您现在访问的是微软AZURE全球版技术文档网站,若需要访问由世纪互联运营的MICROSOFT AZURE中国区技术文档网站,请访问 https://docs.azure.cn.

安全警报 - 参考指南

本文列出了你可能从 Azure 安全中心和已启用的任何 Azure Defender 计划获得的安全警报。 环境中显示的警报取决于要保护的资源和服务以及自定义的配置。

本页底部有一个表,该表描述与 MITRE ATT&CK 矩阵版本 7 一致的 Azure 安全中心攻击链。

了解如何响应这些警报

了解如何导出警报

Windows 计算机警报

更多详细信息和说明

警报 说明 MITRE 技巧
了解详细信息
严重性
检测到来自恶意 IP 的登录 已成功为帐户 [account] 和进程 [process] 进行远程身份验证,但登录 IP 地址 (x.x.x.x) 之前被报告为恶意或高度异常。 可能已受到攻击。 -
检测到来自恶意 IP 的登录。[出现多次] 已成功为帐户 [account] 和进程 [process] 进行远程身份验证,但登录 IP 地址 (x.x.x.x) 之前被报告为恶意或高度异常。 可能已受到攻击。 扩展名为 .scr 的文件是屏幕保护程序文件,通常位于 Windows 系统目录中并从该目录执行。 -
向本地管理员组添加来宾帐户 主机数据分析已检测到,%{Compromised Host} 上的本地管理员组中添加了内置来宾帐户,这与攻击者活动密切相关。 - 中型
事件日志被清除 计算机日志指示存在可疑的事件日志清除操作,操作者是计算机“%{CompromisedEntity}”中的用户“%{user name}”。 %{log channel} 日志被清除。 - 信息
已执行反恶意软件操作 适用于 Azure 的 Microsoft Antimalware 已执行操作,以保护此计算机免受恶意软件或其他可能不需要的软件的侵害。 -
反恶意软件操作失败 Microsoft Antimalware 在对恶意软件或其他可能不需要的软件执行操作时遇到错误。 - 中型
检测到 Petya 勒索软件指标 %{Compromised Host} 上的主机数据分析检测到与 Petya 勒索软件关联的指标。 有关详细信息,请参阅https://blogs.technet.microsoft.com/mmpc/2017/06/27/new-ransomware-old-techniques-petya-adds-worm-capabilities/。 查看此警报中关联的命令行,并将此警报上报至安全团队。 -
检测到指示禁用和删除 IIS 日志文件的操作 主机数据分析检测到显示正在禁用和/或删除 IIS 日志文件的操作。 - 中型
在命令行中检测到大小写字符的异常混用 %{Compromised Host} 上的主机数据分析检测到命令行中存在大小写字符的异常混用。 虽然这种模式可能是良性的,但它也是典型的攻击活动,当攻击者在遭到入侵的主机上执行管理任务时,他们会试图借此避开区分大小写或基于哈希的规则匹配。 - 中型
检测到更改了可能被滥用于绕过 UAC 的注册表项 %{Compromised Host} 上的主机数据分析检测到,可能被滥用于绕过 UAC(用户帐户控制)的注册表项已更改。 虽然这种配置可能是良性的,但它也是典型的攻击活动,在遭到入侵的主机上,攻击者试图借此从非特权(标准用户)访问迁移为特权(例如管理员)访问。 - 中型
检测到使用内置 certutil.exe 工具解码可执行文件 %{Compromised Host} 上的主机数据分析检测到,内置管理员实用工具 certutil.exe 并未用于与操作证书和证书数据相关的主流用途,而是被用于解码可执行文件。 我们知道,攻击者可以滥用合法的管理员工具的功能来执行恶意操作,例如,使用 certutil.exe 之类的工具来解码恶意的可执行文件,随后执行该文件。 -
检测到启用 WDigest UseLogonCredential 注册表项 主机数据分析检测到注册表项 HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest\ "UseLogonCredential" 中存在更改。 具体而言,此注册表项已更新为允许采用明文形式在 LSA 内存中存储登录凭据。 启用后,攻击者可以使用 Mimikatz 等凭据捕获工具从 LSA 内存中转储明文密码。 - 中型
在命令行数据中检测到编码的可执行文件 %{Compromised Host} 上的主机数据分析检测到 base-64 编码的可执行文件。 此警报之前与攻击者的以下行为相关:试图通过一系列命令动态构造可执行文件,以及试图通过确保任何单个命令都不会触发警报来避开入侵检测系统。 这可能是合法活动,也可能指示主机遭到入侵。 -
检测到混淆的命令行 攻击者使用越来越复杂的混淆技术来避开针对基础数据的检测。 %{Compromised Host} 上的主机数据分析检测到与命令行混淆有关的可疑指标。 - 信息
检测到可能执行了 keygen 可执行文件 %{Compromised Host} 上的主机数据分析检测到,有人执行了名称指示 keygen 工具的进程;此类工具通常用于破解软件许可机制,但其下载通常捆绑了其他恶意软件。 我们知道,活动组 GOLD 会利用此类 keygen 偷偷获取对其入侵的主机的后门访问权限。 - 中型
检测到可能执行了植入程序这种恶意软件 %{Compromised Host} 上的主机数据分析检测到之前与活动组 GOLD 在受害主机上安装恶意软件的某个方法关联的文件名。 -
检测到可能存在本地侦查活动 %{Compromised Host} 上的主机数据分析检测到之前与活动组 GOLD 执行侦查活动的某个方法关联的 systeminfo 命令组合。 虽然“systeminfo.exe”是合法的 Windows 工具,但此处这样的使用方式(即连续执行该工具两次)是很罕见的。 -
检测到可疑的 Telegram 工具使用方式 主机数据分析表明安装了 Telegram,这是一种基于云的免费即时消息服务,可用于移动和桌面系统。 我们知道,攻击者会滥用此服务将恶意二进制文件传输到任何其他计算机、手机或平板电脑。 - 中型
检测到禁止向登录用户显示法律声明 %{Compromised Host} 上的主机数据分析检测到,控制是否在用户登录时向其显示法律声明的注册表项已更改。 Microsoft 安全分析已判定这是攻击者在入侵主机后进行的常见活动。 -
检测到 HTA 和 PowerShell 的可疑组合 mshta.exe(Microsoft HTML 应用程序主机)是经过签名的 Microsoft 二进制文件,攻击者正在使用它来启动恶意 PowerShell 命令。 攻击者通常使用带有内联 VBScript 的 HTA 文件。 当受害者浏览到 HTA 文件并选择运行它时,将执行其中包含的 PowerShell 命令和脚本。 %{Compromised Host} 上的主机数据分析检测到 mshta.exe 正在启动 PowerShell 命令。 - 中型
检测到可疑的命令行参数 %{Compromised Host} 上的主机数据分析检测到可疑的命令行参数,这些参数曾与活动组 HYDROGEN 使用的反向 shell 结合使用。 -
检测到用于启动目录中的所有可执行文件的可疑命令行 主机数据分析检测到在 %{Compromised Host} 上运行的可疑进程。 命令行指示启动可能驻留在某个目录中的所有可执行文件 (*.exe) 的尝试。 这可能指示主机遭到入侵。 - 中型
在命令行中检测到可疑凭据 %{Compromised Host} 上的主机数据分析检测到活动组 BORON 用于执行文件的可疑密码。 我们知道,此活动组使用此密码在受害主机上执行 Pirpi 恶意软件。 -
检测到可疑文档凭据 %{Compromised Host} 上的主机数据分析检测到,恶意软件使用的可疑常用预计算密码哈希被用于执行某个文件。 我们知道,活动组 HYDROGEN 使用此密码在受害主机上执行恶意软件。 -
检测到执行 VBScript.Encode 命令的方式可疑 %{Compromised Host} 上的主机数据分析检测到 VBScript.Encode 命令的执行。 这会将脚本编码为不可读文本,增加用户检查代码的难度。 Microsoft 威胁研究表明,攻击者通常会在攻击过程中使用编码的 VBscript 文件来避开检测系统。 这可能是合法活动,也可能指示主机遭到入侵。 - 中型
检测到通过 rundll32.exe 执行的可疑操作 %{Compromised Host} 上的主机数据分析检测到,使用 rundll32.exe 执行的进程具有不常见的名称,这与之前活动组 GOLD 在遭到入侵的计算机上安装第一阶段植入软件时所使用的进程命名方案一致。 -
检测到可疑的文件清除命令 %{Compromised Host} 上的主机数据分析检测到之前与活动组 GOLD 执行入侵后自清除活动的某个方法关联的 systeminfo 命令组合。 虽然“systeminfo.exe”是合法的 Windows 工具,但此处这样的使用方式(即连续执行该工具两次,然后使用删除命令)是很罕见的。 -
检测到可疑的文件创建操作 %{Compromised Host} 上的主机数据分析检测到,有人创建或执行了之前指示活动组 BARIUM 在受害主机上执行的入侵后操作的某个进程。 我们知道,此活动组使用此方法在用户打开网络钓鱼文档中的某个附件后将其他恶意软件下载到遭到入侵的主机。 -
检测到可疑的命名管道通信 %{Compromised Host} 上的主机数据分析检测到,数据正在通过 Windows 控制台命令写入本地命名管道。 我们知道,攻击者可以通过命名管道为恶意植入软件分配任务以及与恶意植入软件通信。 这可能是合法活动,也可能指示主机遭到入侵。 -
检测到可疑的网络活动 对 %{Compromised Host} 中的网络流量进行分析时检测到可疑的网络活动。 虽然此类流量可能是良性的,但攻击者通常使用它与恶意服务器通信,以进行工具下载、命令和控制以及数据外泄。 典型的相关攻击者活动包括将远程管理工具复制到遭到入侵的主机,并从中外泄用户数据。 -
检测到可疑的新防火墙规则 主机数据分析检测到,有人通过 netsh.exe 添加了新的防火墙规则,以允许来自可疑位置的可执行文件的流量。 - 中型
检测到使用 Cacls 来降低系统安全状态的可疑行为 攻击者使用暴力攻击、鱼叉式网络钓鱼等多种方式来完成初始入侵并在网络中立足。 一旦完成初始入侵,他们通常就会采取措施来降低系统的安全设置级别。 Cacls(“更改访问控制列表”的缩写)是 Microsoft Windows 本机命令行实用工具,通常用于修改文件夹和文件的安全权限。 攻击者很多时候会使用二进制文件来降低系统的安全设置级别。 他们通过授予所有人对部分系统二进制文件(例如 ftp.exe、net.exe、wscript.exe 等)的完全访问权限来实现此目的。%{Compromised Host} 上的主机数据分析检测到使用 Cacls 降低系统安全设置级别的可疑行为。 - 中型
检测到可疑的 FTP -s 开关使用方式 %{Compromised Host} 中的进程创建数据分析检测到,有人使用了 FTP 的“-s:filename”开关。 此开关用于指定客户端要运行的 FTP 脚本文件。 我们知道,恶意软件或恶意进程会使用此 FTP 开关 (-s:filename) 指向配置为连接到远程 FTP 服务器的脚本文件,并下载其他恶意二进制文件。 - 中型
检测到使用 Pcalua.exe 启动可执行代码的可疑行为 %{Compromised Host} 上的主机数据分析检测到,有人使用 pcalua.exe 来启动可执行代码。 Pcalua.exe 是 Microsoft Windows“程序兼容性助手”的组件,该组件可在程序的安装或执行过程中检测兼容性问题。 我们知道,攻击者会滥用合法 Windows 系统工具的功能来执行恶意操作,例如,将 pcalua.exe 与 -a 开关配合使用,以在本地或从远程共享启动恶意可执行文件。 - 中型
检测到关键服务被禁用 %{Compromised Host} 上的主机数据分析检测到,有人执行“net.exe stop”命令来停止关键服务,如 SharedAccess 或 Windows 安全中心。 停止其中任何一项服务都可能指示存在恶意行为。 - 中型
检测到数字货币挖掘相关行为 %{Compromised Host} 上的主机数据分析检测到通常与数字货币挖掘关联的进程或命令的执行。 -
动态构造 PS 脚本 %{Compromised Host} 上的主机数据分析检测到正在动态构造 PowerShell 脚本。 攻击者有时会使用这种逐步生成脚本的方法来避开 IDS 系统。 这可能是合法活动,也可能指示某台计算机已遭到入侵。 - 中型
检测到可执行文件正在从可疑位置运行 主机数据分析检测到 %{Compromised Host} 上的某个可执行文件正在从具有已知可疑文件的位置运行。 此可执行文件可能是合法活动,也可能指示主机遭到入侵。 -
检测到无文件攻击技术 以下指定进程的内存中包含无文件攻击方法的证据。 攻击者使用无文件攻击来执行代码,同时避开安全软件的检测。 具体行为包括:
1) Shellcode,这是一小段代码,通常用作利用软件漏洞时的有效负载。
2) 注入进程中的可执行映像,例如在代码注入攻击中。
3) 活动网络连接。 有关详细信息,请参阅下面的“网络连接”。
4) 对安全敏感操作系统接口的函数调用。 有关引用的 OS 功能,请参阅下面的“功能”。
5) 进程替换,这是恶意软件使用的一种方法,其将系统上加载的合法进程用作恶意代码的容器。
6) 包含在动态分配的代码段中启动的线程。 这是进程注入攻击的常见模式。
防御规避/执行
检测到无文件攻击行为 指定进程的内存包含无文件攻击通常使用的行为。 具体行为包括:
1) Shellcode,这是一小段代码,通常用作利用软件漏洞时的有效负载。
2) 活动网络连接。 有关详细信息,请参阅下面的“网络连接”。
3) 对安全敏感操作系统接口的函数调用。 有关引用的 OS 功能,请参阅下面的“功能”。
4) 包含在动态分配的代码段中启动的线程。 这是进程注入攻击的常见模式。
防御规避
检测到无文件攻击工具包 指定进程的内存包含无文件攻击工具包:[工具包名称]。 无文件攻击工具包使用的方法可最大程度减少或消除磁盘上恶意软件的痕迹,并大幅降低基于磁盘的恶意软件扫描解决方案检测到它们的几率。 具体行为包括:
1) 众所周知的工具包和加密挖掘软件。
2) Shellcode,这是一小段代码,通常在利用软件漏洞时用作有效负载。
3) 在进程内存中注入了恶意可执行文件。
防御规避
检测到高风险软件 %{Compromised Host} 上的主机数据分析检测到,有人使用与恶意软件安装关联的软件。 在恶意软件分发过程中,攻击者使用的一种常用方法是将其打包在其他良性工具中,如此警报中所示。 使用这些工具时,恶意软件可以在后台无提示安装。 - 中型
已枚举本地管理员组成员 计算机日志指示有人对组 %{Enumerated Group Domain Name}%{Enumerated Group Name} 成功进行了枚举。 具体而言,%{Enumerating User Domain Name}%{Enumerating User Name} 远程枚举了 %{Enumerated Group Domain Name}%{Enumerated Group Name} 组的成员。 此活动可能是合法活动,也可能指示组织中的某台计算机已遭到入侵并被用于侦查 %{vmname}。 - 信息
恶意 SQL 活动 计算机日志指示帐户 %{user name} 执行了“%{process name}”。 此活动被视为恶意活动。 -
ZINC 服务器植入软件创建了恶意防火墙规则[出现多次] 有人使用与已知执行组件 ZINC 匹配的方法创建了防火墙规则。 该规则可能已用于打开 %{Compromised Host} 上的端口,以允许进行命令和控制通信。 今天在下列计算机上出现了 [x] 次此行为:[Machine names] -
查询了多个域帐户 主机数据分析已判定 %{Compromised Host} 中短时间内对不同域帐户的查询次数异常。 这种活动可能是合法活动,但也可能指示系统已遭到入侵。 - 中型
检测到可能存在凭据转储活动[出现多次] 主机数据分析检测到,有人使用本机 Windows 工具(例如,sqldumper.exe)的方式允许从内存提取凭据。 攻击者通常会使用这些方法来提取凭据,这些凭据随后会进一步用于横向移动和特权提升。 今天在下列计算机上出现了 [x] 次此行为:[Machine names] - 中型
检测到可能尝试绕过 AppLocker 的行为 %{Compromised Host} 上的主机数据分析检测到,有人可能尝试绕过 AppLocker 限制。 可以配置 AppLocker 以实现限制策略,对可在 Windows 系统上运行的可执行文件进行限制。 与此警报中确定的命令行模式类似的模式之前与攻击者的以下行为相关:通过使用受信任的可执行文件(AppLocker 策略允许)来执行不受信任的代码,从而尝试绕过 AppLocker 策略。 这可能是合法活动,也可能指示主机遭到入侵。 -
检测到 PsExec 执行 主机数据分析指示,进程 %{Process Name} 由 PsExec 实用工具执行。 PsExec 可用于远程运行进程。 此方法可能会用于恶意目的。 - 信息
检测到勒索软件指标[出现多次] 主机数据分析指示,存在通常与锁屏和加密勒索软件相关的可疑活动。 锁屏勒索软件会显示一条全屏消息以阻止用户与主机进行交互及访问其文件。 加密勒索软件会通过加密数据文件来阻止访问。 在这两种情况下,通常都会显示一条勒索赎金的消息,要求用户付款以恢复文件访问。 今天在下列计算机上出现了 [x] 次此行为:[Machine names] -
检测到勒索软件指标 主机数据分析指示,存在通常与锁屏和加密勒索软件相关的可疑活动。 锁屏勒索软件会显示一条全屏消息以阻止用户与主机进行交互及访问其文件。 加密勒索软件会通过加密数据文件来阻止访问。 在这两种情况下,通常都会显示一条勒索赎金的消息,要求用户付款以恢复文件访问。 -
已执行罕见的 SVCHOST 服务组 观察到系统进程 SVCHOST 在罕见的服务组中运行。 恶意软件通常使用 SVCHOST 来掩饰恶意活动。 - 信息
检测到粘滞键攻击 主机数据分析指示,攻击者可能会通过破坏辅助功能二进制文件(例如粘滞键、屏幕键盘、讲述人)来提供对主机 %{Compromised Host} 的后门访问权限。 - 中型
成功的暴力攻击 检测到来自同一源的多个登录尝试。 其中一些已成功通过主机身份验证。
这类似于突发攻击,攻击者会尝试多次进行身份验证以找到有效帐户凭据。
- 中/高
指示 RDP 劫持的可疑完整性级别 主机数据分析检测到,有人使用系统特权运行 tscon.exe,这可能指示攻击者滥用此二进制文件,以便将上下文切换到此主机上的任何其他已登录用户;这是一种已知的攻击方法,用于入侵其他用户帐户并在网络中横向移动。 - 中型
可疑的服务安装 主机数据分析检测到 tscon.exe 以服务形式安装:此二进制文件作为服务启动,可能会允许攻击者通过劫持 RDP 连接来完全切换到此主机上的任何其他已登录用户;这是一种已知的攻击方法,用于入侵其他用户帐户并在网络中横向移动。 - 中型
观察到可疑的 Kerberos 黄金票证攻击参数 主机数据分析检测到符合 Kerberos 黄金票证攻击特征的命令行参数。 - 中型
检测到可疑的帐户创建操作 %{Compromised Host} 上的主机数据分析检测到,有人创建或使用了本地帐户 %{Suspicious account name},此帐户名称与标准 Windows 帐户或组名“%{Similar To Account Name}”非常相似。 这可能是攻击者创建的恶意帐户,使用此命名方式的目的在于不让人工管理员注意到。 - 中型
检测到可疑活动 主机数据分析检测到在 %{machine name} 上运行的曾与恶意活动相关的一个或多个进程的序列。 虽然单个命令看起来可能是良性的,但警报的评分是基于这些命令的聚合。 这可能是合法活动,也可能指示主机遭到入侵。 - 中型
检测到可疑的 PowerShell 活动 主机数据分析检测到,%{Compromised Host} 上运行的某个 PowerShell 脚本具有与已知可疑脚本相同的特征。 此脚本可能是合法活动,也可能指示主机遭到入侵。 -
执行了可疑的 PowerShell cmdlet 主机数据分析指示有人执行了已知恶意的 PowerShell PowerSploit cmdlet。 - 中型
可疑的 SQL 活动 计算机日志指示帐户 %{user name} 执行了“%{process name}”。 此活动在此帐户中不常见。 - 中型
执行了可疑的 SVCHOST 进程 观察到系统进程 SVCHOST 在异常上下文中运行。 恶意软件通常使用 SVCHOST 来掩饰恶意活动。 -
执行了可疑的屏幕保护程序进程 观察到进程“%{process name}”从不常见的位置执行。 扩展名为 .scr 的文件是屏幕保护程序文件,通常位于 Windows 系统目录中并从该目录执行。 - 中型
可疑的卷影复制活动 主机数据分析检测到资源上存在影子副本删除活动。 卷影复制 (VSC) 是重要的项目,用于存储数据快照。 某些恶意软件,尤其是勒索软件,会针对 VSC 以破坏备份策略。 -
检测到可疑的 WindowPosition 注册表值 %{Compromised Host} 上的主机数据分析检测到攻击者尝试更改 WindowPosition 注册表配置,这可能指示攻击者想将应用程序窗口隐藏在桌面的不可见部分。 这可能是合法活动,也可能指示计算机遭到入侵:此类活动与之前已知的广告软件或不需要的软件(例如 Win32/OneSystemCare 和 Win32/SystemHealer)以及恶意软件(例如 Win32/Creprote)相关。 当 WindowPosition 值设置为 201329664 时(十六进制值:0x0c00 0c00,即 X 轴 = 0c00,Y 轴 = 0c00),这会将控制台应用的窗口置于用户屏幕中的不可见的部分,该区域隐藏在可见的“开始”菜单/任务栏下。 已知的可疑十六进制值包括但不限于 c000c000 -
可疑的身份验证活动 虽然这些活动都没有成功,但它们使用的某些帐户已被主机识别。 这类似于字典攻击,在这种攻击中,攻击者使用由预定义的帐户名和密码构成的字典执行大量身份验证尝试操作,以便找出有效凭据来访问主机。 这指示某些主机帐户名可能存在于某个流传甚广的帐户名字典中。 - 中型
检测到可疑的代码段 指示有人使用非标准方法(例如反射注入和进程替换)分配代码段。 警报提供该代码段的其他特征,这些特征已经过处理,可提供所报告代码段的功能和行为的上下文。 - 中型
可疑的命令执行活动 计算机日志指示用户 %{user name} 进行了可疑的命令行执行操作。 -
执行了可疑的双扩展名文件 主机数据分析指示有人执行了具有可疑的双扩展名的进程。 此扩展名可能会诱使用户认为打开文件是安全的,并且可能指示系统上存在恶意软件。 -
检测到使用 Certutil 进行可疑下载[出现多次] %{Compromised Host} 上的主机数据分析检测到,内置管理员实用工具 certutil.exe 并未用于与操作证书和证书数据相关的主流用途,而是被用于下载二进制文件。 我们知道,攻击者会滥用合法管理员工具的功能来执行恶意操作,例如,使用 certutil.exe 来下载和解码恶意的可执行文件,随后执行该文件。 今天在下列计算机上出现了 [x] 次此行为:[Machine names] - 中型
检测到使用 Certutil 进行可疑下载 %{Compromised Host} 上的主机数据分析检测到,内置管理员实用工具 certutil.exe 并未用于与操作证书和证书数据相关的主流用途,而是被用于下载二进制文件。 我们知道,攻击者会滥用合法管理员工具的功能来执行恶意操作,例如,使用 certutil.exe 来下载和解码恶意的可执行文件,随后执行该文件。 - 中型
执行了可疑进程[出现多次] 计算机日志指示计算机上运行了可疑进程“%{Suspicious Process}”,该进程通常与攻击者尝试访问凭据关联。 今天在下列计算机上出现了 [x] 次此行为:[Machine names] -
执行了可疑进程 计算机日志指示计算机上运行了可疑进程“%{Suspicious Process}”,该进程通常与攻击者尝试访问凭据关联。 -
检测到可疑的进程名称[出现多次] %{Compromised Host} 上的主机数据分析检测到名称可疑的进程,例如,对应于某个已知的攻击者工具,或命名方式暗示试图在众目睽睽下隐藏的攻击者工具。 此进程可能是合法活动,也可能指示某台计算机已遭到入侵。 今天在下列计算机上出现了 [x] 次此行为:[Machine names] - 中型
检测到可疑的进程名称 %{Compromised Host} 上的主机数据分析检测到名称可疑的进程,例如,对应于某个已知的攻击者工具,或命名方式暗示试图在众目睽睽下隐藏的攻击者工具。 此进程可能是合法活动,也可能指示某台计算机已遭到入侵。 - 中型
可疑的进程终止突发 主机数据分析指示 %{Machine Name} 中存在可疑的进程终止突发。 具体而言,在 %{Begin} 到 %{Ending} 之间有 %{NumberOfCommands} 个进程被终止。 -
执行了可疑的系统进程 观察到系统进程 %{process name} 在异常上下文中运行。 恶意软件通常使用此进程名称来掩饰恶意活动。 -
检测到名称可疑的进程 %{Compromised Host} 上的主机数据分析检测到名称可疑的进程,该进程的名称非常类似于极常运行的进程 (%{Similar To Process Name}),但又与之不同。 尽管此进程可能是良性的,但我们知道,攻击者有时会将恶意工具命名为与合法进程的名称相似,从而在众目睽睽之下隐藏。 - 中型
检测到异常的进程执行活动 %{Compromised Host} 上的主机数据分析检测到 %{User Name} 存在异常的进程执行活动。 %{User Name} 这样的帐户所执行的操作受限,此执行活动被判定为不符合限制并且可能可疑。 -
检测到 VBScript HTTP 对象分配活动 检测到有人使用命令提示符创建 VBScript 文件。 以下脚本包含 HTTP 对象分配命令。 此操作可能被用于下载恶意文件。 -
检测到 Windows 注册表持久性方法 主机数据分析检测到攻击者尝试在 Windows 注册表中持久保留某个可执行文件。 恶意软件通常使用这种方法,因此在计算机启动后仍然存在。 -

Linux 计算机警报

更多详细信息和说明

警报(警报类型) 说明 MITRE 技巧
了解详细信息
严重性
检测到对 htaccess 文件的访问 %{Compromised Host} 上的主机数据分析检测到有人可能对 htaccess 文件进行了操作。 Htaccess 是一个功能强大的配置文件,允许对运行 Apache Web 软件的 Web 服务器进行多项更改,包括基本的重定向功能以及基本密码保护等更高级的功能。 攻击者通常会在入侵的计算机上修改 htaccess 文件,以实现持久入侵。 - 中型
已清除历史记录文件 主机数据分析指示有人清除了命令历史记录日志文件。 攻击者可能会为了掩盖入侵痕迹而这样做。 操作由用户“%{user name}”执行。 - 中型
检测到试图停止 apt-daily-upgrade.timer 服务[出现多次] %{Compromised Host} 上的主机数据分析检测到有人试图停止 apt-daily-upgrade.timer 服务。 在最近的一些攻击中,我们观察到攻击者会停止此服务,以下载恶意文件并授予执行特权以达到其攻击目的。 今天在下列计算机上出现了 [x] 次此行为:[Machine names] -
检测到试图停止 apt-daily-upgrade.timer 服务 %{Compromised Host} 上的主机数据分析检测到有人试图停止 apt-daily-upgrade.timer 服务。 在最近的一些攻击中,我们观察到攻击者会停止此服务,以下载恶意文件并授予执行特权以达到其攻击目的。 -
检测到与常见的 Linux 机器人类似的行为[出现多次] %{Compromised Host} 上的主机数据分析检测到有人执行了通常与常见的 Linux 僵尸网络关联的进程。 今天在下列计算机上出现了 [x] 次此行为:[Machine names] - 中型
检测到与常见的 Linux 机器人类似的行为 %{Compromised Host} 上的主机数据分析检测到有人执行了通常与常见的 Linux 僵尸网络关联的进程。 - 中型
检测到与 Fairware 勒索软件类似的行为[出现多次] %{Compromised Host} 上的主机数据分析检测到有人针对可疑位置执行了 rm -rf 命令。 由于 rm -rf 会以递归方式删除文件,其通常用于离散文件夹。 在这种情况下,它会用于可能删除大量数据的位置。 我们知道,Fairware 勒索软件会在此文件夹中执行 rm -rf 命令。 今天在下列计算机上出现了 [x] 次此行为:[Machine names] - 中型
检测到与 Fairware 勒索软件类似的行为 %{Compromised Host} 上的主机数据分析检测到有人针对可疑位置执行了 rm -rf 命令。 由于 rm -rf 会以递归方式删除文件,其通常用于离散文件夹。 在这种情况下,它会用于可能删除大量数据的位置。 我们知道,Fairware 勒索软件会在此文件夹中执行 rm -rf 命令。 - 中型
检测到与勒索软件类似的行为[出现多次] %{Compromised Host} 上的主机数据分析检测到与已知勒索软件相似的文件执行活动,这种勒索软件可能阻止用户访问系统或个人文件,并要求支付赎金才能恢复正常访问。 今天在下列计算机上出现了 [x] 次此行为:[Machine names] -
检测到带有挖掘器映像的容器 计算机日志指示执行了运行与数字货币挖掘关联的映像的 Docker 容器。 此行为可能指示资源被攻击者滥用。 -
在命令行中检测到大小写字符的异常混用 %{Compromised Host} 上的主机数据分析检测到命令行中存在大小写字符的异常混用。 虽然这种模式可能是良性的,但它也是典型的攻击活动,当攻击者在遭到入侵的主机上执行管理任务时,他们会试图借此避开区分大小写或基于哈希的规则匹配。 - 中型
检测到来自已知恶意来源的文件下载[出现多次] 主机数据分析检测到在 %{Compromised Host} 上从已知恶意来源下载了文件。 今天在下列计算机上出现了超过 [x] 次此行为:[Machine names] - 中型
检测到来自已知恶意来源的文件下载 主机数据分析检测到在 %{Compromised Host} 上从已知恶意来源下载了文件。 - 中型
检测到持久性尝试[出现多次] %{Compromised Host} 上的主机数据分析检测到安装了单用户模式的启动脚本。 很少有合法进程需要以这种模式执行,因此,这可能指示攻击者已将恶意进程添加到每个运行级别来保证持久性。 今天在下列计算机上出现了 [x] 次此行为:[Machine names] - 中型
检测到持久性尝试 主机数据分析检测到安装了单用户模式的启动脚本。
因为很少有合法进程需要以这种模式执行,所以这可能指示攻击者已将恶意进程添加到每个运行级别来保证持久性。
持久性 中型
检测到可疑的文件下载[出现多次] 主机数据分析检测到有人在 %{Compromised Host} 上进行了可疑的远程文件下载。 今天在下列计算机上出现了 10 次此行为:[Machine name] -
检测到可疑的文件下载 主机数据分析检测到有人在 %{Compromised Host} 上进行了可疑的远程文件下载。 -
检测到可疑的网络活动 对 %{Compromised Host} 中的网络流量进行分析时检测到可疑的网络活动。 虽然此类流量可能是良性的,但攻击者通常使用它与恶意服务器通信,以进行工具下载、命令和控制以及数据外泄。 典型的相关攻击者活动包括将远程管理工具复制到遭到入侵的主机,并从中外泄用户数据。 -
检测到对 useradd 命令的可疑使用[出现多次] 主机数据分析检测到 %{Compromised Host} 上存在可疑的 useradd 命令使用情况。 今天在下列计算机上出现了 [x] 次此行为:[Machine names] - 中型
检测到对 useradd 命令的可疑使用 主机数据分析检测到 %{Compromised Host} 上存在可疑的 useradd 命令使用情况。 - 中型
检测到数字货币挖掘相关行为 %{Compromised Host} 上的主机数据分析检测到通常与数字货币挖掘关联的进程或命令的执行。 -
审核日志记录被禁用[出现多次] Linux 审核系统提供用于跟踪系统上与安全相关的信息的方法。 它尽可能多地记录系统事件的相关信息。 禁用审核日志记录可能妨碍系统安全策略违反行为的发现。 今天在下列计算机上出现了 [x] 次此行为:[Machine names] -
检测到可执行文件正在从可疑位置运行 主机数据分析检测到 %{Compromised Host} 上的某个可执行文件正在从具有已知可疑文件的位置运行。 此可执行文件可能是合法活动,也可能指示主机遭到入侵。 -
利用 Xorg 漏洞[出现多次] %{Compromised Host} 上的主机数据分析检测到具有可疑参数的 Xorg 用户。 攻击者可能会在尝试提升特权时使用此方法。 今天在下列计算机上出现了 [x] 次此行为:[Machine names] - 中型
检测到公开的 Docker 守护程序 计算机日志指示 Docker 守护程序 (dockerd) 公开了一个 TCP 套接字。 默认情况下,启用 TCP 套接字时,Docker 配置不会使用加密或身份验证。 这样一来,任何有权访问相关端口的用户都会获得 Docker 守护程序的完全访问权限。 - 中型
失败的 SSH 暴力攻击 检测到失败的暴力攻击,攻击者为 %{Attackers}。 攻击者尝试使用以下用户名访问主机:%{Accounts used on failed sign in to host attempts}。 - 中型
检测到无文件攻击行为
(AppServices_FilelessAttackBehaviorDetection)
下面的指定进程的内存包含无文件攻击通常使用的行为。
具体行为包括:{list of observed behaviors}
执行 中型
检测到无文件攻击技术
(VM_FilelessAttackTechnique.Linux)
以下指定进程的内存中包含无文件攻击方法的证据。 攻击者使用无文件攻击来执行代码,同时避开安全软件的检测。
具体行为包括:{list of observed behaviors}
执行
检测到无文件攻击工具包
(VM_FilelessAttackToolkit.Linux)
下面的指定进程的内存包含一个无文件攻击工具包: {ToolKitName}。 无文件攻击工具包通常不存在于文件系统中,因此难以使用传统防病毒软件进行检测。
具体行为包括:{list of observed behaviors}
防御规避、执行
检测到隐藏文件执行活动 主机数据分析指示 %{user name} 执行了隐藏文件。 此活动可能是合法活动,也可能指示主机遭到入侵。 - 信息
检测到与 DDOS 工具包关联的指标[出现多次] %{Compromised Host} 上的主机数据分析检测到属于与恶意软件关联的工具包的一部分的文件名,该恶意软件能够启动 DDoS 攻击、打开端口和服务并完全控制受感染的系统。 这也可能是合法活动。 今天在下列计算机上出现了 [x] 次此行为:[Machine names] - 中型
检测到与 DDOS 工具包关联的指标 %{Compromised Host} 上的主机数据分析检测到属于与恶意软件关联的工具包的一部分的文件名,该恶意软件能够启动 DDoS 攻击、打开端口和服务并完全控制受感染的系统。 这也可能是合法活动。 - 中型
检测到本地主机侦查[出现多次] %{Compromised Host} 上的主机数据分析检测到有人执行了通常与常见的 Linux 机器人侦查关联的命令。 今天在下列计算机上出现了 [x] 次此行为:[Machine names] - 中型
检测到本地主机侦查 %{Compromised Host} 上的主机数据分析检测到有人执行了通常与常见的 Linux 机器人侦查关联的命令。 - 中型
检测到主机防火墙操作[出现多次] %{Compromised Host} 上的主机数据分析检测到有人可能对主机上的防火墙进行了操作。 攻击者通常会禁用防火墙以外泄数据。 今天在下列计算机上出现了 [x] 次此行为:[Machine names] - 中型
检测到主机防火墙操作 %{Compromised Host} 上的主机数据分析检测到有人可能对主机上的防火墙进行了操作。 攻击者通常会禁用防火墙以外泄数据。 - 中型
检测到 MITRE Caldera 代理
(VM_MitreCalderaTools)
计算机日志指示可疑进程“%{Suspicious Process}”在 %{Compromised Host} 上运行。 这通常与 MITER 54ndc47 代理相关联,该代理可能被恶意用于以某种方式攻击其他计算机。 全部 中型
添加了新的 SSH 密钥[出现多次] 授权密钥文件中添加了新的 SSH 密钥。 今天在下列计算机上出现了 [x] 次此行为:[Machine names] -
添加了新的 SSH 密钥 授权密钥文件中添加了新的 SSH 密钥 -
检测到可能存在攻击工具[出现多次] 计算机日志指示可疑进程“%{Suspicious Process}”在 %{Compromised Host} 上运行。 此工具通常与恶意用户以某种方式攻击其他计算机的行为关联。 今天在下列计算机上出现了 [x] 次此行为:[Machine names] - 中型
检测到可能存在攻击工具 计算机日志指示可疑进程“%{Suspicious Process}”在 %{Compromised Host} 上运行。 此工具通常与恶意用户以某种方式攻击其他计算机的行为关联。 - 中型
检测到可能存在后门[出现多次] 主机数据分析检测到,订阅中的 %{Compromised Host} 上下载并运行了可疑的文件。 此活动之前与后门安装关联。 今天在下列计算机上出现了 [x] 次此行为:[Machine names] - 中型
检测到可能存在凭据访问工具[出现多次] 计算机日志指示进程“%{Suspicious Process}”在 %{Compromised Host} 上启动并运行了可能的已知凭据访问工具。 此工具通常与尝试访问凭据的攻击者关联。 今天在下列计算机上出现了 [x] 次此行为:[Machine names] - 中型
检测到可能存在凭据访问工具 计算机日志指示进程“%{Suspicious Process}”在 %{Compromised Host} 上启动并运行了可能的已知凭据访问工具。 此工具通常与尝试访问凭据的攻击者关联。 - 中型
可能存在 Hadoop Yarn 利用 %{Compromised Host} 上的主机数据分析检测到可能有人利用了 Hadoop Yarn 服务。 - 中型
检测到邮件服务器可能被利用
(VM_MailserverExploitation)
分析 %{Compromised Host} 上的主机数据时检测到邮件服务器帐户下存在异常执行 利用 中型
检测到可能的日志篡改活动[出现多次] %{Compromised Host} 上的主机数据分析检测到,在某项用户活动的操作过程中,有人可能删除了跟踪该活动的文件。 攻击者通常会通过删除此类日志文件来避开检测以及清除恶意活动的痕迹。 今天在下列计算机上出现了 [x] 次此行为:[Machine names] - 中型
检测到可能的日志篡改活动 %{Compromised Host} 上的主机数据分析检测到,在某项用户活动的操作过程中,有人可能删除了跟踪该活动的文件。 攻击者通常会通过删除此类日志文件来避开检测以及清除恶意活动的痕迹。 - 中型
检测到可能存在数据丢失[出现多次] %{Compromised Host} 上的主机数据分析检测到可能存在数据流出的情况。 攻击者通常会从入侵的计算机中流出数据。 今天在下列计算机上出现了 [x]] 次此行为:[Machine names] - 中型
检测到可能存在数据丢失 %{Compromised Host} 上的主机数据分析检测到可能存在数据流出的情况。 攻击者通常会从入侵的计算机中流出数据。 - 中型
检测到可能存在恶意的 Web shell [出现多次] %{Compromised Host} 上的主机数据分析检测到可能存在 Web shell。 攻击者通常会将 Web shell 上传到入侵的计算机以实现持久性,从而进一步加以利用。 今天在下列计算机上出现了 [x] 次此行为:[Machine names] - 中型
检测到可能存在恶意的 Web shell %{Compromised Host} 上的主机数据分析检测到可能存在 Web shell。 攻击者通常会将 Web shell 上传到入侵的计算机以实现持久性,从而进一步加以利用。 - 中型
检测到可能有人使用 crypt 方法更改密码[出现多次] %{Compromised Host} 上的主机数据分析检测到有人使用 crypt 方法更改了密码。 攻击者可能会为了继续访问并在入侵后实现持久性而进行此更改。 今天在下列计算机上出现了 [x] 次此行为:[Machine names] - 中型
常见文件的潜在替代活动[出现多次] 主机数据分析检测到 %{Compromised Host} 上存在覆盖常见可执行文件的情况。 攻击者将覆盖常见文件,以便遮掩他们的操作或实现持久性。 今天在下列计算机上出现了 [x] 次此行为:[Machine names] - 中型
常见文件的潜在替代活动 主机数据分析检测到 %{Compromised Host} 上存在覆盖常见可执行文件的情况。 攻击者将覆盖常见文件,以便遮掩他们的操作或实现持久性。 - 中型
对外部 IP 地址的潜在端口转发活动[出现多次] %{Compromised Host} 上的主机数据分析检测到有人发起对外部 IP 地址的端口转发。 今天在下列计算机上出现了 [x] 次此行为:[Machine names] - 中型
对外部 IP 地址的潜在端口转发活动 主机数据分析检测到有人发起对外部 IP 地址的端口转发。 外泄/命令和控制 中型
检测到潜在的反向 shell [出现多次] %{Compromised Host} 上的主机数据分析检测到潜在的反向 shell。 它们用于让遭到入侵的计算机回调到攻击者拥有的计算机中。 今天在下列计算机上出现了 [x] 次此行为:[Machine names] - 中型
检测到潜在的反向 shell %{Compromised Host} 上的主机数据分析检测到潜在的反向 shell。 它们用于让遭到入侵的计算机回调到攻击者拥有的计算机中。 - 中型
在容器中运行特权命令 计算机日志指示有人在 Docker 容器中运行特权命令。 特权命令在主机上具有扩展特权。 -
检测到特权容器 计算机日志指示有特权 Docker 容器正在运行。 特权容器对主机的资源具有完全访问权限。 如果遭到入侵,攻击者可以使用特权容器获取对主机的访问权限。 -
检测到与数字货币挖掘关联的进程[出现多次] %{Compromised Host} 上的主机数据分析检测到通常与数字货币挖掘关联的进程的执行。 今天在下列计算机上出现了超过 100 次此行为:[Machine name] - 中型
检测到与数字货币挖掘关联的进程 主机数据分析检测到通常与数字货币挖掘关联的进程的执行。 利用/执行 中型
检测到进程以异常方式访问 SSH 授权密钥文件 有人通过与已知恶意软件活动类似的方法访问了 SSH 授权密钥文件。 此访问可能指示攻击者正在尝试获取对计算机的持久访问权限。 -
检测到 Python 编码下载器[出现多次] %{Compromised Host} 上的主机数据分析检测到有人执行编码的 Python 来从远程位置下载和运行代码。 这可能指示存在恶意活动。 今天在下列计算机上出现了 [x] 次此行为:[Machine names] -
在主机上拍摄屏幕截图[出现多次] %{Compromised Host} 上的主机数据分析检测到有用户使用屏幕捕获工具。 攻击者可能会使用这些工具来访问专用数据。 今天在下列计算机上出现了 [x] 次此行为:[Machine names] -
检测到脚本扩展名不匹配[出现多次] %{Compromised Host} 上的主机数据分析检测到脚本解释器和作为输入提供的脚本文件的扩展名不匹配。 这通常与攻击者脚本执行活动关联。 今天在下列计算机上出现了 [x] 次此行为:[Machine names] - 中型
检测到脚本扩展名不匹配 %{Compromised Host} 上的主机数据分析检测到脚本解释器和作为输入提供的脚本文件的扩展名不匹配。 这通常与攻击者脚本执行活动关联。 - 中型
检测到 Shellcode [出现多次] %{Compromised Host} 上的主机数据分析检测到命令行中生成了 shellcode。 此进程可能是合法活动,也可能指示某台计算机已遭到入侵。 今天在下列计算机上出现了 [x] 次此行为:[Machine names] - 中型
SSH 服务器在容器中运行 计算机日志指示有 SSH 服务器在 Docker 容器中运行。 尽管此行为可能是故意的,但它通常指示容器配置不正确或者遭到破坏。 - 中型
成功的 SSH 暴力攻击 主机数据分析检测到成功的暴力攻击。 发现 IP %{Attacker source IP} 进行了多次登录尝试。 来自该 IP 的成功登录使用以下用户身份完成:%{Accounts used to successfully sign in to host}。 这意味着主机可能遭到恶意执行组件的入侵和控制。 -
检测到可疑的帐户创建操作 %{Compromised Host} 上的主机数据分析检测到,有人创建或使用了本地帐户 %{Suspicious account name},此帐户名称与标准 Windows 帐户或组名“%{Similar To Account Name}”非常相似。 这可能是攻击者创建的恶意帐户,使用此命名方式的目的在于不让人工管理员注意到。 - 中型
检测到可疑的编译[出现多次] %{Compromised Host} 上的主机数据分析检测到可疑的编译。 攻击者通常会在已入侵的计算机上编译利用漏洞的内容以提升特权。 今天在下列计算机上出现了 [x] 次此行为:[Machine names] - 中型
检测到可疑的编译 %{Compromised Host} 上的主机数据分析检测到可疑的编译。 攻击者通常会在已入侵的计算机上编译利用漏洞的内容以提升特权。 - 中型
检测到可疑的内核模块[出现多次] %{Compromised Host} 上的主机数据分析检测到有人将共享对象文件作为内核模块加载。 这可能是合法活动,也可能指示某台计算机已遭到入侵。 今天在下列计算机上出现了 [x] 次此行为:[Machine names] - 中型
可疑的密码访问[出现多次] 主机数据分析检测到 %{Compromised Host} 上存在对加密用户密码的可疑访问行为。 今天在下列计算机上出现了 [x] 次此行为:[Machine names] - 信息
可疑的密码访问 主机数据分析检测到 %{Compromised Host} 上存在对加密用户密码的可疑访问行为。 - 信息
检测到可疑 PHP 执行活动 计算机日志指示有可疑的 PHP 进程正在运行。 该操作包含尝试使用 PHP 进程从命令行运行 OS 命令或 PHP 代码。 虽然这种行为可能合法,但在 Web 应用中,这种行为也会出现在恶意活动中,例如试图利用 Web shell 感染网站。 - 中型
对 Kubernetes API 的可疑请求 计算机日志指示有人对 Kubernetes API 发出了可疑的请求。 该请求发送自 Kubernetes 节点,可能来自节点中运行的某个容器。 尽管此行为可能是故意的,但它可能指示节点运行的某个容器遭到入侵。 - 中型

Azure 应用服务警报

更多详细信息和说明

警报(警报类型) 说明 MITRE 技巧
了解详细信息
严重性
有人尝试在 Windows 应用服务上运行 Linux 命令
(AppServices_LinuxCommandOnWindows)
应用服务分析进程检测到有人尝试在 Windows 应用服务上运行 Linux 命令。 此操作由 Web 应用运行。 此行为在恶意软件活动中经常出现,旨在利用常见 Web 应用中的漏洞。
(适用于:Windows 上的应用服务)
- 中型
在威胁情报中发现连接到 Azure 应用服务 FTP 接口的 IP
(AppServices_IncomingTiClientIpFtp)
Azure 应用服务 FTP 日志指示某个连接的源地址在威胁情报源中。 在此连接期间,用户访问了列出的页面。
(适用于:Windows 上的应用服务和 Linux 上的应用服务)
初始访问 中型
检测到有人尝试运行高特权命令
(AppServices_HighPrivilegeCommand)
分析应用服务进程时检测到有人尝试运行需要高特权的命令。
命令在 Web 应用上下文中运行。 虽然此行为可能合法,但在 Web 应用程序中,此行为也会在恶意活动中观察到。
(适用于:Windows 上的应用服务)
- 中型
针对应用服务的 Azure 安全中心测试警报(非威胁)
(AppServices_EICAR)
此测试警报由 Azure 安全中心生成。 无需执行其他操作。
(适用于:Windows 上的应用服务和 Linux 上的应用服务)
-
检测到有人从异常 IP 地址连接到网页
(AppServices_AnomalousPageAccess)
Azure 应用服务活动日志指示从列出的源 IP 地址到敏感网页的异常连接。 这可能指示有人正在尝试对 Web 应用管理页面发起暴力攻击。 但也可能是因为某位合法用户使用了新的 IP 地址。 如果源 IP 地址受信任,则可以安全地对此资源禁止显示此警报。 要了解如何禁止显示 Azure Defender 警报,请参阅 https://docs.microsoft.com/azure/security-center/alerts-suppression-rules
(适用于:Windows 上的应用服务和 Linux 上的应用服务)
初始访问 中型
检测到应用服务资源存在无关联的 DNS 记录
(AppServices_DanglingDomain)
检测到一条 DNS 记录,它指向近期已被删除的应用服务资源(该记录也称为“无关联的 DNS”条目)。 这使你容易遭到子域接管。 子域接管使恶意操作者能够将专用于某组织的域的流量重定向到一个执行恶意活动的站点。
(适用于:Windows 上的应用服务和 Linux 上的应用服务)
-
在命令行数据中检测到编码的可执行文件
(AppServices_Base64EncodedExecutableInCommandLineParams)
{Compromised host} 上的主机数据分析检测到 base-64 编码的可执行文件。 此警报之前与攻击者的以下行为相关:试图通过一系列命令动态构造可执行文件,以及试图通过确保任何单个命令都不会触发警报来避开入侵检测系统。 这可能是合法活动,也可能指示主机遭到入侵。
(适用于:Windows 上的应用服务)
防御规避、执行
检测到来自已知恶意来源的文件下载
(AppServices_SuspectDownload)
主机数据分析检测到在你的主机上从已知恶意来源下载了文件
(适用于:Linux 上的应用服务)
特权提升、执行、外泄、命令和控制 中型
检测到数字货币挖掘相关行为
(AppServices_DigitalCurrencyMining)
分析 Inn-Flow-WebJobs 上的主机数据时检测到在执行通常与数字货币挖掘关联的进程或命令。
(适用于:Windows 上的应用服务和 Linux 上的应用服务)
执行
使用 certutil 解码的可执行文件
(AppServices_ExecutableDecodedUsingCertutil)
分析 [Compromised entity] 上的主机数据时检测到,内置管理员实用工具 certutil.exe 并未用于与操作证书和证书数据相关的主流用途,而是用于解码可执行文件。 我们知道,攻击者可以滥用合法的管理员工具的功能来执行恶意操作,例如,使用 certutil.exe 之类的工具来解码恶意的可执行文件,随后执行该文件。
(适用于:Windows 上的应用服务)
防御规避、执行
检测到无文件攻击行为
(AppServices_FilelessAttackBehaviorDetection)
下面的指定进程的内存包含无文件攻击通常使用的行为。
具体行为包括:{list of observed behaviors}
(适用于:Windows 上的应用服务和 Linux 上的应用服务)
执行 中型
检测到无文件攻击技术
(AppServices_FilelessAttackTechniqueDetection)
以下指定进程的内存中包含无文件攻击方法的证据。 攻击者使用无文件攻击来执行代码,同时避开安全软件的检测。
具体行为包括:{list of observed behaviors}
(适用于:Windows 上的应用服务和 Linux 上的应用服务)
执行
检测到无文件攻击工具包
(AppServices_FilelessAttackToolkitDetection)
下面的指定进程的内存包含一个无文件攻击工具包: {ToolKitName}。 无文件攻击工具包通常不存在于文件系统中,因此难以使用传统防病毒软件进行检测。
具体行为包括:{list of observed behaviors}
(适用于:Windows 上的应用服务和 Linux 上的应用服务)
防御规避、执行
检测到 NMap 扫描
(AppServices_Nmap)
Azure 应用服务活动日志指示应用服务资源上可能存在 Web 指纹识别活动。
检测到的可疑活动与 NMAP 关联。 攻击者通常使用此工具来探测 Web 应用程序,从而查找漏洞。
(适用于:Windows 上的应用服务和 Linux 上的应用服务)
预攻击 中型
Azure Web 应用上托管了网络钓鱼内容
(AppServices_PhishingContent)
在 Azure 应用服务网站上发现用于网络钓鱼攻击的 URL。 此 URL 是发送给 Microsoft 365 客户的网络钓鱼攻击的一部分。 相关内容通常引诱访问者在看似合法的网站中输入其企业凭据或财务信息。
(适用于:Windows 上的应用服务和 Linux 上的应用服务)
集合
上传文件夹中的 PHP 文件
(AppServices_PhpInUploadFolder)
Azure 应用服务活动日志指示有人访问上传文件夹中的可疑 PHP 页面。
这种类型的文件夹通常不包含 PHP 文件。 存在这种类型的文件可能指示有人利用了任意文件上传漏洞。
(适用于:Windows 上的应用服务和 Linux 上的应用服务)
执行 中型
检测到潜在 Cryptocoinminer 下载
(AppServices_CryptoCoinMinerDownload)
主机数据分析检测到通常与数字货币挖掘关联的文件的下载
(适用于:Linux 上的应用服务)
防御规避、命令和控制、利用 中型
检测到应用服务资源可能存在无关联的 DNS 记录
(AppServices_PotentialDanglingDomain)
检测到一条 DNS 记录,它指向近期已被删除的应用服务资源(该记录也称为“无关联的 DNS”条目)。 这可能会导致你遭到子域接管。 子域接管使恶意操作者能够将专用于某组织的域的流量重定向到一个执行恶意活动的站点。 在这种情况下,找到的是具有域验证 ID 的文本记录。 此类文本记录会防止子域接管,但仍请删除无关联的域。 如果保留指向子域的 DNS 记录,那么当今后你组织中的任何人删除 TXT 文件或记录时,你会有风险。
(适用于:Windows 上的应用服务和 Linux 上的应用服务)
-
检测到潜在的反向 shell
(AppServices_ReverseShell)
主机数据分析检测到潜在的反向 shell。 它们用于让遭到入侵的计算机回调到攻击者拥有的计算机中。
(适用于:Linux 上的应用服务)
Exfiltration, Exploitation 中型
检测到原始数据下载
(AppServices_DownloadCodeFromWebsite)
应用服务进程分析检测到有人尝试从 Pastebin 等原始数据网站下载代码。 此操作由 PHP 进程运行。 此行为与尝试将 Web shell 或其他恶意组件下载到应用服务关联。
(适用于:Windows 上的应用服务)
执行 中型
检测到有人将 cURL 输出保存到磁盘
(AppServices_CurlToDisk)
应用服务分析进程检测到有人运行将输出保存到磁盘的 cURL 命令。 虽然这种行为可能合法,但在 Web 应用中,这种行为也会出现在恶意活动中,例如试图利用 Web shell 感染网站。
(适用于:Windows 上的应用服务)
-
检测到垃圾邮件文件夹引荐来源
(AppServices_SpamReferrer)
Azure 应用服务活动日志指示已识别的 Web 活动源自与垃圾邮件活动关联的网站。 如果你的网站遭到入侵并被用于垃圾邮件活动,就会发生这种情况。
(适用于:Windows 上的应用服务和 Linux 上的应用服务)
-
检测到有人可疑地访问可能易受攻击的网页
(AppServices_ScanSensitivePage)
Azure 应用服务活动日志指示有人访问了可能敏感的网页。 此可疑活动源自访问模式与 Web 扫描程序类似的源 IP 地址。
此活动通常与攻击者试图扫描你的网络以尝试获取敏感或易受攻击网页的访问权限相关联。
(适用于:Windows 上的应用服务和 Linux 上的应用服务)
-
可疑域名引用
(AppServices_CommandlineSuspectDomain)
主机数据分析检测到对可疑域名的引用。 此类活动虽然可能是合法的用户行为,但它们往往指示下载或执行了恶意软件。 典型的相关攻击者活动可能包括下载和执行进一步的恶意软件或远程管理工具。
(适用于:Linux 上的应用服务)
外泄
检测到使用 Certutil 进行可疑下载
(AppServices_DownloadUsingCertutil)
分析 {NAME} 上的主机数据时检测到,内置管理员实用工具 certutil.exe 并未用于与操作证书和证书数据相关的主流用途,而是被用于下载二进制文件。 我们知道,攻击者会滥用合法管理员工具的功能来执行恶意操作,例如,使用 certutil.exe 来下载和解码恶意的可执行文件,随后执行该文件。
(适用于:Windows 上的应用服务)
执行 中型
检测到可疑 PHP 执行活动
(AppServices_SuspectPhp)
计算机日志指示有可疑的 PHP 进程正在运行。 该操作包含尝试使用 PHP 进程从命令行运行操作系统命令或 PHP 代码。 虽然这种行为可能合法,但在 Web 应用中,它也可能指示恶意活动,例如试图利用 Web shell 感染网站。
(适用于:Windows 上的应用服务和 Linux 上的应用服务)
执行 中型
执行了可疑的 PowerShell cmdlet
(AppServices_PowerShellPowerSploitScriptExecution)
主机数据分析指示有人执行了已知恶意的 PowerShell PowerSploit cmdlet。
(适用于:Windows 上的应用服务)
执行 中型
执行了可疑进程
(AppServices_KnownCredentialAccessTools)
计算机日志指示计算机上运行了可疑进程“%{process path}”,该进程通常与攻击者尝试访问凭据关联。
(适用于:Windows 上的应用服务)
凭据访问
检测到可疑的进程名称
(AppServices_ProcessWithKnownSuspiciousExtension)
分析 {NAME} 上的主机数据时检测到名称可疑的进程,例如,该进程对应于某个已知的攻击者工具,或其命名方式表明存在试图在众目睽睽下隐藏的攻击者工具。 此进程可能是合法活动,也可能指示某台计算机已遭到入侵。
(适用于:Windows 上的应用服务)
持久性、规避防御 中型
执行了可疑的 SVCHOST 进程
(AppServices_SVCHostFromInvalidPath)
观察到系统进程 SVCHOST 在异常上下文中运行。 恶意软件通常使用 SVCHOST 来掩饰其恶意活动。
(适用于:Windows 上的应用服务)
防御规避、执行
检测到可疑的用户代理
(AppServices_UserAgentInjection)
Azure 应用服务活动日志指示存在对可疑用户代理的请求。 此行为可能指示有人试图利用应用服务应用程序中的漏洞。
(适用于:Windows 上的应用服务和 Linux 上的应用服务)
初始访问 中型
检测到可疑的 WordPress 主题调用
(AppServices_WpThemeInjection)
Azure 应用服务活动日志指示应用服务资源上可能存在代码注入活动。
检测到的可疑活动类似于操作 WordPress 主题以支持服务器端代码执行,然后发出直接 Web 请求以调用被操作的主题文件。
这种活动在过去被视为针对 WordPress 的攻击活动的一部分。
如果应用服务资源不承载 WordPress 站点,则它不容易受到此特定代码注入漏洞的攻击,你可以安全地对该资源禁止显示此警报。 要了解如何禁止显示 Azure Defender 警报,请参阅 https://docs.microsoft.com/azure/security-center/alerts-suppression-rules
(适用于:Windows 上的应用服务和 Linux 上的应用服务)
执行
检测到漏洞扫描程序
(AppServices_DrupalScanner)
Azure 应用服务活动日志指示可能有人对应用服务资源使用了漏洞扫描程序。
检测到的可疑活动类似于针对内容管理系统 (CMS) 的工具的活动。
如果应用服务资源不承载 Drupal 站点,则它不容易受到此特定代码注入漏洞的攻击,你可以安全地对该资源禁止显示此警报。 要了解如何禁止显示 Azure Defender 警报,请参阅 https://docs.microsoft.com/azure/security-center/alerts-suppression-rules
(适用于:Windows 上的应用服务)
预攻击 中型
检测到漏洞扫描程序
(AppServices_JoomlaScanner)
Azure 应用服务活动日志指示可能有人对应用服务资源使用了漏洞扫描程序。
检测到的可疑活动类似于针对 Joomla 应用程序的工具的活动。
如果应用服务资源不承载 Joomla 站点,则它不容易受到此特定代码注入漏洞的攻击,你可以安全地对该资源禁止显示此警报。 要了解如何禁止显示 Azure Defender 警报,请参阅 https://docs.microsoft.com/azure/security-center/alerts-suppression-rules
(适用于:Windows 上的应用服务和 Linux 上的应用服务)
预攻击 中型
检测到漏洞扫描程序
(AppServices_WpScanner)
Azure 应用服务活动日志指示可能有人对应用服务资源使用了漏洞扫描程序。
检测到的可疑活动类似于针对 WordPress 应用程序的工具的活动。
如果应用服务资源不承载 WordPress 站点,则它不容易受到此特定代码注入漏洞的攻击,你可以安全地对该资源禁止显示此警报。 要了解如何禁止显示 Azure Defender 警报,请参阅 https://docs.microsoft.com/azure/security-center/alerts-suppression-rules
(适用于:Windows 上的应用服务和 Linux 上的应用服务)
预攻击 中型
检测到 Web 指纹识别活动
(AppServices_WebFingerprinting)
Azure 应用服务活动日志指示应用服务资源上可能存在 Web 指纹识别活动。
该检测到的可疑活动与名为 Blind Elephant 的工具关联。 该工具采集 Web 服务器的指纹,并尝试检测已安装的应用程序及其版本。
攻击者通常使用此工具来探测 Web 应用程序,从而查找漏洞。
(适用于:Windows 上的应用服务和 Linux 上的应用服务)
预攻击 中型
网站在威胁情报源中被标记为恶意
(AppServices_SmartScreen)
Windows SmartScreen 将如下所述的你的网站标记为恶意网站。 如果你认为这是误报,请通过提供的报表反馈链接联系 Windows SmartScreen。
(适用于:Windows 上的应用服务和 Linux 上的应用服务)
集合 中型

容器警报 - Kubernetes 群集

更多详细信息和说明

警报 说明 MITRE 技巧
了解详细信息
严重性
检测到来自代理 IP 地址的 K8S API 请求
(AKS_TI_Proxy)
Kubernetes 审核日志分析检测到某个与代理服务(例如 TOR)关联的 IP 地址向群集发出了 API 请求。 虽然这种行为可能是合法的,但经常出现在恶意活动中,不过攻击者会试图隐藏其源 IP。 执行
检测到存在敏感卷装载活动的容器
(AKS_SensitiveMount)
Kubernetes 审核日志分析检测到存在敏感卷装载活动的新容器。 检测到的卷属于 hostPath 类型,其会将敏感文件或者文件夹从节点装载到容器。 如果容器已遭入侵,则攻击者可以通过此装载活动获取对节点的访问权限。 特权提升 中型
检测到 Kubernetes 中发生 CoreDNS 修改
(AKS_CoreDnsModification)
Kubernetes 审核日志分析检测到 CoreDNS 配置已修改。 可以通过重写 CoreDNS 的 configmap 来修改其配置。 此活动可能是合法的,不过,如果攻击者有权修改 configmap,则他们可以更改群集 DNS 服务器的行为,并使其感染病毒。 横向移动
检测到创建了许可 webhook 配置
(AKS_AdmissionController)
Kubernetes 审核日志分析检测到新的许可 webhook 配置。 Kubernetes 有两个内置的通用许可控制器:MutatingAdmissionWebhook 和 ValidatingAdmissionWebhook。 这些许可控制器的行为由用户部署到群集的许可 webhook 确定。 此类许可控制器的使用可能是合法的,但攻击者可以使用此类 webhook 来修改请求(使用 MutatingAdmissionWebhook 时)或检查请求并获取敏感信息(使用 ValidatingAdmissionWebhook 时)。 凭据访问、持久性
检测到数字货币挖掘容器
(AKS_MaliciousContainerImage)
Kubernetes 审核日志分析检测到带有与数字货币挖掘工具关联的映像的容器。 执行
检测到公开的 Kubeflow 仪表板
(AKS_ExposedKubeflow)
Kubernetes 审核日志分析检测到,运行 Kubeflow 的群集中的负载均衡器公开了 Istio 入口。 此操作可能会向 Internet 公开 Kubeflow 仪表板。 如果向 Internet 公开了该仪表板,则攻击者可以访问该仪表板,并在群集上运行恶意容器或代码。 可在以下文章中找到更多详细信息: https://www.microsoft.com/security/blog/2020/06/10/misconfigured-kubeflow-workloads-are-a-security-risk 初始访问
检测到公开的 Kubernetes 仪表板
(AKS_ExposedDashboard)
Kubernetes 审核日志分析检测到由 LoadBalancer 服务公开的 Kubernetes 仪表板。 公开的仪表板允许对群集管理进行未经身份验证的访问,这会带来安全威胁。 初始访问
检测到公开的 Kubernetes 服务
(AKS_ExposedService)
Kubernetes 审核日志分析检测到,负载均衡器公开了服务。 此服务与一个敏感应用程序相关,该应用程序允许在群集中执行影响较大的操作,如在节点上运行进程或创建新的容器。 在某些情况下,此服务不需要身份验证。 如果该服务不需要身份验证,则向 Internet 公开该服务会带来安全风险。 初始访问
检测到 AKS 中存在公开的 Redis 服务
(AKS_ExposedRedis)
Kubernetes 审核日志分析检测到,负载均衡器公开了 Redis 服务。 如果该服务不需要身份验证,则向 Internet 公开该服务会带来安全风险。 初始访问
删除了 Kubernetes 事件
(AKS_DeleteEvents)
安全中心检测到删除了某些 Kubernetes 事件。 Kubernetes 事件是 Kubernetes 中的对象,其中包含有关群集中发生的更改的信息。 攻击者可能会删除这些事件,以隐藏他们在群集中执行的操作。 防御规避
检测到 Kubernetes 渗透测试工具
(AKS_PenTestToolsKubeHunter)
Kubernetes 审核日志分析检测到在 AKS 群集中使用了 Kubernetes 渗透测试工具。 此行为可能是合法的,不过,攻击者可能会出于恶意使用此类公用工具。 执行
在 kube-system 命名空间中检测到新容器
(AKS_KubeSystemContainer)
Kubernetes 审核日志分析在 kube-system 命名空间中检测到新容器,该容器不是通常在此命名空间中运行的容器。 kube-system 命名空间不应包含用户资源。 攻击者可以使用此命名空间来隐藏恶意组件。 持久性
检测到新的高特权角色
(AKS_HighPrivilegesRole)
Kubernetes 审核日志分析检测到新的高特权角色。 绑定到高特权角色将为群集中的用户/组授予较高的特权。 不必要的特权可能导致群集中出现特权提升。 持久性
检测到特权容器
(AKS_PrivilegedContainer)
Kubernetes 审核日志分析检测到新的特权容器。 特权容器可以访问节点的资源,并打破容器之间的隔离。 如果遭到入侵,攻击者可以使用特权容器获取对节点的访问权限。 特权提升
检测到对群集管理员角色的角色绑定
(AKS_ClusterAdminBinding)
Kubernetes 审核日志分析检测到新的群集管理员角色绑定,这授予了管理员特权。 不必要的管理员特权可能导致群集中出现特权提升。 持久性

容器警报 - 主机级别

针对容器主机的 Azure Defender 警报并不局限于以下警报。 容器主机上还可能触发针对 Azure 网络层的警报针对 Windows 计算机的警报针对 Linux 计算机的警报表中列出的许多警报。 Microsoft 的全球威胁情报团队会持续权衡并调整许多类型的针对 Kubernetes 群集的警报,以优化检测并减少误报。

更多详细信息和说明

警报 说明 MITRE 技巧
了解详细信息
严重性
检测到带有挖掘器映像的容器
(VM_MinerInContainerImage)
计算机日志指示执行的某个 Docker 容器运行与数字货币挖掘关联的映像。 执行
在 Kubernetes 节点上检测到 Docker 生成操作
(VM_ImageBuildOnNode)
计算机日志指示 Kubernetes 节点上发生了容器映像的生成操作。 此行为可能是合法的,不过,攻击者可能会在本地生成恶意映像以避开检测。 防御规避
检测到公开的 Docker 守护程序
(VM_ExposedDocker)
计算机日志指示 Docker 守护程序 (dockerd) 公开了一个 TCP 套接字。 默认情况下,启用 TCP 套接字时,Docker 配置不会使用加密或身份验证。 这样一来,任何有权访问相关端口的用户都会获得 Docker 守护程序的完全访问权限。 Execution、Exploitation 中型
在容器中运行特权命令
(VM_PrivilegedExecutionInContainer)
计算机日志指示有人在 Docker 容器中运行特权命令。 特权命令在主机上具有扩展特权。 特权提升
检测到特权容器
(VM_PrivilegedContainerArtifacts)
计算机日志指示有特权 Docker 容器正在运行。 特权容器对主机的资源具有完全访问权限。 如果遭到入侵,攻击者可以使用特权容器获取对主机的访问权限。 PrivilegeEscalation、Execution
SSH 服务器在容器中运行
(VM_ContainerSSH)
计算机日志指示有 SSH 服务器在 Docker 容器中运行。 尽管此行为可能是故意的,但它通常指示容器配置不正确或者遭到破坏。 执行 中型
对 Kubernetes API 的可疑请求
(VM_KubernetesAPI)
计算机日志指示有人对 Kubernetes API 发出了可疑的请求。 该请求发送自 Kubernetes 节点,可能来自节点中运行的某个容器。 尽管此行为可能是故意的,但它可能指示节点运行的某个容器遭到入侵。 执行 中型
对 Kubernetes 仪表板的可疑请求
(VM_KubernetesDashboard)
计算机日志指示有人对 Kubernetes 仪表板发出了可疑的请求。 该请求发送自 Kubernetes 节点,可能来自节点中运行的某个容器。 尽管此行为可能是故意的,但它可能指示节点运行的某个容器遭到入侵。 横向移动 中型

针对 SQL 数据库和 Azure Synapse Analytics 的警报

更多详细信息和说明

警报 说明 MITRE 技巧
了解详细信息
严重性
可能存在易受 SQL 注入攻击的漏洞 某个应用程序在数据库中生成了错误的 SQL 语句。 此警报指示可能存在易受 SQL 注入攻击的漏洞。 生成错误语句的可能原因有两个。 应用程序代码中的缺陷可能会导致构造出错误的 SQL 语句。 或者,应用程序代码或存储过程在构造错误的 SQL 语句时未清理用户输入,使该语句被 SQL 注入攻击利用。 - 中型
来自可能有害的应用程序的登录尝试 可能有害的应用程序尝试访问 SQL server“{name}”。 预攻击
来自异常 Azure 数据中心的登录 对 SQL Server 的访问模式发生了变化,有人从异常 Azure 数据中心登录到了服务器。 在某些情况下,警报会检测到合法操作(新应用程序或 Azure 服务)。 在其他情况下,警报会检测到恶意操作(攻击者从 Azure 中遭到入侵的资源进行操作)。 探测
来自异常位置的登录 对 SQL Server 的访问模式发生了变化,有人从异常的地理位置登录到了服务器。 在某些情况下,警报会检测合法操作(发布新应用程序或开发人员维护)。 在其他情况下,警报会检测到恶意操作(前员工或外部攻击者)。 利用 中型
来自 60 天内未见过的主体用户的登录 过去 60 天内未见过的主体用户已登录到你的数据库。 如果此数据库是新数据库,或者这是由访问数据库的用户最近更改引起的预期行为,则安全中心将识别对访问模式的重大更改,并尝试防止将来出现误报。 利用 中型
从可疑 IP 登录 有人成功通过 Microsoft 威胁情报与可疑活动关联的 IP 地址访问了你的资源。 预攻击 中型
潜在的 SQL 暴力攻击尝试 出现异常多的使用不同凭据的失败登录尝试。 在某些情况下,警报会检测操作中的渗透测试。 在其他情况下,警报会检测暴力破解攻击。 探测
潜在 SQL 注入 攻击者主动利用已确定的应用程序漏洞进行 SQL 注入攻击。 这意味着,攻击者正在尝试使用有漏洞的应用程序代码或存储过程注入恶意 SQL 语句。 -
潜在的不安全操作 有人尝试在服务器“{name}”上的数据库“{name}”上执行可能不安全的操作。 -
采用有效用户身份的可疑暴力攻击 检测到你的资源上可能遭到暴力攻击。 攻击者采用的身份是具有登录权限的有效用户 sa。 预攻击
可疑的暴力攻击 在你的 SQL Server“{name}”上检测到了潜在的暴力攻击。 预攻击
疑似成功的暴力攻击 在你的资源明显遭到暴力攻击后出现成功登录 预攻击
异常的导出位置 有人将大量数据从你的 SQL Server“{name}”提取到了一个异常位置。 外泄

资源管理器警报

更多详细信息和说明

警报(警报类型) 说明 MITRE 技巧
了解详细信息
严重性
虚拟机中的反恶意软件广泛的文件排除(预览)
(ARM_AmBroadFilesExclusion)
通过分析订阅中的 Azure 资源管理器操作,在虚拟机中检测到使用广泛排除规则从反恶意软件扩展中排除了文件。 此类排除实际上禁用了反恶意软件保护。
攻击者可能会在对虚拟机执行的反恶意软件扫描中排除文件,从而在运行任意代码或使用恶意软件感染计算机时防止检测。
中型
在虚拟机中禁用了反恶意软件并执行代码(预览)
(ARM_AmDisablementAndCodeExecution)
在虚拟机上执行代码的同时,反恶意软件已禁用。 通过分析订阅中的 Azure 资源管理器操作,检测到此情况。
攻击者禁用反恶意软件扫描程序,从而在运行未经授权的工具或使用恶意软件感染计算机时防止检测。
在虚拟机中禁用了反恶意软件(预览)
(ARM_AmDisablement)
反恶意软件在虚拟机中已禁用。 通过分析订阅中的 Azure 资源管理器操作,检测到此情况。
攻击者可能会在虚拟机上禁用反恶意软件以防止检测。
中型
虚拟机中的反恶意软件文件排除和代码执行(预览)
(ARM_AmFileExclusionAndCodeExecution)
在虚拟机上通过自定义脚本扩展执行代码的同时,从反恶意软件扫描程序中排除了文件。 通过分析订阅中的 Azure 资源管理器操作,检测到此情况。
攻击者可能会在对虚拟机执行的反恶意软件扫描中排除文件,从而在运行未经授权的工具或使用恶意软件感染计算机时防止检测。
虚拟机中的反恶意软件文件排除和代码执行(预览)
(ARM_AmTempFileExclusionAndCodeExecution)
通过分析订阅中的 Azure 资源管理器操作,在虚拟机中检测到在通过自定义脚本扩展执行代码时,从反恶意软件扩展中临时排除了文件。
攻击者可能会在对虚拟机执行的反恶意软件扫描中排除文件,从而在运行任意代码或使用恶意软件感染计算机时防止检测。
虚拟机中的反恶意软件文件排除(预览)
(ARM_AmTempFileExclusion)
在虚拟机上,从反恶意软件扫描程序中排除了文件。 通过分析订阅中的 Azure 资源管理器操作,检测到此情况。
攻击者可能会在对虚拟机执行的反恶意软件扫描中排除文件,从而在运行未经授权的工具或使用恶意软件感染计算机时防止检测。
中型
虚拟机中已禁用反恶意软件实时保护(预览)
(ARM_AmRealtimeProtectionDisabled)
通过分析订阅中的 Azure 资源管理器操作,在虚拟机中检测到禁用了反恶意软件扩展的实时保护。
攻击者可能会在对虚拟机执行的反恶意软件扫描中禁用实时保护,从而在运行任意代码或使用恶意软件感染计算机时避免检测。
中型
虚拟机中暂时禁用了反恶意软件实时保护(预览)
(ARM_AmTempRealtimeProtectionDisablement)
通过分析订阅中的 Azure 资源管理器操作,在虚拟机中检测到暂时禁用了反恶意软件扩展的实时保护。
攻击者可能会在对虚拟机执行的反恶意软件扫描中禁用实时保护,从而在运行任意代码或使用恶意软件感染计算机时避免检测。
中型
在虚拟机中执行代码时,暂时禁用了反恶意软件实时保护(预览)
(ARM_AmRealtimeProtectionDisablementAndCodeExec)
通过分析订阅中的 Azure 资源管理器操作,在虚拟机中检测到在通过自定义脚本扩展执行代码时,暂时禁用了反恶意软件扩展的实时保护。
攻击者可能会在对虚拟机执行的反恶意软件扫描中禁用实时保护,从而在运行任意代码或使用恶意软件感染计算机时避免检测。
在虚拟机中暂时禁用了反恶意软件(预览)
(ARM_AmTemporarilyDisablement)
反恶意软件在虚拟机中已暂时禁用。 通过分析订阅中的 Azure 资源管理器操作,检测到此情况。
攻击者可能会在虚拟机上禁用反恶意软件以防止检测。
中型
虚拟机中的反恶意软件异常文件排除(预览)
(ARM_UnusualAmFileExclusion)
通过分析订阅中的 Azure 资源管理器操作,在虚拟机中检测到从反恶意软件扩展中异常排除了文件。
攻击者可能会在对虚拟机执行的反恶意软件扫描中排除文件,从而在运行任意代码或使用恶意软件感染计算机时防止检测。
中型
虚拟机中具有可疑命令的自定义脚本扩展(预览)
(ARM_CustomScriptExtensionSuspiciousCmd)
通过分析订阅中的 Azure 资源管理器操作,在虚拟机中检测到具有可疑命令的自定义脚本扩展。
攻击者可能会使用自定义脚本扩展,通过 Azure 资源管理器在虚拟机上执行恶意代码。
执行 中型
虚拟机中具有可疑入口点的自定义脚本扩展(预览)
(ARM_CustomScriptExtensionSuspiciousEntryPoint)
通过分析订阅中的 Azure 资源管理器操作,在虚拟机中检测到具有可疑入口点的自定义脚本扩展。 入口点指可疑的 GitHub 存储库。
攻击者可能会使用自定义脚本扩展,通过 Azure 资源管理器在虚拟机上执行恶意代码。
执行 中型
虚拟机中具有可疑有效负载的自定义脚本扩展(预览)
(ARM_CustomScriptExtensionSuspiciousPayload)
通过分析订阅中的 Azure 资源管理器操作,在虚拟机中检测到具有来自可疑 GitHub 存储库的有效负载的自定义脚本扩展。
攻击者可能会使用自定义脚本扩展,通过 Azure 资源管理器在虚拟机上执行恶意代码。
执行 中型
使用了 MicroBurst 漏洞利用工具包来枚举订阅中的资源(预览)
(ARM_MicroBurst.AzDomainInfo)
对订阅运行了 MicroBurst 的信息收集模块。 此工具可用于发现资源、权限和网络结构。 通过分析订阅中的 Azure 活动日志和资源管理操作,检测到此情况
使用了 MicroBurst 漏洞利用工具包来枚举订阅中的资源(预览)
(ARM_MicroBurst.AzureDomainInfo)
对订阅运行了 MicroBurst 的信息收集模块。 此工具可用于发现资源、权限和网络结构。 通过分析订阅中的 Azure 活动日志和资源管理操作,检测到此情况
使用了 MicroBurst 漏洞利用工具包在虚拟机上执行代码(预览)
(ARM_MicroBurst.AzVMBulkCMD)
使用了 MicroBurst 的漏洞利用工具包在虚拟机上执行代码。 通过分析订阅中的 Azure 资源管理器操作,检测到此情况。
使用了 MicroBurst 漏洞利用工具包在虚拟机上执行代码(预览)
(RM_MicroBurst.AzureRmVMBulkCMD)
使用了 MicroBurst 的漏洞利用工具包在虚拟机上执行代码。 通过分析订阅中的 Azure 资源管理器操作,检测到此情况。
使用了 MicroBurst 漏洞利用工具包从 Azure 密钥保管库提取密钥(预览)
(ARM_MicroBurst.AzKeyVaultKeysREST)
使用了 MicroBurst 的漏洞利用工具包从 Azure 密钥保管库提取密钥。 通过分析订阅中的 Azure 活动日志和资源管理操作,检测到此情况。
使用了 MicroBurst 漏洞利用工具包提取存储帐户的密钥(预览)
(ARM_MicroBurst.AZStorageKeysREST)
使用了 MicroBurst 的漏洞利用工具包提取存储帐户的密钥。 通过分析订阅中的 Azure 活动日志和资源管理操作,检测到此情况。
使用了 MicroBurst 漏洞利用工具包从 Azure 密钥保管库提取机密(预览)
(ARM_MicroBurst.AzKeyVaultSecretsREST)
使用了 MicroBurst 的漏洞利用工具包从 Azure 密钥保管库提取机密。 通过分析订阅中的 Azure 活动日志和资源管理操作,检测到此情况。
使用了 PowerZure 漏洞利用工具包来提升从 Azure AD 到 Azure 的访问权限(预览)
(ARM_PowerZure.AzureElevatedPrivileges)
使用了 PowerZure 漏洞利用工具包来提升从 Azure AD 到 Azure 的访问权限。 通过分析租户中的 Azure 资源管理器操作,检测到此情况。
使用了 PowerZure 漏洞利用工具包来枚举资源(预览)
(ARM_PowerZure.GetAzureTargets)
使用了 PowerZure 漏洞利用工具包来代表组织中的合法用户帐户枚举资源。 通过分析订阅中的 Azure 资源管理器操作,检测到此情况。
使用了 PowerZure 漏洞利用工具包来枚举存储容器、共享和表(预览)
(ARM_PowerZure.ShowStorageContent)
使用了 PowerZure 漏洞利用工具包来枚举存储共享、表和容器。 通过分析订阅中的 Azure 资源管理器操作,检测到此情况。
使用了 PowerZure 漏洞利用工具包在订阅中执行 Runbook (预览)
(ARM_PowerZure.StartRunbook)
使用了 PowerZure 漏洞利用工具包来执行 Runbook。 通过分析订阅中的 Azure 资源管理器操作,检测到此情况。
使用了 PowerZure 漏洞利用工具包来提取 Runbook 内容(预览)
(ARM_PowerZure.AzureRunbookContent)
使用了 PowerZure 漏洞利用工具包来提取 Runbook 内容。 通过分析订阅中的 Azure 资源管理器操作,检测到此情况。
虚拟机中可疑的自定义脚本扩展执行故障(预览)
(ARM_CustomScriptExtensionSuspiciousFailure)
通过分析订阅中的 Azure 资源管理器操作,在虚拟机中检测到自定义脚本扩展的可疑故障。
此类故障可能与此扩展运行的恶意脚本相关联。
执行 中型
虚拟机中的异常配置重置(预览)
(ARM_VMAccessUnusualConfigReset)
通过分析订阅中的 Azure 资源管理器操作,在虚拟机中检测到异常的配置重置。
虽然此操作可能是合法的,但攻击者可以尝试利用 VM 访问扩展来重置虚拟机中的配置并使其泄漏。
凭据访问 中型
虚拟机中自定义脚本扩展的异常删除(预览)
(ARM_CustomScriptExtensionUnusualDeletion)
通过分析订阅中的 Azure 资源管理器操作,在虚拟机中检测到自定义脚本扩展的异常删除。
攻击者可能会使用自定义脚本扩展,通过 Azure 资源管理器在虚拟机上执行恶意代码。
执行 中型
虚拟机中自定义脚本扩展的异常执行(预览)
(ARM_CustomScriptExtensionUnusualExecution)
通过分析订阅中的 Azure 资源管理器操作,在虚拟机中检测到自定义脚本扩展的异常执行。
攻击者可能会使用自定义脚本扩展,通过 Azure 资源管理器在虚拟机上执行恶意代码。
执行 中型
虚拟机中的异常用户密码重置(预览)
(ARM_VMAccessUnusualPasswordReset)
通过分析订阅中的 Azure 资源管理器操作,在虚拟机中检测到异常的用户密码重置。
虽然此操作可能是合法的,但攻击者可以尝试利用 VM 访问扩展来重置虚拟机中本地用户的凭据并使其泄漏。
凭据访问 中型
虚拟机中的异常用户 SSH 密钥重置(预览)
(ARM_VMAccessUnusualSSHReset)
通过分析订阅中的 Azure 资源管理器操作,在虚拟机中检测到异常的用户 SSH 密钥重置。
虽然此操作可能是合法的,但攻击者可以尝试利用 VM 访问扩展来重置虚拟机中用户帐户的 SSH 密钥并使其泄漏。
凭据访问 中型
使用 MicroBurst 漏洞利用工具包运行任意代码或盗取 Azure 自动化帐户凭据(预览)
(ARM_MicroBurst.RunCodeOnBehalf)
使用 MicroBurst 漏洞利用工具包运行任意代码或盗取 Azure 自动化帐户凭据。 通过分析订阅中的 Azure 资源管理器操作,检测到此情况。
使用 NetSPI 技术在 Azure 环境中保持持久性(预览)
(ARM_NetSPI.MaintainPersistence)
使用 NetSPI 持久性技术来创建 Webhook 后门程序,并在 Azure 环境中保持持久性。 通过分析订阅中的 Azure 资源管理器操作,检测到此情况。
使用 PowerZure 漏洞利用工具包运行任意代码或盗取 Azure 自动化帐户凭据(预览)
(ARM_PowerZure.RunCodeOnBehalf)
检测到 PowerZure 漏洞利用工具包试图运行代码或盗取 Azure 自动化帐户凭据。 通过分析订阅中的 Azure 资源管理器操作,检测到此情况。
使用 PowerZure 函数在 Azure 环境中保持持久性(预览)
(ARM_PowerZure.MaintainPersistence)
检测到 PowerZure 漏洞利用工具包创建 Webhook 后门程序以在 Azure 环境中保持持久性。 通过分析订阅中的 Azure 资源管理器操作,检测到此情况。
预览 - 来自有风险的 IP 地址的活动
(ARM.MCAS_ActivityFromAnonymousIPAddresses)
检测到来自已被标识为匿名代理 IP 地址的 IP 地址的用户活动。
这些代理被想要隐藏其设备 IP 地址的用户使用,并可能用于恶意目的。 此项检测使用可以减少误报的机器学习算法,例如在组织中被用户广泛使用的错误标记的 IP 地址。
需要有效的 Microsoft Cloud App Security 许可证。
- 中型
预览 - 来自不常去的国家/地区的活动
(ARM.MCAS_ActivityFromInfrequentCountry)
活动来自组织中所有用户最近都没有访问过或者从未访问过的地址。
此项检测考虑过去的活动位置,以确定新的和不常见的位置。 异常情况检测引擎将存储组织中用户以往用过的位置的相关信息。
需要有效的 Microsoft Cloud App Security 许可证。
- 中型
预览 -“不可能旅行”活动
(ARM.MCAS_ImpossibleTravelActivity)
发生了两个用户活动(在单个或多个会话中),分别来自距离很远的两个地点。 此情况发生在很短的时间内,该时间短于用户从第一个地点到达第二个地点应该花费的时间。 这指示另一位用户正在使用相同的凭据。
此项检测使用会忽略明显误报的机器学习算法,例如组织中其他用户定期使用的 VPN 和位置等影响不可能前往条件的因素。 此项检测的初始学习期限为 7 天,在此期间,它会学习新用户的活动模式。
需要有效的 Microsoft Cloud App Security 许可证。
- 中型
预览版 - 检测到 Azurite 工具包运行
(ARM_Azurite)
已在环境中检测到一个已知的云环境侦查工具包运行。 攻击者(或渗透测试人员)可以使用 Azurite 工具来映射订阅的资源并标识不安全的配置。 -
预览版 - 检测到使用 PowerShell 的可疑管理会话
(ARM_UnusedAppPowershellPersistence)
订阅活动日志分析检测到可疑行为。 一个不经常使用 PowerShell 来管理订阅环境的主体现在正在使用 PowerShell 执行可保护攻击者持久性的操作。 持久性 中型
预览版 - 检测到使用非活动帐户的可疑管理会话
(ARM_UnusedAccountPersistence)
订阅活动日志分析检测到可疑行为。 很长时间没有使用的某个主体现在正在执行可保护攻击者持久性的操作。 持久性 中型
预览版 - 检测到使用 Azure 门户的可疑管理会话
(ARM_UnusedAppIbizaPersistence)
订阅活动日志分析检测到可疑行为。 不经常使用 Azure 门户 (Ibiza) 管理订阅环境的主体(最近 45 天都没有使用 Azure 门户进行管理,也没有会主动管理的订阅)现在正在使用 Azure 门户执行可保护攻击者持久性的操作。 - 中型

DNS 警报

更多详细信息和说明

警报(警报类型) 说明 MITRE 技巧
了解详细信息
严重性
异常的网络协议使用(预览)
(AzureDNS_ProtocolAnomaly)
对来自 %{CompromisedEntity} 的 DNS 事务的分析检测到了异常的协议使用。 此类流量虽然可能是良性的,但可能意味着滥用此常见协议来绕过网络流量筛选。 典型的相关攻击者活动包括将远程管理工具复制到遭到入侵的主机,并从中外泄用户数据。 泄露 -
匿名网络活动(预览)
(AzureDNS_DarkWeb)
对来自 %{CompromisedEntity} 的 DNS 事务的分析检测到了匿名网络活动。 此类活动虽然可能是合法的用户行为,但经常被攻击者利用以逃避网络通信的追踪和指纹识别。 典型的相关攻击者活动可能包括下载和执行恶意软件或远程管理工具。 泄露 -
使用 Web 代理的匿名网络活动(预览)
(AzureDNS_DarkWebProxy)
对来自 %{CompromisedEntity} 的 DNS 事务的分析检测到了匿名网络活动。 此类活动虽然可能是合法的用户行为,但经常被攻击者利用以逃避网络通信的追踪和指纹识别。 典型的相关攻击者活动可能包括下载和执行恶意软件或远程管理工具。 泄露 -
尝试与可疑的经 Sinkhole 处理的域通信(预览)
(AzureDNS_SinkholedDomain)
对来自 %{CompromisedEntity} 的 DNS 事务的分析检测到了经 Sinkhole 处理的域的请求。 此类活动虽然可能是合法的用户行为,但它们往往指示下载或执行了恶意软件。 典型的相关攻击者活动可能包括下载和执行进一步的恶意软件或远程管理工具。 泄露 -
与可能的网络钓鱼域通信(预览)
(AzureDNS_PhishingDomain)
对来自 %{CompromisedEntity} 的 DNS 事务的分析检测到了可能的网络钓鱼域的请求。 此类活动虽然可能是良性的,但经常被攻击者执行以获取远程服务的凭据。 典型的相关攻击者活动可能包括对合法服务的任何凭据的利用。 泄露 -
与可疑的算法生成的域通信(预览)
(AzureDNS_DomainGenerationAlgorithm)
对来自 %{CompromisedEntity} 的 DNS 事务的分析检测到可能使用了域生成算法。 此类活动虽然可能是良性的,但经常被攻击者执行以逃避网络监视和筛选。 典型的相关攻击者活动可能包括下载和执行恶意软件或远程管理工具。 泄露 -
与威胁情报识别的可疑域通信(预览版)
(AzureDNS_ThreatIntelSuspectDomain)
已通过分析资源中的 DNS 事务并与威胁情报源识别的已知恶意域进行比较,检测到了与可疑域之间的通信。 与恶意域的通信往往是攻击者执行的,这可能意味着你的资源已遭受入侵。 初始访问 中型
与可疑的随机域名通信(预览)
(AzureDNS_RandomizedDomain)
对来自 %{CompromisedEntity} 的 DNS 事务的分析检测到使用了可疑的随机生成的域名。 此类活动虽然可能是良性的,但经常被攻击者执行以逃避网络监视和筛选。 典型的相关攻击者活动可能包括下载和执行恶意软件或远程管理工具。 泄露 -
数字货币挖掘活动(预览)
(AzureDNS_CurrencyMining)
对来自 %{CompromisedEntity} 的 DNS 事务的分析检测到了数字货币挖掘活动。 此类活动虽然可能是合法的用户行为,但经常在资源遭受入侵后被攻击者执行。 典型的相关攻击者活动可能包括下载和执行常见挖掘工具。 泄露 -
网络入侵检测签名激活(预览)
(AzureDNS_SuspiciousDomain)
对来自 %{CompromisedEntity} 的 DNS 事务的分析检测到了已知的恶意网络签名。 此类活动虽然可能是合法的用户行为,但它们往往指示下载或执行了恶意软件。 典型的相关攻击者活动可能包括下载和执行进一步的恶意软件或远程管理工具。 泄露 -
可能的经由 DNS 隧道的数据下载(预览)
(AzureDNS_DataInfiltration)
对来自 %{CompromisedEntity} 的 DNS 事务的分析检测到了可能的 DNS 隧道。 此类活动虽然可能是合法的用户行为,但经常被攻击者执行以逃避网络监视和筛选。 典型的相关攻击者活动可能包括下载和执行恶意软件或远程管理工具。 泄露 -
可能的经由 DNS 隧道的数据外泄(预览)
(AzureDNS_DataExfiltration)
对来自 %{CompromisedEntity} 的 DNS 事务的分析检测到了可能的 DNS 隧道。 此类活动虽然可能是合法的用户行为,但经常被攻击者执行以逃避网络监视和筛选。 典型的相关攻击者活动可能包括下载和执行恶意软件或远程管理工具。 泄露 -
可能的经由 DNS 隧道的数据传输(预览)
(AzureDNS_DataObfuscation)
对来自 %{CompromisedEntity} 的 DNS 事务的分析检测到了可能的 DNS 隧道。 此类活动虽然可能是合法的用户行为,但经常被攻击者执行以逃避网络监视和筛选。 典型的相关攻击者活动可能包括下载和执行恶意软件或远程管理工具。 泄露 -

Azure 存储警报

更多详细信息和说明

警报(警报类型) 说明 MITRE 技巧
了解详细信息
严重性
预览 - 来自可疑 IP 地址的访问
(Storage.Blob_SuspiciousIp
Storage.Files_SuspiciousIp)
指示有人已从被视为可疑的 IP 地址成功访问了此存储帐户。 此警报由 Microsoft 威胁智能提供支持。
详细了解 Microsoft 威胁智能功能
适用于:Azure Blob 存储、Azure 文件存储、Azure Data Lake Storage Gen2
初始访问 中型
预览 - 公共存储容器的匿名扫描
(Storage.Blob_ContainerAnonymousScan)
进行了一系列尝试来匿名识别存储帐户中的公共容器。 这可能表明存在侦查攻击,即攻击者在扫描存储帐户以识别可公开访问的容器,然后尝试查找其中敏感数据。
适用于:Azure Blob 存储
预攻击、收集 中/高
预览 - 存储帐户上托管的欺诈内容
(Storage.Blob_PhishingContent
Storage.Files_PhishingContent)
在网络钓鱼攻击中使用的 URL,它指向你的 Azure 存储帐户。 此 URL 是影响 Microsoft 365 用户的网络钓鱼攻击的一部分。
通常,在此类页面上承载的内容旨在诱使访问者将其企业凭据或财务信息输入到看似合法的 Web 窗体中。
此警报由 Microsoft 威胁智能提供支持。
详细了解 Microsoft 威胁智能功能
适用于:Azure Blob 存储、Azure 文件存储
集合
预览 - 标识为分发恶意软件的源的存储帐户
(Storage.Files_WidespreadeAm)
反恶意软件警报表明受感染的文件存储在装载到多个 VM 的 Azure 文件共享中。 如果攻击者获得了某一 VM 的访问权限,而该 VM 装载了 Azure 文件共享,他们可能会利用该权限将恶意软件传播到装载了同一共享的其他 VM。
适用于:Azure 文件存储
横向移动、执行
预览 - 使用公开的容器检测到了具有潜在敏感数据的存储帐户
(Storage.Blob_OpenACL)
存储帐户中容器的访问策略已修改为允许匿名访问。 如果容器包含任何敏感数据,这可能会导致数据泄露。 此警报基于对 Azure 活动日志的分析。
适用于:Azure Blob 存储、Azure Data Lake Storage Gen2
特权提升 中型
有人从 Tor 退出节点访问存储帐户
(Storage.Blob_TorAnomaly
Storage.Files_TorAnomaly)
指示有人从已知为 Tor 主动退出节点(匿名化代理)的 IP 地址成功访问此帐户。 此警报的严重性考虑使用的身份验证类型(如有),以及这是否是第一例此类访问。 可能的原因包括:通过使用 Tor 访问存储帐户的攻击者,或通过使用 Tor 访问存储帐户的合法用户。
适用于:Azure Blob 存储、Azure 文件存储、Azure Data Lake Storage Gen2
探测/利用
有人从异常位置访问存储帐户
(Storage.Blob_GeoAnomaly
Storage.Files_GeoAnomaly)
指示对 Azure 存储帐户的访问模式发生了变化。 与最近的活动相比,有人从较为陌生的 IP 地址访问了此帐户。 可能是攻击者已获取帐户访问权限,也可能是合法用户从新的或异常的地理位置进行连接。 后者的示例包括来自新应用程序或开发人员的远程维护操作。
适用于:Azure Blob 存储、Azure 文件存储、Azure Data Lake Storage Gen2
利用
对存储帐户的匿名访问
(Storage.Blob_AnonymousAccessAnomaly)
指示对存储帐户的访问模式发生了变化。 例如,帐户已被匿名访问(没有进行任何身份验证),这与此帐户上最近的访问模式相比是不正常的。 可能是因为攻击者利用了对保存 blob 存储的容器的公共读取访问权限。
适用于:Azure Blob 存储
利用
可能的恶意软件已上传到存储帐户
(Storage.Blob_MalwareHashReputation
Storage.Files_MalwareHashReputation)
指示一个包含可能的恶意软件的 Blob 已上传到存储帐户中的 Blob 容器或文件共享。 此警报基于哈希信誉分析,利用了 Microsoft 威胁智能(包括病毒、特洛伊木马、间谍软件和勒索软件的哈希)的强大功能。 可能的原因包括:攻击者故意上传恶意软件、合法用户无意间上传了潜在恶意的 blob。
适用于:Azure Blob 存储、Azure 文件存储(仅适用于 REST API 上的事务)
详细了解针对恶意软件的 Azure 哈希信誉分析
详细了解 Microsoft 威胁智能功能
横向移动
存储帐户中的异常访问检查
(Storage.Blob_AccessInspectionAnomaly
Storage.Files_AccessInspectionAnomaly)
指示与存储帐户上最近的活动相比,有人以异常方式对此帐户的访问权限进行了检查。 可能的原因是攻击者在为以后的攻击执行侦查。
适用于:Azure Blob 存储、Azure 文件存储
集合 中型
从存储帐户提取的数据量异常
(Storage.Blob_DataExfiltration.AmountOfDataAnomaly
Storage.Blob_DataExfiltration.NumberOfBlobsAnomaly
Storage.Files_DataExfiltration.AmountOfDataAnomaly
Storage.Files_DataExfiltration.NumberOfFilesAnomaly)
指示与此存储容器上最近的活动相比,提取的数据量异常大。 可能的原因是攻击者从保存 blob 存储的容器中提取了大量数据。
适用于:Azure Blob 存储、Azure 文件存储、Azure Data Lake Storage Gen2
外泄 中型
异常应用程序访问了存储帐户
(Storage.Blob_ApplicationAnomaly
Storage.Files_ApplicationAnomaly)
指示有异常应用程序访问了此存储帐户。 可能的原因是攻击者通过使用新应用程序访问了存储帐户。
适用于:Azure Blob 存储、Azure 文件存储
利用 中型
存储帐户中的访问权限发生了异常更改
(Storage.Blob_PermissionsChangeAnomaly
Storage.Files_PermissionsChangeAnomaly)
指示此存储容器的访问权限以异常方式发生了变化。 可能的原因是攻击者已更改容器权限来削弱其安全态势或实现持久性。
适用于:Azure Blob 存储、Azure 文件存储、Azure Data Lake Storage Gen2
持久性 中型
存储帐户中的异常数据浏览活动
(Storage.Blob_DataExplorationAnomaly
Storage.Files_DataExplorationAnomaly)
指示与存储帐户上最近的活动相比,有人以异常方式枚举了此帐户中的 blob 或容器。 可能的原因是攻击者在为以后的攻击执行侦查。
适用于:Azure Blob 存储、Azure 文件存储
集合 中型
存储帐户中的异常删除活动
(Storage.Blob_DeletionAnomaly
Storage.Files_DeletionAnomaly)
指示与存储帐户上最近的活动相比,此帐户中出现了一次或多次意外的删除操作。 可能的原因是攻击者从存储帐户中删除了数据。
适用于:Azure Blob 存储、Azure 文件存储、Azure Data Lake Storage Gen2
外泄 中型
.cspkg 异常上传到存储帐户
(Storage.Blob_CspkgUploadAnomaly)
指示与存储帐户上最近的活动相比,有人以异常方式将 Azure 云服务包(.cspkg 文件)上传到了此帐户。 可能的原因是攻击者已在准备将恶意代码从存储帐户部署到 Azure 云服务。
适用于:Azure Blob 存储、Azure Data Lake Storage Gen2
横向移动/执行 中型
.exe 异常上传到存储帐户
(Storage.Blob_ExeUploadAnomaly
Storage.Files_ExeUploadAnomaly)
指示与存储帐户上最近的活动相比,有人以异常方式将 .exe 文件上传到此帐户。 可能的原因是攻击者已将恶意可执行文件上传到存储帐户,或者合法用户上传了可执行文件。
适用于:Azure Blob 存储、Azure 文件存储、Azure Data Lake Storage Gen2
横向移动/执行 中型

Azure Cosmos DB 警报(预览版)

更多详细信息和说明

警报 说明 MITRE 技巧
了解详细信息
严重性
预览 - 有人从异常位置访问 Cosmos DB 帐户 指示对 Azure Cosmos DB 帐户的访问模式发生了变化。 与最近的活动相比,有人从较为陌生的 IP 地址访问了此帐户。 可能是攻击者已访问该帐户,也可能是合法用户从新的异常地理位置访问了该帐户。 后者的示例包括来自新应用程序或开发人员的远程维护操作。 利用 中型
预览 - 从 Cosmos DB 帐户提取的数据量异常 指示 Azure Cosmos DB 帐户中的数据提取模式发生了变化。 与最近的活动相比,有人的数据提取量异常。 可能是攻击者从 Azure Cosmos DB 数据库中提取了大量数据(例如,数据外泄或泄露,或者未经授权的数据传输)。 也可能是合法用户或应用程序从容器中提取的数据量异常(例如,用于维护备份活动)。 外泄 中型

Azure 网络层警报

更多详细信息和说明

警报 说明 MITRE 技巧
了解详细信息
严重性
检测到与恶意计算机进行网络通信 网络流量分析指示,计算机(IP 为 %{Victim IP})与可能是命令和控制中心的位置进行了通信。 如果遭到入侵的资源是负载均衡器或应用程序网关,则这项可疑活动可能指示(负载均衡器或应用程序网关)后端池中的一个或多个资源已与可能是命令和控制中心的位置进行通信。 - 中型
检测到计算机可能遭到入侵 威胁情报指示计算机(IP 为 %{Machine IP})可能已被 Conficker 类型的恶意软件入侵。 Conficker 是一种以 Microsoft Windows 操作系统为目标的计算机蠕虫病毒,并于 2008 年 11 月首次被检测到。 Conficker 感染了 200 多个国家/地区的数百万台计算机,包括政府、企业和家庭计算机,是自 2003 年 Welchia 蠕虫病毒爆发以来最广为人知的计算机蠕虫病毒感染。 - 中型
检测到可能的传入 %{Service Name} 暴力攻击尝试 网络流量分析检测到来自 %{Attacker IP} 的传入 %{Service Name} 通信,通信目标是 %{Victim IP},与资源 %{Compromised Host} 关联。 如果遭到入侵的资源是负载均衡器或应用程序网关,则表示可疑的传入流量已被转发到(负载均衡器或应用程序网关)后端池中的一个或多个资源。 具体而言,采样的网络数据展示的是端口 %{Victim Port} 在 %{Start Time} 到 %{End Time} 之间的可疑活动。 此活动与针对 %{Service Name} 服务器进行的暴力攻击尝试的特征相符。 - 中型
检测到可能的传入 SQL 暴力攻击尝试 网络流量分析检测到来自 %{Attacker IP} 的传入 SQL 通信,通信目标是 %{Victim IP},与资源 %{Compromised Host} 关联。 如果遭到入侵的资源是负载均衡器或应用程序网关,则表示可疑的传入流量已被转发到(负载均衡器或应用程序网关)后端池中的一个或多个资源。 具体而言,采样的网络数据展示的是端口 %{Port Number} 在 %{Start Time} 到 %{End Time} 之间的可疑活动 (%{SQL Service Type})。 此活动与针对 SQL Server 进行的暴力破解尝试的特征相符。 - 中型
检测到可能的传出拒绝服务攻击 网络流量分析检测到源自 %{Compromised Host}(部署中的一个资源)的异常传出活动。 此活动可能指示资源遭到入侵,且现已对外部终结点发起了拒绝服务攻击。 如果遭到入侵的资源是负载均衡器或应用程序网关,则这项可疑活动可能指示(负载均衡器或应用程序网关)后端池中的一个或多个资源遭到入侵。 根据连接量,我们认为以下 IP 可能会成为 DOS 攻击的目标:%{Possible Victims}。 请注意,与其中一些 IP 进行的通信可能合法。 - 中型
检测到可能的传出端口扫描活动 网络流量分析检测到源自 %{Compromised Host} 的可疑传出流量。 此流量可能由端口扫描活动产生。 如果遭到入侵的资源是负载均衡器或应用程序网关,则表示可疑的传出流量源自(负载均衡器或应用程序网关)后端池中的一个或多个资源。 如果此行为是有意的,请注意执行端口扫描活动违反 Azure 服务条款。 如果此行为是无意的,则可能表示资源遭到入侵。 - 中型
来自多个源的可疑传入 RDP 网络活动 网络流量分析检测到来自多个源的异常传入远程桌面协议 (RDP) 通信,通信目标是 %{Victim IP},与资源 %{Compromised Host} 关联。 如果遭到入侵的资源是负载均衡器或应用程序网关,则表示可疑的传入流量已被转发到(负载均衡器或应用程序网关)后端池中的一个或多个资源。 具体而言,采样的网络数据展示有 %{Number of Attacking IPs} 个唯一的 IP 连接到你的资源,可以认为这种情况对于此环境来说是异常的。 此活动可能指示攻击者尝试从多个主机(僵尸网络)对你的 RDP 终结点进行暴力攻击 - 中型
可疑的传入 RDP 网络活动 网络流量分析检测到来自 %{Attacker IP} 的异常传入远程桌面协议 (RDP) 通信,通信目标是 %{Victim IP},与资源 %{Compromised Host} 关联。 如果遭到入侵的资源是负载均衡器或应用程序网关,则表示可疑的传入流量已被转发到(负载均衡器或应用程序网关)后端池中的一个或多个资源。 具体而言,采样的网络数据展示有 %{Number of Connections} 个指向你的资源的传入连接,可以认为这种情况对于此环境来说是异常的。 此活动可能指示攻击者尝试对你的 RDP 终结点进行暴力攻击 - 中型
来自多个源的可疑传入 SSH 网络活动 网络流量分析检测到来自多个源的异常传入 SSH 通信,通信目标是 %{Victim IP},与资源 %{Compromised Host} 关联。 如果遭到入侵的资源是负载均衡器或应用程序网关,则表示可疑的传入流量已被转发到(负载均衡器或应用程序网关)后端池中的一个或多个资源。 具体而言,采样的网络数据展示有 %{Number of Attacking IPs} 个唯一的 IP 连接到你的资源,可以认为这种情况对于此环境来说是异常的。 此活动可能指示攻击者尝试从多个主机(僵尸网络)对你的 SSH 终结点进行暴力攻击 - 中型
可疑的传入 SSH 网络活动 网络流量分析检测到来自 %{Attacker IP} 的异常传入 SSH 通信,通信目标是 %{Victim IP},与资源 %{Compromised Host} 关联。 如果遭到入侵的资源是负载均衡器或应用程序网关,则表示可疑的传入流量已被转发到(负载均衡器或应用程序网关)后端池中的一个或多个资源。 具体而言,采样的网络数据展示有 %{Number of Connections} 个指向你的资源的传入连接,可以认为这种情况对于此环境来说是异常的。 此活动可能指示攻击者尝试对你的 SSH 终结点进行暴力攻击 - 中型
检测到可疑的传出 %{Attacked Protocol} 流量 网络流量分析检测到源自 %{Compromised Host} 的可疑传出流量,目标端口是 %{Most Common Port}。 如果遭到入侵的资源是负载均衡器或应用程序网关,则表示可疑的传出流量源自(负载均衡器或应用程序网关)后端池中的一个或多个资源。 此行为可能指示资源涉及 %{Attacked Protocol} 暴力攻击尝试或端口扫描攻击。 - 中型
到多个目标的可疑传出 RDP 网络活动 网络流量分析检测到 %{Compromised Host} (%{Attacker IP})(部署中的一个资源)中存在到多个目标的异常传出远程桌面协议 (RDP) 通信。 如果遭到入侵的资源是负载均衡器或应用程序网关,则表示可疑的传出流量源自(负载均衡器或应用程序网关)后端池中的一个或多个资源。 具体而言,采样的网络数据展示你的计算机连接到 %{Number of Attacked IPs} 个唯一的 IP,可以认为这种情况对于此环境来说是异常的。 此活动可能指示有人入侵了你的资源并正在用它来对外部 RDP 终结点进行暴力攻击。 请注意,此类活动可能导致你的 IP 被外部实体标记为恶意 IP。 -
可疑的传出 RDP 网络活动 网络流量分析检测到 %{Compromised Host} (%{Attacker IP})(部署中的一个资源)中存在到 %{Victim IP} 的异常传出远程桌面协议 (RDP) 通信。 如果遭到入侵的资源是负载均衡器或应用程序网关,则表示可疑的传出流量源自(负载均衡器或应用程序网关)后端池中的一个或多个资源。 具体而言,采样的网络数据展示有 %{Number of Connections} 个源自你的资源的传出连接,可以认为这种情况对于此环境来说是异常的。 此活动可能表明有人入侵了计算机并且正在用它来暴力破解外部 RDP 终结点。 请注意,此类活动可能导致你的 IP 被外部实体标记为恶意 IP。 -
到多个目标的可疑传出 SSH 网络活动 网络流量分析检测到 %{Compromised Host} (%{Attacker IP})(部署中的一个资源)中存在到多个目标的异常传出 SSH 通信。 如果遭到入侵的资源是负载均衡器或应用程序网关,则表示可疑的传出流量源自(负载均衡器或应用程序网关)后端池中的一个或多个资源。 具体而言,采样的网络数据展示你的资源连接到 %{Number of Attacked IPs} 个唯一的 IP,可以认为这种情况对于此环境来说是异常的。 此活动可能指示有人入侵了你的资源并正在用它来对外部 SSH 终结点进行暴力攻击。 请注意,此类活动可能导致你的 IP 被外部实体标记为恶意 IP。 - 中型
可疑的传出 SSH 网络活动 网络流量分析检测到 %{Compromised Host} (%{Attacker IP})(部署中的一个资源)中存在到 %{Victim IP} 的异常传出 SSH 通信。 如果遭到入侵的资源是负载均衡器或应用程序网关,则表示可疑的传出流量源自(负载均衡器或应用程序网关)后端池中的一个或多个资源。 具体而言,采样的网络数据展示有 %{Number of Connections} 个源自你的资源的传出连接,可以认为这种情况对于此环境来说是异常的。 此活动可能指示有人入侵了你的资源并正在用它来对外部 SSH 终结点进行暴力攻击。 请注意,此类活动可能导致你的 IP 被外部实体标记为恶意 IP。 - 中型
检测到来自建议阻止的 IP 地址的流量 Azure 安全中心检测到来自建议阻止的 IP 地址的入站流量。 这通常在此 IP 地址不会定期与此资源通信的情况下发生。 或者,该 IP 地址已被安全中心的威胁情报源标记为恶意 IP。 探测

Azure 密钥保管库警报

更多详细信息和说明

警报(警报类型) 说明 MITRE 技巧
了解详细信息
严重性
从 TOR 退出节点访问密钥保管库
KV_TORAccess
从已知的 TOR 退出节点访问了密钥保管库。 这可能表示有威胁参与者访问了密钥保管库且正在使用 TOR 网络隐藏其源位置。 建议进一步调查。 凭据访问 中型
密钥保管库中存在大量操作
KV_OperationVolumeAnomaly
某用户、服务主体和/或特定密钥保管库执行了异常数量的密钥保管库操作。 这种异常的活动模式可能是合法的,但它也可能表示有威胁参与者获得了对密钥保管库及其包含的机密的访问权限。 建议进一步调查。 凭据访问 中型
密钥保管库中存在可疑的策略更改和机密查询
KV_PutGetAnomaly
某用户或服务主体执行了一项异常的“放置保管库”策略更改操作,然后执行了一项或多项“获取机密”操作。 此模式通常不是指定用户或服务主体执行的。 该活动可能是合法的,但它也可能表示有威胁参与者更新了密钥保管库策略来访问之前不可访问的机密。 建议进一步调查。 凭据访问 中型
密钥保管库中存在可疑的机密列出和查询活动
KV_ListGetAnomaly
某用户或服务主体执行了一项异常的“列出机密”策略更改操作,然后执行了一项或多项“获取机密”操作。 此模式通常不是指定用户或服务主体执行的,而且通常与机密转储相关。 此活动可能是合法的,但它也可能表示有威胁参与者获得了密钥保管库的访问权限,且正在试图发现可用于通过你的网络横向移动的机密,以及/或者获得敏感资源的访问权限。 建议进一步调查。 凭据访问 中型
异常应用程序访问了密钥保管库
KV_AppAnomaly
通常不会访问密钥保管库的服务主体访问了该保管库。 该异常访问模式可能是合法的活动,但它也可能表示有威胁参与者获得了密钥保管库的访问权限,企图访问该保管库中包含的机密。 建议进一步调查。 凭据访问 中型
密钥保管库中存在异常操作模式
KV_OperationPatternAnomaly
某用户、服务主体和/或特定密钥保管库执行了异常模式的密钥保管库操作。 这种异常的活动模式可能是合法的,但它也可能表示有威胁参与者获得了对密钥保管库及其包含的机密的访问权限。 建议进一步调查。 凭据访问 中型
异常用户访问了密钥保管库
KV_UserAnomaly
通常不会访问密钥保管库的用户访问了该保管库。 该异常访问模式可能是合法的活动,但它也可能表示有威胁参与者获得了密钥保管库的访问权限,企图访问该保管库中包含的机密。 建议进一步调查。 凭据访问 中型
异常用户-应用程序对访问了密钥保管库
KV_UserAppAnomaly
通常不会访问密钥保管库的用户-服务主体对访问了该保管库。 该异常访问模式可能是合法的活动,但它也可能表示有威胁参与者获得了密钥保管库的访问权限,企图访问该保管库中包含的机密。 建议进一步调查。 凭据访问 中型
用户访问了大量密钥保管库
KV_AccountVolumeAnomaly
某用户或服务主体访问了异常多的密钥保管库。 该异常访问模式可能是合法的活动,但它也可能表示有威胁参与者获得了多个密钥保管库的访问权限,企图访问这些保管库包含的机密。 建议进一步调查。 凭据访问 中型

Azure DDoS 防护警报

更多详细信息和说明

警报 说明 MITRE 技巧
了解详细信息
严重性
检测到针对公共 IP 的 DDoS 攻击 检测到针对公共 IP(IP 地址)的 DDoS 攻击并正在进行缓解。 探测
针对公共 IP 的 DDoS 攻击得到缓解 针对公共 IP(IP 地址)的 DDoS 攻击得到缓解。 探测

安全事件警报

更多详细信息和说明

警报 说明 MITRE 技巧
了解详细信息
严重性
检测到共享进程的安全事件 最近在 {Detected Time (UTC)} 检测到的从 {Start Time (UTC)} 开始的事件指示攻击者已经{Action taken}了你的资源 {Host} -
在多个资源上检测到安全事件 最近在 {Detected Time (UTC)} 检测到的从 {Start Time (UTC)} 开始的事件指示有人在你的云资源 {Host} 上执行了类似的攻击方法 - 中型
从同一源检测到安全事件 最近在 {Detected Time (UTC)} 检测到的从 {Start Time (UTC)} 开始的事件指示攻击者已经{Action taken}了你的资源 {Host} -
在多台计算机上检测到安全事件 最近在 {Detected Time (UTC)} 检测到的从 {Start Time (UTC)} 开始的事件指示攻击者已经{Action taken}了你的资源 {Host} - 中型

MITRE ATT&CK 技巧

了解攻击意图有助于更轻松地调查和报告事件。 为了辅助这些工作,Azure 安全中心警报包含 MITRE 技巧和许多警报。

描述网络攻击过程(从侦查到数据外泄)的一系列步骤通常被称为“杀伤链”。

安全中心支持的攻击链意图基于 MITRE ATT&CK 矩阵版本 7,下表对其进行了描述。

技巧 说明
预攻击 预攻击可能是对某个资源的访问尝试,而不考虑恶意意图,也可能是在利用之前访问目标系统以收集信息的失败尝试。 此步骤通常被检测为源自网络外部的尝试,目的是扫描目标系统并标识入口点。
初始访问 初始访问是攻击者设法在受到攻击的资源上建立据点的阶段。 此阶段与计算主机和资源(例如用户帐户、证书等)相关。在此阶段之后,威胁参与者通常能控制资源。
持久性 持久性指为了让威胁参与者在系统上持久存在而对该系统进行的任何访问、操作或配置更改。 威胁参与者通常需要通过中断操作来维持自己对系统的访问,这些中断操作包括系统重启、丢失凭据或其他可能需要远程访问工具重启的故障,或者提供备用后门来重新获得访问权限。
特权提升 特权提升指允许攻击者在系统或网络上获得更高级别权限的操作的结果。 某些工具或操作需要更高级别的特权才能正常运行,并且在操作过程中的很多个时间点它们都是必需的。 有权访问特定系统或执行攻击者所需的特定函数的用户帐户也可能被视为特权提升。
防御规避 防御规避策略包含攻击者可用于避开检测或其他防御措施的方法。 在某些情况下,这些操作与其他类别中的方法相同(或者是它们的变体),这些方法还能破坏特定防御措施或缓解工具。
凭据访问 凭据访问指能够访问或控制企业环境中使用的系统、域或服务凭据的方法。 攻击者可能会尝试通过用户或管理员帐户(本地系统管理员或具有管理员权限的域用户)获取合法凭据,以便在网络中使用。 当攻击者在网络中具备足够的访问权限时,他们就可以创建帐户以供之后在环境中使用。
发现 发现策略包含允许攻击者了解系统和内部网络的方法。 当攻击者获得对新系统的访问权限时,在入侵期间,他们必须适应自己现在能控制的内容,并了解从该系统执行操作对他们的当前目标或总体目标有什么好处。 操作系统提供许多对这一入侵后信息收集阶段有帮助的本机工具。
横向移动 横向移动包含的方法让攻击者能够访问并控制网络上的远程系统,但不一定包括在远程系统上执行工具。 攻击者可利用这些横向移动方法从系统收集信息,而无需其他工具,例如远程访问工具。 攻击者可以使用横向移动来实现多种目的,包括远程执行工具、转到其他系统、访问特定信息或文件、访问其他凭据或造成某种影响。
执行 执行策略表示允许在本地系统或远程系统上执行受攻击者控制的代码的方法。 这一策略通常与横向移动结合使用,目的是扩展网络上的远程系统访问权限。
集合 收集包含的方法让攻击者能在外泄之前标识和收集目标网络中的信息,例如敏感文件。 此类别还涉及系统和网络上的一些位置,攻击者会在这些位置中查找要外泄的信息。
外泄 外泄策略指允许或有助于攻击者从目标网络中删除文件和信息的方法和特性。 此类别还涉及系统和网络上的一些位置,攻击者会在这些位置中查找要外泄的信息。
命令和控制 命令和控制策略表示攻击者如何在目标网络中与其控制的系统通信。
影响 影响事件主要尝试直接降低系统、服务或网络的可用性或完整性;包括为了影响业务或操作过程而进行的数据操作活动。 这通常指勒索软件、篡改、数据操作等方法。

备注

有关预览版警报,请参阅:Azure 预览版补充条款包含适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。

后续步骤

若要了解有关警报的详细信息,请参阅以下内容: