Warnungen für Resource Manager
In diesem Artikel werden die Sicherheitswarnungen aufgeführt, die Sie möglicherweise für den Ressourcen-Manager von Microsoft Defender für Cloud und alle von Ihnen aktivierten Microsoft Defender-Pläne erhalten. Welche Warnungen in Ihrer Umgebung angezeigt werden, hängt von den Ressourcen und Diensten, die Sie schützen, sowie von Ihrer angepassten Konfiguration ab.
Hinweis
Einige der kürzlich hinzugefügten Warnungen, die von Microsoft Defender Threat Intelligence und Microsoft Defender für Endpunkt unterstützt werden, sind möglicherweise nicht dokumentiert.
Informationen zur Reaktion auf diese Warnungen
Informationen zum Exportieren von Warnungen
Hinweis
Warnungen aus unterschiedlichen Quellen erfordern möglicherweise unterschiedlich lange Zeit, bis sie angezeigt werden. Beispielsweise kann es länger dauern, bis Warnungen, die eine Analyse des Netzwerkdatenverkehrs erfordern, angezeigt werden, als das Anzeigen von Warnungen im Zusammenhang mit verdächtigen Prozessen auf virtuellen Computern.
Ressourcen-Manager-Warnungen
Hinweis
Warnungen mit einer delegierten Zugriffsanzeige werden aufgrund von Aktivitäten von Drittanbietern ausgelöst. Erfahren Sie mehr über Aktivitätsanzeigen von Dienstanbietern.
Azure Resource Manager-Operation von verdächtiger IP-Adresse
(ARM_OperationFromSuspiciousIP)
Beschreibung: Microsoft Defender für Ressourcen-Manager hat einen Vorgang aus einer IP-Adresse erkannt, die in Bedrohungserkennungsfeeds als verdächtig gekennzeichnet wurde.
MITRE-Taktiken: Ausführung
Schweregrad: Mittel
Azure Resource Manager-Operation von verdächtiger Proxy-IP-Adresse
(ARM_OperationFromSuspiciousProxyIP)
Beschreibung: Microsoft Defender für Ressourcen-Manager hat einen Ressourcenverwaltungsvorgang aus einer IP-Adresse erkannt, die proxydiensten zugeordnet ist, z. B. TOR. Dieses Verhalten kann legitim sein, aber es wird häufig mit bösartigen Aktivitäten in Verbindung gebracht, wenn Bedrohungsakteure versuchen, ihre Quell-IP-Adresse zu verbergen.
MITRE-Taktiken: Verteidigungshinterziehung
Schweregrad: Mittel
Verwendung des MicroBurst-Exploit-Toolkits zum Auflisten von Ressourcen in Ihren Abonnements
(ARM_MicroBurst.AzDomainInfo)
Beschreibung: Ein PowerShell-Skript wurde in Ihrem Abonnement ausgeführt und hat verdächtige Muster zum Ausführen eines Informationssammlungsvorgangs ausgeführt, um Ressourcen, Berechtigungen und Netzwerkstrukturen zu ermitteln. Bedrohungsakteure verwenden automatisierte Skripts wie MicroBurst, um Informationen für böswillige Aktivitäten zu sammeln. Dieses Problem wurde bei der Analyse der Azure Resource Manager-Vorgänge in Ihrem Abonnement erkannt. Dieser Vorgang kann darauf hindeuten, dass eine Identität in Ihrer Organisation verletzt wurde, und dass Bedrohungsakteure versuchen, Ihre Umgebung mit böswilligen Absichten anzugreifen.
Schweregrad: Niedrig
Verwendung des MicroBurst-Exploit-Toolkits zum Auflisten von Ressourcen in Ihren Abonnements
(ARM_MicroBurst.AzureDomainInfo)
Beschreibung: Ein PowerShell-Skript wurde in Ihrem Abonnement ausgeführt und hat verdächtige Muster zum Ausführen eines Informationssammlungsvorgangs ausgeführt, um Ressourcen, Berechtigungen und Netzwerkstrukturen zu ermitteln. Bedrohungsakteure verwenden automatisierte Skripts wie MicroBurst, um Informationen für böswillige Aktivitäten zu sammeln. Dieses Problem wurde bei der Analyse der Azure Resource Manager-Vorgänge in Ihrem Abonnement erkannt. Dieser Vorgang kann darauf hindeuten, dass eine Identität in Ihrer Organisation verletzt wurde, und dass Bedrohungsakteure versuchen, Ihre Umgebung mit böswilligen Absichten anzugreifen.
Schweregrad: Niedrig
Verwendung des MicroBurst-Exploit-Toolkits zum Ausführen von Code auf Ihrer VM
(ARM_MicroBurst.AzVMBulkCMD)
Beschreibung: Ein PowerShell-Skript wurde in Ihrem Abonnement ausgeführt und hat ein verdächtiges Muster zum Ausführen von Code auf einem virtuellen Computer oder einer Liste von VMs ausgeführt. Bedrohungsakteure verwenden automatisierte Skripts wie MicroBurst, um auf einer VM Skripts für böswillige Aktivitäten auszuführen. Dieses Problem wurde bei der Analyse der Azure Resource Manager-Vorgänge in Ihrem Abonnement erkannt. Dieser Vorgang kann darauf hindeuten, dass eine Identität in Ihrer Organisation verletzt wurde, und dass Bedrohungsakteure versuchen, Ihre Umgebung mit böswilligen Absichten anzugreifen.
MITRE-Taktiken: Ausführung
Schweregrad: hoch
Verwendung des MicroBurst-Exploit-Toolkits zum Ausführen von Code auf Ihrer VM
(RM_MicroBurst.AzureRmVMBulkCMD)
Beschreibung: Das Exploit Toolkit von MicroBurst wurde verwendet, um Code auf Ihren virtuellen Computern auszuführen. Dieses Problem wurde bei der Analyse der Azure Resource Manager-Vorgänge in Ihrem Abonnement erkannt.
Schweregrad: hoch
Verwendung des MicroBurst-Exploit-Toolkits zum Extrahieren von Schlüsseln aus Ihren Azure-Schlüsseltresoren
(ARM_MicroBurst.AzKeyVaultKeysREST)
Beschreibung: Ein PowerShell-Skript wurde in Ihrem Abonnement ausgeführt und hat ein verdächtiges Muster zum Extrahieren von Schlüsseln aus einem Azure Key Vault(n) ausgeführt. Bedrohungsakteure verwenden automatisierte Skripts wie MicroBurst, um Schlüssel aufzulisten und für den Zugriff auf vertrauliche Daten oder für laterale Verschiebungen zu verwenden. Dieses Problem wurde bei der Analyse der Azure Resource Manager-Vorgänge in Ihrem Abonnement erkannt. Dieser Vorgang kann darauf hindeuten, dass eine Identität in Ihrer Organisation verletzt wurde, und dass Bedrohungsakteure versuchen, Ihre Umgebung mit böswilligen Absichten anzugreifen.
Schweregrad: hoch
Verwendung des MicroBurst-Exploit-Toolkits zum Extrahieren von Schlüsseln in Ihre Speicherkonten
(ARM_MicroBurst.AZStorageKeysREST)
Beschreibung: Ein PowerShell-Skript wurde in Ihrem Abonnement ausgeführt und hat ein verdächtiges Muster zum Extrahieren von Schlüsseln in Speicherkonten ausgeführt. Bedrohungsakteure verwenden automatisierte Skripts wie MicroBurst, um Schlüssel aufzulisten und für den Zugriff auf vertrauliche Daten in Ihren Speicherkonten zu verwenden. Dieses Problem wurde bei der Analyse der Azure Resource Manager-Vorgänge in Ihrem Abonnement erkannt. Dieser Vorgang kann darauf hindeuten, dass eine Identität in Ihrer Organisation verletzt wurde, und dass Bedrohungsakteure versuchen, Ihre Umgebung mit böswilligen Absichten anzugreifen.
MITRE-Taktiken: Sammlung
Schweregrad: Niedrig
Verwendung des MicroBurst-Exploit-Toolkits zum Extrahieren von Geheimnissen aus Ihren Azure-Schlüsseltresoren
(ARM_MicroBurst.AzKeyVaultSecretsREST)
Beschreibung: Ein PowerShell-Skript wurde in Ihrem Abonnement ausgeführt und hat ein verdächtiges Muster zum Extrahieren von geheimen Schlüsseln aus einem Azure Key Vault(n) ausgeführt. Bedrohungsakteure verwenden automatisierte Skripts wie MicroBurst, um Geheimnisse aufzulisten und für den Zugriff auf vertrauliche Daten oder für laterale Verschiebungen zu verwenden. Dieses Problem wurde bei der Analyse der Azure Resource Manager-Vorgänge in Ihrem Abonnement erkannt. Dieser Vorgang kann darauf hindeuten, dass eine Identität in Ihrer Organisation verletzt wurde, und dass Bedrohungsakteure versuchen, Ihre Umgebung mit böswilligen Absichten anzugreifen.
Schweregrad: hoch
Verwendung des PowerZure-Exploit-Toolkits zum Erhöhen der Zugriffsrechte von Azure AD auf Azure
(ARM_PowerZure.AzureElevatedPrivileges)
Beschreibung: Das PowerZure-Ausbeutungs-Toolkit wurde verwendet, um den Zugriff von AzureAD auf Azure zu erhöhen. Dieses Problem wurde bei der Analyse der Azure Resource Manager-Vorgänge in Ihrem Mandanten erkannt.
Schweregrad: hoch
Verwendung des PowerZure-Exploit-Toolkits zum Auflisten von Ressourcen
(ARM_PowerZure.GetAzureTargets)
Beschreibung: Das PowerZure-Ausbeutungs-Toolkit wurde zum Aufzählen von Ressourcen im Namen eines legitimen Benutzerkontos in Ihrer Organisation verwendet. Dieses Problem wurde bei der Analyse der Azure Resource Manager-Vorgänge in Ihrem Abonnement erkannt.
MITRE-Taktiken: Sammlung
Schweregrad: hoch
Verwendung des PowerZure-Exploit-Toolkits zum Auflisten von Speichercontainern, Freigaben und Tabellen
(ARM_PowerZure.ShowStorageContent)
Beschreibung: Das PowerZure-Ausbeutungs-Toolkit wurde zum Aufzählen von Speicherfreigaben, Tabellen und Containern verwendet. Dieses Problem wurde bei der Analyse der Azure Resource Manager-Vorgänge in Ihrem Abonnement erkannt.
Schweregrad: hoch
Verwendung des PowerZure-Exploit-Toolkits zum Ausführen eines Runbooks in Ihrem Abonnement
(ARM_PowerZure.StartRunbook)
Beschreibung: Das PowerZure Exploitation Toolkit wurde verwendet, um ein Runbook auszuführen. Dieses Problem wurde bei der Analyse der Azure Resource Manager-Vorgänge in Ihrem Abonnement erkannt.
Schweregrad: hoch
Verwendung des PowerZure-Exploit-Toolkits zum Extrahieren von Runbookinhalten
(ARM_PowerZure.AzureRunbookContent)
Beschreibung: Das PowerZure-Ausbeutungs-Toolkit wurde zum Extrahieren von Runbook-Inhalten verwendet. Dieses Problem wurde bei der Analyse der Azure Resource Manager-Vorgänge in Ihrem Abonnement erkannt.
MITRE-Taktiken: Sammlung
Schweregrad: hoch
VORSCHAU: Ausführung von Azurit-Toolkit erkannt
(ARM_Azurite)
Beschreibung: In Ihrer Umgebung wurde ein bekanntes Cloudumgebungs-Reconnaissance-Toolkit ausgeführt. Das Tool Azurite kann von einem Angreifer (oder Penetrationstester) verwendet werden, um Ihre Abonnementressourcen zu erfassen und unsichere Konfigurationen zu ermitteln.
MITRE-Taktiken: Sammlung
Schweregrad: hoch
VORSCHAU – Verdächtige Erstellung von Compute-Ressourcen erkannt
(ARM_SuspiciousComputeCreation)
Beschreibung: Microsoft Defender für Ressourcen-Manager hat eine verdächtige Erstellung von Computeressourcen in Ihrem Abonnement mithilfe von virtuellen Computern/Azure Scale Set identifiziert. Die identifizierten Vorgänge sind so konzipiert, dass Administratoren ihre Umgebungen effizient verwalten können, indem sie bei Bedarf neue Ressourcen bereitstellen. Obwohl diese Aktivität legitim sein könnte, könnte ein Bedrohungsakteur solche Vorgänge nutzen, um Cryptomining durchzuführen. Die Aktivität wird als verdächtig eingestuft, da die Skalierung der Compute-Ressourcen höher ist als zuvor im Abonnement beobachtet. Dies kann darauf hinweisen, dass der Prinzipal kompromittiert ist und mit böswilliger Absicht benutzt wird.
MITRE-Taktiken: Auswirkung
Schweregrad: Mittel
VORSCHAU: Verdächtige Schlüsseltresorwiederherstellung erkannt
(Arm_Suspicious_Vault_Recovering)
Beschreibung: Microsoft Defender für Ressourcen-Manager hat einen verdächtigen Wiederherstellungsvorgang für eine vorläufig gelöschte Schlüsseltresorressource erkannt. Der Benutzer, der die Ressource wiederherstellt, stimmt nicht mit dem Benutzer überein, von dem die Ressource gelöscht wurde. Dies ist sehr verdächtig, da der Benutzer einen solchen Vorgang nur selten ausführt. Darüber hinaus hat sich der Benutzer ohne mehrstufige Authentifizierung (MFA) angemeldet. Dies kann darauf hindeuten, dass der Benutzer kompromittiert wurde und versucht, Geheimnisse und Schlüssel zu ermitteln, um Zugriff auf vertrauliche Ressourcen zu erhalten oder sich per Lateral Movement durch Ihr Netzwerk zu bewegen.
MITRE-Taktiken: Laterale Bewegung
Schweregrad: Mittel/Hoch
VORSCHAU – Verdächtige Verwaltungssitzung mit einem inaktiven Konto erkannt
(ARM_UnusedAccountPersistence)
Beschreibung: Die Analyse von Abonnementaktivitätsprotokollen hat verdächtiges Verhalten erkannt. Ein Prinzipal, der längere Zeit nicht verwendet wurde, führt nun Aktionen aus, mit denen sich ein Angreifer dauerhaft Zugriff verschaffen kann.
Schweregrad: Mittel
VORSCHAU: Verdächtiger Aufruf eines risikoreichen Vorgangs vom Typ „Zugriff auf Anmeldeinformationen“ durch einen Dienstprinzipal erkannt
(ARM_AnomalousServiceOperation.CredentialAccess)
Beschreibung: Microsoft Defender für Ressourcen-Manager identifizierte einen verdächtigen Aufruf eines Vorgangs mit hohem Risiko in Ihrem Abonnement, was auf einen Versuch hinweisen könnte, auf Anmeldeinformationen zuzugreifen. Die identifizierten Vorgänge sind so konzipiert, dass Administratoren ihre Umgebungen effizient verwalten können. Diese Aktivität kann zwar legitim sein, aber ein Bedrohungsakteur verwendet solche Vorgänge, um auf eingeschränkte Anmeldeinformationen zuzugreifen und Ressourcen in Ihrer Umgebung zu kompromittieren. Dies kann darauf hinweisen, dass der Dienstprinzipal kompromittiert wurde und mit böswilligen Absichten verwendet wird.
MITRE-Taktiken: Zugriff auf Anmeldeinformationen
Schweregrad: Mittel
VORSCHAU: Verdächtiger Aufruf eines risikoreichen Vorgangs vom Typ „Datensammlung“ durch einen Dienstprinzipal erkannt
(ARM_AnomalousServiceOperation.Collection)
Beschreibung: Microsoft Defender für Ressourcen-Manager identifizierte einen verdächtigen Aufruf eines Vorgangs mit hohem Risiko in Ihrem Abonnement, was auf einen Versuch zum Sammeln von Daten hindeuten könnte. Die identifizierten Vorgänge sind so konzipiert, dass Administratoren ihre Umgebungen effizient verwalten können. Diese Aktivität kann zwar legitim sein, aber ein Bedrohungsakteur verwendet solche Vorgänge, um vertrauliche Daten zu Ressourcen in Ihrer Umgebung zu sammeln. Dies kann darauf hinweisen, dass der Dienstprinzipal kompromittiert wurde und mit böswilligen Absichten verwendet wird.
MITRE-Taktiken: Sammlung
Schweregrad: Mittel
VORSCHAU: Verdächtiger Aufruf eines risikoreichen Vorgangs vom Typ „Umgehen von Verteidigungsmaßnahmen“ durch einen Dienstprinzipal erkannt
(ARM_AnomalousServiceOperation.DefenseEvasion)
Beschreibung: Microsoft Defender für Ressourcen-Manager hat einen verdächtigen Aufruf eines Hochrisikovorgangs in Ihrem Abonnement identifiziert, der auf einen Versuch hindeutet, Abwehrmaßnahmen auszuweichen. Die identifizierten Operationen sollen es den Administratoren ermöglichen, die Sicherheitslage ihrer Umgebungen effizient zu verwalten. Obwohl diese Aktivität legitim sein könnte, kann ein Bedrohungsakteur solche Vorgänge nutzen, um zu vermeiden, dass Ressourcen in Ihrer Umgebung beeinträchtigt werden. Dies kann darauf hinweisen, dass der Dienstprinzipal kompromittiert wurde und mit böswilligen Absichten verwendet wird.
MITRE-Taktiken: Verteidigungshinterziehung
Schweregrad: Mittel
VORSCHAU: Verdächtiger Aufruf eines risikoreichen Vorgangs vom Typ „Ausführung“ durch einen Dienstprinzipal erkannt
(ARM_AnomalousServiceOperation.Execution)
Beschreibung: Microsoft Defender für Ressourcen-Manager hat einen verdächtigen Aufruf eines Hochrisikovorgangs auf einem Computer in Ihrem Abonnement identifiziert, der auf einen Versuch zum Ausführen von Code hinweisen kann. Die identifizierten Vorgänge sind so konzipiert, dass Administratoren ihre Umgebungen effizient verwalten können. Diese Aktivität kann zwar legitim sein, aber ein Bedrohungsakteur verwendet solche Vorgänge, um auf eingeschränkte Anmeldeinformationen zuzugreifen und Ressourcen in Ihrer Umgebung zu kompromittieren. Dies kann darauf hinweisen, dass der Dienstprinzipal kompromittiert wurde und mit böswilligen Absichten verwendet wird.
MITRE-Taktiken: Defense Execution
Schweregrad: Mittel
VORSCHAU: Verdächtiger Aufruf eines risikoreichen Vorgangs vom Typ „Auswirkung“ durch einen Dienstprinzipal erkannt
(ARM_AnomalousServiceOperation.Impact)
Beschreibung: Microsoft Defender für Ressourcen-Manager hat einen verdächtigen Aufruf eines Vorgangs mit hohem Risiko in Ihrem Abonnement identifiziert, der auf eine versuchte Konfigurationsänderung hinweisen kann. Die identifizierten Vorgänge sind so konzipiert, dass Administratoren ihre Umgebungen effizient verwalten können. Diese Aktivität kann zwar legitim sein, aber ein Bedrohungsakteur verwendet solche Vorgänge, um auf eingeschränkte Anmeldeinformationen zuzugreifen und Ressourcen in Ihrer Umgebung zu kompromittieren. Dies kann darauf hinweisen, dass der Dienstprinzipal kompromittiert wurde und mit böswilligen Absichten verwendet wird.
MITRE-Taktiken: Auswirkung
Schweregrad: Mittel
VORSCHAU: Verdächtiger Aufruf eines risikoreichen Vorgangs vom Typ „Anfänglicher Zugriff“ durch einen Dienstprinzipal erkannt
(ARM_AnomalousServiceOperation.InitialAccess)
Beschreibung: Microsoft Defender für Ressourcen-Manager hat einen verdächtigen Aufruf eines Vorgangs mit hohem Risiko in Ihrem Abonnement identifiziert, was auf einen Versuch hinweisen kann, auf eingeschränkte Ressourcen zuzugreifen. Die identifizierten Operationen sollen den Administratoren einen effizienten Zugriff auf ihre Umgebungen ermöglichen. Obwohl diese Aktivität legitim sein könnte, kann ein Bedrohungsakteur solche Vorgänge nutzen, um anfänglichen Zugriff auf eingeschränkte Ressourcen in Ihrer Umgebung zu erhalten. Dies kann darauf hinweisen, dass der Dienstprinzipal kompromittiert wurde und mit böswilligen Absichten verwendet wird.
MITRE-Taktiken: Anfänglicher Zugriff
Schweregrad: Mittel
VORSCHAU: Verdächtiger Aufruf eines risikoreichen Vorgangs vom Typ „Lateral-Movement-Zugriff“ durch einen Dienstprinzipal erkannt
(ARM_AnomalousServiceOperation.LateralMovement)
Beschreibung: Microsoft Defender für Ressourcen-Manager identifizierte einen verdächtigen Aufruf eines Vorgangs mit hohem Risiko in Ihrem Abonnement, was auf einen Versuch hindeutet, laterale Bewegungen durchzuführen. Die identifizierten Vorgänge sind so konzipiert, dass Administratoren ihre Umgebungen effizient verwalten können. Obwohl diese Aktivität legitim sein könnte, kann ein Bedrohungsakteur solche Vorgänge nutzen, um weitere Ressourcen in Ihrer Umgebung zu kompromittieren. Dies kann darauf hinweisen, dass der Dienstprinzipal kompromittiert wurde und mit böswilligen Absichten verwendet wird.
MITRE-Taktiken: Laterale Bewegung
Schweregrad: Mittel
VORSCHAU: Verdächtiger Aufruf eines risikoreichen Vorgangs vom Typ „Persistenz“ durch einen Dienstprinzipal erkannt
(ARM_AnomalousServiceOperation.Persistence)
Beschreibung: Microsoft Defender für Ressourcen-Manager hat einen verdächtigen Aufruf eines Vorgangs mit hohem Risiko in Ihrem Abonnement identifiziert, der auf einen Versuch hindeutet, persistenz zu schaffen. Die identifizierten Vorgänge sind so konzipiert, dass Administratoren ihre Umgebungen effizient verwalten können. Obwohl diese Aktivität legitim sein könnte, kann ein Bedrohungsakteur solche Vorgänge verwenden, um Persistenz in Ihrer Umgebung herzustellen. Dies kann darauf hinweisen, dass der Dienstprinzipal kompromittiert wurde und mit böswilligen Absichten verwendet wird.
Schweregrad: Mittel
VORSCHAU: Verdächtiger Aufruf eines risikoreichen Vorgangs vom Typ „Rechteausweitung“ durch einen Dienstprinzipal erkannt
(ARM_AnomalousServiceOperation.PrivilegeEscalation)
Beschreibung: Microsoft Defender für Ressourcen-Manager identifizierte einen verdächtigen Aufruf eines Vorgangs mit hohem Risiko in Ihrem Abonnement, was auf einen Versuch hindeutet, Berechtigungen zu eskalieren. Die identifizierten Vorgänge sind so konzipiert, dass Administratoren ihre Umgebungen effizient verwalten können. Obwohl diese Aktivität legitim sein könnte, kann ein Bedrohungsakteur solche Vorgänge verwenden, um Berechtigungen zu eskalieren, während Ressourcen in Ihrer Umgebung beeinträchtigt werden. Dies kann darauf hinweisen, dass der Dienstprinzipal kompromittiert wurde und mit böswilligen Absichten verwendet wird.
MITRE-Taktik: Berechtigungseskalation
Schweregrad: Mittel
VORSCHAU – Verdächtige Verwaltungssitzung mit einem inaktiven Konto erkannt
(ARM_UnusedAccountPersistence)
Beschreibung: Die Analyse von Abonnementaktivitätsprotokollen hat verdächtiges Verhalten erkannt. Ein Prinzipal, der längere Zeit nicht verwendet wurde, führt nun Aktionen aus, mit denen sich ein Angreifer dauerhaft Zugriff verschaffen kann.
Schweregrad: Mittel
VORSCHAU – Verdächtige Verwaltungssitzung mit PowerShell erkannt
(ARM_UnusedAppPowershellPersistence)
Beschreibung: Die Analyse von Abonnementaktivitätsprotokollen hat verdächtiges Verhalten erkannt. Ein Prinzipal, der nicht regelmäßig PowerShell verwendet, um die Abonnementumgebung zu verwalten, verwendet nun PowerShell und führt Aktionen aus, mit denen sich ein Angreifer dauerhaft Zugriff verschaffen kann.
Schweregrad: Mittel
VORSCHAU – Verdächtige Verwaltungssitzung mit Azure-Portal erkannt
(ARM_UnusedAppIbizaPersistence)
Beschreibung: Die Analyse Ihrer Abonnementaktivitätsprotokolle hat ein verdächtiges Verhalten erkannt. Ein Prinzipal, der das Azure-Portal (Ibiza) nicht regelmäßig zur Verwaltung der Abonnementumgebung verwendet (er hat in den letzten 45 Tagen weder das Azure-Portal zur Verwaltung verwendet noch ein Abonnement, das er aktiv verwaltet), verwendet jetzt das Azure-Portal und führt Aktionen durch, die einem Angreifer eine gewisse Persistenz sichern können.
Schweregrad: Mittel
Für Ihr Abonnement wurde auf verdächtige Weise eine benutzerdefinierte privilegierte Rolle erstellt (Vorschau)
(ARM_PrivilegedRoleDefinitionCreation)
Beschreibung: Microsoft Defender für Ressourcen-Manager hat eine verdächtige Erstellung der Definition privilegierter benutzerdefinierter Rollen in Ihrem Abonnement erkannt. Dieser Vorgang wurde ggf. von einem legitimen Benutzer Ihrer Organisation durchgeführt. Unter Umständen kann dies auch ein Hinweis darauf sein, dass ein Konto in Ihrer Organisation übernommen wurde und der Bedrohungsakteur versucht, eine privilegierte Rolle für die zukünftige Verwendung zu erstellen, um eine Erkennung zu vermeiden.
MITRE-Taktiken: Berechtigungseskalation, Verteidigungshinterziehung
Schweregrad: Informational
Verdächtige Azure-Rollenzuweisung entdeckt (Vorschau)
(ARM_AnomalousRBACRoleAssignment)
Beschreibung: Microsoft Defender für Ressourcen-Manager hat eine verdächtige Azure-Rollenzuweisung identifiziert/mithilfe von PIM (Privileged Identity Management) in Ihrem Mandanten ausgeführt, was möglicherweise darauf hindeutet, dass ein Konto in Ihrer Organisation kompromittiert wurde. Die identifizierten Operationen sollen es Administratoren ermöglichen, Prinzipalen Zugriff auf Azure-Ressourcen zu gewähren. Obwohl diese Aktivität legitim sein könnte, kann ein Bedrohungsakteur die Rollenzuweisung verwenden, um ihre Berechtigungen zu eskalieren, sodass sie ihren Angriff voranbringen können.
MITRE-Taktiken: Lateral Movement, Defense Evasion
Schweregrad: Niedrig (PIM) / Hoch
Verdächtiger Aufruf eines risikoreichen Vorgangs "Credential Access" entdeckt (Vorschau)
(ARM_AnomalousOperation.CredentialAccess)
Beschreibung: Microsoft Defender für Ressourcen-Manager identifizierte einen verdächtigen Aufruf eines Vorgangs mit hohem Risiko in Ihrem Abonnement, was auf einen Versuch hinweisen könnte, auf Anmeldeinformationen zuzugreifen. Die identifizierten Operationen sollen den Administratoren einen effizienten Zugriff auf ihre Umgebungen ermöglichen. Diese Aktivität kann zwar legitim sein, aber ein Bedrohungsakteur verwendet solche Vorgänge, um auf eingeschränkte Anmeldeinformationen zuzugreifen und Ressourcen in Ihrer Umgebung zu kompromittieren. Dies kann darauf hinweisen, dass das Konto kompromittiert ist und in böser Absicht verwendet wird.
MITRE-Taktiken: Zugriff auf Anmeldeinformationen
Schweregrad: Mittel
Verdächtiger Aufruf einer risikoreichen Operation "Datenerfassung" entdeckt (Vorschau)
(ARM_AnomalousOperation.Collection)
Beschreibung: Microsoft Defender für Ressourcen-Manager identifizierte einen verdächtigen Aufruf eines Vorgangs mit hohem Risiko in Ihrem Abonnement, was auf einen Versuch zum Sammeln von Daten hindeuten könnte. Die identifizierten Vorgänge sind so konzipiert, dass Administratoren ihre Umgebungen effizient verwalten können. Diese Aktivität kann zwar legitim sein, aber ein Bedrohungsakteur verwendet solche Vorgänge, um vertrauliche Daten zu Ressourcen in Ihrer Umgebung zu sammeln. Dies kann darauf hinweisen, dass das Konto kompromittiert ist und in böser Absicht verwendet wird.
MITRE-Taktiken: Sammlung
Schweregrad: Mittel
Verdächtiger Aufruf einer hochriskanten 'Defense Evasion'-Operation entdeckt (Vorschau)
(ARM_AnomalousOperation.DefenseEvasion)
Beschreibung: Microsoft Defender für Ressourcen-Manager hat einen verdächtigen Aufruf eines Hochrisikovorgangs in Ihrem Abonnement identifiziert, der auf einen Versuch hindeutet, Abwehrmaßnahmen auszuweichen. Die identifizierten Operationen sollen es den Administratoren ermöglichen, die Sicherheitslage ihrer Umgebungen effizient zu verwalten. Obwohl diese Aktivität legitim sein könnte, kann ein Bedrohungsakteur solche Vorgänge nutzen, um zu vermeiden, dass Ressourcen in Ihrer Umgebung beeinträchtigt werden. Dies kann darauf hinweisen, dass das Konto kompromittiert ist und in böser Absicht verwendet wird.
MITRE-Taktiken: Verteidigungshinterziehung
Schweregrad: Mittel
Verdächtiger Aufruf einer risikoreichen "Ausführungs"-Operation entdeckt (Vorschau)
(ARM_AnomalousOperation.Execution)
Beschreibung: Microsoft Defender für Ressourcen-Manager hat einen verdächtigen Aufruf eines Hochrisikovorgangs auf einem Computer in Ihrem Abonnement identifiziert, der auf einen Versuch zum Ausführen von Code hinweisen kann. Die identifizierten Vorgänge sind so konzipiert, dass Administratoren ihre Umgebungen effizient verwalten können. Diese Aktivität kann zwar legitim sein, aber ein Bedrohungsakteur verwendet solche Vorgänge, um auf eingeschränkte Anmeldeinformationen zuzugreifen und Ressourcen in Ihrer Umgebung zu kompromittieren. Dies kann darauf hinweisen, dass das Konto kompromittiert ist und in böser Absicht verwendet wird.
MITRE-Taktiken: Ausführung
Schweregrad: Mittel
Verdächtiger Aufruf einer risikoreichen "Impact"-Operation entdeckt (Vorschau)
(ARM_AnomalousOperation.Impact)
Beschreibung: Microsoft Defender für Ressourcen-Manager hat einen verdächtigen Aufruf eines Vorgangs mit hohem Risiko in Ihrem Abonnement identifiziert, der auf eine versuchte Konfigurationsänderung hinweisen kann. Die identifizierten Vorgänge sind so konzipiert, dass Administratoren ihre Umgebungen effizient verwalten können. Diese Aktivität kann zwar legitim sein, aber ein Bedrohungsakteur verwendet solche Vorgänge, um auf eingeschränkte Anmeldeinformationen zuzugreifen und Ressourcen in Ihrer Umgebung zu kompromittieren. Dies kann darauf hinweisen, dass das Konto kompromittiert ist und in böser Absicht verwendet wird.
MITRE-Taktiken: Auswirkung
Schweregrad: Mittel
Verdächtiger Aufruf einer risikoreichen "Initial Access"-Operation entdeckt (Vorschau)
(ARM_AnomalousOperation.InitialAccess)
Beschreibung: Microsoft Defender für Ressourcen-Manager hat einen verdächtigen Aufruf eines Vorgangs mit hohem Risiko in Ihrem Abonnement identifiziert, was auf einen Versuch hinweisen kann, auf eingeschränkte Ressourcen zuzugreifen. Die identifizierten Operationen sollen den Administratoren einen effizienten Zugriff auf ihre Umgebungen ermöglichen. Obwohl diese Aktivität legitim sein könnte, kann ein Bedrohungsakteur solche Vorgänge nutzen, um anfänglichen Zugriff auf eingeschränkte Ressourcen in Ihrer Umgebung zu erhalten. Dies kann darauf hinweisen, dass das Konto kompromittiert ist und in böser Absicht verwendet wird.
MITRE-Taktiken: Erstzugriff
Schweregrad: Mittel
Verdächtiger Aufruf einer Hochrisiko-Operation "Seitliche Bewegung" entdeckt (Vorschau)
(ARM_AnomalousOperation.LateralMovement)
Beschreibung: Microsoft Defender für Ressourcen-Manager identifizierte einen verdächtigen Aufruf eines Vorgangs mit hohem Risiko in Ihrem Abonnement, was auf einen Versuch hindeutet, laterale Bewegungen durchzuführen. Die identifizierten Vorgänge sind so konzipiert, dass Administratoren ihre Umgebungen effizient verwalten können. Obwohl diese Aktivität legitim sein könnte, kann ein Bedrohungsakteur solche Vorgänge nutzen, um weitere Ressourcen in Ihrer Umgebung zu kompromittieren. Dies kann darauf hinweisen, dass das Konto kompromittiert ist und in böser Absicht verwendet wird.
MITRE-Taktiken: Lateral Movement
Schweregrad: Mittel
Verdächtiger Vorgang zur Erhöhung des Zugriffs (Preview)(ARM_AnomalousElevateAccess)
Beschreibung: Microsoft Defender für Ressourcen-Manager hat einen verdächtigen Vorgang "Erhöhten Zugriff" identifiziert. Die Aktivität wird als verdächtig eingestuft, da dieser Prinzipal selten solche Vorgänge aufruft. Diese Aktivität kann zwar legitim sein, aber ein Bedrohungsakteur verwendet möglicherweise einen Vorgang "Erhöhten Zugriff", um eine Berechtigungseskalation für einen kompromittierten Benutzer auszuführen.
MITRE-Taktiken: Berechtigungseskalation
Schweregrad: Mittel
Verdächtiger Aufruf einer hochriskanten 'Persistenz'-Operation entdeckt (Vorschau)
(ARM_AnomalousOperation.Persistence)
Beschreibung: Microsoft Defender für Ressourcen-Manager hat einen verdächtigen Aufruf eines Vorgangs mit hohem Risiko in Ihrem Abonnement identifiziert, der auf einen Versuch hindeutet, persistenz zu schaffen. Die identifizierten Vorgänge sind so konzipiert, dass Administratoren ihre Umgebungen effizient verwalten können. Obwohl diese Aktivität legitim sein könnte, kann ein Bedrohungsakteur solche Vorgänge verwenden, um Persistenz in Ihrer Umgebung herzustellen. Dies kann darauf hinweisen, dass das Konto kompromittiert ist und in böser Absicht verwendet wird.
Schweregrad: Mittel
Verdächtiger Aufruf einer hochriskanten 'Privilege Escalation'-Operation entdeckt (Vorschau)
(ARM_AnomalousOperation.PrivilegeEscalation)
Beschreibung: Microsoft Defender für Ressourcen-Manager identifizierte einen verdächtigen Aufruf eines Vorgangs mit hohem Risiko in Ihrem Abonnement, was auf einen Versuch hindeutet, Berechtigungen zu eskalieren. Die identifizierten Vorgänge sind so konzipiert, dass Administratoren ihre Umgebungen effizient verwalten können. Obwohl diese Aktivität legitim sein könnte, kann ein Bedrohungsakteur solche Vorgänge verwenden, um Berechtigungen zu eskalieren, während Ressourcen in Ihrer Umgebung beeinträchtigt werden. Dies kann darauf hinweisen, dass das Konto kompromittiert ist und in böser Absicht verwendet wird.
MITRE-Taktiken: Berechtigungseskalation
Schweregrad: Mittel
Das MicroBurst-Exploit-Toolkit wurde verwendet, um beliebigen Code auszuführen oder Azure Automation-Kontoanmeldeinformationen zu exfiltrieren
(ARM_MicroBurst.RunCodeOnBehalf)
Beschreibung: Ein PowerShell-Skript wurde in Ihrem Abonnement ausgeführt und hat ein verdächtiges Muster ausgeführt, um einen beliebigen Code auszuführen oder Azure Automation-Kontoanmeldeinformationen zu exfiltrieren. Bedrohungsakteure verwenden automatisierte Skripts wie MicroBurst, um beliebigen Code für böswillige Aktivitäten auszuführen. Dieses Problem wurde bei der Analyse der Azure Resource Manager-Vorgänge in Ihrem Abonnement erkannt. Dieser Vorgang kann darauf hindeuten, dass eine Identität in Ihrer Organisation verletzt wurde, und dass Bedrohungsakteure versuchen, Ihre Umgebung mit böswilligen Absichten anzugreifen.
MITRE-Taktiken: Persistenz, Zugriff auf Anmeldeinformationen
Schweregrad: hoch
Verwendung von NetSPI-Methoden zum Erhalten der Persistenz in Ihrer Azure-Umgebung
(ARM_NetSPI.MaintainPersistence)
Beschreibung: Verwendung der NetSPI-Persistenztechnik, um eine Webhook-Hintertür zu erstellen und Persistenz in Ihrer Azure-Umgebung aufrechtzuerhalten. Dieses Problem wurde bei der Analyse der Azure Resource Manager-Vorgänge in Ihrem Abonnement erkannt.
Schweregrad: hoch
Verwendung des PowerZure-Exploit-Toolkits zum Ausführen von beliebigem Code oder Exfiltrieren von Azure Automation-Kontoanmeldeinformationen
(ARM_PowerZure.RunCodeOnBehalf)
Beschreibung: Das PowerZure-Exploit-Toolkit hat erkannt, dass versucht wurde, Code auszuführen oder Azure Automation-Kontoanmeldeinformationen zu exfiltrieren. Dieses Problem wurde bei der Analyse der Azure Resource Manager-Vorgänge in Ihrem Abonnement erkannt.
Schweregrad: hoch
Verwendung der PowerZure-Funktion zum Erhalten der Persistenz in Ihrer Azure-Umgebung
(ARM_PowerZure.MaintainPersistence)
Beschreibung: Das PowerZure-Ausbeutungs-Toolkit hat festgestellt, dass eine Webhook-Hintertür erstellt wurde, um die Persistenz in Ihrer Azure-Umgebung aufrechtzuerhalten. Dieses Problem wurde bei der Analyse der Azure Resource Manager-Vorgänge in Ihrem Abonnement erkannt.
Schweregrad: hoch
Verdächtige klassische Rollenzuweisung entdeckt (Vorschau)
(ARM_AnomalousClassicRoleAssignment)
Beschreibung: Microsoft Defender für Ressourcen-Manager hat eine verdächtige klassische Rollenzuweisung in Ihrem Mandanten identifiziert, was möglicherweise darauf hindeutet, dass ein Konto in Ihrer Organisation kompromittiert wurde. Die identifizierten Operationen wurden entwickelt, um Abwärtskompatibilität mit klassischen Rollen zu gewährleisten, die nicht mehr häufig verwendet werden. Diese Aktivität kann zwar legitim sein, ein Bedrohungsakteur kann eine solche Zuordnung verwenden, um Berechtigungen für ein anderes Benutzerkonto unter seiner Kontrolle zu erteilen.
MITRE-Taktiken: Lateral Movement, Defense Evasion
Schweregrad: hoch
Hinweis
Für Warnungen, die sich in der Vorschau befinden: Die ergänzenden Bestimmungen für Azure-Vorschauen enthalten zusätzliche rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden bzw. anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.