Warnungen für Azure-VM-Erweiterungen

In diesem Artikel werden die Sicherheitswarnungen aufgeführt, die Sie möglicherweise für Azure-VM-Erweiterungen von Microsoft Defender für Cloud und alle von Ihnen aktivierten Microsoft Defender-Pläne erhalten. Welche Warnungen in Ihrer Umgebung angezeigt werden, hängt von den Ressourcen und Diensten, die Sie schützen, sowie von Ihrer angepassten Konfiguration ab.

Hinweis

Einige der kürzlich hinzugefügten Warnungen, die von Microsoft Defender Threat Intelligence und Microsoft Defender für Endpunkt unterstützt werden, sind möglicherweise nicht dokumentiert.

Informationen zur Reaktion auf diese Warnungen

Informationen zum Exportieren von Warnungen

Hinweis

Warnungen aus unterschiedlichen Quellen erfordern möglicherweise unterschiedlich lange Zeit, bis sie angezeigt werden. Beispielsweise kann es länger dauern, bis Warnungen, die eine Analyse des Netzwerkdatenverkehrs erfordern, angezeigt werden, als das Anzeigen von Warnungen im Zusammenhang mit verdächtigen Prozessen auf virtuellen Computern.

Warnungen zu Azure-VM-Erweiterungen

Diese Warnungen konzentrieren sich auf das Erkennen verdächtiger Aktivitäten von Erweiterungen für virtuelle Azure-Computer und bietet Einblicke in die Versuche von Angreifern, böswillige Aktivitäten auf Ihren virtuellen Computern zu kompromittieren und auszuführen.

Azure-VM-Erweiterungen sind kleine Anwendungen, die nach der Bereitstellung auf VMs ausgeführt werden und Funktionen wie Konfiguration, Automatisierung, Überwachung, Sicherheit und vieles mehr ermöglichen. Erweiterungen sind nützlich, können jedoch von Angreifer*innen für verschiedene schädliche Zwecke verwendet werden, darunter:

  • Datensammlung und -überwachung

  • Codeausführung und Konfigurationsbereitstellung mit erhöhten Berechtigungen

  • Zurücksetzen von Anmeldeinformationen und Erstellen von Administratorbenutzerkonten

  • Verschlüsseln von Datenträgern

Erfahren Sie mehr über Defender for Cloud– neuesten Schutz vor dem Missbrauch von Azure VM-Erweiterungen.

Verdächtiger Fehler bei der Installation der GPU-Erweiterung in Ihrem Abonnement (Vorschau)

(VM_GPUExtensionSuspiciousFailure)

Beschreibung: Verdächtige Absicht, eine GPU-Erweiterung auf nicht unterstützten VMs zu installieren. Diese Erweiterung sollte auf VMs installiert werden, die mit einem Grafikprozessor ausgestattet sind. Dies ist bei den aktuellen VMs nicht der Fall. Diese Fehler treten auf, wenn Angreifer*innen mehrere Installationen einer solchen Erweiterung zu Cryptominingzwecken ausführen.

MITRE-Taktiken: Auswirkung

Schweregrad: Mittel

Verdächtige Installation einer GPU-Erweiterung auf Ihrer VM erkannt (Vorschau)

(VM_GPUDriverExtensionUnusualExecution)

Beschreibung: Verdächtige Installation einer GPU-Erweiterung wurde auf Ihrem virtuellen Computer erkannt, indem die Azure Resource Manager-Vorgänge in Ihrem Abonnement analysiert werden. Angreifer könnten die GPU-Treibererweiterung verwenden, um GPU-Treiber über den Azure-Resource Manager auf Ihrer VM zu installieren, um Cryptojacking durchzuführen. Diese Aktivität wird als verdächtig eingestuft, weil das Verhalten des Prinzipals von seinen üblichen Mustern abweicht.

MITRE-Taktiken: Auswirkung

Schweregrad: Niedrig

Befehlsausführung mit verdächtigem Skript auf Ihrer VM erkannt (Vorschau)

(VM_RunCommandSuspiciousScript)

Beschreibung: Ein Befehl "Ausführen" mit einem verdächtigen Skript wurde auf Ihrem virtuellen Computer erkannt, indem die Azure Resource Manager-Vorgänge in Ihrem Abonnement analysiert werden. Angreifer könnten die Skriptausführung verwenden, um über den Azure Resource Manager schädlichen Code mit hohen Berechtigungen auf Ihrer VM auszuführen. Das Skript wird als verdächtig eingestuft, weil bestimmte Teile als möglicherweise schädlich identifiziert wurden.

MITRE-Taktiken: Ausführung

Schweregrad: hoch

Verdächtige nicht autorisierte Nutzung der Skriptausführung auf Ihrer VM erkannt (Vorschau)

(VM_RunCommandSuspiciousFailure)

Beschreibung: Verdächtige nicht autorisierte Verwendung des Ausführungsbefehls ist fehlgeschlagen und wurde auf Ihrem virtuellen Computer erkannt, indem die Azure Resource Manager-Vorgänge in Ihrem Abonnement analysiert werden. Angreifer könnten versuchen, mithilfe der Skriptausführung über den Azure Resource Manager schädlichen Code mit hohen Berechtigungen auf Ihren VMs auszuführen. Diese Aktivität wird als verdächtig eingestuft, weil sie bisher nicht häufig festgestellt wurde.

MITRE-Taktiken: Ausführung

Schweregrad: Mittel

Verdächtige Nutzung der Skriptausführung auf Ihrer VM erkannt (Vorschau)

(VM_RunCommandSuspiciousUsage)

Beschreibung: Verdächtige Verwendung des Ausführungsbefehls wurde auf Ihrem virtuellen Computer erkannt, indem die Azure Resource Manager-Vorgänge in Ihrem Abonnement analysiert werden. Angreifer könnten die Skriptausführung verwenden, um über den Azure Resource Manager schädlichen Code mit erhöhten Berechtigungen auf Ihren VMs auszuführen. Diese Aktivität wird als verdächtig eingestuft, weil sie bisher nicht häufig festgestellt wurde.

MITRE-Taktiken: Ausführung

Schweregrad: Niedrig

Verdächtige Verwendung mehrerer Überwachungs- oder Datensammlungserweiterungen auf Ihren VMs erkannt (Vorschau)

(VM_SuspiciousMultiExtensionUsage)

Beschreibung: Verdächtige Verwendung mehrerer Überwachungs- oder Datensammlungserweiterungen wurde auf Ihren virtuellen Computern erkannt, indem die Azure Resource Manager-Vorgänge in Ihrem Abonnement analysiert werden. Angreifer könnten solche Erweiterungen für die Datensammlung, die Überwachung des Netzwerkdatenverkehrs und weitere Aktionen in Ihrem Abonnement missbrauchen. Diese Nutzung wird als verdächtig eingestuft, weil sie bisher nicht häufig festgestellt wurde.

MITRE-Taktiken: Aufklärung

Schweregrad: Mittel

Verdächtige Installation von Datenträgerverschlüsselungserweiterungen auf Ihren VMs erkannt (Vorschau)

(VM_DiskEncryptionSuspiciousUsage)

Beschreibung: Verdächtige Installation von Datenträgerverschlüsselungserweiterungen wurde auf Ihren virtuellen Computern erkannt, indem die Azure Resource Manager-Vorgänge in Ihrem Abonnement analysiert werden. Angreifer könnten die Datenträgerverschlüsselungserweiterung missbrauchen, um vollständige Datenträgerverschlüsselungen auf Ihren VMs über den Azure Resource Manager bereitzustellen und so zu versuchen, Ransomware-Aktivitäten durchzuführen. Diese Aktivität wird als verdächtig eingestuft, weil sie bisher nicht häufig festgestellt wurde und sehr viele Erweiterungen installiert wurden.

MITRE-Taktiken: Auswirkung

Schweregrad: Mittel

Verdächtige Nutzung der VMAccess-Erweiterung auf Ihren VMs erkannt (Vorschau)

(VM_VMAccessSuspiciousUsage)

Beschreibung: Verdächtige Verwendung der VMAccess-Erweiterung wurde auf Ihren virtuellen Computern erkannt. Angreifer missbrauchen die VMAccess-Erweiterung möglicherweise, um Zugriff zu erhalten und Ihre virtuellen Computer mit hohen Berechtigungen zu kompromittieren, indem Sie den Zugriff zurücksetzen oder Administrative Benutzer verwalten. Diese Aktivität wird als verdächtig angesehen, weil das Verhalten des Prinzipals von seinen üblichen Mustern abweicht und sehr viele Erweiterungen installiert wurden.

MITRE-Taktiken: Persistenz

Schweregrad: Mittel

DSC-Erweiterung (Desired State Configuration) mit einem verdächtigen Skript auf Ihrer VM erkannt (Vorschau)

(VM_DSCExtensionSuspiciousScript)

Beschreibung: Die DSC-Erweiterung (Desired State Configuration) mit einem verdächtigen Skript wurde auf Ihrem virtuellen Computer erkannt, indem die Azure Resource Manager-Vorgänge in Ihrem Abonnement analysiert werden. Angreifer könnten die DSC (Desired State Configuration)-Erweiterung verwenden, um schädliche Konfigurationen wie Persistenzmechanismen, schädliche Skripts un mehr mit hohen Berechtigungen auf Ihren VMs bereitzustellen. Das Skript wird als verdächtig eingestuft, weil bestimmte Teile als möglicherweise schädlich identifiziert wurden.

MITRE-Taktiken: Ausführung

Schweregrad: hoch

Verdächtige Nutzung einer DSC-Erweiterung (Desired State Configuration) auf Ihren VMs erkannt (Vorschau)

(VM_DSCExtensionSuspiciousUsage)

Beschreibung: Verdächtige Verwendung einer DSC-Erweiterung (Desired State Configuration) wurde auf Ihren virtuellen Computern erkannt, indem die Azure Resource Manager-Vorgänge in Ihrem Abonnement analysiert werden. Angreifer könnten die DSC (Desired State Configuration)-Erweiterung verwenden, um schädliche Konfigurationen wie Persistenzmechanismen, schädliche Skripts un mehr mit hohen Berechtigungen auf Ihren VMs bereitzustellen. Diese Aktivität wird als verdächtig angesehen, weil das Verhalten des Prinzipals von seinen üblichen Mustern abweicht und sehr viele Erweiterungen installiert wurden.

MITRE-Taktiken: Ausführung

Schweregrad: Niedrig

Benutzerdefinierte Skripterweiterung mit verdächtigem Skript auf Ihrer VM erkannt (Vorschau)

(VM_CustomScriptExtensionSuspiciousCmd)

Beschreibung: Benutzerdefinierte Skripterweiterung mit einem verdächtigen Skript wurde auf Ihrem virtuellen Computer erkannt, indem die Azure Resource Manager-Vorgänge in Ihrem Abonnement analysiert werden. Angreifer könnten eine benutzerdefinierte Skripterweiterung verwenden, um über den Azure Resource Manager schädlichen Code mit hohen Berechtigungen auf Ihrer VM auszuführen. Das Skript wird als verdächtig eingestuft, weil bestimmte Teile als möglicherweise schädlich identifiziert wurden.

MITRE-Taktiken: Ausführung

Schweregrad: hoch

Verdächtige fehlgeschlagene Ausführung einer benutzerdefinierten Skripterweiterung auf Ihrer VM

(VM_CustomScriptExtensionSuspiciousFailure)

Beschreibung: Verdächtiger Fehler einer benutzerdefinierten Skripterweiterung wurde auf Ihrem virtuellen Computer erkannt, indem die Azure Resource Manager-Vorgänge in Ihrem Abonnement analysiert werden. Solche Fehler können böswilligen Skripts zugeordnet werden, die von dieser Erweiterung ausgeführt werden.

MITRE-Taktiken: Ausführung

Schweregrad: Mittel

Ungewöhnliche Löschung einer benutzerdefinierten Skripterweiterung auf Ihrer VM

(VM_CustomScriptExtensionUnusualDeletion)

Beschreibung: Ungewöhnliches Löschen einer benutzerdefinierten Skripterweiterung wurde auf Ihrem virtuellen Computer erkannt, indem die Azure Resource Manager-Vorgänge in Ihrem Abonnement analysiert werden. Angreifer verwenden möglicherweise benutzerdefinierte Skripterweiterungen, um bösartigen Code auf Ihren virtuellen Computern über den Azure Resource Manager auszuführen.

MITRE-Taktiken: Ausführung

Schweregrad: Mittel

Ungewöhnliche Ausführung einer benutzerdefinierten Skripterweiterung auf Ihrer VM

(VM_CustomScriptExtensionUnusualExecution)

Beschreibung: Ungewöhnliche Ausführung einer benutzerdefinierten Skripterweiterung wurde auf Ihrem virtuellen Computer erkannt, indem die Azure Resource Manager-Vorgänge in Ihrem Abonnement analysiert werden. Angreifer verwenden möglicherweise benutzerdefinierte Skripterweiterungen, um bösartigen Code auf Ihren virtuellen Computern über den Azure Resource Manager auszuführen.

MITRE-Taktiken: Ausführung

Schweregrad: Mittel

Benutzerdefinierte Skripterweiterung mit verdächtigem Einstiegspunkt auf Ihrer VM

(VM_CustomScriptExtensionSuspiciousEntryPoint)

Beschreibung: Benutzerdefinierte Skripterweiterung mit einem verdächtigen Einstiegspunkt wurde auf Ihrem virtuellen Computer erkannt, indem die Azure Resource Manager-Vorgänge in Ihrem Abonnement analysiert werden. Der Einstiegspunkt verweist auf ein verdächtiges GitHub-Repository. Angreifer verwenden möglicherweise benutzerdefinierte Skripterweiterungen, um bösartigen Code auf Ihren virtuellen Computern über den Azure Resource Manager auszuführen.

MITRE-Taktiken: Ausführung

Schweregrad: Mittel

Benutzerdefinierte Skripterweiterung mit verdächtiger Payload auf Ihrer VM

(VM_CustomScriptExtensionSuspiciousPayload)

Beschreibung: Benutzerdefinierte Skripterweiterung mit einer Nutzlast aus einem verdächtigen GitHub-Repository wurde auf Ihrem virtuellen Computer erkannt, indem die Azure Resource Manager-Vorgänge in Ihrem Abonnement analysiert werden. Angreifer verwenden möglicherweise benutzerdefinierte Skripterweiterungen, um bösartigen Code auf Ihren virtuellen Computern über den Azure Resource Manager auszuführen.

MITRE-Taktiken: Ausführung

Schweregrad: Mittel

Hinweis

Für Warnungen, die sich in der Vorschau befinden: Die ergänzenden Bestimmungen für Azure-Vorschauen enthalten zusätzliche rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden bzw. anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.

Nächste Schritte