı yüklemesi algılandı. Saldırganlar şifreleme hırsızlığı gerçekleştirmek için Azure Resource Manager aracılığıyla sanal makinenize GPU sürücüleri yüklemek için GPU sürücü uzantısını kullanabilir.
MITRE taktikleri: Etki
Önem Derecesi: Düşük
DNS uyarıları
Önemli
1 Ağustos 2023 itibarıyla, DNS için Defender aboneliği olan müşteriler hizmeti kullanmaya devam edebilir, ancak yeni aboneler Sunucular için Defender P2'nin bir parçası olarak şüpheli DNS etkinliği hakkında uyarı alır.
Anormal ağ protokolü kullanımı
(AzureDNS_ProtocolAnomaly)
Açıklama: %{CompromisedEntity} kaynaklı DNS işlemlerinin analizinde anormal protokol kullanımı algılandı. Bu tür trafik, muhtemelen zararsız olsa da, ağ trafiği filtrelemesini atlamak için bu ortak protokolün kötüye kullanıldığına işaret edebilir. Tipik bir saldırgan etkinliği, uzaktan yönetim araçlarını güvenliği aşılmış bir konağa kopyalamayı ve kullanıcı verilerini oradan dışarı aktarmayı içerir.
MITRE taktikleri: Sızdırma
Önem Derecesi: -
Anonimlik ağ etkinliği
(AzureDNS_DarkWeb)
Açıklama: %{CompromisedEntity} kaynaklı DNS işlemlerinin analizinde anonim ağ etkinliği algılandı. Bu tür etkinlikler, büyük olasılıkla meşru bir kullanıcı davranışı olsa da, saldırganlar tarafından ağ iletişimlerinin izlenmesini ve parmak izini kullanmaktan kaçınma amacıyla sıklıkla kullanılır. Tipik bir saldırgan etkinliği, kötü amaçlı yazılımların veya uzaktan yönetim araçlarının indirilip yürütülmesini içerebilir.
MITRE taktikleri: Sızdırma
Önem Derecesi: Düşük
Web ara sunucusu kullanan anonim ağ etkinliği
(AzureDNS_DarkWebProxy)
Açıklama: %{CompromisedEntity} kaynaklı DNS işlemlerinin analizinde anonim ağ etkinliği algılandı. Bu tür etkinlikler, büyük olasılıkla meşru bir kullanıcı davranışı olsa da, saldırganlar tarafından ağ iletişimlerinin izlenmesini ve parmak izini kullanmaktan kaçınma amacıyla sıklıkla kullanılır. Tipik bir saldırgan etkinliği, kötü amaçlı yazılımların veya uzaktan yönetim araçlarının indirilip yürütülmesini içerebilir.
MITRE taktikleri: Sızdırma
Önem Derecesi: Düşük
Şüpheli havuzlu etki alanıyla iletişim denendi
(AzureDNS_SinkholedDomain)
Açıklama: %{CompromisedEntity} kaynaklı DNS işlemlerinin analizi havuza alınmış etki alanı için istek algılandı. Bu tür etkinlikler, büyük olasılıkla meşru bir kullanıcı davranışı olsa da, genellikle kötü amaçlı yazılımların indirilmesinin veya yürütülmesinin bir göstergesidir. Tipik bir saldırgan etkinliği, kötü amaçlı yazılımların veya uzaktan yönetim araçlarının indirilmesini ve yürütülmesini içerebilir.
MITRE taktikleri: Sızdırma
Önem Derecesi: Orta
Olası kimlik avı etki alanıyla iletişim
(AzureDNS_PhishingDomain)
Açıklama: %{CompromisedEntity} kaynaklı DNS işlemlerinin analizi, olası bir kimlik avı etki alanı için bir istek algılandı. Bu tür etkinlikler, muhtemelen zararsız olsa da, saldırganlar tarafından uzak hizmetlere kimlik bilgilerini toplamak için sık sık gerçekleştirilir. Tipik ilgili saldırgan etkinliği, meşru hizmette kimlik bilgilerinin kötüye kullanılmasını içerebilir.
MITRE taktikleri: Sızdırma
Önem Derecesi: Bilgilendiren
Şüpheli algoritmik olarak oluşturulan etki alanıyla iletişim
(AzureDNS_DomainGenerationAlgorithm)
Açıklama: %{CompromisedEntity} kaynaklı DNS işlemlerinin analizinde etki alanı oluşturma algoritmasının olası kullanımı algılandı. Bu tür etkinlikler, muhtemelen zararsız olsa da, saldırganlar tarafından ağ izleme ve filtrelemeden kaçınma amacıyla sık sık gerçekleştirilir. Tipik bir saldırgan etkinliği, kötü amaçlı yazılımların veya uzaktan yönetim araçlarının indirilip yürütülmesini içerebilir.
MITRE taktikleri: Sızdırma
Önem Derecesi: Bilgilendiren
Tehdit bilgileri tarafından tanımlanan şüpheli etki alanıyla iletişim
(AzureDNS_ThreatIntelSuspectDomain)
Açıklama: Kaynağınızdaki DNS işlemleri analiz edilerek ve tehdit bilgileri akışları tarafından tanımlanan bilinen kötü amaçlı etki alanlarıyla karşılaştırılarak şüpheli etki alanıyla iletişim algılandı. Kötü amaçlı etki alanlarıyla iletişim genellikle saldırganlar tarafından gerçekleştirilir ve kaynağınızın gizliliğinin tehlikeye atıldığı anlamına gelebilir.
MITRE taktikleri: İlk Erişim
Önem Derecesi: Orta
Şüpheli rastgele etki alanı adıyla iletişim
(AzureDNS_RandomizedDomain)
Açıklama: %{CompromisedEntity} kaynaklı DNS işlemlerinin analizinde, rastgele oluşturulan şüpheli bir etki alanı adının kullanımı algılandı. Bu tür etkinlikler, muhtemelen zararsız olsa da, saldırganlar tarafından ağ izleme ve filtrelemeden kaçınma amacıyla sık sık gerçekleştirilir. Tipik bir saldırgan etkinliği, kötü amaçlı yazılımların veya uzaktan yönetim araçlarının indirilip yürütülmesini içerebilir.
MITRE taktikleri: Sızdırma
Önem Derecesi: Bilgilendiren
Dijital para birimi madenciliği etkinliği
(AzureDNS_CurrencyMining)
Açıklama: %{CompromisedEntity} kaynaklı DNS işlemlerinin analizinde dijital para madenciliği etkinliği algılandı. Bu tür etkinlikler, büyük olasılıkla meşru bir kullanıcı davranışı olsa da, kaynakların güvenliğinin aşılmasından sonra saldırganlar tarafından sıklıkla gerçekleştirilir. Tipik ilgili saldırgan etkinliği, yaygın madencilik araçlarının indirilmesini ve yürütülmesini içerebilir.
MITRE taktikleri: Sızdırma
Önem Derecesi: Düşük
Ağ yetkisiz erişim algılama imzası etkinleştirme
(AzureDNS_SuspiciousDomain)
Açıklama: %{CompromisedEntity} kaynaklı DNS işlemlerinin analizinde bilinen bir kötü amaçlı ağ imzası algılandı. Bu tür etkinlikler, büyük olasılıkla meşru bir kullanıcı davranışı olsa da, genellikle kötü amaçlı yazılımların indirilmesinin veya yürütülmesinin bir göstergesidir. Tipik bir saldırgan etkinliği, kötü amaçlı yazılımların veya uzaktan yönetim araçlarının indirilmesini ve yürütülmesini içerebilir.
MITRE taktikleri: Sızdırma
Önem Derecesi: Orta
DNS tüneli aracılığıyla olası veri indirme
(AzureDNS_DataInfiltration)
Açıklama: %{CompromisedEntity} kaynaklı DNS işlemlerinin analizinde olası bir DNS tüneli algılandı. Bu tür etkinlikler, büyük olasılıkla meşru bir kullanıcı davranışı olsa da, saldırganlar tarafından ağ izleme ve filtrelemeden kaçınma amacıyla sık sık gerçekleştirilir. Tipik bir saldırgan etkinliği, kötü amaçlı yazılımların veya uzaktan yönetim araçlarının indirilip yürütülmesini içerebilir.
MITRE taktikleri: Sızdırma
Önem Derecesi: Düşük
DNS tüneli aracılığıyla olası veri sızdırma
(AzureDNS_DataExfiltration)
Açıklama: %{CompromisedEntity} kaynaklı DNS işlemlerinin analizinde olası bir DNS tüneli algılandı. Bu tür etkinlikler, büyük olasılıkla meşru bir kullanıcı davranışı olsa da, saldırganlar tarafından ağ izleme ve filtrelemeden kaçınma amacıyla sık sık gerçekleştirilir. Tipik bir saldırgan etkinliği, kötü amaçlı yazılımların veya uzaktan yönetim araçlarının indirilip yürütülmesini içerebilir.
MITRE taktikleri: Sızdırma
Önem Derecesi: Düşük
DNS tüneli üzerinden olası veri aktarımı
(AzureDNS_DataObfuscation)
Açıklama: %{CompromisedEntity} kaynaklı DNS işlemlerinin analizinde olası bir DNS tüneli algılandı. Bu tür etkinlikler, büyük olasılıkla meşru bir kullanıcı davranışı olsa da, saldırganlar tarafından ağ izleme ve filtrelemeden kaçınma amacıyla sık sık gerçekleştirilir. Tipik bir saldırgan etkinliği, kötü amaçlı yazılımların veya uzaktan yönetim araçlarının indirilip yürütülmesini içerebilir.
MITRE taktikleri: Sızdırma
Önem Derecesi: Düşük
Azure VM uzantıları için uyarılar
Bu uyarılar, Azure sanal makine uzantılarının şüpheli etkinliklerini algılamaya odaklanır ve saldırganların sanal makinelerinizde kötü amaçlı etkinlikleri tehlikeye atma ve gerçekleştirme girişimlerine ilişkin içgörüler sağlar.
Azure sanal makine uzantıları, sanal makinelerde dağıtım sonrası çalışan ve yapılandırma, otomasyon, izleme, güvenlik ve daha fazlası gibi özellikler sağlayan küçük uygulamalardır. Uzantılar güçlü bir araç olsa da tehdit aktörleri tarafından çeşitli kötü amaçlı amaçlar için kullanılabilir, örneğin:
Veri toplama ve izleme
Yüksek ayrıcalıklara sahip kod yürütme ve yapılandırma dağıtımı
Kimlik bilgilerini sıfırlama ve yönetici kullanıcıları oluşturma
Diskleri şifreleme
Azure VM uzantılarının kötüye kullanımına karşı Bulut için Defender en son korumalar hakkında daha fazla bilgi edinin.
Aboneliğinize GPU uzantısı yükleme şüpheli hatası (Önizleme)
(VM_GPUExtensionSuspiciousFailure)
Açıklama: Desteklenmeyen VM'lere GPU uzantısı yüklemenin şüpheli amacı. Bu uzantı grafik işlemci ile donatılmış sanal makinelere yüklenmelidir ve bu durumda sanal makineler böyle bir donanıma sahip değildir. Kötü niyetli saldırganlar şifreleme madenciliği amacıyla bu uzantının birden çok yüklemesini yürüttüğünde bu hatalar görülebilir.
MITRE taktikleri: Etki
Önem Derecesi: Orta
Sanal makinenizde şüpheli bir GPU uzantısı yüklemesi algılandı (Önizleme)
(VM_GPUDriverExtensionUnusualExecution)
Açıklama: Aboneliğinizdeki Azure Resource Manager işlemleri çözümlenerek sanal makinenizde şüpheli bir GPU uzantısı yüklemesi algılandı. Saldırganlar şifreleme hırsızlığı gerçekleştirmek için Azure Resource Manager aracılığıyla sanal makinenize GPU sürücüleri yüklemek için GPU sürücü uzantısını kullanabilir. Bu etkinlik, sorumlunun davranışı normal desenlerinden ayrılırken şüpheli kabul edilir.
MITRE taktikleri: Etki
Önem Derecesi: Düşük
Sanal makinenizde şüpheli bir betikle Komut Çalıştır algılandı (Önizleme)
(VM_RunCommandSuspiciousScript)
Açıklama: Aboneliğinizdeki Azure Resource Manager işlemleri çözümlenerek sanal makinenizde şüpheli betik içeren bir Çalıştırma Komutu algılandı. Saldırganlar, Azure Resource Manager aracılığıyla sanal makinenizde yüksek ayrıcalıklara sahip kötü amaçlı kod yürütmek için Komutunu Çalıştır'ı kullanabilir. Betik, bazı bölümlerin kötü amaçlı olabilecek şekilde tanımlandığı için şüpheli kabul edilir.
MITRE taktikleri: Yürütme
Önem Derecesi: Yüksek
Sanal makinenizde şüpheli yetkisiz Çalıştırma Komutu kullanımı algılandı (Önizleme)
(VM_RunCommandSuspiciousFailure)
Açıklama: Run Command'un şüpheli yetkisiz kullanımı başarısız oldu ve aboneliğinizdeki Azure Resource Manager işlemleri analiz edilerek sanal makinenizde algılandı. Saldırganlar, Azure Resource Manager aracılığıyla sanal makinelerinizde yüksek ayrıcalıklara sahip kötü amaçlı kodlar yürütmek için Komutunu Çalıştır'ı kullanmaya çalışabilir. Bu etkinlik daha önce yaygın olarak görülmediği için şüpheli kabul edilir.
MITRE taktikleri: Yürütme
Önem Derecesi: Orta
Sanal makinenizde Şüpheli Çalıştırma Komutu kullanımı algılandı (Önizleme)
(VM_RunCommandSuspiciousUsage)
Açıklama: Aboneliğinizdeki Azure Resource Manager işlemleri çözümlenerek sanal makinenizde Şüpheli Çalıştırma Komutu kullanımı algılandı. Saldırganlar, Azure Resource Manager aracılığıyla sanal makinelerinizde yüksek ayrıcalıklara sahip kötü amaçlı kodlar yürütmek için Komutunu Çalıştır'ı kullanabilir. Bu etkinlik daha önce yaygın olarak görülmediği için şüpheli kabul edilir.
MITRE taktikleri: Yürütme
Önem Derecesi: Düşük
Sanal makinelerinizde birden çok izleme veya veri toplama uzantısının şüpheli kullanımı algılandı (Önizleme)
(VM_SuspiciousMultiExtensionUsage)
Açıklama: Aboneliğinizdeki Azure Resource Manager işlemleri analiz edilerek sanal makinelerinizde birden çok izleme veya veri toplama uzantısının şüpheli kullanımı algılandı. Saldırganlar, aboneliğinizde veri toplama, ağ trafiği izleme ve daha fazlası için bu tür uzantıları kötüye kullanabilecektir. Bu kullanım daha önce yaygın olarak görülmediği için şüpheli kabul edilir.
MITRE taktikleri: Keşif
Önem Derecesi: Orta
Sanal makinelerinizde şüpheli disk şifreleme uzantıları yüklemesi algılandı (Önizleme)
(VM_DiskEncryptionSuspiciousUsage)
Açıklama: Aboneliğinizdeki Azure Resource Manager işlemleri çözümlenerek sanal makinelerinizde şüpheli disk şifreleme uzantıları yüklemesi algılandı. Saldırganlar, fidye yazılımı etkinliği gerçekleştirmek amacıyla Azure Resource Manager aracılığıyla sanal makinelerinize tam disk şifrelemesi dağıtmak için disk şifreleme uzantısını kötüye kullanır. Bu etkinlik, daha önce yaygın olarak görülmediği ve çok sayıda uzantı yüklemesi nedeniyle şüpheli kabul edilir.
MITRE taktikleri: Etki
Önem Derecesi: Orta
Sanal makinelerinizde ŞÜPHELI VMAccess uzantısı kullanımı algılandı (Önizleme)
(VM_VMAccessSuspiciousUsage)
Açıklama: Sanal makinelerinizde ŞÜPHELI VMAccess uzantısı kullanımı algılandı. Saldırganlar erişim kazanmak için VMAccess uzantısını kötüye kullanabilir ve erişimi sıfırlayarak veya yönetici kullanıcıları yöneterek yüksek ayrıcalıklarla sanal makinelerinizin güvenliğini tehlikeye atabilir. Bu etkinlik, sorumlunun davranışı normal desenlerinden ve uzantı yüklemelerinin sayısının yüksek olması nedeniyle şüpheli kabul edilir.
MITRE taktikleri: Kalıcılık
Önem Derecesi: Orta
Sanal makinenizde şüpheli betik içeren istenen Durum Yapılandırması (DSC) uzantısı algılandı (Önizleme)
(VM_DSCExtensionSuspiciousScript)
Açıklama: Aboneliğinizdeki Azure Resource Manager işlemleri çözümlenerek sanal makinenizde şüpheli betik içeren İstenen Durum Yapılandırması (DSC) uzantısı algılandı. Saldırganlar, kalıcılık mekanizmaları, kötü amaçlı betikler ve daha fazlası gibi yüksek ayrıcalıklara sahip kötü amaçlı yapılandırmaları sanal makinelerinize dağıtmak için İstenen Durum Yapılandırması (DSC) uzantısını kullanabilir. Betik, bazı bölümlerin kötü amaçlı olabilecek şekilde tanımlandığı için şüpheli kabul edilir.
MITRE taktikleri: Yürütme
Önem Derecesi: Yüksek
Sanal makinelerinizde İstenen Durum Yapılandırması (DSC) uzantısının şüpheli kullanımı algılandı (Önizleme)
(VM_DSCExtensionSuspiciousUsage)
Açıklama: Aboneliğinizdeki Azure Resource Manager işlemleri çözümlenerek sanal makinelerinizde İstenen Durum Yapılandırması (DSC) uzantısının şüpheli kullanımı algılandı. Saldırganlar, kalıcılık mekanizmaları, kötü amaçlı betikler ve daha fazlası gibi yüksek ayrıcalıklara sahip kötü amaçlı yapılandırmaları sanal makinelerinize dağıtmak için İstenen Durum Yapılandırması (DSC) uzantısını kullanabilir. Bu etkinlik, sorumlunun davranışı normal desenlerinden ve uzantı yüklemelerinin sayısının yüksek olması nedeniyle şüpheli kabul edilir.
MITRE taktikleri: Yürütme
Önem Derecesi: Düşük
Sanal makinenizde şüpheli betik içeren özel betik uzantısı algılandı (Önizleme)
(VM_CustomScriptExtensionSuspiciousCmd)
Açıklama: Aboneliğinizdeki Azure Resource Manager işlemleri çözümlenerek sanal makinenizde şüpheli betik içeren özel betik uzantısı algılandı. Saldırganlar, Azure Resource Manager aracılığıyla sanal makinenizde yüksek ayrıcalıklara sahip kötü amaçlı kod yürütmek için Özel betik uzantısını kullanabilir. Betik, bazı bölümlerin kötü amaçlı olabilecek şekilde tanımlandığı için şüpheli kabul edilir.
MITRE taktikleri: Yürütme
Önem Derecesi: Yüksek
Sanal makinenizde özel betik uzantısının şüpheli başarısız yürütülmesi
(VM_CustomScriptExtensionSuspiciousFailure)
Açıklama: Aboneliğinizdeki Azure Resource Manager işlemleri çözümlenerek sanal makinenizde özel betik uzantısının şüpheli hatası algılandı. Bu tür hatalar bu uzantı tarafından çalıştırılan kötü amaçlı betiklerle ilişkilendirilebilir.
MITRE taktikleri: Yürütme
Önem Derecesi: Orta
Sanal makinenizde özel betik uzantısının olağan dışı silinmesi
(VM_CustomScriptExtensionUnusualDeletion)
Açıklama: Aboneliğinizdeki Azure Resource Manager işlemleri çözümlenerek sanal makinenizde özel betik uzantısının olağan dışı silinmesi algılandı. Saldırganlar, Azure Resource Manager aracılığıyla sanal makinelerinizde kötü amaçlı kod yürütmek için özel betik uzantıları kullanabilir.
MITRE taktikleri: Yürütme
Önem Derecesi: Orta
Sanal makinenizde özel betik uzantısının olağan dışı yürütülmesi
(VM_CustomScriptExtensionUnusualExecution)
Açıklama: Aboneliğinizdeki Azure Resource Manager işlemleri çözümlenerek sanal makinenizde özel betik uzantısının olağan dışı yürütülmesi algılandı. Saldırganlar, Azure Resource Manager aracılığıyla sanal makinelerinizde kötü amaçlı kod yürütmek için özel betik uzantıları kullanabilir.
MITRE taktikleri: Yürütme
Önem Derecesi: Orta
Sanal makinenizde şüpheli giriş noktası olan özel betik uzantısı
(VM_CustomScriptExtensionSuspiciousEntryPoint)
Açıklama: Aboneliğinizdeki Azure Resource Manager işlemleri çözümlenerek sanal makinenizde şüpheli giriş noktası içeren özel betik uzantısı algılandı. Giriş noktası şüpheli bir GitHub deposuna başvurur. Saldırganlar, Azure Resource Manager aracılığıyla sanal makinelerinizde kötü amaçlı kod yürütmek için özel betik uzantıları kullanabilir.
MITRE taktikleri: Yürütme
Önem Derecesi: Orta
Sanal makinenizde şüpheli yük içeren özel betik uzantısı
(VM_CustomScriptExtensionSuspiciousPayload)
Açıklama: Aboneliğinizdeki Azure Resource Manager işlemleri çözümlenerek sanal makinenizde şüpheli bir GitHub deposundan yükü olan özel betik uzantısı algılandı. Saldırganlar, Azure Resource Manager aracılığıyla sanal makinelerinizde kötü amaçlı kod yürütmek için özel betik uzantıları kullanabilir.
MITRE taktikleri: Yürütme
Önem Derecesi: Orta
Azure Uygulaması Hizmeti uyarıları
Windows App Service'te Linux komutlarını çalıştırma girişimi
(AppServices_LinuxCommandOnWindows)
Açıklama: App Service işlemlerinin analizi, Bir Windows App Service'te Linux komutu çalıştırma girişimi algılandı. Bu eylem web uygulaması tarafından çalıştırılıyordu. Bu davranış genellikle yaygın bir web uygulamasındaki bir güvenlik açığından yararlanan kampanyalar sırasında görülür. (Şunlar için geçerlidir: Windows'ta App Service)
Önem Derecesi: Orta
tehdit analizinde Azure Uygulaması Hizmeti FTP Arabiriminize bağlı bir IP bulundu
(AppServices_IncomingTiClientIpFtp)
Açıklama: Azure Uygulaması Hizmeti FTP günlüğü, tehdit bilgileri akışında bulunan bir kaynak adresten bağlantı olduğunu gösterir. Bu bağlantı sırasında, bir kullanıcı listelenen sayfalara erişti. (Şunlar için geçerlidir: Windows'ta App Service ve Linux üzerinde App Service)
MITRE taktikleri: İlk Erişim
Önem Derecesi: Orta
Yüksek ayrıcalıklı komutu çalıştırma girişimi algılandı
(AppServices_HighPrivilegeCommand)
Açıklama: App Service işlemlerinin analizi, yüksek ayrıcalıklar gerektiren bir komut çalıştırma girişimi algılandı. Komut, web uygulaması bağlamında çalıştı. Bu davranış meşru olsa da, web uygulamalarında bu davranış kötü amaçlı etkinliklerde de gözlenir. (Şunlar için geçerlidir: Windows'ta App Service)
Önem Derecesi: Orta
Tehdit bilgileri tarafından tanımlanan şüpheli etki alanıyla iletişim
(AzureDNS_ThreatIntelSuspectDomain)
Açıklama: Kaynağınızdaki DNS işlemleri analiz edilerek ve tehdit bilgileri akışları tarafından tanımlanan bilinen kötü amaçlı etki alanlarıyla karşılaştırılarak şüpheli etki alanıyla iletişim algılandı. Kötü amaçlı etki alanlarıyla iletişim genellikle saldırganlar tarafından gerçekleştirilir ve kaynağınızın gizliliğinin tehlikeye atıldığı anlamına gelebilir.
MITRE taktikleri: İlk Erişim, Kalıcılık, Yürütme, Komut ve Denetim, Kötüye Kullanma
Önem Derecesi: Orta
Anormal IP adresinden web sayfasına Bağlan algılandı
(AppServices_AnomalousPageAccess)
Açıklama: Azure Uygulaması Hizmet etkinlik günlüğü, listelenen kaynak IP adresinden hassas bir web sayfasına anormal bir bağlantı olduğunu gösterir. Bu, birinin web uygulaması yönetim sayfalarınıza deneme yanılma saldırısı girişiminde bulunduğunu gösterebilir. Ayrıca, geçerli bir kullanıcı tarafından kullanılan yeni bir IP adresinin sonucu da olabilir. Kaynak IP adresine güveniliyorsa, bu kaynak için bu uyarıyı güvenle gizleyebilirsiniz. Güvenlik uyarılarını gizlemeyi öğrenmek için bkz. Bulut için Microsoft Defender gelen uyarıları gizleme. (Şunlar için geçerlidir: Windows'ta App Service ve Linux üzerinde App Service)
MITRE taktikleri: İlk Erişim
Önem Derecesi: Düşük
App Service kaynağı için sallanan DNS kaydı algılandı
(AppServices_DanglingDomain)
Açıklama: Yakın zamanda silinen bir App Service kaynağına işaret eden bir DNS kaydı ("sallanan DNS" girişi olarak da bilinir) algılandı. Bu sizi bir alt etki alanı devralma işlemine karşı savunmasız bırakır. Alt etki alanı ele geçirme işlemleri, kötü niyetli aktörlerin kuruluşun etki alanına yönelik trafiği kötü niyetli etkinlik gerçekleştiren bir siteye yönlendirmesine olanak tanır. (Şunlar için geçerlidir: Windows'ta App Service ve Linux üzerinde App Service)
Önem Derecesi: Yüksek
Komut satırı verilerinde kodlanmış yürütülebilir dosya algılandı
(AppServices_Base64EncodedExecutableInCommandLineParams)
Açıklama: {Güvenliği Aşılmış konak} üzerindeki konak verilerinin analizinde base-64 kodlanmış yürütülebilir dosya algılandı. Bu, daha önce bir komut dizisi aracılığıyla anında yürütülebilir dosyalar oluşturmayı deneyen ve tek tek hiçbir komutun uyarı tetiklemediğinden emin olarak yetkisiz erişim algılama sistemlerinden kaçınmaya çalışan saldırganlarla ilişkilendirildi. Bu yasal bir etkinlik veya güvenliği aşılmış bir konağın göstergesi olabilir. (Şunlar için geçerlidir: Windows'ta App Service)
MITRE taktikleri: Savunma Kaçamak, Yürütme
Önem Derecesi: Yüksek
Bilinen kötü amaçlı bir kaynaktan dosya indirme algılandı
(AppServices_SuspectDownload)
Açıklama: Konak verilerinin analizi, ana bilgisayarınızdaki bilinen bir kötü amaçlı yazılım kaynağından bir dosyanın indirilmesini algılamıştır. (Şunlar için geçerlidir: Linux üzerinde App Service)
MITRE taktikleri: Ayrıcalık Yükseltme, Yürütme, Sızdırma, Komut ve Denetim
Önem Derecesi: Orta
Şüpheli dosya indirme algılandı
(AppServices_SuspectDownloadArtifacts)
Açıklama: Konak verilerinin analizi, uzak dosyanın şüpheli olarak indirilmesini algılamıştır. (Şunlar için geçerlidir: Linux üzerinde App Service)
MITRE taktikleri: Kalıcılık
Önem Derecesi: Orta
Dijital para birimi madenciliğiyle ilgili davranış algılandı
(AppServices_DigitalCurrencyMining)
Açıklama: Inn-Flow-WebJobs'ta konak verilerinin analizi, normalde dijital para birimi madenciliğiyle ilişkili bir işlemin veya komutun yürütülmesini algılamıştı. (Şunlar için geçerlidir: Windows'ta App Service ve Linux üzerinde App Service)
MITRE taktikleri: Yürütme
Önem Derecesi: Yüksek
certutil kullanılarak çözülebilir yürütülebilir kod çözme
(AppServices_ExecutableDecodedUsingCertutil)
Açıklama: [Güvenliği aşılmış varlık] üzerindeki konak verilerinin analizi, yerleşik bir yönetici yardımcı programı olan certutil.exe, sertifikaları ve sertifika verilerini işlemeyle ilgili temel amacı yerine yürütülebilir dosyanın kodunu çözmek için kullanıldığını algılamıştır. Saldırganların kötü amaçlı eylemler kullanmak gerçekleştirmek için yasal yönetici araçlarının işlevlerini kötüye kullandığı bilinir; örneğin daha sonra yürütülecek kötü amaçlı bir yürütülebilir dosyanın kodunu çözmek için certutil.exe gibi bir araç kullanarak. (Şunlar için geçerlidir: Windows'ta App Service)
MITRE taktikleri: Savunma Kaçamak, Yürütme
Önem Derecesi: Yüksek
Dosyasız Saldırı Davranışı Algılandı
(AppServices_FilelessAttackBehaviorDetection)
Açıklama: Aşağıda belirtilen işlemin belleği, dosyasız saldırılar tarafından yaygın olarak kullanılan davranışları içerir. Belirli davranışlar şunlardır: {gözlemlenen davranış listesi} (Şunlar için geçerlidir: Windows'ta App Service ve Linux üzerinde App Service)
MITRE taktikleri: Yürütme
Önem Derecesi: Orta
Dosyasız Saldırı Tekniği Algılandı
(AppServices_FilelessAttackTechniqueDetection)
Açıklama: Aşağıda belirtilen işlemin belleği, dosyasız saldırı tekniğinin kanıtlarını içerir. Dosyasız saldırılar, güvenlik yazılımı tarafından algılanmaktan kaçınılırken kod yürütmek için saldırganlar tarafından kullanılır. Belirli davranışlar şunlardır: {gözlemlenen davranış listesi} (Şunlar için geçerlidir: Windows'ta App Service ve Linux üzerinde App Service)
MITRE taktikleri: Yürütme
Önem Derecesi: Yüksek
Dosyasız Saldırı Araç Seti Algılandı
(AppServices_FilelessAttackToolkitDetection)
Açıklama: Aşağıda belirtilen işlemin belleği dosyasız bir saldırı araç seti içeriyor: {ToolKitName}. Dosyasız saldırı araç setleri genellikle dosya sisteminde bulunmaz ve geleneksel virüsten koruma yazılımı tarafından algılamayı zorlaştırır. Belirli davranışlar şunlardır: {gözlemlenen davranış listesi} (Şunlar için geçerlidir: Windows'ta App Service ve Linux üzerinde App Service)
MITRE taktikleri: Savunma Kaçamak, Yürütme
Önem Derecesi: Yüksek
App Service için test uyarısı Bulut için Microsoft Defender (tehdit değil)
(AppServices_EICAR)
Açıklama: Bu, Bulut için Microsoft Defender tarafından oluşturulan bir test uyarısıdır. Başka bir şey yapmanız gerekmez. (Şunlar için geçerlidir: Windows'ta App Service ve Linux üzerinde App Service)
Önem Derecesi: Yüksek
NMap tarama algılandı
(AppServices_Nmap)
Açıklama: Azure Uygulaması Hizmet etkinlik günlüğü, App Service kaynağınızda olası bir web parmak izi etkinliğini gösterir. Algılanan şüpheli etkinlik NMAP ile ilişkilendirildi. Saldırganlar genellikle web uygulamasının güvenlik açıklarını bulması için bu aracı kullanır. (Şunlar için geçerlidir: Windows'ta App Service ve Linux üzerinde App Service)
MITRE taktikleri: PreAttack
Önem Derecesi: Bilgilendiren
Azure WebApps'te barındırılan kimlik avı içeriği
(AppServices_PhishingContent)
Açıklama: Azure Uygulaması Services web sitesinde bulunan kimlik avı saldırısı için kullanılan URL. Bu URL, Microsoft 365 müşterilerine gönderilen kimlik avı saldırısının bir parçasıydı. İçerik genellikle ziyaretçileri kurumsal kimlik bilgilerini veya finansal bilgilerini meşru görünen bir web sitesine girmeye yönlendirir. (Şunlar için geçerlidir: Windows'ta App Service ve Linux üzerinde App Service)
MITRE taktikleri: Koleksiyon
Önem Derecesi: Yüksek
Karşıya yükleme klasöründeki PHP dosyası
(AppServices_PhpInUploadFolder)
Açıklama: Azure Uygulaması Hizmet etkinlik günlüğü, karşıya yükleme klasöründe bulunan şüpheli bir PHP sayfasına erişimi gösterir. Bu klasör türü genellikle PHP dosyalarını içermez. Bu tür bir dosyanın varlığı, rastgele dosya yükleme güvenlik açıklarından yararlanan bir açıktan yararlanmaya işaret edebilir. (Şunlar için geçerlidir: Windows'ta App Service ve Linux üzerinde App Service)
MITRE taktikleri: Yürütme
Önem Derecesi: Orta
Olası Cryptocoinminer indirmesi algılandı
(AppServices_CryptoCoinMinerDownload)
Açıklama: Konak verilerinin analizi normalde dijital para birimi madenciliğiyle ilişkili bir dosyanın indirilmesini algılamıştır. (Şunlar için geçerlidir: Linux üzerinde App Service)
MITRE taktikleri: Savunma Kaçamak, Komuta ve Kontrol, Sömürü
Önem Derecesi: Orta
Olası veri sızdırma algılandı
(AppServices_DataEgressArtifacts)
Açıklama: Konak/cihaz verilerinin analizi olası bir veri çıkış koşulu algılandı. Saldırganlar genellikle ele geçirdikleri makinelerden veri çıkışı yaparlar. (Şunlar için geçerlidir: Linux üzerinde App Service)
MITRE taktikleri: Toplama, Sızdırma
Önem Derecesi: Orta
App Service kaynağı için olası sallanan DNS kaydı algılandı
(AppServices_PotentialDanglingDomain)
Açıklama: Yakın zamanda silinen bir App Service kaynağına işaret eden bir DNS kaydı ("sallanan DNS" girişi olarak da bilinir) algılandı. Bu sizi bir alt etki alanı devralma işlemine karşı savunmasız bırakabilir. Alt etki alanı ele geçirme işlemleri, kötü niyetli aktörlerin kuruluşun etki alanına yönelik trafiği kötü niyetli etkinlik gerçekleştiren bir siteye yönlendirmesine olanak tanır. Bu durumda, Etki Alanı Doğrulama Kimliği'ne sahip bir metin kaydı bulundu. Bu tür metin kayıtları alt etki alanının devralmasını engeller, ancak yine de sarkan etki alanını kaldırmanızı öneririz. ALT etki alanını işaret eden DNS kaydını bırakırsanız, kuruluşunuzdaki herhangi biri gelecekte TXT dosyasını veya kaydını silerse risk altında olursunuz. (Şunlar için geçerlidir: Windows'ta App Service ve Linux üzerinde App Service)
Önem Derecesi: Düşük
Olası ters kabuk algılandı
(AppServices_ReverseShell)
Açıklama: Konak verilerinin analizinde olası bir ters kabuk algılandı. Bunlar, güvenliği aşılmış bir makinenin bir saldırganın sahip olduğu bir makineye geri çağrıda bulunması için kullanılır. (Şunlar için geçerlidir: Linux üzerinde App Service)
MITRE taktikleri: Sızdırma, Sömürü
Önem Derecesi: Orta
Ham veri indirme algılandı
(AppServices_DownloadCodeFromWebsite)
Açıklama: App Service işlemlerinin analizi, Pastebin gibi ham veri web sitelerinden kod indirme girişimi algılandı. Bu eylem bir PHP işlemi tarafından çalıştırıldı. Bu davranış, Web kabuklarını veya diğer kötü amaçlı bileşenleri App Service'e indirme girişimleriyle ilişkilidir. (Şunlar için geçerlidir: Windows'ta App Service)
MITRE taktikleri: Yürütme
Önem Derecesi: Orta
Curl çıkışını diske kaydetme algılandı
(AppServices_CurlToDisk)
Açıklama: App Service işlemlerinin analizi, çıkışın diske kaydedildiği curl komutunun çalıştırıldığını algılandı. Bu davranış meşru olsa da, web uygulamalarında bu davranış web sitelerine web kabukları bulaştırma girişimi gibi kötü amaçlı etkinliklerde de gözlenir. (Şunlar için geçerlidir: Windows'ta App Service)
Önem Derecesi: Düşük
İstenmeyen posta klasörüne başvuran algılandı
(AppServices_SpamReferrer)
Açıklama: Azure Uygulaması Hizmet etkinlik günlüğü, istenmeyen posta etkinliğiyle ilişkili bir web sitesinden kaynaklandığı belirlenen web etkinliğini gösterir. Web sitenizin gizliliği ihlal edilirse ve istenmeyen posta etkinliği için kullanılırsa bu durum oluşabilir. (Şunlar için geçerlidir: Windows'ta App Service ve Linux üzerinde App Service)
Önem Derecesi: Düşük
Güvenlik açığı olabilecek web sayfasına şüpheli erişim algılandı
(AppServices_ScanSensitivePage)
Açıklama: Azure Uygulaması Hizmet etkinlik günlüğü, hassas görünen bir web sayfasına erişildiğini gösterir. Bu şüpheli etkinlik, erişim deseni web tarayıcısına benzeyen bir kaynak IP adresinden kaynaklandı. Bu etkinlik genellikle bir saldırganın hassas veya savunmasız web sayfalarına erişim elde etmek için ağınızı tarama girişimiyle ilişkilendirilir. (Şunlar için geçerlidir: Windows'ta App Service ve Linux üzerinde App Service)
Önem Derecesi: Düşük
Şüpheli etki alanı adı başvurusu
(AppServices_CommandlineSuspectDomain)
Açıklama: Şüpheli etki alanı adına başvuru algılanan konak verilerinin analizi. Bu tür etkinlikler, büyük olasılıkla meşru bir kullanıcı davranışı olsa da, genellikle kötü amaçlı yazılımların indirilmesinin veya yürütülmesinin bir göstergesidir. Tipik bir saldırgan etkinliği, kötü amaçlı yazılımların veya uzaktan yönetim araçlarının indirilmesini ve yürütülmesini içerebilir. (Şunlar için geçerlidir: Linux üzerinde App Service)
MITRE taktikleri: Sızdırma
Önem Derecesi: Düşük
Certutil kullanılarak şüpheli indirme algılandı
(AppServices_DownloadUsingCertutil)
Açıklama: {NAME} üzerindeki konak verilerinin analizi, yerleşik bir yönetici yardımcı programı olan certutil.exe'nin, sertifikaları ve sertifika verilerini düzenlemeyle ilgili temel amacı yerine ikili dosya indirilmesi için kullanıldığını algılamıştır. Saldırganların kötü amaçlı eylemler gerçekleştirmek için meşru yönetici araçlarının işlevselliğini kötüye kullandığı bilinmektedir. Örneğin, daha sonra yürütülecek kötü amaçlı yürütülebilir dosyaları indirmek ve kodunu çözmek için certutil.exe kullanma. (Şunlar için geçerlidir: Windows'ta App Service)
MITRE taktikleri: Yürütme
Önem Derecesi: Orta
Şüpheli PHP yürütmesi algılandı
(AppServices_SuspectPhp)
Açıklama: Makine günlükleri şüpheli bir PHP işleminin çalıştığını gösterir. Eylem, PHP işlemini kullanarak komut satırından işletim sistemi komutlarını veya PHP kodunu çalıştırma girişimini içeriyor. Bu davranış yasal olsa da, web uygulamalarında bu davranış web sitelerine web kabukları bulaştırma girişimleri gibi kötü amaçlı etkinlikleri gösterebilir. (Şunlar için geçerlidir: Windows'ta App Service ve Linux üzerinde App Service)
MITRE taktikleri: Yürütme
Önem Derecesi: Orta
Yürütülen şüpheli PowerShell cmdlet'leri
(AppServices_PowerShellPowerSploitScriptExecution)
Açıklama: Konak verilerinin analizi, bilinen kötü amaçlı PowerShell PowerSploit cmdlet'lerinin yürütülmesini gösterir. (Şunlar için geçerlidir: Windows'ta App Service)
MITRE taktikleri: Yürütme
Önem Derecesi: Orta
Şüpheli işlem yürütüldü
(AppServices_KnownCredential AccessTools)
Açıklama: Makine günlükleri, şüpheli işlemin makinede çalıştığını ve genellikle saldırganın kimlik bilgilerine erişme girişimleriyle ilişkili olduğunu gösteriyor. (Şunlar için geçerlidir: Windows'ta App Service)
MITRE taktikleri: Kimlik Bilgisi Erişimi
Önem Derecesi: Yüksek
Şüpheli işlem adı algılandı
(AppServices_ProcessWithKnownSuspiciousExtension)
Açıklama: {NAME} üzerindeki konak verilerinin analizinde adı şüpheli olan bir işlem algılandı, örneğin bilinen bir saldırgan aracına karşılık geliyor veya düz görüşte gizlenmeye çalışan saldırgan araçlarını önerecek şekilde adlandırılıyor. Bu işlem yasal bir etkinlik veya makinelerinizden birinin gizliliğinin ihlal edildiğinin göstergesi olabilir. (Şunlar için geçerlidir: Windows'ta App Service)
MITRE taktikleri: Kalıcılık, Savunma Kaçamak
Önem Derecesi: Orta
Şüpheli SVCHOST işlemi yürütüldü
(AppServices_SVCHostFromInvalidPath)
Açıklama: Sistem işlemi SVCHOST'un anormal bir bağlamda çalıştığı gözlemlendi. Kötü amaçlı yazılım genellikle kötü amaçlı etkinliğini maskelerken SVCHOST kullanır. (Şunlar için geçerlidir: Windows'ta App Service)
MITRE taktikleri: Savunma Kaçamak, Yürütme
Önem Derecesi: Yüksek
Şüpheli Kullanıcı Aracısı algılandı
(AppServices_UserAgentInjection)
Açıklama: Azure Uygulaması Hizmet etkinlik günlüğü, şüpheli kullanıcı aracısı ile istekleri gösterir. Bu davranış, App Service uygulamanızdaki bir güvenlik açığından yararlanma girişimlerini gösterebilir. (Şunlar için geçerlidir: Windows'ta App Service ve Linux üzerinde App Service)
MITRE taktikleri: İlk Erişim
Önem Derecesi: Bilgilendiren
Şüpheli WordPress tema çağrısı algılandı
(AppServices_WpThemeInjection)
Açıklama: Azure Uygulaması Hizmet etkinlik günlüğü, App Service kaynağınızda olası bir kod ekleme etkinliğini gösterir. Algılanan şüpheli etkinlik, WordPress temasının kod için sunucu tarafı yürütmesini desteklemek için yapılan işleme ve ardından yönlendirilen tema dosyasını çağırmak için doğrudan bir web isteğine benzer. Bu tür etkinlikler geçmişte WordPress üzerinden yapılan bir saldırı kampanyasının bir parçası olarak görülmüştür. App Service kaynağınız bir WordPress sitesi barındırmıyorsa, bu özel kod ekleme açıklarına karşı savunmasız değildir ve kaynak için bu uyarıyı güvenle gizleyebilirsiniz. Güvenlik uyarılarını gizlemeyi öğrenmek için bkz. Bulut için Microsoft Defender gelen uyarıları gizleme. (Şunlar için geçerlidir: Windows'ta App Service ve Linux üzerinde App Service)
MITRE taktikleri: Yürütme
Önem Derecesi: Yüksek
Güvenlik açığı tarayıcısı algılandı
(AppServices_DrupalScanner)
Açıklama: Azure Uygulaması Hizmet etkinlik günlüğü, App Service kaynağınızda olası bir güvenlik açığı tarayıcısının kullanıldığını gösterir. Algılanan şüpheli etkinlik, bir içerik yönetim sistemini (CMS) hedefleyen araçlara benzer. App Service kaynağınız bir Drupal sitesi barındırmıyorsa, bu özel kod ekleme açıklarına karşı savunmasız değildir ve bu uyarıyı kaynak için güvenle gizleyebilirsiniz. Güvenlik uyarılarını gizlemeyi öğrenmek için bkz. Bulut için Microsoft Defender gelen uyarıları gizleme. (Şunlar için geçerlidir: Windows'ta App Service)
MITRE taktikleri: PreAttack
Önem Derecesi: Düşük
Güvenlik açığı tarayıcısı algılandı
(AppServices_JoomlaScanner)
Açıklama: Azure Uygulaması Hizmet etkinlik günlüğü, App Service kaynağınızda olası bir güvenlik açığı tarayıcısının kullanıldığını gösterir. Algılanan şüpheli etkinlik Joomla uygulamalarını hedefleyen araçlara benzer. App Service kaynağınız joomla sitesi barındırmıyorsa, bu kod ekleme açıklarına karşı savunmasız değildir ve kaynak için bu uyarıyı güvenle gizleyebilirsiniz. Güvenlik uyarılarını gizlemeyi öğrenmek için bkz. Bulut için Microsoft Defender gelen uyarıları gizleme. (Şunlar için geçerlidir: Windows'ta App Service ve Linux üzerinde App Service)
MITRE taktikleri: PreAttack
Önem Derecesi: Düşük
Güvenlik açığı tarayıcısı algılandı
(AppServices_WpScanner)
Açıklama: Azure Uygulaması Hizmet etkinlik günlüğü, App Service kaynağınızda olası bir güvenlik açığı tarayıcısının kullanıldığını gösterir. Algılanan şüpheli etkinlik, WordPress uygulamalarını hedefleyen araçlara benzer. App Service kaynağınız bir WordPress sitesi barındırmıyorsa, bu özel kod ekleme açıklarına karşı savunmasız değildir ve kaynak için bu uyarıyı güvenle gizleyebilirsiniz. Güvenlik uyarılarını gizlemeyi öğrenmek için bkz. Bulut için Microsoft Defender gelen uyarıları gizleme. (Şunlar için geçerlidir: Windows'ta App Service ve Linux üzerinde App Service)
MITRE taktikleri: PreAttack
Önem Derecesi: Düşük
Web parmak izi algılandı
(AppServices_WebFingerprinting)
Açıklama: Azure Uygulaması Hizmet etkinlik günlüğü, App Service kaynağınızda olası bir web parmak izi etkinliğini gösterir. Algılanan şüpheli etkinlik, Blind Elephant adlı bir araçla ilişkilidir. Araç parmak izi web sunucuları ve yüklü uygulamaları ve sürümü algılamaya çalışır. Saldırganlar genellikle web uygulamasının güvenlik açıklarını bulması için bu aracı kullanır. (Şunlar için geçerlidir: Windows'ta App Service ve Linux üzerinde App Service)
MITRE taktikleri: PreAttack
Önem Derecesi: Orta
Web sitesi tehdit bilgileri akışında kötü amaçlı olarak etiketlendi
(AppServices_SmartScreen)
Açıklama: Aşağıda açıklandığı gibi web siteniz Windows SmartScreen tarafından kötü amaçlı bir site olarak işaretlenir. Bunun hatalı bir pozitif olduğunu düşünüyorsanız, sağlanan rapor geri bildirimi bağlantısı aracılığıyla Windows SmartScreen ile iletişime geçin. (Şunlar için geçerlidir: Windows'ta App Service ve Linux üzerinde App Service)
MITRE taktikleri: Koleksiyon
Önem Derecesi: Orta
Kapsayıcılar için uyarılar - Kubernetes kümeleri
Kapsayıcılar için Microsoft Defender, hem denetim düzlemini (API sunucusu) hem de kapsayıcılı iş yükünü izleyerek küme düzeyinde ve temel küme düğümlerinde güvenlik uyarıları sağlar. Denetim düzlemi güvenlik uyarıları, uyarı türünün bir ön eki K8S_ tarafından tanınabilir. Kümelerdeki çalışma zamanı iş yükü için güvenlik uyarıları, uyarı türünün ön eki tarafından K8S.NODE_ tanınabilir. Aksi belirtilmediği sürece tüm uyarılar yalnızca Linux'ta desteklenir.
Kubernetes'te güven kimlik doğrulaması yapılandırmasıyla kullanıma sunulan Postgres hizmeti algılandı (Önizleme)
(K8S_ExposedPostgresTrustAuth)
Açıklama: Kubernetes küme yapılandırma analizi, bir Postgres hizmetinin yük dengeleyici tarafından açığa çıkarma algılandı. Hizmet, kimlik bilgileri gerektirmeyen güven kimlik doğrulama yöntemiyle yapılandırılır.
MITRE taktikleri: InitialAccess
Önem Derecesi: Orta
Kubernetes'te riskli yapılandırmayla kullanıma sunulan Postgres hizmeti algılandı (Önizleme)
(K8S_ExposedPostgresBroadIPRange)
Açıklama: Kubernetes küme yapılandırma analizi, riskli yapılandırmaya sahip bir yük dengeleyici tarafından Postgres hizmetinin açığa çıkarma durumunu algılamıştı. Hizmetin çok çeşitli IP adreslerine açıklanması güvenlik riski oluşturur.
MITRE taktikleri: InitialAccess
Önem Derecesi: Orta
Algılanan bir kapsayıcıdan yeni bir Linux ad alanı oluşturma girişimi
(K8S. NODE_NamespaceCreation) 1
Açıklama: Kubernetes kümesindeki bir kapsayıcı içinde çalışan işlemlerin analizi, yeni bir Linux ad alanı oluşturma girişimi algılandı. Bu davranış meşru olsa da, bir saldırganın kapsayıcıdan düğüme kaçmaya çalıştığını gösterebilir. Bazı CVE-2022-0185 açıkları bu tekniği kullanır.
MITRE taktikleri: PrivilegeEscalation
Önem Derecesi: Bilgilendiren
Geçmiş dosyası temizlendi
(K8S. NODE_HistoryFileCleared) 1
Açıklama: Bir kapsayıcı içinde veya doğrudan kubernetes düğümünde çalışan işlemlerin analizi, komut geçmişi günlük dosyasının temizlendiğini algılamıştır. Saldırganlar izlerini kapatmak için bunu yapabilir. İşlem, belirtilen kullanıcı hesabı tarafından gerçekleştirildi.
MITRE taktikleri: DefenseEvasion
Önem Derecesi: Orta
Kubernetes ile ilişkili yönetilen kimliğin anormal etkinliği (Önizleme)
(K8S_AbnormalMiActivity)
Açıklama: Azure Resource Manager işlemlerinin analizi, AKS eklentisi tarafından kullanılan yönetilen kimlikte anormal bir davranış algılandı. Algılanan etkinlik, ilişkili eklentinin davranışıyla tutarlı değil. Bu etkinlik yasal olsa da, bu tür davranışlar kimliğin bir saldırgan tarafından, büyük olasılıkla Kubernetes kümesindeki güvenliği aşılmış bir kapsayıcıdan edinildiğini gösterebilir.
MITRE taktikleri: Yanal Hareket
Önem Derecesi: Orta
Anormal Kubernetes hizmet hesabı işlemi algılandı
(K8S_ServiceAccountRareOperation)
Açıklama: Kubernetes denetim günlüğü analizi, Kubernetes kümenizdeki bir hizmet hesabı tarafından anormal davranış algılandı. Hizmet hesabı, bu hizmet hesabı için yaygın olmayan bir işlem için kullanıldı. Bu etkinlik yasal olsa da, bu tür davranış hizmet hesabının kötü amaçlı olarak kullanıldığını gösterebilir.
MITRE taktikleri: YanAl Hareket, Kimlik Bilgisi Erişimi
Önem Derecesi: Orta
Yaygın olmayan bir bağlantı girişimi algılandı
(K8S. NODE_Suspect Bağlan ion) 1
Açıklama: Bir kapsayıcı içinde veya doğrudan kubernetes düğümünde çalışan işlemlerin analizi, çorap protokolü kullanan yaygın olmayan bir bağlantı girişimi algılamıştır. Normal işlemlerde bu çok nadirdir, ancak ağ katmanı algılamalarını atlamayı deneyen saldırganlar için bilinen bir tekniktir.
MITRE taktikleri: Yürütme, Sızdırma, Sömürü
Önem Derecesi: Orta
Algılanan apt-daily-upgrade.timer hizmetini durdurma girişimi
(K8S. NODE_TimerServiceDisabled) 1
Açıklama: Bir kapsayıcı içinde veya doğrudan kubernetes düğümünde çalışan işlemlerin analizi, apt-daily-upgrade.timer hizmetini durdurma girişimi algılandı. Saldırganların kötü amaçlı dosyaları indirmek ve saldırıları için yürütme ayrıcalıkları vermek için bu hizmeti durdurduğu gözlemlendi. Bu etkinlik, hizmet normal yönetim eylemleri aracılığıyla güncelleştirilirse de gerçekleşebilir.
MITRE taktikleri: DefenseEvasion
Önem Derecesi: Bilgilendiren
Algılanan yaygın Linux botlarına benzer davranış (Önizleme)
(K8S. NODE_CommonBot)
Açıklama: Kapsayıcı içinde veya doğrudan kubernetes düğümünde çalışan işlemlerin analizi, normalde yaygın Linux botnet'leriyle ilişkili bir işlemin yürütülmesini algılamıştır.
MITRE taktikleri: Yürütme, Toplama, Komut ve Denetim
Önem Derecesi: Orta
Yüksek ayrıcalıklarla çalışan bir kapsayıcı içindeki komut
(K8S. NODE_PrivilegedExecutionInContainer) 1
Açıklama: Makine günlükleri, docker kapsayıcısında ayrıcalıklı bir komutun çalıştırıldığını gösterir. Ayrıcalıklı bir komutun konak makinesinde genişletilmiş ayrıcalıkları vardır.
MITRE taktikleri: PrivilegeEscalation
Önem Derecesi: Bilgilendiren
Ayrıcalıklı modda çalışan kapsayıcı
(K8S. NODE_PrivilegedContainerArtifacts) 1
Açıklama: Kapsayıcı içinde veya doğrudan kubernetes düğümünde çalışan işlemlerin analizi, ayrıcalıklı kapsayıcı çalıştıran bir Docker komutunun yürütülmesini algılamıştır. Ayrıcalıklı kapsayıcı, barındırma podu veya konak kaynağına tam erişime sahiptir. Gizliliği ihlal edilirse, saldırgan barındırma pod'una veya konağına erişim elde etmek için ayrıcalıklı kapsayıcıyı kullanabilir.
MITRE taktikleri: PrivilegeEscalation, Execution
Önem Derecesi: Bilgilendiren
Hassas birim bağlaması algılanan kapsayıcı
(K8S_SensitiveMount)
Açıklama: Kubernetes denetim günlüğü analizi, hassas birim bağlaması olan yeni bir kapsayıcı algılandı. Algılanan birim, düğümden kapsayıcıya hassas bir dosya veya klasör takan bir hostPath türüdür. Kapsayıcının güvenliği aşılırsa, saldırgan düğüme erişim kazanmak için bu bağlamayı kullanabilir.
MITRE taktikleri: Ayrıcalık Yükseltme
Önem Derecesi: Bilgilendiren
Kubernetes'te CoreDNS değişikliği algılandı
Açıklama: Kubernetes denetim günlüğü analizi CoreDNS yapılandırmasında bir değişiklik algılandı. CoreDNS yapılandırması, yapılandırma haritası geçersiz kılınarak değiştirilebilir. Bu etkinlik yasal olsa da, saldırganların yapılandırma haritasını değiştirme izinleri varsa, kümenin DNS sunucusunun davranışını değiştirebilir ve zehirleyebilirler.
MITRE taktikleri: Yanal Hareket
Önem Derecesi: Düşük
Erişim web kancası yapılandırması oluşturma algılandı
(K8S_AdmissionController) 3
Açıklama: Kubernetes denetim günlüğü analizi yeni bir erişim web kancası yapılandırması algılandı. Kubernetes'in iki yerleşik genel erişim denetleyicisi vardır: MutatingAdmissionWebhook ve ValidatingAdmissionWebhook. Bu erişim denetleyicilerinin davranışı, kullanıcının kümeye dağıttığı bir erişim web kancası tarafından belirlenir. Bu tür erişim denetleyicilerinin kullanımı yasal olabilir, ancak saldırganlar istekleri değiştirmek (MutatingAdmissionWebhook durumunda) veya istekleri incelemek ve hassas bilgiler edinmek (ValidatingAdmissionWebhook durumunda) için bu tür web kancalarını kullanabilir.
MITRE taktikleri: Kimlik Bilgisi Erişimi, Kalıcılık
Önem Derecesi: Bilgilendiren
Bilinen kötü amaçlı bir kaynaktan dosya indirme algılandı
(K8S. NODE_SuspectDownload) 1
Açıklama: Kapsayıcı içinde veya doğrudan Kubernetes düğümünde çalışan işlemlerin analizi, kötü amaçlı yazılımları dağıtmak için sık kullanılan bir kaynaktan dosya indirdiğini algılamıştır.
MITRE taktikleri: PrivilegeEscalation, Execution, Exfil, Command And Control
Önem Derecesi: Orta
Şüpheli dosya indirme algılandı
(K8S. NODE_SuspectDownloadArtifacts) 1
Açıklama: Kapsayıcı içinde veya doğrudan kubernetes düğümünde çalışan işlemlerin analizi, uzak dosyanın şüpheli bir şekilde indirilmesini algılamıştır.
MITRE taktikleri: Kalıcılık
Önem Derecesi: Bilgilendiren
Nohup komutunun şüpheli kullanımı algılandı
(K8S. NODE_SuspectNohup) 1
Açıklama: Kapsayıcı içinde veya doğrudan Kubernetes düğümünde çalışan işlemlerin analizi, nohup komutunun şüpheli bir kullanımını algılamıştır. Saldırganlar, yürütülebilir dosyalarının arka planda çalışmasına izin vermek üzere geçici bir dizinden gizli dosyaları çalıştırmak için nohup komutunu kullanırken görüldü. Bu komutun geçici bir dizinde bulunan gizli dosyalarda çalıştırılması nadirdir.
MITRE taktikleri: Kalıcılık, DefenseEvasion
Önem Derecesi: Orta
useradd komutunun şüpheli kullanımı algılandı
(K8S. NODE_SuspectUserAddition) 1
Açıklama: Kapsayıcı içinde veya doğrudan kubernetes düğümünde çalışan işlemlerin analizi, useradd komutunun şüpheli bir kullanımını algılamıştır.
MITRE taktikleri: Kalıcılık
Önem Derecesi: Orta
Dijital para birimi madenciliği kapsayıcısı algılandı
(K8S_MaliciousContainerImage) 3
Açıklama: Kubernetes denetim günlüğü analizi, dijital para birimi madenciliği aracıyla ilişkilendirilmiş bir görüntüye sahip bir kapsayıcı algılamıştır.
MITRE taktikleri: Yürütme
Önem Derecesi: Yüksek
Dijital para birimi madenciliğiyle ilgili davranış algılandı
(K8S. NODE_DigitalCurrencyMining) 1
Açıklama: Kapsayıcı içinde veya doğrudan kubernetes düğümünde çalışan işlemlerin analizi, normalde dijital para birimi madenciliğiyle ilişkili bir işlemin veya komutun yürütülmesini algılamıştır.
MITRE taktikleri: Yürütme
Önem Derecesi: Yüksek
Kubernetes düğümünde Docker derleme işlemi algılandı
(K8S. NODE_ImageBuildOnNode) 1
Açıklama: Bir kapsayıcı içinde veya doğrudan kubernetes düğümünde çalışan işlemlerin analizi, Kubernetes düğümündeki bir kapsayıcı görüntüsünün derleme işlemini algılamıştır. Bu davranış yasal olsa da, saldırganlar algılamayı önlemek için kötü amaçlı görüntülerini yerel olarak oluşturabilir.
MITRE taktikleri: DefenseEvasion
Önem Derecesi: Bilgilendiren
Kullanıma sunulan Kubeflow panosu algılandı
(K8S_ExposedKubeflow)
Açıklama: Kubernetes denetim günlüğü analizi, Kubeflow çalıştıran bir kümedeki bir yük dengeleyici tarafından Istio Girişi'nin açığa çıkması algılandı. Bu eylem Kubeflow panosunu İnternet'te kullanıma sunar. Pano İnternet'e açıksa, saldırganlar panoya erişebilir ve kümede kötü amaçlı kapsayıcılar veya kod çalıştırabilir. Aşağıdaki makalede daha fazla ayrıntı bulabilirsiniz: https://aka.ms/exposedkubeflow-blog
MITRE taktikleri: İlk Erişim
Önem Derecesi: Orta
Kullanıma sunulan Kubernetes panosu algılandı
(K8S_ExposedDashboard)
Açıklama: Kubernetes denetim günlüğü analizi, Bir LoadBalancer hizmeti tarafından Kubernetes Panosunun kullanıma açık olduğunu algılandı. Kullanıma sunulan pano, küme yönetimine kimliği doğrulanmamış erişim sağlar ve bir güvenlik tehdidi oluşturur.
MITRE taktikleri: İlk Erişim
Önem Derecesi: Yüksek
Kullanıma sunulan Kubernetes hizmeti algılandı
(K8S_ExposedService)
Açıklama: Kubernetes denetim günlüğü analizi, bir hizmetin yük dengeleyici tarafından açığa çıkışını algılamıştı. Bu hizmet, düğümde işlemleri çalıştırma veya yeni kapsayıcılar oluşturma gibi kümede yüksek etkiye sahip işlemlere izin veren hassas bir uygulamayla ilgilidir. Bazı durumlarda, bu hizmet kimlik doğrulaması gerektirmez. Hizmet kimlik doğrulaması gerektirmiyorsa, bunu İnternet'e ifşa etmek güvenlik riski oluşturur.
MITRE taktikleri: İlk Erişim
Önem Derecesi: Orta
AKS'de kullanıma sunulan Redis hizmeti algılandı
(K8S_ExposedRedis)
Açıklama: Kubernetes denetim günlüğü analizi bir Redis hizmetinin yük dengeleyici tarafından açığa çıkışını algılamıştı. Hizmet kimlik doğrulaması gerektirmiyorsa, bunu İnternet'e ifşa etmek güvenlik riski oluşturur.
MITRE taktikleri: İlk Erişim
Önem Derecesi: Düşük
DDOS araç seti ile ilişkili göstergeler algılandı
(K8S. NODE_KnownLinuxDDoSToolkit) 1
Açıklama: Bir kapsayıcı içinde veya doğrudan kubernetes düğümünde çalışan işlemlerin analizi, DDoS saldırılarını başlatabilen, bağlantı noktalarını ve hizmetleri açabilen ve virüs bulaşmış sistem üzerinde tam denetim sahibi olabilecek kötü amaçlı yazılımlarla ilişkili bir araç setinin parçası olan dosya adlarını algılamıştır. Bu yasal bir etkinlik de olabilir.
MITRE taktikleri: Kalıcılık, LateralMovement, Yürütme, Sömürü
Önem Derecesi: Orta
Proxy IP adresinden K8S API istekleri algılandı
(K8S_TI_Proxy) 3
Açıklama: Kubernetes denetim günlüğü analizi, TOR gibi ara sunucu hizmetleriyle ilişkilendirilmiş bir IP adresinden kümenize API istekleri algılandı. Bu davranış meşru olsa da, saldırganlar kaynak IP'lerini gizlemeye çalıştığında genellikle kötü amaçlı etkinliklerde görülür.
MITRE taktikleri: Yürütme
Önem Derecesi: Düşük
Kubernetes olayları silindi
Açıklama: Bulut için Defender bazı Kubernetes olaylarının silindiğini algılamıştır. Kubernetes olayları, Kubernetes'te kümedeki değişiklikler hakkında bilgi içeren nesnelerdir. Saldırganlar, kümedeki işlemlerini gizlemek için bu olayları silebilir.
MITRE taktikleri: Savunma Kaçamak
Önem Derecesi: Düşük
Kubernetes sızma testi aracı algılandı
(K8S_PenTestToolsKubeHunter)
Açıklama: Kubernetes denetim günlüğü analizi, AKS kümesinde Kubernetes sızma testi aracının kullanımını algılandı. Bu davranış meşru olsa da, saldırganlar bu tür ortak araçları kötü amaçlı amaçlarla kullanabilir.
MITRE taktikleri: Yürütme
Önem Derecesi: Düşük
uyarıyı (tehdit değil) test Bulut için Microsoft Defender.
(K8S. NODE_EICAR) 1
Açıklama: Bu, Bulut için Microsoft Defender tarafından oluşturulan bir test uyarısıdır. Başka bir şey yapmanız gerekmez.
MITRE taktikleri: Yürütme
Önem Derecesi: Yüksek
Kube-system ad alanında yeni kapsayıcı algılandı
(K8S_KubeSystemContainer) 3
Açıklama: Kubernetes denetim günlüğü analizi, kube-system ad alanında normalde bu ad alanında çalışan kapsayıcılar arasında olmayan yeni bir kapsayıcı algılandı. kube-system ad alanları kullanıcı kaynakları içermemelidir. Saldırganlar kötü amaçlı bileşenleri gizlemek için bu ad alanını kullanabilir.
MITRE taktikleri: Kalıcılık
Önem Derecesi: Bilgilendiren
Yeni yüksek ayrıcalık rolü algılandı
(K8S_HighPrivilegesRole) 3
Açıklama: Kubernetes denetim günlüğü analizi yüksek ayrıcalıklara sahip yeni bir rol algılandı. Yüksek ayrıcalıklara sahip bir role bağlama, kullanıcıya\gruba kümede yüksek ayrıcalıklar verir. Gereksiz ayrıcalıklar kümede ayrıcalık yükseltmesine neden olabilir.
MITRE taktikleri: Kalıcılık
Önem Derecesi: Bilgilendiren
Olası saldırı aracı algılandı
(K8S. NODE_KnownLinuxAttackTool) 1
Açıklama: Kapsayıcı içinde veya doğrudan Kubernetes düğümünde çalışan işlemlerin analizi, şüpheli bir araç çağrısı algılamıştır. Bu araç genellikle başkalarına saldıran kötü amaçlı kullanıcılarla ilişkilendirilir.
MITRE taktikleri: Yürütme, Toplama, Komut ve Denetim, Yoklama
Önem Derecesi: Orta
Olası arka kapı algılandı
(K8S. NODE_LinuxBackdoorArtifact) 1
Açıklama: Kapsayıcı içinde veya doğrudan kubernetes düğümünde çalışan işlemlerin analizi, şüpheli bir dosyanın indirildiğini ve çalıştırıldığını algılamıştır. Bu etkinlik daha önce bir arka kapı yüklemesiyle ilişkilendirilmiştir.
MITRE taktikleri: Kalıcılık, DefenseEvasion, Yürütme, Sömürü
Önem Derecesi: Orta
Olası komut satırından yararlanma girişimi
(K8S. NODE_ExploitAttempt) 1
Açıklama: Kapsayıcı içinde veya doğrudan kubernetes düğümünde çalışan işlemlerin analizi, bilinen bir güvenlik açığına karşı olası bir açıklardan yararlanma girişimi algılamıştır.
MITRE taktikleri: Exploitation
Önem Derecesi: Orta
Olası kimlik bilgisi erişim aracı algılandı
(K8S. NODE_KnownLinuxCredentialAccessTool) 1
Açıklama: Kapsayıcı içinde veya doğrudan bir Kubernetes düğümünde çalışan işlemlerin analizi, belirtilen işlem ve komut satırı geçmişi öğesi tarafından tanımlandığı gibi kapsayıcıda bilinen bir kimlik bilgisi erişim aracının çalıştığını algılamıştır. Bu araç genellikle saldırganların kimlik bilgilerine erişme girişimleriyle ilişkilendirilir.
MITRE taktikleri: CredentialAccess
Önem Derecesi: Orta
Olası Cryptocoinminer indirmesi algılandı
(K8S. NODE_CryptoCoinMinerDownload) 1
Açıklama: Kapsayıcı içinde veya doğrudan kubernetes düğümünde çalışan işlemlerin analizi, normalde dijital para birimi madenciliğiyle ilişkili bir dosyanın indirilmesini algılamıştır.
MITRE taktikleri: DefenseEvasion, Command And Control, Exploitation
Önem Derecesi: Orta
Olası Günlük Değiştirme Etkinliği Algılandı
(K8S. NODE_SystemLogRemoval) 1
Açıklama: Kapsayıcı içinde veya doğrudan Kubernetes düğümünde çalışan işlemlerin analizi, işlem sırasında kullanıcının etkinliğini izleyen dosyaların olası bir kaldırılmasını algılamıştır. Saldırganlar genellikle algılamadan kaçınmaya çalışır ve bu tür günlük dosyalarını silerek kötü amaçlı etkinliklere dair hiçbir iz bırakmaz.
MITRE taktikleri: DefenseEvasion
Önem Derecesi: Orta
crypt-method kullanılarak olası parola değişikliği algılandı
(K8S. NODE_SuspectPasswordChange) 1
Açıklama: Bir kapsayıcı içinde veya doğrudan kubernetes düğümünde çalışan işlemlerin analizi, şifreleme yöntemini kullanarak bir parola değişikliği algılamıştır. Saldırganlar erişime devam etmek ve güvenliğin aşılmasından sonra kalıcılık kazanmak için bu değişikliği yapabilir.
MITRE taktikleri: CredentialAccess
Önem Derecesi: Orta
Dış IP adresine olası bağlantı noktası iletme
(K8S. NODE_SuspectPortForwarding) 1
Açıklama: Kapsayıcı içinde veya doğrudan kubernetes düğümünde çalışan işlemlerin analizi, bir dış IP adresine bağlantı noktası iletme işleminin başlatıldığını algılamıştır.
MITRE taktikleri: Sızdırma, Komut ve Denetim
Önem Derecesi: Orta
Olası ters kabuk algılandı
(K8S. NODE_ReverseShell) 1
Açıklama: Kapsayıcı içinde veya doğrudan kubernetes düğümünde çalışan işlemlerin analizi, olası bir ters kabuk algılamıştır. Bunlar, güvenliği aşılmış bir makinenin bir saldırganın sahip olduğu bir makineye geri çağrıda bulunması için kullanılır.
MITRE taktikleri: Sızdırma, Sömürü
Önem Derecesi: Orta
Ayrıcalıklı kapsayıcı algılandı
(K8S_PrivilegedContainer)
Açıklama: Kubernetes denetim günlüğü analizi yeni bir ayrıcalıklı kapsayıcı algılandı. Ayrıcalıklı bir kapsayıcı düğümün kaynaklarına erişebilir ve kapsayıcılar arasındaki yalıtımı keser. Gizliliği ihlal edilirse, saldırgan düğüme erişim elde etmek için ayrıcalıklı kapsayıcıyı kullanabilir.
MITRE taktikleri: Ayrıcalık Yükseltme
Önem Derecesi: Bilgilendiren
Dijital para birimi madenciliğiyle ilişkili işlem algılandı
(K8S. NODE_CryptoCoinMinerArtifacts) 1
Açıklama: Kapsayıcı içinde çalışan işlemlerin analizi, normalde dijital para madenciliğiyle ilişkili bir işlemin yürütülmesini algılamıştı.
MITRE taktikleri: Yürütme, Sömürü
Önem Derecesi: Orta
SSH yetkili anahtarlar dosyasına olağan dışı bir şekilde erişilirken görülen işlem
(K8S. NODE_SshKeyAccess) 1
Açıklama: Bilinen kötü amaçlı yazılım kampanyalarına benzer bir yöntemde bir SSH authorized_keys dosyasına erişildi. Bu erişim, bir aktörün makineye kalıcı erişim elde etmeye çalıştığına işaret edebilir.
MITRE taktikleri: Bilinmiyor
Önem Derecesi: Bilgilendiren
Küme yöneticisi rolüne rol bağlama algılandı
(K8S_Cluster Yönetici Binding)
Açıklama: Kubernetes denetim günlüğü analizi, yönetici ayrıcalıkları veren küme yöneticisi rolüne yeni bir bağlama algılandı. Gereksiz yönetici ayrıcalıkları kümede ayrıcalık yükseltmesine neden olabilir.
MITRE taktikleri: Kalıcılık
Önem Derecesi: Bilgilendiren
Güvenlikle ilgili işlem sonlandırma algılandı
(K8S. NODE_SuspectProcessTermination) 1
Açıklama: Kapsayıcı içinde veya doğrudan kubernetes düğümünde çalışan işlemlerin analizi, kapsayıcıdaki güvenlik izlemeyle ilgili işlemleri sonlandırma girişimi algılandı. Saldırganlar genellikle güvenliğin aşılmasından sonra önceden tanımlanmış betikleri kullanarak bu tür işlemleri sonlandırmaya çalışır.
MITRE taktikleri: Kalıcılık
Önem Derecesi: Düşük
SSH sunucusu bir kapsayıcı içinde çalışıyor
(K8S. NODE_ContainerSSH) 1
Açıklama: Kapsayıcı içinde çalışan işlemlerin analizi, kapsayıcı içinde çalışan bir SSH sunucusu algılandı.
MITRE taktikleri: Yürütme
Önem Derecesi: Bilgilendiren
Şüpheli dosya zaman damgası değişikliği
(K8S. NODE_TimestampTampering) 1
Açıklama: Kapsayıcı içinde veya doğrudan kubernetes düğümünde çalışan işlemlerin analizi, şüpheli bir zaman damgası değişikliği algılamıştır. Saldırganlar, yeni bırakılan bu dosyaların algılanmasını önlemek için genellikle mevcut geçerli dosyalardan zaman damgalarını yeni araçlara kopyalar.
MITRE taktikleri: Kalıcılık, DefenseEvasion
Önem Derecesi: Düşük
Kubernetes API'sine şüpheli istek
(K8S. NODE_KubernetesAPI) 1
Açıklama: Kapsayıcı içinde çalışan işlemlerin analizi, Kubernetes API'sine şüpheli bir istek yapıldığını gösterir. İstek, kümedeki bir kapsayıcıdan gönderildi. Bu davranış kasıtlı olarak gerçekleştirilse de, kümede güvenliği aşılmış bir kapsayıcının çalıştığını gösterebilir.
MITRE taktikleri: LateralMovement
Önem Derecesi: Orta
Kubernetes Panosuna şüpheli istek
(K8S. NODE_KubernetesDashboard) 1
Açıklama: Kapsayıcı içinde çalışan işlemlerin analizi, Kubernetes Panosu'na şüpheli bir istek yapıldığını gösterir. İstek, kümedeki bir kapsayıcıdan gönderildi. Bu davranış kasıtlı olarak gerçekleştirilse de, kümede güvenliği aşılmış bir kapsayıcının çalıştığını gösterebilir.
MITRE taktikleri: LateralMovement
Önem Derecesi: Orta
Potansiyel kripto para madencileri başlatıldı
(K8S. NODE_CryptoCoinMinerExecution) 1
Açıklama: Kapsayıcı içinde veya doğrudan kubernetes düğümünde çalışan işlemlerin analizi, normalde dijital para birimi madenciliğiyle ilişkili bir şekilde başlatılan bir işlem algılamıştır.
MITRE taktikleri: Yürütme
Önem Derecesi: Orta
Şüpheli parola erişimi
(K8S. NODE_SuspectPasswordFileAccess) 1
Açıklama: Kapsayıcı içinde veya doğrudan Kubernetes düğümünde çalışan işlemlerin analizi, şifrelenmiş kullanıcı parolalarına erişmeye yönelik şüpheli girişim algılandı.
MITRE taktikleri: Kalıcılık
Önem Derecesi: Bilgilendiren
Olası kötü amaçlı web kabuğu algılandı.
(K8S. NODE_Webshell) 1
Açıklama: Kapsayıcı içinde çalışan işlemlerin analizinde olası bir web kabuğu algılandı. Saldırganlar genellikle kalıcılık kazanmak veya daha fazla yararlanma amacıyla güvenliği aşmış oldukları bir işlem kaynağına bir web kabuğu yükler.
MITRE taktikleri: Kalıcılık, Sömürü
Önem Derecesi: Orta
Birden çok keşif komutunun patlaması, güvenlik ihlallerinden sonra ilk etkinliği gösterebilir
(K8S. NODE_ReconnaissanceArtifactsBurst) 1
Açıklama: İlk güvenlik ihlallerinden sonra saldırganlar tarafından gerçekleştirilen sistem veya konak ayrıntılarını toplamayla ilgili birden çok keşif komutunun yürütüldiğini algılayan konak/cihaz verilerinin analizi.
MITRE taktikleri: Bulma, Toplama
Önem Derecesi: Düşük
Şüpheli indirme ve ardından etkinlik çalıştırma
(K8S. NODE_DownloadAndRunCombo) 1
Açıklama: Kapsayıcı içinde veya doğrudan kubernetes düğümünde çalışan işlemlerin analizi, bir dosyanın indirildiğini algılamıştır ve ardından aynı komutta çalıştırılır. Bu her zaman kötü amaçlı olmasa da, saldırganların kötü amaçlı dosyaları kurban makinelerine almak için kullandığı çok yaygın bir tekniktir.
MITRE taktikleri: Yürütme, CommandAndControl, Exploitation
Önem Derecesi: Orta
Kubelet kubeconfig dosyasına erişim algılandı
(K8S. NODE_KubeConfigAccess) 1
Açıklama: Kubernetes küme düğümünde çalışan işlemlerin analizi, konak üzerindeki kubeconfig dosyasına erişim algılandı. Normalde Kubelet işlemi tarafından kullanılan kubeconfig dosyası, Kubernetes kümesi API sunucusu için kimlik bilgilerini içerir. Bu dosyaya erişim genellikle bu kimlik bilgilerine erişmeye çalışan saldırganlarla veya dosyanın erişilebilir olup olmadığını denetleyen güvenlik tarama araçlarıyla ilişkilendirilir.
MITRE taktikleri: CredentialAccess
Önem Derecesi: Orta
Bulut meta veri hizmetine erişim algılandı
(K8S. NODE_ImdsCall) 1
Açıklama: Kimlik belirteci almak için bulut meta veri hizmetine erişim algılanan bir kapsayıcı içinde çalışan işlemlerin analizi. Kapsayıcı normalde böyle bir işlem gerçekleştirmez. Bu davranış geçerli olsa da, saldırganlar çalışan bir kapsayıcıya ilk erişim elde ettikten sonra bulut kaynaklarına erişmek için bu tekniği kullanabilir.
MITRE taktikleri: CredentialAccess
Önem Derecesi: Orta
MITRE Caldera aracısı algılandı
(K8S. NODE_MitreCalderaTools) 1
Açıklama: Kapsayıcı içinde veya doğrudan Kubernetes düğümünde çalışan işlemlerin analizi şüpheli bir işlem algılamıştır. Bu genellikle diğer makinelere saldırmak için kötü amaçlı olarak kullanılabilecek MITRE 54ndc47 aracısı ile ilişkilendirilir.
MITRE taktikleri: Kalıcılık, PrivilegeEscalation, DefenseEvasion, CredentialAccess, Discovery, LateralMovement, Execution, Collection, Exfiltration, Command And Control, Probing, Exploitation
Önem Derecesi: Orta
1: AKS olmayan kümeler için önizleme: Bu uyarı AKS kümeleri için genel olarak kullanılabilir, ancak Azure Arc, EKS ve GKE gibi diğer ortamlar için önizleme aşamasındadır.
2: GKE kümelerindeki sınırlamalar: GKE, tüm uyarı türlerini desteklemeyen bir Kubernetes denetim ilkesi kullanır. Sonuç olarak, Kubernetes denetim olaylarını temel alan bu güvenlik uyarısı GKE kümeleri için desteklenmez.
3: Bu uyarı Windows düğümlerinde/kapsayıcılarında desteklenir.
SQL Veritabanı ve Azure Synapse Analytics için uyarılar
SQL Ekleme için olası bir güvenlik açığı
(SQL. SQL'i DB_VulnerabilityToSqlInjection. SQL VM_VulnerabilityToSqlInjection SQL.MI_VulnerabilityToSqlInjection. DW_VulnerabilityToSqlInjection Synapse.SQLPool_VulnerabilityToSqlInjection)
Açıklama: Bir uygulama veritabanında hatalı bir SQL deyimi oluşturdu. Bu, SQL ekleme saldırılarına karşı olası bir güvenlik açığını gösterebilir. Hatalı bir deyimin iki olası nedeni vardır. Uygulama kodundaki bir hata hatalı SQL deyimini oluşturmuydu. Öte yandan uygulama kodu veya saklı yordamlar, HATALı SQL deyimini oluştururken kullanıcı girişini temizlemedi. Bu, SQL ekleme için kötüye kullanılabilir.
MITRE taktikleri: PreAttack
Önem Derecesi: Orta
Zararlı olabilecek bir uygulama tarafından oturum açmaya çalışıldı
(SQL. SQL DB_HarmfulApplication. SQL VM_HarmfulApplication SQL.MI_HarmfulApplication. DW_HarmfulApplication Synapse.SQLPool_HarmfulApplication)
Açıklama: Zararlı olabilecek bir uygulama kaynağınıza erişmeye çalıştı.
MITRE taktikleri: PreAttack
Önem Derecesi: Yüksek
Olağan dışı bir Azure Veri Merkezi'nden oturum açma
(SQL. SQL DB_DataCenterAnomaly. SQL VM_DataCenterAnomaly. DW_DataCenterAnomaly SQL.MI_DataCenterAnomaly Synapse.SQLPool_DataCenterAnomaly)
Açıklama: Sql Server'a erişim düzeninde bir değişiklik yapılmıştır ve burada birisi olağan dışı bir Azure Veri Merkezi'nden sunucuda oturum açmıştır. Bazı durumlarda, uyarı geçerli bir eylem (yeni bir uygulama veya Azure hizmeti) algılar. Diğer durumlarda, uyarı kötü amaçlı bir eylem (Azure'da ihlal edilen kaynaktan çalışan saldırgan) algılar.
MITRE taktikleri: Yoklama
Önem Derecesi: Düşük
Olağan dışı bir konumdan oturum açma
(SQL. SQL DB_GeoAnomaly. SQL'i VM_GeoAnomaly. DW_GeoAnomaly SQL.MI_GeoAnomaly Synapse.SQLPool_GeoAnomaly)
Açıklama: SQL Server'a erişim düzeninde bir değişiklik yapıldı ve burada birisi olağandışı bir coğrafi konumdan sunucuda oturum açtı. Bazı durumlarda uyarı güvenli işlemleri (yeni bir uygulama veya geliştirici bakımı gibi) de algılar. Diğer durumlarda, uyarı kötü amaçlı bir eylem (eski bir çalışan veya dış saldırgan) algılar.
MITRE taktikleri: Exploitation
Önem Derecesi: Orta
60 gün içinde görünmeyen asıl kullanıcıdan oturum açma
(SQL. SQL DB_PrincipalAnomaly. SQL VM_PrincipalAnomaly. DW_PrincipalAnomaly SQL.MI_PrincipalAnomaly Synapse.SQLPool_PrincipalAnomaly)
Açıklama: Son 60 gün içinde görünmeyen bir asıl kullanıcı veritabanınızda oturum açtı. Bu veritabanı yeniyse veya veritabanına erişen kullanıcılarda yapılan son değişikliklerden kaynaklanan beklenen davranış Bulut için Defender, erişim desenlerinde önemli değişiklikleri belirler ve gelecekteki hatalı pozitif sonuçları önlemeye çalışır.
MITRE taktikleri: Exploitation
Önem Derecesi: Orta
60 gün içinde görünmeyen bir etki alanından oturum açma
(SQL. SQL'i DB_DomainAnomaly. SQL'VM_DomainAnomaly. DW_DomainAnomaly SQL.MI_DomainAnomaly Synapse.SQLPool_DomainAnomaly)
Açıklama: Bir kullanıcı, son 60 gün içinde başka hiçbir kullanıcının bağlanmadığı bir etki alanından kaynağınızda oturum açtı. Bu kaynak yeniyse veya kaynağa erişen kullanıcılarda yapılan son değişikliklerden kaynaklanan beklenen davranış Bulut için Defender erişim desenlerinde önemli değişiklikleri belirler ve gelecekteki hatalı pozitif sonuçları önlemeye çalışır.
MITRE taktikleri: Exploitation
Önem Derecesi: Orta
Şüpheli bir IP'den oturum açma
(SQL. SQL DB_SuspiciousIpAnomaly. SQL'i VM_SuspiciousIpAnomaly. DW_SuspiciousIpAnomaly SQL.MI_SuspiciousIpAnomaly Synapse.SQLPool_SuspiciousIpAnomaly)
Açıklama: Kaynağınıza Microsoft Threat Intelligence'ın şüpheli etkinlikle ilişkilendirdiği bir IP adresinden başarıyla erişildi.
MITRE taktikleri: PreAttack
Önem Derecesi: Orta
Olası SQL ekleme
(SQL. SQL DB_PotentialSqlInjection. SQL VM_PotentialSqlInjection SQL.MI_PotentialSqlInjection. DW_PotentialSqlInjection Synapse.SQLPool_PotentialSqlInjection)
Açıklama: SQL eklemeye karşı savunmasız olarak tanımlanan bir uygulamaya karşı etkin bir açık oluştu. Bu, saldırganın güvenlik açığı bulunan uygulama kodunu veya saklı yordamları kullanarak kötü amaçlı SQL deyimleri eklemeye çalıştığı anlamına gelir.
MITRE taktikleri: PreAttack
Önem Derecesi: Yüksek
Geçerli bir kullanıcı kullanılarak deneme yanılma saldırısı olduğundan şüphelenildi
(SQL. SQL DB_BruteForce. SQL'i VM_BruteForce. DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)
Açıklama: Kaynağınızda olası bir deneme yanılma saldırısı algılandı. Saldırgan, oturum açma izinlerine sahip geçerli kullanıcıyı (kullanıcı adı) kullanıyor.
MITRE taktikleri: PreAttack
Önem Derecesi: Yüksek
Şüpheli deneme yanılma saldırısı
(SQL. SQL DB_BruteForce. SQL'i VM_BruteForce. DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)
Açıklama: Kaynağınızda olası bir deneme yanılma saldırısı algılandı.
MITRE taktikleri: PreAttack
Önem Derecesi: Yüksek
Başarılı deneme yanılma saldırısı olduğundan şüphelenildi
(SQL. SQL DB_BruteForce. SQL'i VM_BruteForce. DW_BruteForce SQL.MI_BruteForce Synapse.SQLPool_BruteForce)
Açıklama: Kaynağınızda görünen bir deneme yanılma saldırısı sonrasında başarılı bir oturum açma işlemi gerçekleşti.
MITRE taktikleri: PreAttack
Önem Derecesi: Yüksek
SQL Server bir Windows komut kabuğu oluşturup anormal bir dış kaynağa erişmiş olabilir
(SQL. SQL'i DB_ShellExternalSourceAnomaly. SQL VM_ShellExternalSourceAnomaly. DW_ShellExternalSourceAnomaly SQL.MI_ShellExternalSourceAnomaly Synapse.SQLPool_ShellExternalSourceAnomaly)
Açıklama: Şüpheli bir SQL deyimi, daha önce görülmemiş bir dış kaynağa sahip bir Windows komut kabuğu oluşturmuş olabilir. Dış kaynağa erişen bir kabuğu yürütmek, saldırganlar tarafından kötü amaçlı yükü indirmek ve ardından makinede yürüterek güvenliğini aşmak için kullanılan bir yöntemdir. Bu, bir saldırganın kötü amaçlı görevleri uzak yönde gerçekleştirmesini sağlar. Alternatif olarak, dış kaynağa erişmek, verileri dış bir hedefe silmek için kullanılabilir.
MITRE taktikleri: Yürütme
Önem Derecesi: Yüksek
Sql Server tarafından karartılmış parçalar ile olağan dışı yük başlatıldı
(SQL. VM_PotentialSqlInjection)
Açıklama: Birisi SQL sorgusundaki komutu gizlerken işletim sistemiyle iletişim kuran SQL Server katmanını kullanan yeni bir yük başlattı. Saldırganlar genellikle xp_cmdshell, sp_add_job ve diğerleri gibi popüler olarak izlenen etkili komutları gizler. Karartma teknikleri, regex algılamasını önlemek ve günlüklerin okunabilirliğini bozmak için dize birleştirme, atama, temel değiştirme ve diğerleri gibi meşru komutları kötüye kullanır.
MITRE taktikleri: Yürütme
Önem Derecesi: Yüksek
Açık kaynak ilişkisel veritabanları için uyarılar
Geçerli bir kullanıcı kullanılarak deneme yanılma saldırısı olduğundan şüphelenildi
(SQL. SQL PostgreSQL_BruteForce. SQL MariaDB_BruteForce. MySQL_BruteForce)
Açıklama: Kaynağınızda olası bir deneme yanılma saldırısı algılandı. Saldırgan, oturum açma izinlerine sahip geçerli kullanıcıyı (kullanıcı adı) kullanıyor.
MITRE taktikleri: PreAttack
Önem Derecesi: Yüksek
Başarılı deneme yanılma saldırısı olduğundan şüphelenildi
(SQL. SQL PostgreSQL_BruteForce. SQL'MySQL_BruteForce. MariaDB_BruteForce)
Açıklama: Kaynağınızda görünen bir deneme yanılma saldırısı sonrasında başarılı bir oturum açma işlemi gerçekleşti.
MITRE taktikleri: PreAttack
Önem Derecesi: Yüksek
Şüpheli deneme yanılma saldırısı
(SQL. SQL PostgreSQL_BruteForce. SQL'MySQL_BruteForce. MariaDB_BruteForce)
Açıklama: Kaynağınızda olası bir deneme yanılma saldırısı algılandı.
MITRE taktikleri: PreAttack
Önem Derecesi: Yüksek
Zararlı olabilecek bir uygulama tarafından oturum açmaya çalışıldı
(SQL. SQL PostgreSQL_HarmfulApplication. SQL MariaDB_HarmfulApplication. MySQL_HarmfulApplication)
Açıklama: Zararlı olabilecek bir uygulama kaynağınıza erişmeye çalıştı.
MITRE taktikleri: PreAttack
Önem Derecesi: Yüksek
60 gün içinde görünmeyen asıl kullanıcıdan oturum açma
(SQL. SQL PostgreSQL_PrincipalAnomaly. SQL MariaDB_PrincipalAnomaly. MySQL_PrincipalAnomaly)
Açıklama: Son 60 gün içinde görünmeyen bir asıl kullanıcı veritabanınızda oturum açtı. Bu veritabanı yeniyse veya veritabanına erişen kullanıcılarda yapılan son değişikliklerden kaynaklanan beklenen davranış Bulut için Defender, erişim desenlerinde önemli değişiklikleri belirler ve gelecekteki hatalı pozitif sonuçları önlemeye çalışır.
MITRE taktikleri: Exploitation
Önem Derecesi: Orta
60 gün içinde görünmeyen bir etki alanından oturum açma
(SQL. SQL MariaDB_DomainAnomaly. SQL'i PostgreSQL_DomainAnomaly. MySQL_DomainAnomaly)
Açıklama: Bir kullanıcı, son 60 gün içinde başka hiçbir kullanıcının bağlanmadığı bir etki alanından kaynağınızda oturum açtı. Bu kaynak yeniyse veya kaynağa erişen kullanıcılarda yapılan son değişikliklerden kaynaklanan beklenen davranış Bulut için Defender erişim desenlerinde önemli değişiklikleri belirler ve gelecekteki hatalı pozitif sonuçları önlemeye çalışır.
MITRE taktikleri: Exploitation
Önem Derecesi: Orta
Olağan dışı bir Azure Veri Merkezi'nden oturum açma
(SQL. SQL'PostgreSQL_DataCenterAnomaly. SQL'i MariaDB_DataCenterAnomaly. MySQL_DataCenterAnomaly)
Açıklama: Birisi olağan dışı bir Azure Veri Merkezi'nden kaynağınızda oturum açmış.
MITRE taktikleri: Yoklama
Önem Derecesi: Düşük
Olağan dışı bir bulut sağlayıcısından oturum açma
(SQL. SQL'i PostgreSQL_CloudProviderAnomaly. SQL MariaDB_CloudProviderAnomaly. MySQL_CloudProviderAnomaly)
Açıklama: Birisi son 60 gün içinde görünmeyen bir bulut sağlayıcısından kaynağınızda oturum açtı. Tehdit aktörlerinin kampanyalarında kullanılmak üzere tek kullanımlık işlem gücü elde etmeleri hızlı ve kolaydır. Yeni bir bulut sağlayıcısının yakın zamanda benimsenmesi nedeniyle bu beklenen bir davranışsa, Bulut için Defender zaman içinde öğrenir ve gelecekteki hatalı pozitif sonuçları önlemeye çalışır.
MITRE taktikleri: Exploitation
Önem Derecesi: Orta
Olağan dışı bir konumdan oturum açma
(SQL. SQL'i MariaDB_GeoAnomaly. SQL PostgreSQL_GeoAnomaly. MySQL_GeoAnomaly)
Açıklama: Birisi olağan dışı bir Azure Veri Merkezi'nden kaynağınızda oturum açmış.
MITRE taktikleri: Exploitation
Önem Derecesi: Orta
Şüpheli bir IP'den oturum açma
(SQL. SQL PostgreSQL_SuspiciousIpAnomaly. SQL'i MariaDB_SuspiciousIpAnomaly. MySQL_SuspiciousIpAnomaly)
Açıklama: Kaynağınıza Microsoft Threat Intelligence'ın şüpheli etkinlikle ilişkilendirdiği bir IP adresinden başarıyla erişildi.
MITRE taktikleri: PreAttack
Önem Derecesi: Orta
Resource Manager uyarıları
Not
Temsilci erişimi göstergesi olan uyarılar, üçüncü taraf hizmet sağlayıcılarının etkinliği nedeniyle tetiklenir. hizmet sağlayıcıları etkinlik göstergeleri hakkında daha fazla bilgi edinin.
Şüpheli IP adresinden Azure Resource Manager işlemi
(ARM_OperationFromSuspiciousIP)
Açıklama: Resource Manager için Microsoft Defender, tehdit bilgileri akışlarında şüpheli olarak işaretlenmiş bir IP adresinden bir işlem algılamıştır.
MITRE taktikleri: Yürütme
Önem Derecesi: Orta
Şüpheli proxy IP adresinden Azure Resource Manager işlemi
(ARM_OperationFromSuspiciousProxyIP)
Açıklama: Resource Manager için Microsoft Defender, TOR gibi ara sunucu hizmetleriyle ilişkili bir IP adresinden bir kaynak yönetimi işlemi algılamıştı. Bu davranış meşru olsa da, tehdit aktörleri kaynak IP'lerini gizlemeye çalıştığında genellikle kötü amaçlı etkinliklerde görülür.
MITRE taktikleri: Savunma Kaçamak
Önem Derecesi: Orta
Aboneliklerinizdeki kaynakları listelemek için kullanılan MicroBurst yararlanma araç seti
(ARM_MicroBurst.AzDomainInfo)
Açıklama: Aboneliğinizde bir PowerShell betiği çalıştırıldı ve kaynakları, izinleri ve ağ yapılarını bulmak için bilgi toplama işlemlerini yürütmek için şüpheli bir desen gerçekleştirdiniz. Tehdit aktörleri, kötü amaçlı etkinliklerle ilgili bilgi toplamak için MicroBurst gibi otomatik betikler kullanır. Bu, aboneliğinizdeki Azure Resource Manager işlemleri çözümlenerek algılandı. Bu işlem, kuruluşunuzdaki bir kimliğin ihlal edildiğine ve tehdit aktörünün kötü amaçlı amaçlar için ortamınızı tehlikeye atmaya çalıştığına işaret edebilir.
Önem Derecesi: Düşük
Aboneliklerinizdeki kaynakları listelemek için kullanılan MicroBurst yararlanma araç seti
(ARM_MicroBurst.AzureDomainInfo)
Açıklama: Aboneliğinizde bir PowerShell betiği çalıştırıldı ve kaynakları, izinleri ve ağ yapılarını bulmak için bilgi toplama işlemlerini yürütmek için şüpheli bir desen gerçekleştirdiniz. Tehdit aktörleri, kötü amaçlı etkinliklerle ilgili bilgi toplamak için MicroBurst gibi otomatik betikler kullanır. Bu, aboneliğinizdeki Azure Resource Manager işlemleri çözümlenerek algılandı. Bu işlem, kuruluşunuzdaki bir kimliğin ihlal edildiğine ve tehdit aktörünün kötü amaçlı amaçlar için ortamınızı tehlikeye atmaya çalıştığına işaret edebilir.
Önem Derecesi: Düşük
Sanal makinenizde kod yürütmek için kullanılan MicroBurst yararlanma araç seti
(ARM_MicroBurst.AzVMBulkCMD)
Açıklama: Aboneliğinizde bir PowerShell betiği çalıştırıldı ve sanal makinede veya VM listesinde kod yürütmeye yönelik şüpheli bir desen gerçekleştirildi. Tehdit aktörleri, kötü amaçlı etkinlikler için sanal makinede betik çalıştırmak için MicroBurst gibi otomatik betikler kullanır. Bu, aboneliğinizdeki Azure Resource Manager işlemleri çözümlenerek algılandı. Bu işlem, kuruluşunuzdaki bir kimliğin ihlal edildiğine ve tehdit aktörünün kötü amaçlı amaçlar için ortamınızı tehlikeye atmaya çalıştığına işaret edebilir.
MITRE taktikleri: Yürütme
Önem Derecesi: Yüksek
Sanal makinenizde kod yürütmek için kullanılan MicroBurst yararlanma araç seti
(RM_MicroBurst.AzureRmVMBulkCMD)
Açıklama: MicroBurst'un yararlanma araç seti sanal makinelerinizde kod yürütmek için kullanıldı. Bu, aboneliğinizdeki Azure Resource Manager işlemleri çözümlenerek algılandı.
Önem Derecesi: Yüksek
Azure anahtar kasalarınızdaki anahtarları ayıklamak için kullanılan MicroBurst açıklarından yararlanma araç seti
(ARM_MicroBurst.AzKeyVaultKeysREST)
Açıklama: Aboneliğinizde bir PowerShell betiği çalıştırıldı ve Azure Key Vault'lardan anahtar ayıklamaya yönelik şüpheli bir desen gerçekleştirildi. Tehdit aktörleri, anahtarları listelemek ve hassas verilere erişmek veya yanal hareket gerçekleştirmek için bunları kullanmak için MicroBurst gibi otomatik betikler kullanır. Bu, aboneliğinizdeki Azure Resource Manager işlemleri çözümlenerek algılandı. Bu işlem, kuruluşunuzdaki bir kimliğin ihlal edildiğine ve tehdit aktörünün kötü amaçlı amaçlar için ortamınızı tehlikeye atmaya çalıştığına işaret edebilir.
Önem Derecesi: Yüksek
Depolama hesaplarınıza anahtar ayıklamak için kullanılan MicroBurst açıklarından yararlanma araç seti
(ARM_MicroBurst.AZ Depolama KeysREST)
Açıklama: Aboneliğinizde bir PowerShell betiği çalıştırıldı ve Depolama Hesaplarına anahtar ayıklamak için şüpheli bir desen gerçekleştirildi. Tehdit aktörleri, anahtarları listelemek ve bunları kullanarak Depolama Hesabınızdaki hassas verilere erişmek için MicroBurst gibi otomatik betikler kullanır. Bu, aboneliğinizdeki Azure Resource Manager işlemleri çözümlenerek algılandı. Bu işlem, kuruluşunuzdaki bir kimliğin ihlal edildiğine ve tehdit aktörünün kötü amaçlı amaçlar için ortamınızı tehlikeye atmaya çalıştığına işaret edebilir.
MITRE taktikleri: Koleksiyon
Önem Derecesi: Yüksek
Azure anahtar kasalarınızdan gizli dizileri ayıklamak için kullanılan MicroBurst açıklarından yararlanma araç seti
(ARM_MicroBurst.AzKeyVaultSecretsREST)
Açıklama: Aboneliğinizde bir PowerShell betiği çalıştırıldı ve Azure Key Vault'lardan gizli dizi ayıklamaya yönelik şüpheli bir desen gerçekleştirildi. Tehdit aktörleri gizli dizileri listelemek ve bunları hassas verilere erişmek veya yanal hareket gerçekleştirmek için MicroBurst gibi otomatik betikler kullanır. Bu, aboneliğinizdeki Azure Resource Manager işlemleri çözümlenerek algılandı. Bu işlem, kuruluşunuzdaki bir kimliğin ihlal edildiğine ve tehdit aktörünün kötü amaçlı amaçlar için ortamınızı tehlikeye atmaya çalıştığına işaret edebilir.
Önem Derecesi: Yüksek
Azure AD'den Azure'a erişimi yükseltmek için kullanılan PowerZure yararlanma araç seti
(ARM_PowerZure.AzureElevatedPrivileges)
Açıklama: AzureAD'den Azure'a erişimi yükseltmek için PowerZure yararlanma araç seti kullanıldı. Bu, kiracınızdaki Azure Resource Manager işlemleri çözümlenerek algılandı.
Önem Derecesi: Yüksek
Kaynakları listelemek için kullanılan PowerZure exploitation toolkit
(ARM_PowerZure.GetAzureTargets)
Açıklama: PowerZure exploitation toolkit, kuruluşunuzdaki meşru bir kullanıcı hesabı adına kaynakları listelemek için kullanıldı. Bu, aboneliğinizdeki Azure Resource Manager işlemleri çözümlenerek algılandı.
MITRE taktikleri: Koleksiyon
Önem Derecesi: Yüksek
Depolama kapsayıcılarını, paylaşımlarını ve tablolarını listelemek için kullanılan PowerZure yararlanma araç seti
(ARM_PowerZure.Show Depolama Content)
Açıklama: Depolama paylaşımlarını, tabloları ve kapsayıcıları listelemek için PowerZure yararlanma araç seti kullanıldı. Bu, aboneliğinizdeki Azure Resource Manager işlemleri çözümlenerek algılandı.
Önem Derecesi: Yüksek
Aboneliğinizde Runbook yürütmek için kullanılan PowerZure yararlanma araç seti
(ARM_PowerZure.StartRunbook)
Açıklama: Runbook'u yürütmek için PowerZure exploitation toolkit kullanıldı. Bu, aboneliğinizdeki Azure Resource Manager işlemleri çözümlenerek algılandı.
Önem Derecesi: Yüksek
Runbook'lar içeriğini ayıklamak için kullanılan PowerZure yararlanma araç seti
(ARM_PowerZure.AzureRunbookContent)
Açıklama: Runbook içeriğini ayıklamak için PowerZure yararlanma araç seti kullanıldı. Bu, aboneliğinizdeki Azure Resource Manager işlemleri çözümlenerek algılandı.
MITRE taktikleri: Koleksiyon
Önem Derecesi: Yüksek
ÖNİzLEME - Azurite araç seti çalıştırması algılandı
(ARM_Azurite)
Açıklama: Ortamınızda bilinen bir bulut ortamı keşif araç seti çalıştırması algılandı. Azurite aracı, bir saldırgan (veya sızma test aracı) tarafından aboneliklerinizin kaynaklarını eşlemek ve güvenli olmayan yapılandırmaları tanımlamak için kullanılabilir.
MITRE taktikleri: Koleksiyon
Önem Derecesi: Yüksek
ÖNİzLEME - İşlem kaynaklarının şüpheli oluşturulması algılandı
(ARM_SuspiciousComputeCreation)
Açıklama: Resource Manager için Microsoft Defender, Sanal Makineler/Azure Ölçek Kümesi kullanarak aboneliğinizde şüpheli bir işlem kaynağı oluşturma işlemi belirledi. Tanımlanan işlemler, yöneticilerin gerektiğinde yeni kaynaklar dağıtarak ortamlarını verimli bir şekilde yönetmesine olanak tanıyacak şekilde tasarlanmıştır. Bu etkinlik yasal olsa da, bir tehdit aktörü kripto madenciliği yapmak için bu tür işlemleri kullanabilir. İşlem kaynakları ölçeği abonelikte daha önce gözlemlenenden daha yüksek olduğundan etkinlik şüpheli kabul edilir. Bu, sorumlunun gizliliğinin ihlal edildiğini ve kötü amaçlı olarak kullanıldığını gösterebilir.
MITRE taktikleri: Etki
Önem Derecesi: Orta
ÖNİzLEME - Şüpheli anahtar kasası kurtarma algılandı
(Arm_Suspicious_Vault_Recovering)
Açıklama: Resource Manager için Microsoft Defender geçici olarak silinen anahtar kasası kaynağı için şüpheli bir kurtarma işlemi algılandı. Kaynağı kurtaran kullanıcı, kaynağı silmiş olan kullanıcıdan farklıdır. Kullanıcı böyle bir işlemi nadiren çağırdığı için bu son derece şüphelidir. Buna ek olarak, kullanıcı çok faktörlü kimlik doğrulaması (MFA) olmadan oturum açtı. Bu, kullanıcının gizliliğinin tehlikeye girdiğini ve hassas kaynaklara erişim elde etmek veya ağınız genelinde yanal hareket gerçekleştirmek için gizli dizileri ve anahtarları bulmaya çalıştığına işaret edebilir.
MITRE taktikleri: Yanal hareket
Önem Derecesi: Orta/yüksek
ÖNİzLEME - Algılanan etkin olmayan bir hesap kullanan şüpheli yönetim oturumu
(ARM_UnusedAccountPersistence)
Açıklama: Abonelik etkinlik günlükleri analizi şüpheli davranış algılandı. Uzun bir süre kullanılmayan bir sorumlu artık saldırgan için kalıcılığı güvenli hale getirebilecek eylemler gerçekleştiriyor.
MITRE taktikleri: Kalıcılık
Önem Derecesi: Orta
ÖNİzLEME - Algılanan bir hizmet sorumlusu tarafından yüksek riskli bir 'Kimlik Bilgisi Erişimi' işleminin şüpheli çağrılması
(ARM_AnomalousServiceOperation.CredentialAccess)
Açıklama: Resource Manager için Microsoft Defender, aboneliğinizde kimlik bilgilerine erişme girişimini gösterebilecek yüksek riskli bir işlemin şüpheli çağrısını belirledi. Tanımlanan işlemler, yöneticilerin ortamlarını verimli bir şekilde yönetmesine olanak tanıyacak şekilde tasarlanmıştır. Bu etkinlik yasal olsa da, bir tehdit aktörü ortamınızdaki kısıtlı kimlik bilgilerine erişmek ve kaynakları tehlikeye atmak için bu tür işlemleri kullanabilir. Bu, hizmet sorumlusunun gizliliğinin ihlal edildiğini ve kötü amaçlı olarak kullanıldığını gösterebilir.
MITRE taktikleri: Kimlik bilgisi erişimi
Önem Derecesi: Orta
ÖNİzLEME - Algılanan bir hizmet sorumlusu tarafından yüksek riskli bir 'Veri Toplama' işleminin şüpheli çağrılması
(ARM_AnomalousServiceOperation.Collection)
Açıklama: Resource Manager için Microsoft Defender, aboneliğinizde yüksek riskli bir işlemin şüpheli bir çağrı olduğunu belirledi ve bu durum veri toplama girişimine işaret edebilir. Tanımlanan işlemler, yöneticilerin ortamlarını verimli bir şekilde yönetmesine olanak tanıyacak şekilde tasarlanmıştır. Bu etkinlik yasal olsa da, bir tehdit aktörü ortamınızdaki kaynaklar üzerinde hassas veriler toplamak için bu tür işlemleri kullanabilir. Bu, hizmet sorumlusunun gizliliğinin ihlal edildiğini ve kötü amaçlı olarak kullanıldığını gösterebilir.
MITRE taktikleri: Koleksiyon
Önem Derecesi: Orta
ÖNİzLEME - Algılanan bir hizmet sorumlusu tarafından yüksek riskli bir 'Savunma Kaçışı' işleminin şüpheli çağrılması
(ARM_AnomalousServiceOperation.DefenseEvasion)
Açıklama: Resource Manager için Microsoft Defender, aboneliğinizde yüksek riskli bir işlemin şüpheli bir çağrı olduğunu belirledi ve bu durum savunmadan kaçınma girişimine işaret edebilir. Tanımlanan işlemler, yöneticilerin ortamlarının güvenlik duruşunu verimli bir şekilde yönetmesine olanak sağlamak için tasarlanmıştır. Bu etkinlik yasal olsa da, bir tehdit aktörü ortamınızdaki kaynakları tehlikeye atarak algılanmamak için bu tür işlemleri kullanabilir. Bu, hizmet sorumlusunun gizliliğinin ihlal edildiğini ve kötü amaçlı olarak kullanıldığını gösterebilir.
MITRE taktikleri: Savunma Kaçamak
Önem Derecesi: Orta
ÖNİzLEME - Algılanan bir hizmet sorumlusu tarafından yüksek riskli bir 'Yürütme' işleminin şüpheli çağrılması
(ARM_AnomalousServiceOperation.Execution)
Açıklama: Resource Manager için Microsoft Defender, aboneliğinizdeki bir makinede yüksek riskli bir işlemin şüpheli bir çağrı olduğunu belirledi ve bu durum kod yürütme girişimine işaret edebilir. Tanımlanan işlemler, yöneticilerin ortamlarını verimli bir şekilde yönetmesine olanak tanıyacak şekilde tasarlanmıştır. Bu etkinlik yasal olsa da, bir tehdit aktörü ortamınızdaki kısıtlı kimlik bilgilerine erişmek ve kaynakları tehlikeye atmak için bu tür işlemleri kullanabilir. Bu, hizmet sorumlusunun gizliliğinin ihlal edildiğini ve kötü amaçlı olarak kullanıldığını gösterebilir.
MITRE taktikleri: Savunma Yürütme
Önem Derecesi: Orta
ÖNİzLEME - Algılanan bir hizmet sorumlusu tarafından yüksek riskli bir 'Etki' işleminin şüpheli çağrılması
(ARM_AnomalousServiceOperation.Impact)
Açıklama: Resource Manager için Microsoft Defender, aboneliğinizde yüksek riskli bir işlemin şüpheli bir çağrı olduğunu belirledi ve bu durum yapılandırma değişikliği denendiğini gösteriyor olabilir. Tanımlanan işlemler, yöneticilerin ortamlarını verimli bir şekilde yönetmesine olanak tanıyacak şekilde tasarlanmıştır. Bu etkinlik yasal olsa da, bir tehdit aktörü ortamınızdaki kısıtlı kimlik bilgilerine erişmek ve kaynakları tehlikeye atmak için bu tür işlemleri kullanabilir. Bu, hizmet sorumlusunun gizliliğinin ihlal edildiğini ve kötü amaçlı olarak kullanıldığını gösterebilir.
MITRE taktikleri: Etki
Önem Derecesi: Orta
ÖNİzLEME - Algılanan bir hizmet sorumlusu tarafından yüksek riskli bir 'İlk Erişim' işleminin şüpheli çağrılması
(ARM_AnomalousServiceOperation.InitialAccess)
Açıklama: Resource Manager için Microsoft Defender, aboneliğinizde yüksek riskli bir işlemin şüpheli bir çağrı olduğunu belirledi ve bu da kısıtlı kaynaklara erişme girişimine işaret edebilir. Tanımlanan işlemler, yöneticilerin ortamlarına verimli bir şekilde erişmesine olanak sağlamak için tasarlanmıştır. Bu etkinlik yasal olsa da, bir tehdit aktörü ortamınızdaki kısıtlı kaynaklara ilk erişim elde etmek için bu tür işlemleri kullanabilir. Bu, hizmet sorumlusunun gizliliğinin ihlal edildiğini ve kötü amaçlı olarak kullanıldığını gösterebilir.
MITRE taktikleri: İlk erişim
Önem Derecesi: Orta
ÖNİzLEME - Algılanan bir hizmet sorumlusu tarafından yüksek riskli bir 'YanAl Hareket Erişimi' işleminin şüpheli çağrılması
(ARM_AnomalousServiceOperation.LateralMovement)
Açıklama: Resource Manager için Microsoft Defender, aboneliğinizde yüksek riskli bir işlemin şüpheli bir çağrı olduğunu belirledi ve bu durum yanal hareket gerçekleştirme girişimine işaret edebilir. Tanımlanan işlemler, yöneticilerin ortamlarını verimli bir şekilde yönetmesine olanak tanıyacak şekilde tasarlanmıştır. Bu etkinlik yasal olsa da, bir tehdit aktörü ortamınızdaki daha fazla kaynağı tehlikeye atmak için bu tür işlemleri kullanabilir. Bu, hizmet sorumlusunun gizliliğinin ihlal edildiğini ve kötü amaçlı olarak kullanıldığını gösterebilir.
MITRE taktikleri: Yanal hareket
Önem Derecesi: Orta
ÖNİzLEME - Algılanan bir hizmet sorumlusu tarafından yüksek riskli bir 'kalıcılık' işleminin şüpheli çağrılması
(ARM_AnomalousServiceOperation.Persistence)
Açıklama: Resource Manager için Microsoft Defender, aboneliğinizde yüksek riskli bir işlemin şüpheli bir çağrı olduğunu belirledi ve bu durum kalıcılık oluşturmaya yönelik bir girişim olduğunu gösteriyor olabilir. Tanımlanan işlemler, yöneticilerin ortamlarını verimli bir şekilde yönetmesine olanak tanıyacak şekilde tasarlanmıştır. Bu etkinlik yasal olsa da, bir tehdit aktörü ortamınızda kalıcılık sağlamak için bu tür işlemleri kullanabilir. Bu, hizmet sorumlusunun gizliliğinin ihlal edildiğini ve kötü amaçlı olarak kullanıldığını gösterebilir.
MITRE taktikleri: Kalıcılık
Önem Derecesi: Orta
ÖNİzLEME - Algılanan bir hizmet sorumlusu tarafından yüksek riskli bir 'Ayrıcalık Yükseltme' işleminin şüpheli çağrılması
(ARM_AnomalousServiceOperation.PrivilegeEscalation)
Açıklama: Resource Manager için Microsoft Defender, aboneliğinizde yüksek riskli bir işlemin şüpheli bir çağrı olduğunu belirledi ve bu da ayrıcalıkları yükseltme girişimini gösterebilir. Tanımlanan işlemler, yöneticilerin ortamlarını verimli bir şekilde yönetmesine olanak tanıyacak şekilde tasarlanmıştır. Bu etkinlik yasal olsa da, bir tehdit aktörü ortamınızdaki kaynakları tehlikeye atarak ayrıcalıkları yükseltme amacıyla bu tür işlemleri kullanabilir. Bu, hizmet sorumlusunun gizliliğinin ihlal edildiğini ve kötü amaçlı olarak kullanıldığını gösterebilir.
MITRE taktikleri: Ayrıcalık yükseltme
Önem Derecesi: Orta
ÖNİzLEME - Algılanan etkin olmayan bir hesap kullanan şüpheli yönetim oturumu
(ARM_UnusedAccountPersistence)
Açıklama: Abonelik etkinlik günlükleri analizi şüpheli davranış algılandı. Uzun bir süre kullanılmayan bir sorumlu artık saldırgan için kalıcılığı güvenli hale getirebilecek eylemler gerçekleştiriyor.
MITRE taktikleri: Kalıcılık
Önem Derecesi: Orta
ÖNİzLEME - PowerShell kullanan şüpheli yönetim oturumu algılandı
(ARM_UnusedAppPowershellPersistence)
Açıklama: Abonelik etkinlik günlükleri analizi şüpheli davranış algılandı. Abonelik ortamını yönetmek için PowerShell'i düzenli olarak kullanmayan bir sorumlu artık PowerShell kullanıyor ve saldırgan için kalıcılığı güvenli hale getirebilecek eylemler gerçekleştiriyor.
MITRE taktikleri: Kalıcılık
Önem Derecesi: Orta
ÖNİzLEME â€" Azure portalını kullanan şüpheli yönetim oturumu algılandı
(ARM_UnusedAppIbizaPersistence)
Açıklama: Abonelik etkinlik günlüklerinizin analizi şüpheli bir davranış algılandı. Azure portalını (Ibiza) abonelik ortamını yönetmek için düzenli olarak kullanmayan bir sorumlu (son 45 gündür yönetmek için Azure portalını kullanmamış veya etkin bir şekilde yönettiği bir abonelik), artık Azure portalını kullanıyor ve saldırgan için kalıcılığı güvenli hale getirebilecek eylemler gerçekleştiriyor.
MITRE taktikleri: Kalıcılık
Önem Derecesi: Orta
Aboneliğiniz için şüpheli bir şekilde oluşturulan ayrıcalıklı özel rol (Önizleme)
(ARM_PrivilegedRoleDefinitionCreation)
Açıklama: Resource Manager için Microsoft Defender, aboneliğinizde ayrıcalıklı özel rol tanımının şüpheli bir şekilde oluşturulduğu algılandı. Bu işlem kuruluşunuzdaki meşru bir kullanıcı tarafından gerçekleştirilmiş olabilir. Alternatif olarak, kuruluşunuzdaki bir hesabın ihlal edildiği ve tehdit aktörünün gelecekte algılamayı önlemek için kullanmak üzere ayrıcalıklı bir rol oluşturmaya çalıştığını gösterebilir.
MITRE taktikleri: Privilege Escalation, Defense Evasion
Önem Derecesi: Bilgilendiren
Şüpheli Azure rol ataması algılandı (Önizleme)
(ARM_AnomalousRBACRoleAssignment)
Açıklama: Resource Manager için Microsoft Defender, kiracınızda PIM (Privileged Identity Management) kullanılarak gerçekleştirilen şüpheli bir Azure rol ataması belirledi ve bu durum kuruluşunuzdaki bir hesabın gizliliğinin ihlal edildiğine işaret edebilir. Tanımlanan işlemler, yöneticilerin sorumlulara Azure kaynaklarına erişim izni vermesi için tasarlanmıştır. Bu etkinlik yasal olsa da, bir tehdit aktörü rol atamasını kullanarak izinlerini yükselterek saldırılarını ilerletebilir.
MITRE taktikleri: Yanal Hareket, Savunma Kaçamak
Önem Derecesi: Düşük (PIM) / Yüksek
Yüksek riskli bir 'Kimlik Bilgisi Erişimi' işleminin şüpheli çağrılması algılandı (Önizleme)
(ARM_AnomalousOperation.CredentialAccess)
Açıklama: Resource Manager için Microsoft Defender, aboneliğinizde kimlik bilgilerine erişme girişimini gösterebilecek yüksek riskli bir işlemin şüpheli çağrısını belirledi. Tanımlanan işlemler, yöneticilerin ortamlarına verimli bir şekilde erişmesine olanak sağlamak için tasarlanmıştır. Bu etkinlik yasal olsa da, bir tehdit aktörü ortamınızdaki kısıtlı kimlik bilgilerine erişmek ve kaynakları tehlikeye atmak için bu tür işlemleri kullanabilir. Bu, hesabın gizliliğinin ihlal edildiğini ve kötü amaçlı olarak kullanıldığını gösterebilir.
MITRE taktikleri: Kimlik Bilgisi Erişimi
Önem Derecesi: Orta
Yüksek riskli 'Veri Toplama' işleminin şüpheli çağrıları algılandı (Önizleme)
(ARM_AnomalousOperation.Collection)
Açıklama: Resource Manager için Microsoft Defender, aboneliğinizde yüksek riskli bir işlemin şüpheli bir çağrı olduğunu belirledi ve bu durum veri toplama girişimine işaret edebilir. Tanımlanan işlemler, yöneticilerin ortamlarını verimli bir şekilde yönetmesine olanak tanıyacak şekilde tasarlanmıştır. Bu etkinlik yasal olsa da, bir tehdit aktörü ortamınızdaki kaynaklar üzerinde hassas veriler toplamak için bu tür işlemleri kullanabilir. Bu, hesabın gizliliğinin ihlal edildiğini ve kötü amaçlı olarak kullanıldığını gösterebilir.
MITRE taktikleri: Koleksiyon
Önem Derecesi: Orta
Yüksek riskli bir 'Savunma Kaçaması' işleminin şüpheli çağrısı algılandı (Önizleme)
(ARM_AnomalousOperation.DefenseEvasion)
Açıklama: Resource Manager için Microsoft Defender, aboneliğinizde yüksek riskli bir işlemin şüpheli bir çağrı olduğunu belirledi ve bu durum savunmadan kaçınma girişimine işaret edebilir. Tanımlanan işlemler, yöneticilerin ortamlarının güvenlik duruşunu verimli bir şekilde yönetmesine olanak sağlamak için tasarlanmıştır. Bu etkinlik yasal olsa da, bir tehdit aktörü ortamınızdaki kaynakları tehlikeye atarak algılanmamak için bu tür işlemleri kullanabilir. Bu, hesabın gizliliğinin ihlal edildiğini ve kötü amaçlı olarak kullanıldığını gösterebilir.
MITRE taktikleri: Savunma Kaçamak
Önem Derecesi: Orta
Yüksek riskli 'Yürütme' işleminin şüpheli çağrıları algılandı (Önizleme)
(ARM_AnomalousOperation.Execution)
Açıklama: Resource Manager için Microsoft Defender, aboneliğinizdeki bir makinede yüksek riskli bir işlemin şüpheli bir çağrı olduğunu belirledi ve bu durum kod yürütme girişimine işaret edebilir. Tanımlanan işlemler, yöneticilerin ortamlarını verimli bir şekilde yönetmesine olanak tanıyacak şekilde tasarlanmıştır. Bu etkinlik yasal olsa da, bir tehdit aktörü ortamınızdaki kısıtlı kimlik bilgilerine erişmek ve kaynakları tehlikeye atmak için bu tür işlemleri kullanabilir. Bu, hesabın gizliliğinin ihlal edildiğini ve kötü amaçlı olarak kullanıldığını gösterebilir.
MITRE taktikleri: Yürütme
Önem Derecesi: Orta
Yüksek riskli bir 'Etki' işleminin şüpheli çağrıları algılandı (Önizleme)
(ARM_AnomalousOperation.Impact)
Açıklama: Resource Manager için Microsoft Defender, aboneliğinizde yüksek riskli bir işlemin şüpheli bir çağrı olduğunu belirledi ve bu durum yapılandırma değişikliği denendiğini gösteriyor olabilir. Tanımlanan işlemler, yöneticilerin ortamlarını verimli bir şekilde yönetmesine olanak tanıyacak şekilde tasarlanmıştır. Bu etkinlik yasal olsa da, bir tehdit aktörü ortamınızdaki kısıtlı kimlik bilgilerine erişmek ve kaynakları tehlikeye atmak için bu tür işlemleri kullanabilir. Bu, hesabın gizliliğinin ihlal edildiğini ve kötü amaçlı olarak kullanıldığını gösterebilir.
MITRE taktikleri: Etki
Önem Derecesi: Orta
Yüksek riskli bir 'İlk Erişim' işleminin şüpheli çağrılması algılandı (Önizleme)
(ARM_AnomalousOperation.InitialAccess)
Açıklama: Resource Manager için Microsoft Defender, aboneliğinizde yüksek riskli bir işlemin şüpheli bir çağrı olduğunu belirledi ve bu da kısıtlı kaynaklara erişme girişimine işaret edebilir. Tanımlanan işlemler, yöneticilerin ortamlarına verimli bir şekilde erişmesine olanak sağlamak için tasarlanmıştır. Bu etkinlik yasal olsa da, bir tehdit aktörü ortamınızdaki kısıtlı kaynaklara ilk erişim elde etmek için bu tür işlemleri kullanabilir. Bu, hesabın gizliliğinin ihlal edildiğini ve kötü amaçlı olarak kullanıldığını gösterebilir.
MITRE taktikleri: İlk Erişim
Önem Derecesi: Orta
Yüksek riskli 'YanAl Hareket' işleminin şüpheli çağrıları algılandı (Önizleme)
(ARM_AnomalousOperation.LateralMovement)
Açıklama: Resource Manager için Microsoft Defender, aboneliğinizde yüksek riskli bir işlemin şüpheli bir çağrı olduğunu belirledi ve bu durum yanal hareket gerçekleştirme girişimine işaret edebilir. Tanımlanan işlemler, yöneticilerin ortamlarını verimli bir şekilde yönetmesine olanak tanıyacak şekilde tasarlanmıştır. Bu etkinlik yasal olsa da, bir tehdit aktörü ortamınızdaki daha fazla kaynağı tehlikeye atmak için bu tür işlemleri kullanabilir. Bu, hesabın gizliliğinin ihlal edildiğini ve kötü amaçlı olarak kullanıldığını gösterebilir.
MITRE taktikleri: Yanal Hareket
Önem Derecesi: Orta
Şüpheli yükseltme erişimi işlemi (Önizleme)(ARM_AnomalousElevateAccess)
Açıklama: Resource Manager için Microsoft Defender şüpheli bir "Erişimi Yükselt" işlemi belirledi. Bu sorumlu nadiren bu tür işlemleri çağırandan etkinlik şüpheli kabul edilir. Bu etkinlik yasal olsa da, bir tehdit aktörü güvenliği aşılmış bir kullanıcı için ayrıcalık yükseltme gerçekleştirmek için "Erişimi Yükselt" işlemini kullanabilir.
MITRE taktikleri: Ayrıcalık Yükseltme
Önem Derecesi: Orta
Yüksek riskli 'Kalıcılık' işleminin şüpheli çağrıları algılandı (Önizleme)
(ARM_AnomalousOperation.Persistence)
Açıklama: Resource Manager için Microsoft Defender, aboneliğinizde yüksek riskli bir işlemin şüpheli bir çağrı olduğunu belirledi ve bu durum kalıcılık oluşturmaya yönelik bir girişim olduğunu gösteriyor olabilir. Tanımlanan işlemler, yöneticilerin ortamlarını verimli bir şekilde yönetmesine olanak tanıyacak şekilde tasarlanmıştır. Bu etkinlik yasal olsa da, bir tehdit aktörü ortamınızda kalıcılık sağlamak için bu tür işlemleri kullanabilir. Bu, hesabın gizliliğinin ihlal edildiğini ve kötü amaçlı olarak kullanıldığını gösterebilir.
MITRE taktikleri: Kalıcılık
Önem Derecesi: Orta
Yüksek riskli 'Ayrıcalık Yükseltme' işleminin şüpheli çağrıları algılandı (Önizleme)
(ARM_AnomalousOperation.PrivilegeEscalation)
Açıklama: Resource Manager için Microsoft Defender, aboneliğinizde yüksek riskli bir işlemin şüpheli bir çağrı olduğunu belirledi ve bu da ayrıcalıkları yükseltme girişimini gösterebilir. Tanımlanan işlemler, yöneticilerin ortamlarını verimli bir şekilde yönetmesine olanak tanıyacak şekilde tasarlanmıştır. Bu etkinlik yasal olsa da, bir tehdit aktörü ortamınızdaki kaynakları tehlikeye atarak ayrıcalıkları yükseltme amacıyla bu tür işlemleri kullanabilir. Bu, hesabın gizliliğinin ihlal edildiğini ve kötü amaçlı olarak kullanıldığını gösterebilir.
MITRE taktikleri: Ayrıcalık Yükseltme
Önem Derecesi: Orta
Rastgele bir kod çalıştırmak veya Azure Otomasyonu hesabı kimlik bilgilerini silmek için MicroBurst yararlanma araç setinin kullanımı
(ARM_MicroBurst.RunCodeOnBehalf)
Açıklama: Aboneliğinizde bir PowerShell betiği çalıştırıldı ve rastgele bir kod yürütmeye veya Azure Otomasyonu hesap kimlik bilgilerini dışarı aktarmaya yönelik şüpheli bir desen gerçekleştirildi. Tehdit aktörleri, kötü amaçlı etkinlikler için rastgele kod çalıştırmak için MicroBurst gibi otomatik betikler kullanır. Bu, aboneliğinizdeki Azure Resource Manager işlemleri çözümlenerek algılandı. Bu işlem, kuruluşunuzdaki bir kimliğin ihlal edildiğine ve tehdit aktörünün kötü amaçlı amaçlar için ortamınızı tehlikeye atmaya çalıştığına işaret edebilir.
MITRE taktikleri: Kalıcılık, Kimlik Bilgisi Erişimi
Önem Derecesi: Yüksek
Azure ortamınızda kalıcılığı korumak için NetSPI tekniklerinin kullanımı
(ARM_NetSPI.MaintainPersistence)
Açıklama: Web kancası arka kapı oluşturmak ve Azure ortamınızda kalıcılığı korumak için NetSPI kalıcılık tekniğinin kullanımı. Bu, aboneliğinizdeki Azure Resource Manager işlemleri çözümlenerek algılandı.
Önem Derecesi: Yüksek
Rastgele bir kod çalıştırmak veya Azure Otomasyonu hesabı kimlik bilgilerini silmek için PowerZure yararlanma araç setinin kullanımı
(ARM_PowerZure.RunCodeOnBehalf)
Açıklama: PowerZure exploitation toolkit, Azure Otomasyonu hesap kimlik bilgilerini çalıştırmaya veya dışarı aktarmaya çalışırken algılandı. Bu, aboneliğinizdeki Azure Resource Manager işlemleri çözümlenerek algılandı.
Önem Derecesi: Yüksek
Azure ortamınızda kalıcılığı korumak için PowerZure işlevinin kullanımı
(ARM_PowerZure.MaintainPersistence)
Açıklama: PowerZure exploitation toolkit, Azure ortamınızda kalıcılığı korumak için bir web kancası arka kapı oluştururken algılandı. Bu, aboneliğinizdeki Azure Resource Manager işlemleri çözümlenerek algılandı.
Önem Derecesi: Yüksek
Şüpheli klasik rol ataması algılandı (Önizleme)
(ARM_AnomalousClassicRoleAssignment)
Açıklama: Resource Manager için Microsoft Defender, kiracınızda şüpheli bir klasik rol ataması tanımladı ve bu, kuruluşunuzdaki bir hesabın gizliliğinin ihlal edildiğine işaret edebilir. Tanımlanan işlemler, artık yaygın olarak kullanılmayan klasik rollerle geriye dönük uyumluluk sağlamak için tasarlanmıştır. Bu etkinlik yasal olsa da, bir tehdit aktörü denetimi altındaki başka bir kullanıcı hesabına izin vermek için bu atamayı kullanabilir.
MITRE taktikleri: Yanal Hareket, Savunma Kaçamak
Önem Derecesi: Yüksek
Azure Depolama uyarıları
Şüpheli bir uygulamadan erişim
(Depolama. Blob_SuspiciousApp)
Açıklama: Şüpheli bir uygulamanın kimlik doğrulamasıyla bir depolama hesabının kapsayıcıya başarıyla erişildiğini gösterir. Bu, bir saldırganın hesaba erişmek için gerekli kimlik bilgilerini edindiğini ve bu kimlik bilgilerinden yararlandığını gösterebilir. Bu, kuruluşunuzda gerçekleştirilen sızma testinin bir göstergesi de olabilir. Şunlar için geçerlidir: Azure Blob Depolama, Azure Data Lake Storage 2. Nesil
MITRE taktikleri: İlk Erişim
Önem Derecesi: Yüksek/Orta
Şüpheli bir IP adresinden erişim
(Depolama. Blob_SuspiciousIp Depolama. Files_SuspiciousIp)
Açıklama: Bu depolama hesabına şüpheli olarak kabul edilen bir IP adresinden başarıyla erişildiğini gösterir. Bu uyarı Microsoft Threat Intelligence tarafından desteklenir. Microsoft'un tehdit bilgileri özellikleri hakkında daha fazla bilgi edinin. Şunlar için geçerlidir: Azure Blob Depolama, Azure Dosyalar, Azure Data Lake Storage 2. Nesil
MITRE taktikleri: Saldırı Öncesi
Önem Derecesi: Yüksek/Orta/Düşük
Depolama hesabında barındırılan kimlik avı içeriği
(Depolama. Blob_PhishingContent Depolama. Files_PhishingContent)
Açıklama: Kimlik avı saldırısında kullanılan bir URL, Azure Depolama hesabınızı işaret ediyor. Bu URL, Microsoft 365 kullanıcılarını etkileyen kimlik avı saldırısının bir parçasıydı. Genellikle, bu tür sayfalarda barındırılan içerik, ziyaretçileri kurumsal kimlik bilgilerini veya finansal bilgilerini yasal görünen bir web formuna girmeleri için kandırmak için tasarlanmıştır. Bu uyarı Microsoft Threat Intelligence tarafından desteklenir. Microsoft'un tehdit bilgileri özellikleri hakkında daha fazla bilgi edinin. Şunlar için geçerlidir: Azure Blob Depolama, Azure Dosyalar
MITRE taktikleri: Koleksiyon
Önem Derecesi: Yüksek
Kötü amaçlı yazılım dağıtımı için kaynak olarak tanımlanan Depolama hesabı
(Depolama. Files_WidespreadeAm)
Açıklama: Kötü amaçlı yazılımdan koruma uyarıları, virüs bulaşmış bir dosyanın birden çok VM'ye bağlı bir Azure dosya paylaşımında depolandığını gösterir. Saldırganlar bağlı bir Azure dosya paylaşımına sahip bir VM'ye erişim elde ederse, aynı paylaşımı takan diğer VM'lere kötü amaçlı yazılım yaymak için bu sanal makineyi kullanabilir. Şunlar için geçerlidir: Azure Dosyalar
MITRE taktikleri: Yürütme
Önem Derecesi: Orta
Hassas olabilecek bir depolama blob kapsayıcısının erişim düzeyi, kimliği doğrulanmamış genel erişime izin verecek şekilde değiştirildi
(Depolama. Blob_OpenACL)
Açıklama: Uyarı, birisinin kimliği doğrulanmamış (anonim) genel erişime izin vermek için depolama hesabındaki hassas veriler içerebilen blob kapsayıcısının erişim düzeyini 'Kapsayıcı' düzeyine değiştirdiğini gösterir. Değişiklik Azure portalı üzerinden yapıldı. İstatistiksel analize bağlı olarak, blob kapsayıcısı hassas veriler içeriyor gibi işaretlenir. Bu analiz, blob kapsayıcılarının veya benzer adlara sahip depolama hesaplarının genel erişime açık olmadığını önerir. Şunlar için geçerlidir: Azure Blob (Standart genel amaçlı v2, Azure Data Lake Storage 2. Nesil veya premium blok blobları) depolama hesapları.
MITRE taktikleri: Koleksiyon
Önem Derecesi: Orta
Tor çıkış düğümünden kimliği doğrulanmış erişim
(Depolama. Blob_TorAnomaly Depolama. Files_TorAnomaly)
Açıklama: Depolama hesabınızdaki bir veya daha fazla depolama kapsayıcısına/dosya paylaşımına, Tor'un etkin çıkış düğümü (anonimleşen bir ara sunucu) olduğu bilinen bir IP adresinden başarıyla erişildi. Tehdit aktörleri, etkinliğin onlara geri dönmesini zorlaştırmak için Tor kullanır. Bir Tor çıkış düğümünden kimliği doğrulanmış erişim, tehdit aktörlerinin kimliğini gizlemeye çalıştığının büyük olasılıkla bir göstergesidir. Şunlar için geçerlidir: Azure Blob Depolama, Azure Dosyalar, Azure Data Lake Storage 2. Nesil
MITRE taktikleri: İlk Erişim / Saldırı Öncesi
Önem Derecesi: Yüksek/Orta
Olağan dışı bir konumdan depolama hesabına erişim
(Depolama. Blob_GeoAnomaly Depolama. Files_GeoAnomaly)
Açıklama: Azure Depolama hesabına erişim düzeninde bir değişiklik olduğunu gösterir. Son etkinliklerle karşılaştırıldığında, birisi bu hesaba yabancı olarak kabul edilen bir IP adresinden erişmiştir. Bir saldırgan hesaba erişim elde etti veya meşru bir kullanıcı yeni veya olağan dışı bir coğrafi konumdan bağlandı. İkincisine örnek olarak yeni bir uygulama veya geliştiricinin uzaktan bakımı örnek olarak verilmiştir. Şunlar için geçerlidir: Azure Blob Depolama, Azure Dosyalar, Azure Data Lake Storage 2. Nesil
MITRE taktikleri: İlk Erişim
Önem Derecesi: Yüksek/Orta/Düşük
Depolama kapsayıcısına olağan dışı kimliği doğrulanmamış erişim
(Depolama. Blob_AnonymousAccessAnomaly)
Açıklama: Bu depolama hesabına kimlik doğrulaması olmadan erişildi. Bu, ortak erişim düzeninde bir değişikliktir. Bu kapsayıcıya okuma erişimi genellikle kimliği doğrulanır. Bu durum, bir tehdit aktörünün bu depolama hesaplarındaki depolama kapsayıcılarına genel okuma erişimi kullanma olanağına sahip olduğunu gösterebilir. Şunlar için geçerlidir: Azure Blob Depolama
MITRE taktikleri: İlk Erişim
Önem Derecesi: Yüksek/Düşük
Depolama hesabına yüklenmiş olası kötü amaçlı yazılım
(Depolama. Blob_MalwareHashReputation Depolama. Files_MalwareHashReputation)
Açıklama: Olası kötü amaçlı yazılım içeren bir blob'un bir blob kapsayıcısına veya depolama hesabındaki bir dosya paylaşımına yüklendiğini gösterir. Bu uyarı, virüsler, truva atları, casus yazılımlar ve fidye yazılımlarına yönelik karmalar içeren Microsoft tehdit zekasının gücünden yararlanan karma saygınlık analizini temel alır. Olası nedenler arasında saldırgan tarafından kasıtlı bir kötü amaçlı yazılım yüklemesi veya meşru bir kullanıcı tarafından yanlışlıkla kötü amaçlı olabilecek bir blobun karşıya yüklenmesi yer alabilir. Şunlar için geçerlidir: Azure Blob Depolama, Azure Dosyalar (Yalnızca REST API üzerinden yapılan işlemler için) Microsoft'un tehdit bilgileri özellikleri hakkında daha fazla bilgi edinin.
MITRE taktikleri: Yanal Hareket
Önem Derecesi: Yüksek
Genel olarak erişilebilir depolama kapsayıcıları başarıyla bulundu
(Depolama. Blob_OpenContainersScanning.SuccessfulDiscovery)
Açıklama: Son bir saat içinde bir tarama betiği veya aracı tarafından depolama hesabınızda genel olarak açık depolama kapsayıcılarının başarılı bir şekilde bulunması.
Bu genellikle tehdit aktörünün, içinde hassas veriler bulunan yanlış yapılandırılmış açık depolama kapsayıcıları bulma umuduyla kapsayıcı adlarını tahmin ederek blobları listelemeye çalıştığı bir keşif saldırısını gösterir.
Tehdit aktörü kendi betiğini kullanabilir veya genel olarak açık kapsayıcıları taramak için Microburst gibi bilinen tarama araçlarını kullanabilir.
✔ ✖ Azure Blob Depolama Azure Dosyalar ✖ Azure Data Lake Storage 2. Nesil
MITRE taktikleri: Koleksiyon
Önem Derecesi: Yüksek/Orta
Genel olarak erişilebilen depolama kapsayıcıları başarısız bir şekilde tarandı
(Depolama. Blob_OpenContainersScanning.FailedAttempt)
Açıklama: Son bir saat içinde genel olarak açık depolama kapsayıcılarını taramaya yönelik bir dizi başarısız deneme gerçekleştirildi.
Bu genellikle tehdit aktörünün, içinde hassas veriler bulunan yanlış yapılandırılmış açık depolama kapsayıcıları bulma umuduyla kapsayıcı adlarını tahmin ederek blobları listelemeye çalıştığı bir keşif saldırısını gösterir.
Tehdit aktörü kendi betiğini kullanabilir veya genel olarak açık kapsayıcıları taramak için Microburst gibi bilinen tarama araçlarını kullanabilir.
✔ ✖ Azure Blob Depolama Azure Dosyalar ✖ Azure Data Lake Storage 2. Nesil
MITRE taktikleri: Koleksiyon
Önem Derecesi: Yüksek/Düşük
Depolama hesabında olağan dışı erişim denetimi
(Depolama. Blob_AccessInspectionAnomaly Depolama. Files_AccessInspectionAnomaly)
Açıklama: Depolama hesabının erişim izinlerinin, bu hesaptaki son etkinliklerle karşılaştırıldığında olağan dışı bir şekilde incelendiğini gösterir. Olası bir neden, bir saldırganın gelecekteki bir saldırı için keşif gerçekleştirmiş olmasıdır. Şunlar için geçerlidir: Azure Blob Depolama, Azure Dosyalar
MITRE taktikleri: Bulma
Önem Derecesi: Yüksek/Orta
Depolama hesabından ayıklanan olağan dışı veri miktarı
(Depolama. Blob_DataExfiltration.AmountOfDataAnomaly Depolama. Blob_DataExfiltration.NumberOfBlobsAnomaly Depolama. Files_DataExfiltration.AmountOfDataAnomaly Depolama. Files_DataExfiltration.NumberOfFilesAnomaly)
Açıklama: Bu depolama kapsayıcısı üzerindeki son etkinliklerle karşılaştırıldığında olağan dışı derecede büyük miktarda veri ayıklandığını gösterir. Olası bir neden, saldırganın blob depolamayı barındıran bir kapsayıcıdan büyük miktarda veri ayıklaması olabilir. Şunlar için geçerlidir: Azure Blob Depolama, Azure Dosyalar, Azure Data Lake Storage 2. Nesil
MITRE taktikleri: Sızdırma
Önem Derecesi: Yüksek/Düşük
Bir depolama hesabına olağan dışı uygulama erişildi
(Depolama. Blob_ApplicationAnomaly Depolama. Files_ApplicationAnomaly)
Açıklama: Olağan dışı bir uygulamanın bu depolama hesabına erişmiş olduğunu gösterir. Olası bir neden, saldırganın depolama hesabınıza yeni bir uygulama kullanarak erişmesi olabilir. Şunlar için geçerlidir: Azure Blob Depolama, Azure Dosyalar
MITRE taktikleri: Yürütme
Önem Derecesi: Yüksek/Orta
Depolama hesabında olağan dışı veri keşfi
(Depolama. Blob_DataExplorationAnomaly Depolama. Files_DataExplorationAnomaly)
Açıklama: Depolama hesabındaki blobların veya kapsayıcıların, bu hesaptaki son etkinliklerle karşılaştırıldığında anormal bir şekilde numaralandırıldığını gösterir. Olası bir neden, bir saldırganın gelecekteki bir saldırı için keşif gerçekleştirmiş olmasıdır. Şunlar için geçerlidir: Azure Blob Depolama, Azure Dosyalar
MITRE taktikleri: Yürütme
Önem Derecesi: Yüksek/Orta
Depolama hesabında olağan dışı silme
(Depolama. Blob_DeletionAnomaly Depolama. Files_DeletionAnomaly)
Açıklama: Bu hesaptaki son etkinliklerle karşılaştırıldığında bir depolama hesabında bir veya daha fazla beklenmeyen silme işlemi gerçekleştiğini gösterir. Olası bir neden, bir saldırganın depolama hesabınızdan verileri silmiş olmasıdır. Şunlar için geçerlidir: Azure Blob Depolama, Azure Dosyalar, Azure Data Lake Storage 2. Nesil
MITRE taktikleri: Sızdırma
Önem Derecesi: Yüksek/Orta
Hassas blob kapsayıcısına olağan dışı kimliği doğrulanmamış genel erişim (Önizleme)
Depolama. Blob_AnonymousAccessAnomaly.Sensitive
Açıklama: Uyarı, birinin depolama hesabındaki hassas verileri içeren bir blob kapsayıcıya kimlik doğrulaması olmadan dış (genel) IP adresi kullanarak erişildiğini gösterir. Blob kapsayıcısı genel erişime açık olduğundan ve genellikle yalnızca iç ağlardan (özel IP adresleri) kimlik doğrulamasıyla erişildiğinden bu erişim şüphelidir. Bu erişim, blob kapsayıcısının erişim düzeyinin yanlış yapılandırıldığını ve kötü amaçlı bir aktörün genel erişimden yararlandığını gösterebilir. Güvenlik uyarısı bulunan hassas bilgi bağlamını (tarama süresi, sınıflandırma etiketi, bilgi türleri ve dosya türleri) içerir. Hassas veri tehdidi algılama hakkında daha fazla bilgi edinin. Şunlar için geçerlidir: Veri duyarlılığı tehdit algılama özelliğinin etkinleştirildiği yeni Depolama için Defender planına sahip Azure Blob (Standart genel amaçlı v2, Azure Data Lake Storage 2. Nesil veya premium blok blobları) depolama hesapları.
MITRE taktikleri: İlk Erişim
Önem Derecesi: Yüksek
Hassas blob kapsayıcısından ayıklanan olağan dışı veri miktarı (Önizleme)
Depolama. Blob_DataExfiltration.AmountOfDataAnomaly.Sensitive
Açıklama: Uyarı, birinin depolama hesabında hassas veriler içeren bir blob kapsayıcısından olağan dışı derecede büyük miktarda veri ayıkladığını gösterir. Şunlar için geçerlidir: Veri duyarlılığı tehdit algılama özelliğinin etkinleştirildiği yeni Depolama için Defender planına sahip Azure Blob (Standart genel amaçlı v2, Azure Data Lake Storage 2. Nesil veya premium blok blobları) depolama hesapları.
MITRE taktikleri: Sızdırma
Önem Derecesi: Orta
Hassas blob kapsayıcısından ayıklanan olağan dışı blob sayısı (Önizleme)
Depolama. Blob_DataExfiltration.NumberOfBlobsAnomaly.Sensitive
Açıklama: Uyarı, birinin depolama hesabında hassas verilere sahip bir blob kapsayıcısından olağan dışı şekilde çok fazla sayıda blob ayıkladığını gösterir. Şunlar için geçerlidir: Veri duyarlılığı tehdit algılama özelliği etkinleştirilmiş yeni Depolama için Defender planına sahip Azure Blob (Standart genel amaçlı v2, Azure Data Lake Storage 2. Nesil veya premium blok blobları) depolama hesapları.
MITRE taktikleri: Sızdırma
Bilinen bir şüpheli uygulamadan hassas blob kapsayıcısına erişim (Önizleme)
Depolama. Blob_SuspiciousApp.Sensitive
Açıklama: Uyarı, bilinen bir şüpheli uygulamaya sahip bir kişinin depolama hesabında hassas verileri olan bir blob kapsayıcıya erişip kimliği doğrulanmış işlemler gerçekleştirdiğini gösterir.
Erişim, bir tehdit aktörün bilinen şüpheli bir uygulamayı kullanarak depolama hesabına erişmek için kimlik bilgilerini edindiğini gösterebilir. Ancak erişim, kuruluşta gerçekleştirilen bir sızma testini de gösterebilir.
Şunlar için geçerlidir: Veri duyarlılığı tehdit algılama özelliği etkinleştirilmiş yeni Depolama için Defender planına sahip Azure Blob (Standart genel amaçlı v2, Azure Data Lake Storage 2. Nesil veya premium blok blobları) depolama hesapları.
MITRE taktikleri: İlk Erişim
Önem Derecesi: Yüksek
Bilinen bir şüpheli IP adresinden hassas blob kapsayıcısına erişim (Önizleme)
Depolama. Blob_SuspiciousIp.Sensitive
Açıklama: Uyarı, birinin Microsoft Threat Intelligence tarafından tehdit bilgileriyle ilişkili bilinen şüpheli bir IP adresinden depolama hesabındaki hassas verilere sahip bir blob kapsayıcıya erişildiğini gösterir. Erişimin kimliği doğrulandığı için, bu depolama hesabına erişime izin veren kimlik bilgilerinin gizliliği ihlal edilmiş olabilir. Microsoft'un tehdit bilgileri özellikleri hakkında daha fazla bilgi edinin. Şunlar için geçerlidir: Veri duyarlılığı tehdit algılama özelliğinin etkinleştirildiği yeni Depolama için Defender planına sahip Azure Blob (Standart genel amaçlı v2, Azure Data Lake Storage 2. Nesil veya premium blok blobları) depolama hesapları.
MITRE taktikleri: Saldırı Öncesi
Önem Derecesi: Yüksek
Tor çıkış düğümünden hassas blob kapsayıcısına erişim (Önizleme)
Depolama. Blob_TorAnomaly.Sensitive
Açıklama: Uyarı, Tor çıkış düğümü olduğu bilinen bir IP adresine sahip bir kişinin, kimliği doğrulanmış erişime sahip depolama hesabında hassas verileri olan bir blob kapsayıcısına erişildiğini gösterir. Bir Tor çıkış düğümünden kimliği doğrulanmış erişim, aktörün olası kötü amaçlı amaç için anonim kalmaya çalıştığına kesin olarak işaret eder. Erişimin kimliği doğrulandığı için, bu depolama hesabına erişime izin veren kimlik bilgilerinin gizliliği ihlal edilmiş olabilir. Şunlar için geçerlidir: Veri duyarlılığı tehdit algılama özelliğinin etkinleştirildiği yeni Depolama için Defender planına sahip Azure Blob (Standart genel amaçlı v2, Azure Data Lake Storage 2. Nesil veya premium blok blobları) depolama hesapları.
MITRE taktikleri: Saldırı Öncesi
Önem Derecesi: Yüksek
Olağan dışı bir konumdan hassas blob kapsayıcısına erişim (Önizleme)
Depolama. Blob_GeoAnomaly.Sensitive
Açıklama: Uyarı, birinin olağan dışı bir konumdan kimlik doğrulamasıyla depolama hesabında hassas verilere sahip blob kapsayıcıya erişildiğini gösterir. Erişimin kimliği doğrulandığı için, bu depolama hesabına erişime izin veren kimlik bilgilerinin gizliliği ihlal edilmiş olabilir. Şunlar için geçerlidir: Veri duyarlılığı tehdit algılama özelliğinin etkinleştirildiği yeni Depolama için Defender planına sahip Azure Blob (Standart genel amaçlı v2, Azure Data Lake Storage 2. Nesil veya premium blok blobları) depolama hesapları.
MITRE taktikleri: İlk Erişim
Önem Derecesi: Orta
Hassas depolama blob kapsayıcısının erişim düzeyi kimliği doğrulanmamış genel erişime izin verecek şekilde değiştirildi (Önizleme)
Depolama. Blob_OpenACL.Sensitive
Açıklama: Uyarı, birinin gizli veriler içeren depolama hesabındaki bir blob kapsayıcısının erişim düzeyini kimliği doğrulanmamış (anonim) genel erişime izin veren 'Kapsayıcı' düzeyine değiştirdiğini gösterir. Değişiklik Azure portalı üzerinden yapıldı. Erişim düzeyi değişikliği verilerin güvenliğini tehlikeye atabilir. Bu uyarının tetiklenmesi durumunda verilerin güvenliğini sağlamak ve yetkisiz erişimi önlemek için hemen harekete geçmenizi öneririz. Şunlar için geçerlidir: Veri duyarlılığı tehdit algılama özelliğinin etkinleştirildiği yeni Depolama için Defender planına sahip Azure Blob (Standart genel amaçlı v2, Azure Data Lake Storage 2. Nesil veya premium blok blobları) depolama hesapları.
MITRE taktikleri: Koleksiyon
Önem Derecesi: Yüksek
Aşırı izinli SAS belirtecine sahip bir Azure depolama hesabına şüpheli dış erişim (Önizleme)
Depolama. Blob_AccountSas.InternalSasUsedExternally
Açıklama: Uyarı, dış (genel) IP adresine sahip birinin depolama hesabına uzun süre sonu tarihi olan aşırı izin veren bir SAS belirteci kullanarak erişildiğini gösterir. SAS belirteci genellikle yalnızca iç ağlarda (özel IP adreslerinden) kullanıldığından bu erişim türü şüpheli kabul edilir. Etkinlik, sas belirtecinin kötü amaçlı bir aktör tarafından sızdırıldığını veya meşru bir kaynaktan yanlışlıkla sızdırıldığını gösterebilir. Erişim yasal olsa bile, son kullanma tarihi uzun olan yüksek izinli sas belirteci kullanmak en iyi güvenlik yöntemlerine aykırıdır ve olası bir güvenlik riski oluşturur. Şunlar için geçerlidir: Yeni Depolama planı için Defender ile Azure Blob (Standart genel amaçlı v2, Azure Data Lake Storage 2. Nesil veya premium blok blobları) depolama hesapları.
MITRE taktikleri: Sızdırma / Kaynak Geliştirme / Etki
Önem Derecesi: Orta
Aşırı izinli SAS belirtecine sahip bir Azure depolama hesabına şüpheli dış işlem (Önizleme)
Depolama. Blob_AccountSas.UnusualOperationFromExternalIp
Açıklama: Uyarı, dış (genel) IP adresine sahip birinin depolama hesabına uzun süre sonu tarihi olan aşırı izin veren bir SAS belirteci kullanarak erişildiğini gösterir. Bu SAS belirteciyle ağınız dışında çağrılan işlemler (özel IP adreslerinden değil) genellikle belirli bir Okuma/Yazma/Silme işlemleri kümesi için kullanıldığından erişim şüpheli kabul edilir, ancak diğer işlemler gerçekleştirilir ve bu da bu erişimi şüpheli hale getirir. Bu etkinlik, sas belirtecinin kötü amaçlı bir aktör tarafından sızdırıldığını veya meşru bir kaynaktan yanlışlıkla sızdırıldığını gösterebilir. Erişim yasal olsa bile, son kullanma tarihi uzun olan yüksek izinli sas belirteci kullanmak en iyi güvenlik yöntemlerine aykırıdır ve olası bir güvenlik riski oluşturur. Şunlar için geçerlidir: Yeni Depolama planı için Defender ile Azure Blob (Standart genel amaçlı v2, Azure Data Lake Storage 2. Nesil veya premium blok blobları) depolama hesapları.
MITRE taktikleri: Sızdırma / Kaynak Geliştirme / Etki
Önem Derecesi: Orta
Genel IP adresinden Azure depolama hesabına erişmek için olağan dışı SAS belirteci kullanıldı (Önizleme)
Depolama. Blob_AccountSas.UnusualExternalAccess
Açıklama: Uyarı, dış (genel) IP adresine sahip birinin hesap SAS belirteci kullanarak depolama hesabına erişmiş olduğunu gösterir. SAS belirteçlerini kullanarak depolama hesabına erişim genellikle yalnızca iç (özel) IP adreslerinden geldiğinden, erişim son derece olağan dışıdır ve şüpheli olarak kabul edilir. Bu depolama hesabına erişim elde etmek için sas belirtecinin kuruluşunuzun içinden veya dışarıdan kötü amaçlı bir aktör tarafından sızdırılmış veya oluşturulmuş olması mümkündür. Şunlar için geçerlidir: Yeni Depolama planı için Defender ile Azure Blob (Standart genel amaçlı v2, Azure Data Lake Storage 2. Nesil veya premium blok blobları) depolama hesapları.
MITRE taktikleri: Sızdırma / Kaynak Geliştirme / Etki
Önem Derecesi: Düşük
Depolama hesabına yüklenen kötü amaçlı dosya
Depolama. Blob_AM. MalwareFound
Açıklama: Uyarı, depolama hesabına kötü amaçlı bir blob yüklendiğini gösterir. Bu güvenlik uyarısı, Depolama için Defender'daki Kötü Amaçlı Yazılım Tarama özelliği tarafından oluşturulur. Olası nedenler arasında bir tehdit aktörü tarafından kötü amaçlı yazılımların kasıtlı olarak yüklenmesi veya kötü amaçlı bir dosyanın meşru bir kullanıcı tarafından yanlışlıkla yüklenmesi yer alabilir. Şunlar için geçerlidir: Kötü Amaçlı Yazılım Tarama özelliğinin etkinleştirildiği yeni Depolama için Defender planına sahip Azure Blob (Standart genel amaçlı v2, Azure Data Lake Storage 2. Nesil veya premium blok blobları) depolama hesapları.
MITRE taktikleri: Yanal Hareket
Önem Derecesi: Yüksek
Kötü amaçlı blob bir depolama hesabından indirildi (Önizleme)
Depolama. Blob_MalwareDownload
Açıklama: Uyarı, depolama hesabından kötü amaçlı bir blob indirildiğini gösterir. Olası nedenler arasında depolama hesabına yüklenen ve kaldırılmayan veya karantinaya alınmayan kötü amaçlı yazılımlar, böylece bir tehdit aktörünün indirmesine veya kötü amaçlı yazılımların meşru kullanıcılar veya uygulamalar tarafından yanlışlıkla indirilmesine olanak sağlanabilir. Şunlar için geçerlidir: Kötü Amaçlı Yazılım Tarama özelliğinin etkinleştirildiği yeni Depolama için Defender planına sahip Azure Blob (Standart genel amaçlı v2, Azure Data Lake Storage 2. Nesil veya premium blok blobları) depolama hesapları.
MITRE taktikleri: Yanal Hareket
Önem derecesi: Yüksek, eğer Eicar ise - düşük
Azure Cosmos DB uyarıları
Tor çıkış düğümünden erişim
(CosmosDB_TorAnomaly)
Açıklama: Bu Azure Cosmos DB hesabına, anonimleşen bir ara sunucu olan Tor'un etkin çıkış düğümü olduğu bilinen bir IP adresinden başarıyla erişildi. Bir Tor çıkış düğümünden kimliği doğrulanmış erişim, tehdit aktörlerinin kimliğini gizlemeye çalıştığının büyük olasılıkla bir göstergesidir.
MITRE taktikleri: İlk Erişim
Önem Derecesi: Yüksek/Orta
Şüpheli IP'den erişim
(CosmosDB_SuspiciousIp)
Açıklama: Bu Azure Cosmos DB hesabına, Microsoft Threat Intelligence tarafından tehdit olarak tanımlanan bir IP adresinden başarıyla erişildi.
MITRE taktikleri: İlk Erişim
Önem Derecesi: Orta
Olağan dışı bir konumdan erişim
(CosmosDB_GeoAnomaly)
Açıklama: Bu Azure Cosmos DB hesabına, alışılmış erişim deseni temelinde, tanınmadığı kabul edilen bir konumdan erişildi.
Bir tehdit aktörü hesaba erişim elde etti veya meşru bir kullanıcı yeni veya olağan dışı bir coğrafi konumdan bağlandı
MITRE taktikleri: İlk Erişim
Önem Derecesi: Düşük
Ayıklanan olağan dışı veri hacmi
(CosmosDB_DataExfiltrationAnomaly)
Açıklama: Bu Azure Cosmos DB hesabından olağan dışı derecede büyük miktarda veri ayıklandı. Bu, bir tehdit aktörün verileri dışarı aktardığını gösterebilir.
MITRE taktikleri: Sızdırma
Önem Derecesi: Orta
Kötü amaçlı olabilecek bir betik aracılığıyla Azure Cosmos DB hesap anahtarlarını ayıklama
(CosmosDB_SuspiciousListKeys.MaliciousScript)
Açıklama: Aboneliğinizde bir PowerShell betiği çalıştırıldı ve aboneliğinizdeki Azure Cosmos DB hesaplarının anahtarlarını almak için şüpheli bir anahtar listeleme işlemi düzeni gerçekleştirdi. Tehdit aktörleri, anahtarları listelemek ve erişebilecekleri Azure Cosmos DB hesaplarını bulmak için Mikro patlama gibi otomatik betikleri kullanır.
Bu işlem kuruluşunuzdaki bir kimliğin ihlal edildiğine ve tehdit aktörünün kötü amaçlı amaçlar için ortamınızdaki Azure Cosmos DB hesaplarının güvenliğini aşmaya çalıştığına işaret edebilir.
Alternatif olarak, kötü niyetli bir insider hassas verilere erişmeye ve yanal hareket gerçekleştirmeye çalışıyor olabilir.
MITRE taktikleri: Koleksiyon
Önem Derecesi: Orta
Azure Cosmos DB hesap anahtarlarının (AzureCosmosDB_SuspiciousListKeys.SuspiciousPrincipal) şüpheli ayıklaması
Açıklama: Şüpheli bir kaynak, aboneliğinizden Azure Cosmos DB hesabı erişim anahtarlarını ayıkladı. Bu kaynak geçerli bir kaynak değilse, bu yüksek etkiye sahip bir sorun olabilir. Ayıklanan erişim anahtarı, ilişkili veritabanları ve içinde depolanan veriler üzerinde tam denetim sağlar. Kaynağın neden şüpheli olarak işaretlendiği hakkında bilgi edinmek için her uyarının ayrıntılarına bakın.
MITRE taktikleri: Kimlik Bilgisi Erişimi
Önem derecesi: yüksek
SQL ekleme: olası veri sızdırma
(CosmosDB_SqlInjection.DataExfiltrasyon)
Açıklama: Bu Azure Cosmos DB hesabındaki bir kapsayıcıyı sorgulamak için şüpheli bir SQL deyimi kullanıldı.
Eklenen deyim, tehdit aktörün erişim yetkisi olmayan verileri dışarı aktarmayı başarmış olabilir.
Azure Cosmos DB sorgularının yapısı ve özellikleri nedeniyle, Azure Cosmos DB hesaplarında bilinen birçok SQL ekleme saldırısı çalışamaz. Ancak, bu saldırıda kullanılan varyasyon işe yarayabilir ve tehdit aktörleri verileri dışarı alabilir.
MITRE taktikleri: Sızdırma
Önem Derecesi: Orta
SQL ekleme: fuzzing denemesi
(CosmosDB_SqlInjection.FailedFuzzingAttempt)
Açıklama: Bu Azure Cosmos DB hesabındaki bir kapsayıcıyı sorgulamak için şüpheli bir SQL deyimi kullanıldı.
Diğer iyi bilinen SQL ekleme saldırılarında olduğu gibi bu saldırı da Azure Cosmos DB hesabının güvenliğini tehlikeye atarak başarılı olmayacaktır.
Bununla birlikte, bir tehdit aktörün bu hesaptaki kaynaklara saldırmaya çalıştığının ve uygulamanızın gizliliğinin tehlikeye girmiş olabileceğinin bir göstergesidir.
Bazı SQL ekleme saldırıları başarılı olabilir ve verileri dışarı sızdırmak için kullanılabilir. Başka bir deyişle, saldırgan SQL ekleme denemelerini gerçekleştirmeye devam ederse Azure Cosmos DB hesabınızın güvenliğini tehlikeye atabilir ve verileri dışarı aktarabilir.
Parametreli sorgular kullanarak bu tehdidi önleyebilirsiniz.
MITRE taktikleri: Saldırı öncesi
Önem Derecesi: Düşük
Azure ağ katmanı uyarıları
Kötü amaçlı bir makineyle ağ iletişimi algılandı
(Network_CommunicationWithC2)
Açıklama: Ağ trafiği analizi, makinenizin (IP %{Victim IP}) Bir Komut ve Denetim merkezi olabilecek değerle iletişim kurduğunu gösterir. Güvenliği aşılmış kaynak bir yük dengeleyici veya uygulama ağ geçidi olduğunda, şüpheli etkinlik arka uç havuzundaki bir veya daha fazla kaynağın (yük dengeleyici veya uygulama ağ geçidinin) Bir Komut ve Denetim merkezi olabilecek kaynaklarla iletişim kurduğunu gösterebilir.
MITRE taktikleri: Komut ve Denetim
Önem Derecesi: Orta
Olası güvenliği aşılmış makine algılandı
(Network_ResourceIpIndicatedAsMalicious)
Açıklama: Tehdit bilgileri makinenizin (IP %{Machine IP}'de) Conficker türünde bir kötü amaçlı yazılım tarafından ele geçirilmiş olabileceğini gösterir. Conficker, Microsoft Windows işletim sistemini hedefleyen bir bilgisayar solucanıydı ve ilk olarak Kasım 2008'de algılandı. Conficker, 200'den fazla ülkede/bölgede devlet, iş ve ev bilgisayarları dahil olmak üzere milyonlarca bilgisayara bulaşmış ve 2003 Welchia solucanı'dan bu yana bilinen en büyük bilgisayar solucanı enfeksiyonu haline getirmiştir.
MITRE taktikleri: Komut ve Denetim
Önem Derecesi: Orta
Olası gelen %{Service Name} deneme yanılma girişimleri algılandı
(Generic_Incoming_BF_OneToOne)
Açıklama: %{Saldırgan IP} kaynağınızla ilişkilendirilmiş %{Victim IP} ile gelen %{Hizmet Adı} iletişim ağ trafiği analizi algılandı. Güvenliği aşılmış kaynak bir yük dengeleyici veya uygulama ağ geçidi olduğunda, şüpheli gelen trafik arka uç havuzundaki bir veya daha fazla kaynağa (yük dengeleyicinin veya uygulama ağ geçidinin) iletilmiştir. Örneklenen ağ verileri, %{Victim Port} bağlantı noktasında %{Start Time} ile %{End Time} arasındaki şüpheli etkinliği gösteriyor. Bu etkinlik , %{Service Name} sunucularına yönelik deneme yanılma girişimleriyle tutarlı.
MITRE taktikleri: PreAttack
Önem Derecesi: Bilgilendiren
Olası gelen SQL deneme yanılma girişimleri algılandı
(SQL_Incoming_BF_OneToOne)
Açıklama: Ağ trafiği analizi , %{Saldırgan IP} kaynağınızla ilişkilendirilmiş %{Victim IP} ile gelen SQL iletişimi algılandı. Güvenliği aşılmış kaynak bir yük dengeleyici veya uygulama ağ geçidi olduğunda, şüpheli gelen trafik arka uç havuzundaki bir veya daha fazla kaynağa (yük dengeleyicinin veya uygulama ağ geçidinin) iletilmiştir. Özellikle, örneklenen ağ verileri %{Bağlantı Noktası Numarası} (%{SQL Hizmet Türü}) bağlantı noktasındaki %{Başlangıç Saati} ile %{Bitiş Zamanı} arasındaki şüpheli etkinliği gösterir. Bu etkinlik, SQL sunucularına karşı deneme yanılma girişimleriyle tutarlıdır.
MITRE taktikleri: PreAttack
Önem Derecesi: Orta
Olası giden hizmet reddi saldırısı algılandı
(DDOS)
Açıklama: Ağ trafiği analizi, dağıtımınızdaki bir kaynak olan %{Güvenliği Aşılmış Konak} kaynaklı anormal giden etkinlik algılandı. Bu etkinlik kaynağınızın gizliliğinin tehlikeye girdiğini ve artık dış uç noktalara yönelik hizmet reddi saldırılarıyla meşgul olduğunu gösterebilir. Güvenliği aşılmış kaynak bir yük dengeleyici veya uygulama ağ geçidi olduğunda, şüpheli etkinlik arka uç havuzundaki bir veya daha fazla kaynağın (yük dengeleyici veya uygulama ağ geçidinin) güvenliğinin aşıldığını gösterebilir. Bağlantı hacmine bağlı olarak, şu IP'lerin DOS saldırısının hedefleri olduğunu düşünüyoruz: %{Olası Kurbanlar}. Bu IP'lerden bazılarına yapılan iletişimin yasal olduğunu unutmayın.
MITRE taktikleri: Etki
Önem Derecesi: Orta
Birden çok kaynaktan şüpheli gelen RDP ağ etkinliği
(RDP_Incoming_BF_ManyToOne)
Açıklama: Ağ trafiği analizi, birden çok kaynaktan %{Victim IP} adlı kaynakla ilişkili anormal gelen Uzak Masaüstü Protokolü (RDP) iletişimi algılandı. Güvenliği aşılmış kaynak bir yük dengeleyici veya uygulama ağ geçidi olduğunda, şüpheli gelen trafik arka uç havuzundaki bir veya daha fazla kaynağa (yük dengeleyicinin veya uygulama ağ geçidinin) iletilmiştir. Özellikle, örneklenen ağ verileri kaynağınıza bağlanan %{Saldırıya Uğrayan IP Sayısı} benzersiz IP'yi gösterir ve bu durum bu ortam için anormal olarak kabul edilir. Bu etkinlik, rdp uç noktanızı birden çok konaktan (Botnet) deneme yanılma girişimine işaret edebilir.
MITRE taktikleri: PreAttack
Önem Derecesi: Orta
Şüpheli gelen RDP ağ etkinliği
(RDP_Incoming_BF_OneToOne)
Açıklama: Ağ trafiği analizi , %{Saldırgan IP} kaynağınızla ilişkilendirilmiş %{Victim IP} ile anormal gelen Uzak Masaüstü Protokolü (RDP) iletişimi algılandı. Güvenliği aşılmış kaynak bir yük dengeleyici veya uygulama ağ geçidi olduğunda, şüpheli gelen trafik arka uç havuzundaki bir veya daha fazla kaynağa (yük dengeleyicinin veya uygulama ağ geçidinin) iletilmiştir. Özellikle, örneklenen ağ verileri kaynağınıza gelen %{Bağlan ions} bağlantı sayısını gösterir ve bu durum bu ortam için anormal olarak kabul edilir. Bu etkinlik RDP uç noktanızı deneme yanılma girişimini gösterebilir
MITRE taktikleri: PreAttack
Önem Derecesi: Orta
Birden çok kaynaktan şüpheli gelen SSH ağ etkinliği
(SSH_Incoming_BF_ManyToOne)
Açıklama: Ağ trafiği analizi birden çok kaynaktan %{Victim IP} adlı kaynakla ilişkili anormal gelen SSH iletişimi algılandı. Güvenliği aşılmış kaynak bir yük dengeleyici veya uygulama ağ geçidi olduğunda, şüpheli gelen trafik arka uç havuzundaki bir veya daha fazla kaynağa (yük dengeleyicinin veya uygulama ağ geçidinin) iletilmiştir. Özellikle, örneklenen ağ verileri kaynağınıza bağlanan %{Saldırıya Uğrayan IP Sayısı} benzersiz IP'yi gösterir ve bu durum bu ortam için anormal olarak kabul edilir. Bu etkinlik, SSH uç noktanızı birden çok konaktan (Botnet) deneme yanılma girişiminde bulunabileceğinizi gösterebilir
MITRE taktikleri: PreAttack
Önem Derecesi: Orta
Şüpheli gelen SSH ağ etkinliği
(SSH_Incoming_BF_OneToOne)
Açıklama: Ağ trafiği analizi , %{Saldırgan IP} kaynağınızla ilişkili %{Victim IP} ile anormal gelen SSH iletişimi algılandı. Güvenliği aşılmış kaynak bir yük dengeleyici veya uygulama ağ geçidi olduğunda, şüpheli gelen trafik arka uç havuzundaki bir veya daha fazla kaynağa (yük dengeleyicinin veya uygulama ağ geçidinin) iletilmiştir. Özellikle, örneklenen ağ verileri kaynağınıza gelen %{Bağlan ions} bağlantı sayısını gösterir ve bu durum bu ortam için anormal olarak kabul edilir. Bu etkinlik, SSH uç noktanızı deneme yanılma girişimini gösterebilir
MITRE taktikleri: PreAttack
Önem Derecesi: Orta
Şüpheli giden %{Saldırıya Uğrayan Protokol} trafiği algılandı
(PortScanning)
Açıklama: Ağ trafiği analizi , %{Güvenliği Aşılmış Konak} öğesinden %{En Yaygın Bağlantı Noktası} hedef bağlantı noktasına şüpheli giden trafik algılandı. Güvenliği aşılmış kaynak bir yük dengeleyici veya uygulama ağ geçidi olduğunda, şüpheli giden trafik arka uç havuzundaki bir veya daha fazla kaynaktan (yük dengeleyici veya uygulama ağ geçidi) kaynaklanır. Bu davranış, kaynağınızın %{Saldırıya Uğrayan Protokol} deneme yanılma girişimlerine veya bağlantı noktası süpürme saldırılarına katıldığını gösterebilir.
MITRE taktikleri: Bulma
Önem Derecesi: Orta
Birden çok hedefe şüpheli giden RDP ağ etkinliği
(RDP_Outgoing_BF_OneToMany)
Açıklama: Ağ trafiği analizi, dağıtımınızdaki bir kaynak olan %{Güvenliği Aşılmış Ana Bilgisayar} (%{Saldırgan IP}) kaynağından kaynaklanan birden çok hedefe anormal giden Uzak Masaüstü Protokolü (RDP) iletişimi algılandı. Güvenliği aşılmış kaynak bir yük dengeleyici veya uygulama ağ geçidi olduğunda, şüpheli giden trafik arka uç havuzundaki bir veya daha fazla kaynaktan (yük dengeleyici veya uygulama ağ geçidi) kaynaklanır. Örneklenen ağ verileri, makinenizin %{Saldırıya Uğrayan IP Sayısı} benzersiz IP'sine bağlanarak bu ortam için anormal olarak kabul edildiğini gösterir. Bu etkinlik kaynağınızın gizliliğinin aşıldığını ve artık dış RDP uç noktalarını deneme yanılma amacıyla kullanıldığını gösterebilir. Bu etkinlik türünün, IP’nizin dış varlıklar tarafından kötü amaçlı olarak işaretlenmesine neden olabileceğini unutmayın.
MITRE taktikleri: Bulma
Önem Derecesi: Yüksek
Şüpheli giden RDP ağ etkinliği
(RDP_Outgoing_BF_OneToOne)
Açıklama: Ağ trafiği analizi, dağıtımınızdaki bir kaynak olan %{Victim IP} ile %{Risk Altındaki Ana Bilgisayar} (%{Saldırgan IP}) kaynaklı anormal giden Uzak Masaüstü Protokolü (RDP) iletişimi algılandı. Güvenliği aşılmış kaynak bir yük dengeleyici veya uygulama ağ geçidi olduğunda, şüpheli giden trafik arka uç havuzundaki bir veya daha fazla kaynaktan (yük dengeleyici veya uygulama ağ geçidi) kaynaklanır. Özellikle, örneklenen ağ verileri kaynağınızdan gelen %{Bağlan ions} giden bağlantı sayısını gösterir ve bu durum bu ortam için anormal olarak kabul edilir. Bu etkinlik makinenizin gizliliğinin ihlal edildiğine ve artık dış RDP uç noktalarına deneme yanılma uygulamak için kullanıldığına işaret edebilir. Bu etkinlik türünün, IP’nizin dış varlıklar tarafından kötü amaçlı olarak işaretlenmesine neden olabileceğini unutmayın.
MITRE taktikleri: Yanal Hareket
Önem Derecesi: Yüksek
Birden çok hedefe şüpheli giden SSH ağ etkinliği
(SSH_Outgoing_BF_OneToMany)
Açıklama: Ağ trafiği analizi, dağıtımınızdaki bir kaynak olan %{Güvenliği Aşılmış Konak} (%{Saldırgan IP}) kaynağından kaynaklanan birden çok hedefe anormal giden SSH iletişimi algılandı. Güvenliği aşılmış kaynak bir yük dengeleyici veya uygulama ağ geçidi olduğunda, şüpheli giden trafik arka uç havuzundaki bir veya daha fazla kaynaktan (yük dengeleyici veya uygulama ağ geçidi) kaynaklanır. Örneklenen ağ verileri, kaynağınızın bu ortam için anormal olarak kabul edilen %{Saldırıya Uğrayan IP Sayısı} benzersiz IP'sine bağlanmasını gösterir. Bu etkinlik kaynağınızın gizliliğinin aşıldığını ve artık dış SSH uç noktalarını deneme yanılma amacıyla kullanıldığını gösterebilir. Bu etkinlik türünün, IP’nizin dış varlıklar tarafından kötü amaçlı olarak işaretlenmesine neden olabileceğini unutmayın.
MITRE taktikleri: Bulma
Önem Derecesi: Orta
Şüpheli giden SSH ağ etkinliği
(SSH_Outgoing_BF_OneToOne)
Açıklama: Ağ trafiği analizi, dağıtımınızdaki bir kaynak olan %{Victim IP} ile %{Güvenliği Aşılmış Konak} (%{Saldırgan IP}) kaynaklı anormal giden SSH iletişimi algılandı. Güvenliği aşılmış kaynak bir yük dengeleyici veya uygulama ağ geçidi olduğunda, şüpheli giden trafik arka uç havuzundaki bir veya daha fazla kaynaktan (yük dengeleyici veya uygulama ağ geçidi) kaynaklanır. Özellikle, örneklenen ağ verileri kaynağınızdan gelen %{Bağlan ions} giden bağlantı sayısını gösterir ve bu durum bu ortam için anormal olarak kabul edilir. Bu etkinlik kaynağınızın gizliliğinin aşıldığını ve artık dış SSH uç noktalarını deneme yanılma amacıyla kullanıldığını gösterebilir. Bu etkinlik türünün, IP’nizin dış varlıklar tarafından kötü amaçlı olarak işaretlenmesine neden olabileceğini unutmayın.
MITRE taktikleri: Yanal Hareket
Önem Derecesi: Orta
Engelleme için önerilen IP adreslerinden trafik algılandı
(Network_TrafficFromUnrecommendedIP)
Açıklama: Bulut için Microsoft Defender engellenmesi önerilen IP adreslerinden gelen trafik algılandı. Bu durum genellikle bu IP adresi bu kaynakla düzenli olarak iletişim kurmadığında oluşur. Alternatif olarak, IP adresi Bulut için Defender tehdit bilgileri kaynakları tarafından kötü amaçlı olarak işaretlendi.
MITRE taktikleri: Yoklama
Önem Derecesi: Bilgilendiren
Azure Key Vault uyarıları
Şüpheli bir IP adresinden anahtar kasasına erişim
(KV_SuspiciousIPAccess)
Açıklama: Microsoft Threat Intelligence tarafından şüpheli bir IP adresi olarak tanımlanan bir IP tarafından anahtar kasasına başarıyla erişildi. Bu, altyapınızın gizliliğinin ihlal edildiğini gösterebilir. Daha fazla araştırma yapmanızı öneririz. Microsoft'un tehdit bilgileri özellikleri hakkında daha fazla bilgi edinin.
MITRE taktikleri: Kimlik Bilgisi Erişimi
Önem Derecesi: Orta
TOR çıkış düğümünden anahtar kasasına erişim
(KV_TORAccess)
Açıklama: Bilinen bir TOR çıkış düğümünden anahtar kasasına erişildi. Bu, bir tehdit aktörün anahtar kasasına erişip kaynak konumunu gizlemek için TOR ağını kullandığının bir göstergesi olabilir. Daha fazla araştırma yapmanızı öneririz.
MITRE taktikleri: Kimlik Bilgisi Erişimi
Önem Derecesi: Orta
Anahtar kasasında yüksek hacimli işlemler
(KV_OperationVolumeAnomaly)
Açıklama: Kullanıcı, hizmet sorumlusu ve/veya belirli bir anahtar kasası tarafından anormal sayıda anahtar kasası işlemi gerçekleştirildi. Bu anormal etkinlik düzeni yasal olabilir, ancak bir tehdit aktörün anahtar kasasına ve içindeki gizli dizilere erişim elde ettiğinin bir göstergesi olabilir. Daha fazla araştırma yapmanızı öneririz.
MITRE taktikleri: Kimlik Bilgisi Erişimi
Önem Derecesi: Orta
Anahtar kasasında şüpheli ilke değişikliği ve gizli dizi sorgusu
(KV_PutGetAnomaly)
Açıklama: Kullanıcı veya hizmet sorumlusu anormal bir Vault Put ilke değişikliği işlemi ve ardından bir veya daha fazla Gizli Dizi Alma işlemi gerçekleştirmiştir. Bu düzen normalde belirtilen kullanıcı veya hizmet sorumlusu tarafından gerçekleştirilmiyor. Bu yasal bir etkinlik olabilir, ancak bir tehdit aktörün anahtar kasası ilkesini daha önce erişilemeyen gizli dizilere erişecek şekilde güncelleştirdiğinin bir göstergesi olabilir. Daha fazla araştırma yapmanızı öneririz.
MITRE taktikleri: Kimlik Bilgisi Erişimi
Önem Derecesi: Orta
Anahtar kasasında şüpheli gizli dizi listesi ve sorgusu
(KV_ListGetAnomaly)
Açıklama: Kullanıcı veya hizmet sorumlusu anormal bir Gizli Dizi Listesi işlemi ve ardından bir veya daha fazla Gizli Dizi Alma işlemi gerçekleştirmiştir. Bu düzen normalde belirtilen kullanıcı veya hizmet sorumlusu tarafından gerçekleştirilmez ve genellikle gizli dizi dökümüyle ilişkilendirilir. Bu yasal bir etkinlik olabilir, ancak bir tehdit aktörün anahtar kasasına erişim elde ettiğinin ve ağınızda ya da hassas kaynaklara erişmek için kullanılabilecek gizli dizileri keşfetmeye çalıştığının bir göstergesi olabilir. Daha fazla araştırma yapmanızı öneririz.
MITRE taktikleri: Kimlik Bilgisi Erişimi
Önem Derecesi: Orta
Olağan dışı erişim reddedildi - Yüksek hacimli anahtar kasalarına erişen kullanıcı reddedildi
(KV_AccountVolumeAccessDeniedAnomaly)
Açıklama: Bir kullanıcı veya hizmet sorumlusu son 24 saat içinde anormal derecede yüksek hacimli anahtar kasalarına erişim girişiminde bulundu. Bu anormal erişim düzeni meşru bir etkinlik olabilir. Bu girişim başarısız olsa da, anahtar kasasına ve içindeki gizli dizilere erişmeye yönelik olası bir girişimin göstergesi olabilir. Daha fazla araştırma yapmanızı öneririz.
MITRE taktikleri: Bulma
Önem Derecesi: Düşük
Olağan dışı erişim reddedildi - Anahtar kasasına olağan dışı kullanıcı erişimi reddedildi
(KV_UserAccessDeniedAnomaly)
Açıklama: Normalde erişmeyen bir kullanıcı tarafından anahtar kasası erişimi denendi, bu anormal erişim düzeni meşru bir etkinlik olabilir. Bu girişim başarısız olsa da, anahtar kasasına ve içindeki gizli dizilere erişmeye yönelik olası bir girişimin göstergesi olabilir.
MITRE taktikleri: İlk Erişim, Bulma
Önem Derecesi: Düşük
Olağan dışı uygulama bir anahtar kasasına erişildi
(KV_AppAnomaly)
Açıklama: Normalde erişmeyen bir hizmet sorumlusu tarafından anahtar kasasına erişildi. Bu anormal erişim düzeni meşru bir etkinlik olabilir, ancak bir tehdit aktörün içinde yer alan gizli dizilere erişme girişiminde anahtar kasasına erişim elde ettiğinin bir göstergesi olabilir. Daha fazla araştırma yapmanızı öneririz.
MITRE taktikleri: Kimlik Bilgisi Erişimi
Önem Derecesi: Orta
Anahtar kasasında olağan dışı işlem düzeni
(KV_OperationPatternAnomaly)
Açıklama: Kullanıcı, hizmet sorumlusu ve/veya belirli bir anahtar kasası tarafından anahtar kasası işlemlerinin anormal deseni gerçekleştirildi. Bu anormal etkinlik düzeni yasal olabilir, ancak bir tehdit aktörün anahtar kasasına ve içindeki gizli dizilere erişim elde ettiğinin bir göstergesi olabilir. Daha fazla araştırma yapmanızı öneririz.
MITRE taktikleri: Kimlik Bilgisi Erişimi
Önem Derecesi: Orta
Olağan dışı kullanıcı bir anahtar kasasına erişmiş
(KV_UserAnomaly)
Açıklama: Normalde erişmeyen bir kullanıcı bir anahtar kasasına erişti. Bu anormal erişim düzeni meşru bir etkinlik olabilir, ancak bir tehdit aktörün içinde yer alan gizli dizilere erişme girişiminde anahtar kasasına erişim elde ettiğinin bir göstergesi olabilir. Daha fazla araştırma yapmanızı öneririz.
MITRE taktikleri: Kimlik Bilgisi Erişimi
Önem Derecesi: Orta
Olağan dışı kullanıcı-uygulama çifti bir anahtar kasasına erişmiş
(KV_UserAppAnomaly)
Açıklama: Bir anahtar kasasına normalde erişmeyen bir kullanıcı hizmeti sorumlusu çifti tarafından erişildi. Bu anormal erişim düzeni meşru bir etkinlik olabilir, ancak bir tehdit aktörün içinde yer alan gizli dizilere erişme girişiminde anahtar kasasına erişim elde ettiğinin bir göstergesi olabilir. Daha fazla araştırma yapmanızı öneririz.
MITRE taktikleri: Kimlik Bilgisi Erişimi
Önem Derecesi: Orta
Kullanıcı yüksek hacimli anahtar kasalarına erişmiş
(KV_AccountVolumeAnomaly)
Açıklama: Kullanıcı veya hizmet sorumlusu anormal derecede yüksek hacimli anahtar kasalarına erişti. Bu anormal erişim düzeni meşru bir etkinlik olabilir, ancak bir tehdit aktörün, içinde yer alan gizli dizilere erişme girişiminde birden çok anahtar kasasına erişim elde ettiğinin bir göstergesi olabilir. Daha fazla araştırma yapmanızı öneririz.
MITRE taktikleri: Kimlik Bilgisi Erişimi
Önem Derecesi: Orta
Şüpheli IP'den anahtar kasasına erişim reddedildi
(KV_SuspiciousIPAccessDenied)
Açıklama: Microsoft Threat Intelligence tarafından şüpheli bir IP adresi olarak tanımlanan bir IP tarafından başarısız anahtar kasası erişimi denendi. Bu girişim başarısız olsa da altyapınızın ele geçirilmiş olabileceğini gösterir. Daha fazla araştırma yapmanızı öneririz.
MITRE taktikleri: Kimlik Bilgisi Erişimi
Önem Derecesi: Düşük
Şüpheli bir IP'den anahtar kasasına olağan dışı erişim (Microsoft dışı veya Dış)
(KV_UnusualAccessSuspiciousIP)
Açıklama: Kullanıcı veya hizmet sorumlusu son 24 saat içinde Microsoft olmayan bir IP'den anahtar kasalarına anormal erişim girişiminde bulundu. Bu anormal erişim düzeni meşru bir etkinlik olabilir. Anahtar kasasına ve içindeki gizli dizilere erişme girişiminin olası bir göstergesi olabilir. Daha fazla araştırma yapmanızı öneririz.
MITRE taktikleri: Kimlik Bilgisi Erişimi
Önem Derecesi: Orta
Azure DDoS Koruması uyarıları
Genel IP için DDoS Saldırısı algılandı
(NETWORK_DDOS_DETECTED)
Açıklama: Genel IP (IP adresi) için DDoS Saldırısı algılandı ve azaltılıyor.
MITRE taktikleri: Yoklama
Önem Derecesi: Yüksek
Genel IP için DDoS Saldırısı azaltıldı
(NETWORK_DDOS_MITIGATED)
Açıklama: Genel IP (IP adresi) için DDoS Saldırısı azaltıldı.
MITRE taktikleri: Yoklama
Önem Derecesi: Düşük
API'ler için Defender uyarıları
API uç noktasına API trafiğinde şüpheli popülasyon düzeyinde ani artış
(API_PopulationSpikeInAPITraffic)
Açıklama: API uç noktalarından birinde API trafiğinde şüpheli bir ani artış algılandı. Algılama sistemi, tüm IP'ler ve uç nokta arasında rutin API trafik hacmi için bir temel oluşturmak için geçmiş trafik desenlerini kullanır ve temel her durum kodu için API trafiğine özgü olur (örneğin, 200 Başarı). Algılama sistemi, şüpheli etkinliğin algılanması için bu temelden olağan dışı bir sapma işaretlemiştir.
MITRE taktikleri: Etki
Önem Derecesi: Orta
Tek bir IP adresinden BIR API uç noktasına API trafiğinde şüpheli ani artış
(API_SpikeInAPITraffic)
Açıklama: İstemci IP'sinden API uç noktasına API trafiğinde şüpheli bir ani artış algılandı. Algılama sistemi, belirli bir IP'den uç noktaya gelen uç noktaya rutin API trafik hacmi için bir temel oluşturmak üzere geçmiş trafik desenlerini kullandı. Algılama sistemi, şüpheli etkinliğin algılanması için bu temelden olağan dışı bir sapma işaretlemiştir.
MITRE taktikleri: Etki
Önem Derecesi: Orta
Tek bir IP adresi ile API uç noktası arasında olağan dışı büyük yanıt yükü iletilir
(API_SpikeInPayload)
Açıklama: Tek bir IP ile API uç noktalarından biri arasındaki trafik için API yanıt yükü boyutunda şüpheli bir artış gözlemlendi. Son 30 güne ait geçmiş trafik desenlerini temel alan API'ler için Defender, belirli bir IP ve API uç noktası arasındaki tipik API yanıt yükü boyutunu temsil eden bir temel öğrenir. Öğrenilen temel, her durum kodu için API trafiğine özgüdür (örneğin, 200 Başarı). Api yanıt yükü boyutu geçmiş temelden önemli ölçüde sapma olduğundan uyarı tetiklendi.
MITRE taktikleri: İlk erişim
Önem Derecesi: Orta
Tek bir IP adresi ile API uç noktası arasında olağan dışı büyük istek gövdesi iletilir
(API_SpikeInPayload)
Açıklama: Tek bir IP ile API uç noktalarından biri arasındaki trafik için API isteği gövdesi boyutunda şüpheli bir artış gözlemlendi. Son 30 güne ait geçmiş trafik desenlerini temel alan API'ler için Defender, belirli bir IP ile API uç noktası arasındaki tipik API isteği gövde boyutunu temsil eden bir temel öğrenir. Öğrenilen temel, her durum kodu için API trafiğine özgüdür (örneğin, 200 Başarı). Api isteği boyutu geçmiş taban çizgisinden önemli ölçüde saptığı için uyarı tetiklendi.
MITRE taktikleri: İlk erişim
Önem Derecesi: Orta
(Önizleme) Tek bir IP adresi ile API uç noktası arasındaki trafik için şüpheli gecikme süresi artışı
(API_SpikeInLatency)
Açıklama: Tek bir IP ile API uç noktalarından biri arasındaki trafikte gecikme süresinde şüpheli bir ani artış gözlemlendi. Son 30 güne ait geçmiş trafik desenlerini temel alan API'ler için Defender, belirli bir IP ile API uç noktası arasındaki rutin API trafiği gecikme süresini temsil eden bir temel öğrenir. Öğrenilen temel, her durum kodu için API trafiğine özgüdür (örneğin, 200 Başarı). Api çağrısı gecikme süresi geçmiş temelden önemli ölçüde sapma olduğundan uyarı tetiklendi.
MITRE taktikleri: İlk erişim
Önem Derecesi: Orta
API istekleri, tek bir IP adresinden olağan dışı derecede çok sayıda farklı API uç noktasına püskürtülür
(API_SprayInRequests)
Açıklama: Olağanüstü sayıda farklı uç noktaya API çağrıları yapan tek bir IP gözlemlendi. Son 30 güne ait geçmiş trafik desenlerini temel alan API'ler için Defender'lar, 20 dakikalık pencereler arasında tek bir IP tarafından çağrılan tipik ayrı uç nokta sayısını temsil eden bir taban çizgisi öğrenir. Tek bir IP'nin davranışı geçmiş temelden önemli ölçüde saptığı için uyarı tetiklendi.
MITRE taktikleri: Bulma
Önem Derecesi: Orta
API uç noktasında parametre numaralandırması
(API_ParameterEnumeration)
Açıklama: API uç noktalarına erişilirken parametrelerin numaralandırıldığı tek bir IP gözlemlendi. Son 30 güne ait geçmiş trafik desenlerini temel alan API'ler için Defender, 20 dakikalık pencerelerde bu uç noktaya erişirken tek bir IP tarafından kullanılan tipik benzersiz parametre değerlerinin sayısını gösteren bir taban çizgisi öğrenir. Tek bir istemci IP'sinin son zamanlarda çok fazla sayıda farklı parametre değeri kullanarak uç noktaya erişmesi nedeniyle uyarı tetiklendi.
MITRE taktikleri: İlk erişim
Önem Derecesi: Orta
BIR API uç noktasında dağıtılmış parametre numaralandırması
(API_DistributedParameterEnumeration)
Açıklama: API uç noktalarına erişilirken parametrelerin numaralandırıldığı toplam kullanıcı popülasyonu (tüm IP'ler) gözlemlendi. Son 30 güne ait geçmiş trafik desenlerini temel alan API'ler için Defender, 20 dakikalık pencerelerde bir uç noktaya erişirken kullanıcı popülasyonu (tüm IP'ler) tarafından kullanılan tipik ayrı parametre değerlerinin sayısını gösteren bir taban çizgisi öğrenir. Kullanıcı popülasyonu son zamanlarda çok fazla sayıda farklı parametre değeri kullanarak bir uç noktaya erişmiş olduğundan uyarı tetiklendi.
MITRE taktikleri: İlk erişim
Önem Derecesi: Orta
API çağrısında anormal veri türlerine sahip parametre değerleri
(API_UnseenParamType)
Açıklama: API uç noktalarınızdan birine erişen ve düşük olasılıklı veri türü (örneğin, dize, tamsayı vb.) parametre değerleri kullanılarak tek bir IP gözlemlendi. Son 30 güne ait geçmiş trafik desenlerini temel alan API'ler için Defender, her API parametresi için beklenen veri türlerini öğrenir. Bir IP yakın zamanda parametre girişi olarak daha önce düşük olasılıklı bir veri türü kullanarak bir uç noktaya erişildiğinden uyarı tetiklendi.
MITRE taktikleri: Etki
Önem Derecesi: Orta
Api çağrısında daha önce görünmeyen parametre kullanılıyor
(API_UnseenParam)
Açıklama: İstekte daha önce görünmeyen veya sınır dışı parametresi kullanılarak API uç noktalarından birine erişen tek bir IP gözlemlendi. Son 30 güne ait geçmiş trafik desenlerini temel alan API'ler için Defender, uç noktaya yapılan çağrılarla ilişkili bir dizi beklenen parametreyi öğrenir. Uyarı tetiklendi çünkü bir IP yakın zamanda daha önce görünmeyen bir parametre kullanarak bir uç noktaya erişti.
MITRE taktikleri: Etki
Önem Derecesi: Orta
Tor çıkış düğümünden API uç noktasına erişim
(API_AccessFromTorExitNode)
Açıklama: Tor ağından bir IP adresi API uç noktalarınızdan birine erişti. Tor, kişilerin gerçek IP'lerini gizli tutarken İnternet'e erişmesini sağlayan bir ağdır. Yasal kullanımlar olsa da, saldırganlar tarafından çevrimiçi ortamda kişilerin sistemlerini hedeflediklerinde kimliklerini gizlemek için sıklıkla kullanılır.
MITRE taktikleri: Saldırı öncesi
Önem Derecesi: Orta
Şüpheli IP'den API Uç Noktası erişimi
(API_AccessFromSuspiciousIP)
Açıklama: API uç noktalarınızdan birine erişen bir IP adresi, Microsoft Threat Intelligence tarafından tehdit olma olasılığı yüksek olarak belirlendi. Kötü amaçlı İnternet trafiğini gözlemlerken, bu IP diğer çevrimiçi hedeflere saldırmaya dahil olarak ortaya çıktı.
MITRE taktikleri: Saldırı öncesi
Önem Derecesi: Yüksek
Şüpheli Kullanıcı Aracısı algılandı
(API_AccessFromSuspiciousUserAgent)
Açıklama: API uç noktalarınızdan birine erişen bir isteğin kullanıcı aracısı, uzaktan kod yürütme girişimini gösteren anormal değerler içeriyordu. Bu, API uç noktalarınızdan herhangi birinin ihlal edildiğini göstermez, ancak bir saldırı girişiminin devam ettiğini gösterir.
MITRE taktikleri: Yürütme
Önem Derecesi: Orta
Yapay zeka iş yükleri için uyarılar
Azure Open AI modeli dağıtımında kimlik bilgisi hırsızlığı denemeleri algılandı
Açıklama: Kimlik bilgisi hırsızlığı uyarısı, bir kullanıcı istemine verilen GenAI modeli yanıtlarında kimlik bilgileri algılandığında SOC'ye bildirimde bulunarak olası bir ihlal olduğunu göstermek üzere tasarlanmıştır. Bu uyarı, kimlik bilgisi sızıntısı veya hırsızlık durumlarını algılamak için çok önemlidir. Bu durum yapay zekaya özgüdür ve başarılı olursa ciddi sonuçlara yol açabilir.
MITRE taktikleri: Kimlik Bilgisi Erişimi, YanAl Hareket, Sızdırma
Önem Derecesi: Orta
Azure Open AI modeli dağıtımında jailbreak girişimi prompt shields tarafından engellendi
Açıklama: Doğrudan istem ekleme tekniği kullanılarak gerçekleştirilen Jailbreak uyarısı, soC'ye yapay zekanın korumalarını atlayarak hassas verilere veya ayrıcalıklı işlevlere erişme olasılığı olan sistem istemini değiştirme girişimi olduğunu bildirmek için tasarlanmıştır. Bu tür girişimlerin Azure Sorumlu Yapay Zeka İçerik Filtreleme (Aka prompt Shields) tarafından engellendiğini ve yapay zeka kaynaklarının bütünlüğünü ve veri güvenliğini sağladığını belirtti.
MITRE taktikleri: Privilege Escalation, Defense Evasion
Önem Derecesi: Orta
Prompt Shields tarafından Azure Open AI modeli dağıtımında jailbreak girişimi algılandı
Açıklama: Doğrudan istem ekleme tekniği kullanılarak gerçekleştirilen Jailbreak uyarısı, soC'ye yapay zekanın korumalarını atlayarak hassas verilere veya ayrıcalıklı işlevlere erişme olasılığı olan sistem istemini değiştirme girişimi olduğunu bildirmek için tasarlanmıştır. Bu tür girişimlerin Azure Sorumlu Yapay Zeka İçerik Filtrelemesi (Aka prompt Shields) tarafından algılandığını, ancak içerik filtreleme ayarları nedeniyle veya düşük güvenilirlik nedeniyle engellenmediğini belirtti.
MITRE taktikleri: Privilege Escalation, Defense Evasion
Önem Derecesi: Orta
Azure Açık Yapay Zeka Modeli Dağıtımında Hassas Veri Açığa Çıkarma Algılandı
Açıklama: Hassas veri sızıntısı uyarısı, bir GenAI modelinin kullanıcı istemine hassas bilgilerle yanıt verdiğini, potansiyel olarak kötü amaçlı bir kullanıcının yetkisiz hassas verilere erişmek için yapay zekanın korumalarını atlamasından kaynaklandığını soC'ye bildirmek için tasarlanmıştır.
MITRE taktikleri: Koleksiyon
Önem Derecesi: Orta
Kapsayıcılar için Defender uyarıları kullanım dışı bırakıldı
Aşağıdaki listeler, kullanım dışı bırakılan Kapsayıcılar için Defender güvenlik uyarılarını içerir.
Konak güvenlik duvarının değiştirilmesi algılandı
(K8S. NODE_FirewallDisabled)
Açıklama: Kapsayıcı içinde veya doğrudan kubernetes düğümünde çalışan işlemlerin analizi, konaktaki güvenlik duvarında olası bir düzenleme algılamıştır. Saldırganlar genellikle verileri silmek için bunu devre dışı bırakır.
MITRE taktikleri: DefenseEvasion, Exfiltrasyon
Önem Derecesi: Orta
HTTPS üzerinden şüpheli DNS kullanımı
(K8S. NODE_SuspiciousDNSOverHttps)
Açıklama: Kapsayıcı içinde veya doğrudan kubernetes düğümünde çalışan işlemlerin analizi, HTTPS üzerinden yaygın olmayan bir şekilde DNS çağrısının kullanıldığını algılamıştır. Bu teknik saldırganlar tarafından şüpheli veya kötü amaçlı sitelere yapılan çağrıları gizlemek için kullanılır.
MITRE taktikleri: DefenseEvasion, Exfiltrasyon
Önem Derecesi: Orta
Kötü amaçlı konuma olası bir bağlantı algılandı.
(K8S. NODE_ThreatIntelCommandLineSuspectDomain)
Açıklama: Kapsayıcı içinde veya doğrudan kubernetes düğümünde çalışan işlemlerin analizi, kötü amaçlı veya olağan dışı olduğu bildirilen bir konuma bağlantı algılamıştır. Bu, bir güvenliğin aşılmış olabileceğinin göstergesidir.
MITRE taktikleri: InitialAccess
Önem Derecesi: Orta
Dijital para birimi madenciliği etkinliği
(K8S. NODE_CurrencyMining)
Açıklama: Dijital para birimi madenciliği etkinliği algılanan DNS işlemlerinin analizi. Bu tür etkinlikler, büyük olasılıkla meşru bir kullanıcı davranışı olsa da, kaynakların güvenliğinin aşılmasından sonra saldırganlar tarafından sıklıkla gerçekleştirilir. Tipik ilgili saldırgan etkinliği, yaygın madencilik araçlarının indirilmesini ve yürütülmesini içerebilir.
MITRE taktikleri: Sızdırma
Önem Derecesi: Düşük
Sunucular için Defender Linux uyarıları kullanım dışı bırakıldı
VM_AbnormalDaemonTermination
Uyarı Görünen Adı: Anormal Sonlandırma
Önem Derecesi: Düşük
VM_BinaryGeneratedFromCommandLine
Uyarı Görünen Adı: Şüpheli ikili algılandı
Önem Derecesi: Orta
şüpheli VM_CommandlineSuspectDomain
Uyarı Görünen Adı: etki alanı adı başvurusu
Önem Derecesi: Düşük
VM_CommonBot
Uyarı Görünen Adı: Algılanan yaygın Linux botlarına benzer davranış
Önem Derecesi: Orta
VM_CompCommonBots
Uyarı Görünen Adı: Algılanan yaygın Linux botlarına benzer komutlar
Önem Derecesi: Orta
VM_CompSuspiciousScript
Uyarı Görünen Adı: Kabuk Betiği Algılandı
Önem Derecesi: Orta
VM_CompTestRule
Uyarı Görünen Adı: Bileşik Analitik Test Uyarısı
Önem Derecesi: Düşük
VM_CronJobAccess
Uyarı Görünen Adı: Zamanlanmış görevlerin düzenlenmesi algılandı
Önem Derecesi: Bilgilendiren
VM_CryptoCoinMinerArtifacts
Uyarı Görünen Adı: Dijital para birimi madenciliğiyle ilişkili işlem algılandı
Önem Derecesi: Orta
VM_CryptoCoinMinerDownload
Uyarı Görünen Adı: Olası Cryptocoinminer indirmesi algılandı
Önem Derecesi: Orta
VM_CryptoCoinMinerExecution
Uyarı Görünen Adı: Olası kripto para madenci başlatıldı
Önem Derecesi: Orta
VM_DataEgressArtifacts
Uyarı Görünen Adı: Olası veri sızdırma algılandı
Önem Derecesi: Orta
VM_DigitalCurrencyMining
Uyarı Görünen Adı: Dijital para birimi madenciliğiyle ilgili davranış algılandı
Önem Derecesi: Yüksek
VM_DownloadAndRunCombo
Uyarı görünen adı: Şüpheli indirme ve çalıştırma etkinliği
Önem Derecesi: Orta
VM_EICAR
Uyarı Görünen Adı: Bulut için Microsoft Defender test uyarısı (tehdit değil)
Önem Derecesi: Yüksek
VM_ExecuteHiddenFile
Uyarı Görünen Adı: Gizli dosyanın yürütülmesi
Önem Derecesi: Bilgilendiren
VM_ExploitAttempt
Uyarı Görünen Adı: Olası komut satırından yararlanma girişimi
Önem Derecesi: Orta
VM_ExposedDocker
Uyarı Görünen Adı: TCP yuvasında kullanıma sunulan Docker daemon'u
Önem Derecesi: Orta
VM_FairwareMalware
Uyarı Görünen Adı: Algılanan Fairware fidye yazılımına benzer davranış
Önem Derecesi: Orta
VM_FirewallDisabled
Uyarı Görünen Adı: Konak güvenlik duvarının değiştirilmesi algılandı
Önem Derecesi: Orta
VM_HadoopYarnExploit
Uyarı Görünen Adı: Hadoop Yarn'ın olası açıklarından yararlanma
Önem Derecesi: Orta
VM_HistoryFileCleared
Uyarı Görünen Adı: Geçmiş dosyası temizlendi
Önem Derecesi: Orta
VM_KnownLinuxAttackTool
Uyarı Görünen Adı: Olası saldırı aracı algılandı
Önem Derecesi: Orta
VM_KnownLinuxCredentialAccessTool
Uyarı Görünen Adı: Olası kimlik bilgisi erişim aracı algılandı
Önem Derecesi: Orta
VM_KnownLinuxDDoSToolkit
Uyarı Görünen Adı: DDOS araç seti ile ilişkili göstergeler algılandı
Önem Derecesi: Orta
VM_KnownLinuxScreenshotTool
Uyarı Görünen Adı: Konakta alınan ekran görüntüsü
Önem Derecesi: Düşük
VM_LinuxBackdoorArtifact
Uyarı Görünen Adı: Olası arka kapı algılandı
Önem Derecesi: Orta
VM_LinuxReconnaissance
Uyarı Görünen Adı: Yerel konak keşfi algılandı
Önem Derecesi: Orta
VM_MismatchedScriptFeatures
Uyarı Görünen Adı: Betik uzantısı uyuşmazlığı algılandı
Önem Derecesi: Orta
VM_MitreCalderaTools
Uyarı Görünen Adı: MITRE Caldera aracısı algılandı
Önem Derecesi: Orta
VM_NewSingleUserModeStartupScript
Uyarı Görünen Adı: Algılanan Kalıcılık Denemesi
Önem Derecesi: Orta
VM_NewSudoerAccount
Uyarı Görünen Adı: Sudo grubuna eklenen hesap
Önem Derecesi: Düşük
VM_OverridingCommonFiles
Uyarı Görünen Adı: Ortak dosyaların geçersiz kılınma olasılığı
Önem Derecesi: Orta
VM_PrivilegedContainerArtifacts
Uyarı Görünen Adı: Ayrıcalıklı modda çalışan kapsayıcı
Önem Derecesi: Düşük
VM_PrivilegedExecutionInContainer
Uyarı Görünen Adı: Yüksek ayrıcalıklarla çalışan bir kapsayıcı içindeki komut
Önem Derecesi: Düşük
VM_ReadingHistoryFile
Uyarı Görünen Adı: Bash geçmiş dosyasına olağan dışı erişim
Önem Derecesi: Bilgilendiren
VM_ReverseShell
Uyarı Görünen Adı: Olası ters kabuk algılandı
Önem Derecesi: Orta
VM_SshKeyAccess
Uyarı Görünen Adı: SSH yetkili anahtarlar dosyasına olağan dışı bir şekilde erişirken görülen işlem
Önem Derecesi: Düşük
VM_SshKeyAddition
Uyarı Görünen Adı: Yeni SSH anahtarı eklendi
Önem Derecesi: Düşük
VM_SuspectCompilation
Uyarı Görünen Adı: Şüpheli derleme algılandı
Önem Derecesi: Orta
VM_Suspect Bağlan
Uyarı Görünen Adı: Yaygın olmayan bir bağlantı girişimi algılandı
Önem Derecesi: Orta
VM_SuspectDownload
Uyarı Görünen Adı: Bilinen bir kötü amaçlı kaynaktan dosya indirme algılandı
Önem Derecesi: Orta
VM_SuspectDownloadArtifacts
Uyarı Görünen Adı: Şüpheli dosya indirme algılandı
Önem Derecesi: Düşük
VM_SuspectExecutablePath
Uyarı Görünen Adı: Şüpheli bir konumdan çalıştırılan yürütülebilir dosya bulundu
Önem Derecesi: Orta
VM_SuspectHtaccessFileAccess
Uyarı Görünen Adı: htaccess dosyasına erişim algılandı
Önem Derecesi: Orta
VM_SuspectInitialShellCommand
Uyarı Görünen Adı: Kabuktaki şüpheli ilk komut
Önem Derecesi: Düşük
VM_SuspectMixedCaseText
Uyarı Görünen Adı: Komut satırında büyük ve küçük harf karakterlerin anormal karışımı algılandı
Önem Derecesi: Orta
VM_SuspectNetwork Bağlan ion
Uyarı Görünen Adı: Şüpheli ağ bağlantısı
Önem Derecesi: Bilgilendiren
VM_SuspectNohup
Uyarı Görünen Adı: Nohup komutunun şüpheli kullanımı algılandı
Önem Derecesi: Orta
VM_SuspectPasswordChange
Uyarı Görünen Adı: crypt-method kullanılarak olası parola değişikliği algılandı
Önem Derecesi: Orta
VM_SuspectPasswordFileAccess
Uyarı Görünen Adı: Şüpheli parola erişimi
Önem Derecesi: Bilgilendiren
VM_SuspectPhp
Uyarı Görünen Adı: Şüpheli PHP yürütmesi algılandı
Önem Derecesi: Orta
VM_SuspectPortForwarding
Uyarı Görünen Adı: Dış IP adresine olası bağlantı noktası iletme
Önem Derecesi: Orta
VM_SuspectProcessAccountPrivilegeCombo
Uyarı Görünen Adı: Hizmet hesabında çalışan işlem beklenmedik şekilde kök oldu
Önem Derecesi: Orta
VM_SuspectProcessTermination
Uyarı Görünen Adı: Güvenlikle ilgili işlem sonlandırma algılandı
Önem Derecesi: Düşük
VM_SuspectUserAddition
Uyarı Görünen Adı: useradd komutunun şüpheli kullanımı algılandı
Önem Derecesi: Orta
VM_SuspiciousCommandLineExecution
Uyarı Görünen Adı: Şüpheli komut yürütme
Önem Derecesi: Yüksek
VM_SuspiciousDNSOverHttps
Uyarı Görünen Adı: HTTPS üzerinden şüpheli DNS kullanımı
Önem Derecesi: Orta
VM_SystemLogRemoval
Uyarı Görünen Adı: Olası Günlük Değiştirme Etkinliği Algılandı
Önem Derecesi: Orta
VM_ThreatIntelCommandLineSuspectDomain
Uyarı Görünen Adı: Kötü amaçlı konuma olası bir bağlantı algılandı
Önem Derecesi: Orta
VM_ThreatIntelSuspectLogon
Uyarı Görünen Adı: Kötü amaçlı bir IP'den oturum açma algılandı
Önem Derecesi: Yüksek
VM_TimerServiceDisabled
Uyarı Görünen Adı: algılanan apt-daily-upgrade.timer hizmetini durdurma girişimi
Önem Derecesi: Bilgilendiren
VM_TimestampTampering
Uyarı Görünen Adı: Şüpheli dosya zaman damgası değişikliği
Önem Derecesi: Düşük
VM_Webshell
Uyarı Görünen Adı: Olası kötü amaçlı web kabuğu algılandı
Önem Derecesi: Orta
Sunucular için Defender Windows uyarıları kullanım dışı bırakıldı
SCUBA_MULTIPLEACCOUNTCREATE
Uyarı Görünen Adı: Birden çok konakta şüpheli hesap oluşturma
Önem Derecesi: Orta
SCUBA_PSINSIGHT_CONTEXT
Uyarı Görünen Adı: Şüpheli PowerShell kullanımı algılandı
Önem Derecesi: Bilgilendiren
SCUBA_RULE_AddGuestTo Yönetici istrators
Uyarı Görünen Adı: Konuk hesabının Yerel Yönetici istrators grubuna eklenmesi
Önem Derecesi: Orta
SCUBA_RULE_Apache_Tomcat_executing_suspicious_commands
Uyarı Görünen Adı: Apache_Tomcat_executing_suspicious_commands
Önem Derecesi: Orta
SCUBA_RULE_KnownBruteForcingTools
Uyarı Görünen Adı: Şüpheli işlem yürütüldü
Önem Derecesi: Yüksek
SCUBA_RULE_KnownCollectionTools
Uyarı Görünen Adı: Şüpheli işlem yürütüldü
Önem Derecesi: Yüksek
SCUBA_RULE_KnownDefenseEvasionTools
Uyarı Görünen Adı: Şüpheli işlem yürütüldü
Önem Derecesi: Yüksek
SCUBA_RULE_KnownExecutionTools
Uyarı Görünen Adı: Şüpheli işlem yürütüldü
Önem Derecesi: Yüksek
SCUBA_RULE_KnownPassTheHashTools
Uyarı Görünen Adı: Şüpheli işlem yürütüldü
Önem Derecesi: Yüksek
SCUBA_RULE_KnownSpammingTools
Uyarı Görünen Adı: Şüpheli işlem yürütüldü
Önem Derecesi: Orta
SCUBA_RULE_Lowering_Security_Ayarlar
Uyarı Görünen Adı: Kritik hizmetlerin devre dışı bırakılması algılandı
Önem Derecesi: Orta
SCUBA_RULE_OtherKnownHackerTools
Uyarı Görünen Adı: Şüpheli işlem yürütüldü
Önem Derecesi: Yüksek
SCUBA_RULE_RDP_session_hijacking_via_tscon
Uyarı Görünen Adı: RDP ele geçirmesinin şüpheli bütünlük düzeyi göstergesi
Önem Derecesi: Orta
SCUBA_RULE_RDP_session_hijacking_via_tscon_service
Uyarı Görünen Adı: Şüpheli hizmet yüklemesi
Önem Derecesi: Orta
SCUBA_RULE_Suppress_pesky_unauthorized_use_prohibited_notices
Uyarı Görünen Adı: Oturum açma sırasında kullanıcılara görüntülenen yasal bildirimin gizlenmesi algılandı
Önem Derecesi: Düşük
SCUBA_RULE_WDigest_Enabling
Uyarı Görünen Adı: WDigest UseLogonCredential kayıt defteri anahtarının etkinleştirilmesi algılandı
Önem Derecesi: Orta
VM.Windows_ApplockerBypass
Uyarı Görünen Adı: AppLocker'ı atlama girişimi algılandı
Önem Derecesi: Yüksek
VM.Windows_BariumKnownSuspiciousProcessExecution
Uyarı Görünen Adı: Şüpheli dosya oluşturma algılandı
Önem Derecesi: Yüksek
VM.Windows_Base64EncodedExecutableInCommandLineParams
Uyarı Görünen Adı: Komut satırı verilerinde kodlanmış yürütülebilir dosya algılandı
Önem Derecesi: Yüksek
VM.Windows_CalcsCommandLineUse
Uyarı Görünen Adı: Sistemin güvenlik durumunu düşürmek için şüpheli Cacl kullanımı algılandı
Önem Derecesi: Orta
VM.Windows_CommandLineStartingAllExe
Uyarı Görünen Adı: Bir dizindeki tüm yürütülebilir dosyaları başlatmak için kullanılan şüpheli komut satırı algılandı
Önem Derecesi: Orta
VM.Windows_DisablingAndDeletingIISLogFiles
Uyarı Görünen Adı: IIS günlük dosyalarının devre dışı bırakıldığını ve silindiğini gösteren eylemler algılandı
Önem Derecesi: Orta
VM.Windows_DownloadUsingCertutil
Uyarı Görünen Adı: Certutil kullanılarak şüpheli indirme algılandı
Önem Derecesi: Orta
VM.Windows_EchoOverPipeOnLocalhost
Uyarı Görünen Adı: Şüpheli adlandırılmış kanal iletişimleri algılandı
Önem Derecesi: Yüksek
VM.Windows_EchoToConstructPowerShellScript
Uyarı Görünen Adı: Dinamik PowerShell betiği oluşturma
Önem Derecesi: Orta
VM.Windows_ExecutableDecodedUsingCertutil
Uyarı Görünen Adı: Yerleşik certutil.exe aracı kullanılarak yürütülebilir dosyanın kodunun çözülmesi algılandı
Önem Derecesi: Orta
VM.Windows_FileDeletionIsSospisiousLocation
Uyarı Görünen Adı: Şüpheli dosya silme algılandı
Önem Derecesi: Orta
VM.Windows_KerberosGoldenTicketAttack
Uyarı Görünen Adı: Şüpheli Kerberos Altın Anahtar saldırı parametreleri gözlemlendi
Önem Derecesi: Orta
VM.Windows_KeygenToolKnownProcessName
Uyarı Görünen Adı: Keygen yürütülebilir dosyasının olası yürütülmesi algılandı Şüpheli işlem yürütüldü
Önem Derecesi: Orta
VM.Windows_KnownCredentialAccessTools
Uyarı Görünen Adı: Şüpheli işlem yürütüldü
Önem Derecesi: Yüksek
VM.Windows_KnownSuspiciousPowerShellScript
Uyarı Görünen Adı: Şüpheli PowerShell kullanımı algılandı
Önem Derecesi: Yüksek
VM.Windows_KnownSuspiciousSoftwareInstallation
Uyarı Görünen Adı: Yüksek riskli yazılım algılandı
Önem Derecesi: Orta
VM.Windows_MsHtaAndPowerShellCombination
Uyarı Görünen Adı: HTA ve PowerShell'in şüpheli bileşimi algılandı
Önem Derecesi: Orta
VM.Windows_MultipleAccountsQuery
Uyarı Görünen Adı: Sorgulanan Birden Çok Etki Alanı Hesabı
Önem Derecesi: Orta
VM.Windows_NewAccountCreation
Uyarı Görünen Adı: Hesap oluşturma algılandı
Önem Derecesi: Bilgilendiren
VM.Windows_ObfuscatedCommandLine
Uyarı Görünen Adı: Belirsiz komut satırı algılandı.
Önem Derecesi: Yüksek
VM.Windows_PcaluaUseToLaunchExecutable
Uyarı Görünen Adı: Yürütülebilir kodu başlatmak için şüpheli Pcalua.exe kullanımı algılandı
Önem Derecesi: Orta
VM.Windows_PetyaRansomware
Uyarı Görünen Adı: Algılanan Petya fidye yazılımı göstergeleri
Önem Derecesi: Yüksek
VM.Windows_PowerShellPowerSploitScriptExecution
Uyarı Görünen Adı: Şüpheli PowerShell cmdlet'leri yürütüldü
Önem Derecesi: Orta
VM.Windows_RansomwareIndication
Uyarı Görünen Adı: Fidye yazılımı göstergeleri algılandı
Önem Derecesi: Yüksek
VM.Windows_SqlDumperUsedSuspiciously
Uyarı Görünen Adı: Olası kimlik bilgisi dökümü algılandı [birden çok kez görüldü]
Önem Derecesi: Orta
VM.Windows_StopCriticalServices
Uyarı Görünen Adı: Kritik hizmetlerin devre dışı bırakılması algılandı
Önem Derecesi: Orta
VM.Windows_SubvertingAccessibilityBinary
Uyarı Görünen Adı: Yapışkan anahtarlar saldırısı algılandı Şüpheli hesap oluşturma algılandı Orta
VM.Windows_SuspiciousAccountCreation
Uyarı Görünen Adı: Şüpheli Hesap Oluşturma Algılandı
Önem Derecesi: Orta
VM.Windows_SuspiciousFirewallRuleAdded
Uyarı Görünen Adı: Şüpheli yeni güvenlik duvarı kuralı algılandı
Önem Derecesi: Orta
VM.Windows_SuspiciousFTPSSwitchUsage
Uyarı Görünen Adı: FTP -s anahtarının şüpheli kullanımı algılandı
Önem Derecesi: Orta
VM.Windows_SuspiciousSQLActivity
Uyarı Görünen Adı: Şüpheli SQL etkinliği
Önem Derecesi: Orta
VM.Windows_SVCHostFromInvalidPath
Uyarı Görünen Adı: Şüpheli işlem yürütüldü
Önem Derecesi: Yüksek
VM.Windows_SystemEventLogCleared
Uyarı Görünen Adı: Windows Güvenliği günlüğü temizlendi
Önem Derecesi: Bilgilendiren
VM.Windows_TelegramInstallation
Uyarı Görünen Adı: Telegram aracının şüpheli olabilecek kullanımı algılandı
Önem Derecesi: Orta
VM.Windows_UndercoverProcess
Uyarı Görünen Adı: Şüpheli adlandırılmış işlem algılandı
Önem Derecesi: Yüksek
VM.Windows_UserAccountControlBypass
Uyarı Görünen Adı: UAC'yi atlamak için kötüye kullanılabilecek bir kayıt defteri anahtarında değişiklik algılandı
Önem Derecesi: Orta
VM.Windows_VBScriptEncoding
Uyarı Görünen Adı: VBScript.Encode komutunun şüpheli yürütülmesi algılandı
Önem Derecesi: Orta
VM.Windows_WindowPositionRegisteryChange
Uyarı Görünen Adı: Şüpheli WindowPosition kayıt defteri değeri algılandı
Önem Derecesi: Düşük
VM.Windows_ZincPortOpenningUsingFirewallRule
Uyarı Görünen Adı: ÇINKO sunucu implantı tarafından oluşturulan kötü amaçlı güvenlik duvarı kuralı
Önem Derecesi: Yüksek
VM_DigitalCurrencyMining
Uyarı Görünen Adı: Dijital para birimi madenciliğiyle ilgili davranış algılandı
Önem Derecesi: Yüksek
VM_MaliciousSQLActivity
Uyarı Görünen Adı: Kötü Amaçlı SQL etkinliği
Önem Derecesi: Yüksek
VM_ProcessWithDoubleExtensionExecution
Uyarı Görünen Adı: Şüpheli çift uzantı dosyası yürütüldü
Önem Derecesi: Yüksek
VM_RegistryPersistencyKey
Uyarı Görünen Adı: Windows kayıt defteri kalıcılık yöntemi algılandı
Önem Derecesi: Düşük
VM_ShadowCopyDeletion
Uyarı Görünen Adı: Şüpheli Birim Gölge Kopyası Etkinliği Yürütülebilir Dosyası şüpheli bir konumdan çalıştırılan bulundu
Önem Derecesi: Yüksek
VM_SuspectExecutablePath
Uyarı Görünen Adı: Şüpheli bir konumdan çalıştırılan yürütülebilir dosya bulundu Komut satırında büyük ve küçük harflerin anormal bir karışımı algılandı
Önem Derecesi: Bilgilendiren
Orta
VM_SuspectPhp
Uyarı Görünen Adı: Şüpheli PHP yürütmesi algılandı
Önem Derecesi: Orta
VM_SuspiciousCommandLineExecution
Uyarı Görünen Adı: Şüpheli komut yürütme
Önem Derecesi: Yüksek
VM_SuspiciousScreenSaverExecution
Uyarı Görünen Adı: Şüpheli Ekran Koruyucu işlemi yürütüldü
Önem Derecesi: Orta
VM_SvcHostRunInRareServiceGroup
Uyarı Görünen Adı: Nadir yürütülen SVCHOST hizmet grubu
Önem Derecesi: Bilgilendiren
VM_SystemProcessInAbnormalContext
Uyarı Görünen Adı: Şüpheli sistem işlemi yürütüldü
Önem Derecesi: Orta
VM_ThreatIntelCommandLineSuspectDomain
Uyarı Görünen Adı: Kötü amaçlı konuma olası bir bağlantı algılandı
Önem Derecesi: Orta
VM_ThreatIntelSuspectLogon
Uyarı Görünen Adı: Kötü amaçlı bir IP'den oturum açma algılandı
Önem Derecesi: Yüksek
VM_VbScriptHttpObjectAllocation
Uyarı Görünen Adı: VBScript HTTP nesne ayırma algılandı
Önem Derecesi: Yüksek
VM_TaskkillBurst
Uyarı Görünen Adı: Şüpheli işlem sonlandırma seri akışı
Önem Derecesi: Düşük
VM_RunByPsExec
Uyarı Görünen Adı: PsExec yürütmesi algılandı
Önem Derecesi: Bilgilendiren
MITRE ATT&CK taktikleri
Bir saldırının amacını anlamak, olayı daha kolay araştırmanıza ve raporlamanıza yardımcı olabilir. Bu çabalara yardımcı olmak için, Bulut için Microsoft Defender uyarılar birçok uyarı içeren MITRE taktiklerini içerir.
Keşiften veri sızdırmaya kadar bir siber saldırının ilerlemesini açıklayan adımlar dizisi genellikle "sonlandırma zinciri" olarak adlandırılır.
Bulut için Defender desteklenen sonlandırma zinciri amaçları, MITRE ATT&CK matrisinin 9. sürümünü temel alır ve aşağıdaki tabloda açıklanmıştır.
| Taktik | ATT&CK Sürümü | Açıklama |
|---|---|---|
| PreAttack | PreAttack , kötü amaçlı bir amaç ne olursa olsun belirli bir kaynağa erişme girişimi veya açıklardan yararlanmadan önce bilgi toplamak için hedef sisteme erişim elde etme girişimi başarısız olabilir. Bu adım genellikle hedef sistemi taramak ve bir giriş noktasını tanımlamak için ağ dışından gelen bir girişim olarak algılanır. | |
| İlk Erişim | V7, V9 | İlk Erişim, saldırganın saldırıya uğrayan kaynağa bir ayak dayanağı almayı başardığı aşamadır. Bu aşama, işlem konakları ve kullanıcı hesapları, sertifikalar vb. kaynaklar için geçerlidir. Tehdit aktörleri genellikle bu aşamadan sonra kaynağı denetleyebilecektir. |
| Kalıcılık | V7, V9 | Kalıcılık, bir sistemde tehdit aktörlerine kalıcı bir iletişim durumu sağlayan herhangi bir erişim, eylem veya yapılandırma değişikliğidir. Tehdit aktörlerinin genellikle sistem yeniden başlatmaları, kimlik bilgileri kaybı veya bir uzaktan erişim aracının yeniden başlatılmasını veya yeniden erişim kazanmaları için alternatif bir arka kapı sağlamasını gerektirecek diğer hatalar gibi kesintiler aracılığıyla sistemlere erişimi sürdürmesi gerekir. |
| Ayrıcalık Yükseltme | V7, V9 | Ayrıcalık yükseltme, bir saldırganın bir sistem veya ağ üzerinde daha yüksek düzeyde izin almasına olanak tanıyan eylemlerin sonucudur. Belirli araçların veya eylemlerin çalışması için daha yüksek bir ayrıcalık düzeyi gerekir ve işlem boyunca birçok noktada büyük olasılıkla gereklidir. Belirli sistemlere erişme veya saldırganların hedeflerine ulaşmaları için gerekli olan belirli işlevleri gerçekleştirme izinleri olan kullanıcı hesapları da ayrıcalık yükseltmesi olarak kabul edilebilir. |
| Savunma Kaçamak | V7, V9 | Savunma kaçışı, bir saldırganın algılamadan kaçınmak veya diğer savunmalardan kaçınmak için kullanabileceği tekniklerden oluşur. Bazen bu eylemler, belirli bir savunmayı veya azaltmayı azaltmanın ek avantajı olan diğer kategorilerdeki tekniklerle (veya varyasyonlarıyla) aynıdır. |
| Kimlik Bilgisi Erişimi | V7, V9 | Kimlik bilgisi erişimi, kurumsal bir ortamda kullanılan sistem, etki alanı veya hizmet kimlik bilgilerine erişim veya bu kimlik bilgileri üzerinde denetime neden olan teknikleri temsil eder. Saldırganlar büyük olasılıkla ağ içinde kullanmak üzere kullanıcılardan veya yönetici hesaplarından (yerel sistem yöneticisi veya yönetici erişimi olan etki alanı kullanıcıları) meşru kimlik bilgilerini almayı dener. Bir saldırgan, ağ içinde yeterli erişimle ortamda daha sonra kullanmak üzere hesaplar oluşturabilir. |
| Bulma | V7, V9 | Keşif, saldırganın sistem ve iç ağ hakkında bilgi edinebilmesini sağlayan tekniklerden oluşur. Saldırganlar yeni bir sisteme erişim elde ettiğinde, artık neleri denetlediklerine ve bu sistemden hangi avantajların yetkisiz erişim sırasında geçerli hedeflerine veya genel hedeflerine verdikleri avantajlara yönelmeleri gerekir. İşletim sistemi, bu ödün verme sonrası bilgi toplama aşamasında yardımcı olan birçok yerel araç sağlar. |
| LateralMovement | V7, V9 | Yanal hareket, bir saldırganın bir ağdaki uzak sistemlere erişmesini ve bu sistemleri denetlemesini sağlayan tekniklerden oluşur ve uzak sistemlerde araçların yürütülmesini içermeyebilir. Yanal hareket teknikleri, bir saldırganın uzaktan erişim aracı gibi daha fazla aracı gerekmeden sistemden bilgi toplamasına olanak sağlayabilir. Saldırgan, araçların uzaktan Yürütülmesi, daha fazla sistem için özetleme, belirli bilgilere veya dosyalara erişim, daha fazla kimlik bilgilerine erişim veya bir etkiye neden olmak gibi birçok amaçla yanal hareket kullanabilir. |
| Yürütme | V7, V9 | Yürütme taktiği, yerel veya uzak bir sistemde, istenmeyen bir kişi denetlenen kodun yürütülmesiyle sonuçlanan teknikleri temsil eder. Bu taktik genellikle bir ağdaki uzak sistemlere erişimi genişletmek için yanal hareketle birlikte kullanılır. |
| Koleksiyon | V7, V9 | Koleksiyon, sızdırmadan önce hedef ağdan hassas dosyalar gibi bilgileri tanımlamak ve toplamak için kullanılan tekniklerden oluşur. Bu kategori, bir sistem veya ağdaki saldırganların dışarı sızmak için bilgi arayabileceği konumları da kapsar. |
| Komut ve Denetim | V7, V9 | Komut ve denetim taktiği, saldırganların bir hedef ağ içindeki kontrolleri altındaki sistemlerle nasıl iletişim kursalar onu temsil eder. |
| Sızdırma | V7, V9 | Sızdırma, saldırganın hedef ağdan dosya ve bilgi kaldırmasına neden olan veya yardımcı olan teknikleri ve öznitelikleri ifade eder. Bu kategori, bir sistem veya ağdaki saldırganların dışarı sızmak için bilgi arayabileceği konumları da kapsar. |
| Etki | V7, V9 | Etki olayları öncelikli olarak bir sistemin, hizmetin veya ağın kullanılabilirliğini veya bütünlüğünü doğrudan azaltmaya çalışır; bir iş veya operasyonel süreci etkilemek için verilerin işlenmesini de içerir. Bu genellikle fidye yazılımı, yüz değiştirme, veri işleme ve diğerleri gibi tekniklere başvurur. |
Not
Önizleme aşamasındaki uyarılar için: Azure Önizleme Ek Koşulları beta, önizleme veya başka bir şekilde genel kullanıma sunulmamış Azure özellikleri için geçerli olan ek yasal koşulları içerir.