Veraltete Sicherheitsbenachrichtigungen

In diesem Artikel werden veraltete Sicherheitswarnungen in Microsoft Defender für Cloud aufgeführt.

Veraltete Defender for Containers-Warnungen

Die folgenden Listen enthalten die Sicherheitswarnungen von Defender for Containers, die veraltet waren.

Manipulation der Hostfirewall erkannt

(K8S.NODE_FirewallDisabled)

Beschreibung: Die Analyse von Prozessen, die innerhalb eines Containers oder direkt auf einem Kubernetes-Knoten ausgeführt werden, hat eine mögliche Manipulation der On-Host-Firewall erkannt. Angreifer deaktivieren diese häufig, um Daten zu exfiltrieren.

MITRE-Taktiken: DefenseEvasion, Exfiltration

Schweregrad: Mittel

Verdächtige Verwendung von DNS über HTTPS

(K8S.NODE_SuspiciousDNSOverHttps)

Beschreibung: Die Analyse von Prozessen, die in einem Container oder direkt auf einem Kubernetes-Knoten ausgeführt werden, hat die Verwendung eines DNS-Aufrufs über HTTPS ungewöhnlich erkannt. Diese Technik wird von Angreifern verwendet, um Aufrufe von verdächtigen oder schädlichen Websites auszublenden.

MITRE-Taktiken: DefenseEvasion, Exfiltration

Schweregrad: Mittel

Es wurde eine mögliche Verbindung mit bösartigem Speicherort erkannt.

(K8S.NODE_ThreatIntelCommandLineSuspectDomain)

Beschreibung: Die Analyse von Prozessen, die in einem Container oder direkt auf einem Kubernetes-Knoten ausgeführt werden, hat eine Verbindung zu einem Speicherort erkannt, der als bösartig oder ungewöhnlich gemeldet wurde. Dies ist ein Indikator, dass möglicherweise eine Kompromittierung aufgetreten ist.

MITRE-Taktiken: InitialAccess

Schweregrad: Mittel

Digital Currency Mining-Aktivität

(K8S. NODE_CurrencyMining)

Beschreibung: Analyse von DNS-Transaktionen erkannte digitale Währungsminingaktivität. Bei einer solchen Aktivität kann es sich um das Verhalten legitimer Benutzer handeln, in vielen Fällen wird sie jedoch nach der Kompromittierung von Ressourcen von Angreifern ausgeführt. Zu den typischen Aktivitäten von Angreifern zählen in diesem Fall der Download und die Ausführung gängiger Mining-Tools.

MITRE-Taktiken: Exfiltration

Schweregrad: Niedrig

Veraltete Defender für Server Linux-Warnungen

VM_AbnormalDaemonTermination

Anzeigename der Warnung: Abnorme Beendigung

Schweregrad: Niedrig

VM_BinaryGeneratedFromCommandLine

Anzeigename der Warnung: Verdächtige Binärdatei erkannt

Schweregrad: Mittel

VM_CommandlineSuspectDomain Suspicious

Warnungsanzeigename: Domänennamenreferenz

Schweregrad: Niedrig

VM_CommonBot

Warnungsanzeigename: Verhalten ähnlich wie gängige Linux-Bots erkannt

Schweregrad: Mittel

VM_CompCommonBots

Warnungsanzeigename: Befehle ähnlich wie gängige Linux-Bots erkannt

Schweregrad: Mittel

VM_CompSuspiciousScript

Anzeigename der Warnung: Shellskript erkannt

Schweregrad: Mittel

VM_CompTestRule

Anzeigename der Warnung: Zusammengesetzte Analysetestbenachrichtigung

Schweregrad: Niedrig

VM_CronJobAccess

Anzeigename der Warnung: Manipulation geplanter Vorgänge erkannt

Schweregrad: Informational

VM_CryptoCoinMinerArtifacts

Anzeigename der Warnung: Prozess, der mit dem erkannten digitalen Währungsmining verknüpft ist

Schweregrad: Mittel

VM_CryptoCoinMinerDownload

Warnungsanzeigename: Möglicher Cryptocoinminer Download erkannt

Schweregrad: Mittel

VM_CryptoCoinMinerExecution

Anzeigename der Warnung: Potenzieller Kryptomünzeminer gestartet

Schweregrad: Mittel

VM_DataEgressArtifacts

Warnungsanzeigename: Mögliche Datenexfiltration erkannt

Schweregrad: Mittel

VM_DigitalCurrencyMining

Warnungsanzeigename: Digitales Währungsminingverhalten erkannt

Schweregrad: hoch

VM_DownloadAndRunCombo

Anzeigename der Warnung: Verdächtiger Download Und dann Aktivität ausführen

Schweregrad: Mittel

VM_EICAR

Anzeigename der Warnung: Microsoft Defender für Cloud-Testwarnung (keine Bedrohung)

Schweregrad: hoch

VM_ExecuteHiddenFile

Anzeigename der Warnung: Ausführung der ausgeblendeten Datei

Schweregrad: Informational

VM_ExploitAttempt

Warnungsanzeigename: Möglicher Versuch der Befehlszeilenausnutzung

Schweregrad: Mittel

VM_ExposedDocker

Anzeigename der Warnung: Verfügbar gemachter Docker-Daemon im TCP-Socket

Schweregrad: Mittel

VM_FairwareMalware

Name der Warnungsanzeige: Verhalten ähnlich wie Fairware Ransomware erkannt

Schweregrad: Mittel

VM_FirewallDisabled

Warnungsanzeigename: Manipulation der erkannten Hostfirewall

Schweregrad: Mittel

VM_HadoopYarnExploit

Warnungsanzeigename: Mögliche Nutzung von Hadoop Yarn

Schweregrad: Mittel

VM_HistoryFileCleared

Anzeigename der Warnung: Eine Verlaufsdatei wurde gelöscht.

Schweregrad: Mittel

VM_KnownLinuxAttackTool

Anzeigename der Warnung: Mögliches Angriffstool erkannt

Schweregrad: Mittel

VM_KnownLinuxCredentialAccessTool

Anzeigename der Warnung: Mögliches Tool für den Zugriff auf Anmeldeinformationen erkannt

Schweregrad: Mittel

VM_KnownLinuxDDoSToolkit

Warnungsanzeigename: Indikatoren, die mit dem DDOS-Toolkit verknüpft sind, erkannt

Schweregrad: Mittel

VM_KnownLinuxScreenshotTool

Name der Warnungsanzeige: Screenshot, der auf dem Host erstellt wurde

Schweregrad: Niedrig

VM_LinuxBackdoorArtifact

Anzeigename der Warnung: Mögliche Hintertür erkannt

Schweregrad: Mittel

VM_LinuxReconnaissance

Warnungsanzeigename: Lokale Hostaufklärung erkannt

Schweregrad: Mittel

VM_MismatchedScriptFeatures

Warnungsanzeigename: Nicht übereinstimmende Skripterweiterungen erkannt

Schweregrad: Mittel

VM_MitreCalderaTools

Warnungsanzeigename: MITRE Caldera-Agent erkannt

Schweregrad: Mittel

VM_NewSingleUserModeStartupScript

Anzeigename der Warnung: Festgestellter Persistenzversuch

Schweregrad: Mittel

VM_NewSudoerAccount

Anzeigename der Warnung: Konto, das der Gruppe "sudo" hinzugefügt wurde

Schweregrad: Niedrig

VM_OverridingCommonFiles

Anzeigename der Warnung: Potenzielle Außerkraftsetzung allgemeiner Dateien

Schweregrad: Mittel

VM_PrivilegedContainerArtifacts

Warnungsanzeigename: Container, der im privilegierten Modus ausgeführt wird

Schweregrad: Niedrig

VM_PrivilegedExecutionInContainer

Warnungsanzeigename: Befehl in einem Container, der mit hohen Berechtigungen ausgeführt wird

Schweregrad: Niedrig

VM_ReadingHistoryFile

Anzeigename der Warnung: Ungewöhnlicher Zugriff auf bash-Verlaufsdatei

Schweregrad: Informational

VM_ReverseShell

Name der Warnungsanzeige: Potenzielle Reverseshell erkannt

Schweregrad: Mittel

VM_SshKeyAccess

Warnungsanzeigename: Prozess, der den Zugriff auf die SSH-Datei autorisierter Schlüssel auf ungewöhnliche Weise gesehen hat

Schweregrad: Niedrig

VM_SshKeyAddition

Anzeigename der Warnung: Neuer SSH-Schlüssel hinzugefügt

Schweregrad: Niedrig

VM_SuspectCompilation

Anzeigename der Warnung: Verdächtige Kompilierung erkannt

Schweregrad: Mittel

VM_SuspectConnection

Warnungsanzeigename: Ein ungewöhnlicher Verbindungsversuch wurde erkannt.

Schweregrad: Mittel

VM_SuspectDownload

Warnungsanzeigename: Erkannter Dateidownload aus einer bekannten schädlichen Quelle

Schweregrad: Mittel

VM_SuspectDownloadArtifacts

Anzeigename der Warnung: Verdächtiger Dateidownload erkannt

Schweregrad: Niedrig

VM_SuspectExecutablePath

Anzeigename der Warnung: Ausführbare Datei, die von einem verdächtigen Speicherort ausgeführt wurde

Schweregrad: Mittel

VM_SuspectHtaccessFileAccess

Warnungsanzeigename: Zugriff auf htaccess-Datei erkannt

Schweregrad: Mittel

VM_SuspectInitialShellCommand

Anzeigename der Warnung: Verdächtiger erster Befehl in der Shell

Schweregrad: Niedrig

VM_SuspectMixedCaseText

Warnungsanzeigename: Erkannte anomale Mischung aus Groß- und Kleinbuchstaben in der Befehlszeile

Schweregrad: Mittel

VM_SuspectNetworkConnection

Anzeigename der Warnung: Verdächtige Netzwerkverbindung

Schweregrad: Informational

VM_SuspectNohup

Anzeigename der Warnung: Verdächtige Verwendung des Nohup-Befehls erkannt

Schweregrad: Mittel

VM_SuspectPasswordChange

Warnungsanzeigename: Mögliche Kennwortänderung mithilfe der crypt-Methode erkannt

Schweregrad: Mittel

VM_SuspectPasswordFileAccess

Anzeigename der Warnung: Verdächtiger Kennwortzugriff

Schweregrad: Informational

VM_SuspectPhp

Anzeigename der Warnung: Verdächtige PHP-Ausführung erkannt

Schweregrad: Mittel

VM_SuspectPortForwarding

Anzeigename der Warnung: Potenzielle Portweiterleitung an externe IP-Adresse

Schweregrad: Mittel

VM_SuspectProcessAccountPrivilegeCombo

Name der Warnungsanzeige: Prozess, der in einem Dienstkonto ausgeführt wird, wurde unerwartet stamm

Schweregrad: Mittel

VM_SuspectProcessTermination

Anzeigename der Warnung: Sicherheitsbezogene Prozessbeendigung erkannt

Schweregrad: Niedrig

VM_SuspectUserAddition

Anzeigename der Warnung: Verdächtige Verwendung des useradd-Befehls erkannt

Schweregrad: Mittel

VM_SuspiciousCommandLineExecution

Anzeigename der Warnung: Verdächtige Befehlsausführung

Schweregrad: hoch

VM_SuspiciousDNSOverHttps

Anzeigename der Warnung: Verdächtige Verwendung von DNS über HTTPS

Schweregrad: Mittel

VM_SystemLogRemoval

Anzeigename der Warnung: Mögliche Protokollmanipulationsaktivität erkannt

Schweregrad: Mittel

VM_ThreatIntelCommandLineSuspectDomain

Anzeigename der Warnung: Es wurde eine mögliche Verbindung zu einem schädlichen Speicherort erkannt.

Schweregrad: Mittel

VM_ThreatIntelSuspectLogon

Name der Warnungsanzeige: Eine Anmeldung von einer schädlichen IP wurde erkannt.

Schweregrad: hoch

VM_TimerServiceDisabled

Warnungsanzeigename: Versuch, apt-daily-upgrade.timer service erkannt zu stoppen

Schweregrad: Informational

VM_TimestampTampering

Anzeigename der Warnung: Verdächtige Datei-Zeitstempeländerung

Schweregrad: Niedrig

VM_Webshell

Warnungsanzeigename: Mögliche bösartige Webshell erkannt

Schweregrad: Mittel

Veraltete Defender für Server-Windows-Warnungen

SCUBA_MULTIPLEACCOUNTCREATE

Anzeigename der Warnung: Verdächtige Erstellung von Konten auf mehreren Hosts

Schweregrad: Mittel

SCUBA_PSINSIGHT_CONTEXT

Anzeigename der Warnung: Verdächtige Verwendung von PowerShell erkannt

Schweregrad: Informational

SCUBA_RULE_AddGuestToAdministrators

Anzeigename der Warnung: Hinzufügen eines Gastkontos zur Gruppe "Lokale Administratoren"

Schweregrad: Mittel

SCUBA_RULE_Apache_Tomcat_executing_suspicious_commands

Anzeigename der Warnung: Apache_Tomcat_executing_suspicious_commands

Schweregrad: Mittel

SCUBA_RULE_KnownBruteForcingTools

Anzeigename der Warnung: Verdächtiger Prozess ausgeführt

Schweregrad: hoch

SCUBA_RULE_KnownCollectionTools

Anzeigename der Warnung: Verdächtiger Prozess ausgeführt

Schweregrad: hoch

SCUBA_RULE_KnownDefenseEvasionTools

Anzeigename der Warnung: Verdächtiger Prozess ausgeführt

Schweregrad: hoch

SCUBA_RULE_KnownExecutionTools

Anzeigename der Warnung: Verdächtiger Prozess ausgeführt

Schweregrad: hoch

SCUBA_RULE_KnownPassTheHashTools

Anzeigename der Warnung: Verdächtiger Prozess ausgeführt

Schweregrad: hoch

SCUBA_RULE_KnownSpammingTools

Anzeigename der Warnung: Verdächtiger Prozess ausgeführt

Schweregrad: Mittel

SCUBA_RULE_Lowering_Security_Settings

Anzeigename der Warnung: Die Deaktivierung kritischer Dienste wurde erkannt.

Schweregrad: Mittel

SCUBA_RULE_OtherKnownHackerTools

Anzeigename der Warnung: Verdächtiger Prozess ausgeführt

Schweregrad: hoch

SCUBA_RULE_RDP_session_hijacking_via_tscon

Warnungsanzeigename: Verdächtige Integritätsstufe für RDP-Entführerung

Schweregrad: Mittel

SCUBA_RULE_RDP_session_hijacking_via_tscon_service

Anzeigename der Warnung: Verdächtige Dienstinstallation

Schweregrad: Mittel

SCUBA_RULE_Suppress_pesky_unauthorized_use_prohibited_notices

Anzeigename der Warnung: Erkannte Unterdrückung der rechtlichen Benachrichtigung, die Benutzern bei der Anmeldung angezeigt wird

Schweregrad: Niedrig

SCUBA_RULE_WDigest_Enabling

Warnungsanzeigename: Die Aktivierung des Registrierungsschlüssels "WDigest UseLogonCredential" wurde erkannt.

Schweregrad: Mittel

VM.Windows_ApplockerBypass

Warnungsanzeigename: Potenzieller Versuch, AppLocker zu umgehen, erkannt

Schweregrad: hoch

VM.Windows_BariumKnownSuspiciousProcessExecution

Warnungsanzeigename: Verdächtige Dateierstellung erkannt

Schweregrad: hoch

VM.Windows_Base64EncodedExecutableInCommandLineParams

Warnungsanzeigename: Erkannt, codierte ausführbare Datei in Befehlszeilendaten

Schweregrad: hoch

VM.Windows_CalcsCommandLineUse

Name der Warnungsanzeige: Verdächtige Verwendung von Cacls erkannt, um den Sicherheitsstatus des Systems zu senken

Schweregrad: Mittel

VM.Windows_CommandLineStartingAllExe

Anzeigename der Warnung: Verdächtige Befehlszeile erkannt, mit der alle ausführbaren Dateien in einem Verzeichnis gestartet werden

Schweregrad: Mittel

VM.Windows_DisablingAndDeletingIISLogFiles

Warnungsanzeigename: Erkannte Aktionen, die auf das Deaktivieren und Löschen von IIS-Protokolldateien hinweisen

Schweregrad: Mittel

VM.Windows_DownloadUsingCertutil

Anzeigename der Warnung: Verdächtiger Download mithilfe von Certutil erkannt

Schweregrad: Mittel

VM.Windows_EchoOverPipeOnLocalhost

Name der Warnungsanzeige: Verdächtige benannte Pipe-Kommunikation erkannt

Schweregrad: hoch

VM.Windows_EchoToConstructPowerShellScript

Warnungsanzeigename: Dynamische PowerShell-Skripterstellung

Schweregrad: Mittel

VM.Windows_ExecutableDecodedUsingCertutil

Warnungsanzeigename: Erkannte Decodierung einer ausführbaren Datei mit integriertem certutil.exe-Tool

Schweregrad: Mittel

VM.Windows_FileDeletionIsSospisiousLocation

Anzeigename der Warnung: Verdächtige Dateilöschung erkannt

Schweregrad: Mittel

VM.Windows_KerberosGoldenTicketAttack

Warnungsanzeigename: Verdächtigte Kerberos Golden Ticket-Angriffsparameter beobachtet

Schweregrad: Mittel

VM.Windows_KeygenToolKnownProcessName

Warnungsanzeigename: Es wurde die mögliche Ausführung von ausführbaren Schlüsseln erkannt, die verdächtiger Prozess ausgeführt wurde.

Schweregrad: Mittel

VM.Windows_KnownCredentialAccessTools

Anzeigename der Warnung: Verdächtiger Prozess ausgeführt

Schweregrad: hoch

VM.Windows_KnownSuspiciousPowerShellScript

Anzeigename der Warnung: Verdächtige Verwendung von PowerShell erkannt

Schweregrad: hoch

VM.Windows_KnownSuspiciousSoftwareInstallation

Anzeigename der Warnung: Software mit hohem Risiko erkannt

Schweregrad: Mittel

VM.Windows_MsHtaAndPowerShellCombination

Name der Warnungsanzeige: Verdächtige Kombination von HTA und PowerShell erkannt

Schweregrad: Mittel

VM.Windows_MultipleAccountsQuery

Anzeigename der Warnung: Mehrere abgefragte Domänenkonten

Schweregrad: Mittel

VM.Windows_NewAccountCreation

Warnungsanzeigename: Kontoerstellung erkannt

Schweregrad: Informational

VM.Windows_ObfuscatedCommandLine

Warnungsanzeigename: Erkannte verschleierte Befehlszeile.

Schweregrad: hoch

VM.Windows_PcaluaUseToLaunchExecutable

Anzeigename der Warnung: Verdächtige Verwendung von Pcalua.exe erkannt, um ausführbaren Code zu starten

Schweregrad: Mittel

VM.Windows_PetyaRansomware

Anzeigename der Warnung: Erkannte Petya Ransomware-Indikatoren

Schweregrad: hoch

VM.Windows_PowerShellPowerSploitScriptExecution

Anzeigename der Warnung: Verdächtige PowerShell-Cmdlets ausgeführt

Schweregrad: Mittel

VM.Windows_RansomwareIndication

Anzeigename der Warnung: Ransomware-Indikatoren erkannt

Schweregrad: hoch

VM.Windows_SqlDumperUsedSuspiciously

Anzeigename der Warnung: Mögliches Dumping von Anmeldeinformationen wurde erkannt [mehrfach gesehen]

Schweregrad: Mittel

VM.Windows_StopCriticalServices

Anzeigename der Warnung: Die Deaktivierung kritischer Dienste wurde erkannt.

Schweregrad: Mittel

VM.Windows_SubvertingAccessibilityBinary

Anzeigename der Warnung: Angriff auf Sticky Keys erkannte verdächtige Kontoerstellung detected Medium

VM.Windows_SuspiciousAccountCreation

Anzeigename der Warnung: Verdächtige Kontoerstellung erkannt

Schweregrad: Mittel

VM.Windows_SuspiciousFirewallRuleAdded

Anzeigename der Warnung: Verdächtige neue Firewallregel erkannt

Schweregrad: Mittel

VM.Windows_SuspiciousFTPSSwitchUsage

Name der Warnungsanzeige: Verdächtige Verwendung des FTP-s Schalters erkannt

Schweregrad: Mittel

VM.Windows_SuspiciousSQLActivity

Anzeigename der Warnung: Verdächtige SQL-Aktivität

Schweregrad: Mittel

VM.Windows_SVCHostFromInvalidPath

Anzeigename der Warnung: Verdächtiger Prozess ausgeführt

Schweregrad: hoch

VM.Windows_SystemEventLogCleared

Anzeigename der Warnung: Das Windows-Sicherheit-Protokoll wurde gelöscht.

Schweregrad: Informational

VM.Windows_TelegramInstallation

Name der Warnungsanzeige: Potenziell verdächtige Verwendung des Telegram-Tools erkannt

Schweregrad: Mittel

VM.Windows_UndercoverProcess

Anzeigename der Warnung: Verdächtiger benannter Prozess erkannt

Schweregrad: hoch

VM.Windows_UserAccountControlBypass

Anzeigename der Warnung: Erkannte Änderung an einem Registrierungsschlüssel, der zum Umgehen des UAC missbraucht werden kann

Schweregrad: Mittel

VM.Windows_VBScriptEncoding

Anzeigename der Warnung: Verdächtige Ausführung des VBScript.Encode-Befehls erkannt

Schweregrad: Mittel

VM.Windows_WindowPositionRegisteryChange

Anzeigename der Warnung: Verdächtiger WindowPosition-Registrierungswert erkannt

Schweregrad: Niedrig

VM.Windows_ZincPortOpenningUsingFirewallRule

Warnungsanzeigename: Bösartige Firewallregel, die von ZINK-Serverimplantat erstellt wurde

Schweregrad: hoch

VM_DigitalCurrencyMining

Warnungsanzeigename: Digitales Währungsminingverhalten erkannt

Schweregrad: hoch

VM_MaliciousSQLActivity

Anzeigename der Warnung: Bösartige SQL-Aktivität

Schweregrad: hoch

VM_ProcessWithDoubleExtensionExecution

Anzeigename der Warnung: Verdächtige Doppelerweiterungsdatei ausgeführt

Schweregrad: hoch

VM_RegistryPersistencyKey

Warnungsanzeigename: Windows-Registrierungspersistenzmethode erkannt

Schweregrad: Niedrig

VM_ShadowCopyDeletion

Anzeigename der Warnung: Verdächtige Volume Shadow Copy Activity Ausführbare Datei, die von einem verdächtigen Speicherort ausgeführt wird

Schweregrad: hoch

VM_SuspectExecutablePath

Anzeigename der Warnung: Ausführbare Datei, die von einem verdächtigen Speicherort ausgeführt wurde, erkannt anomale Mischung aus Groß- und Kleinbuchstaben in der Befehlszeile

Schweregrad: Informational

Medium

VM_SuspectPhp

Anzeigename der Warnung: Verdächtige PHP-Ausführung erkannt

Schweregrad: Mittel

VM_SuspiciousCommandLineExecution

Anzeigename der Warnung: Verdächtige Befehlsausführung

Schweregrad: hoch

VM_SuspiciousScreenSaverExecution

Anzeigename der Warnung: Verdächtiger Bildschirmschonerprozess ausgeführt

Schweregrad: Mittel

VM_SvcHostRunInRareServiceGroup

Warnungsanzeigename: Seltene SVCHOST-Dienstgruppe ausgeführt

Schweregrad: Informational

VM_SystemProcessInAbnormalContext

Anzeigename der Warnung: Verdächtiger Systemprozess ausgeführt

Schweregrad: Mittel

VM_ThreatIntelCommandLineSuspectDomain

Anzeigename der Warnung: Es wurde eine mögliche Verbindung zu einem schädlichen Speicherort erkannt.

Schweregrad: Mittel

VM_ThreatIntelSuspectLogon

Name der Warnungsanzeige: Eine Anmeldung von einer schädlichen IP wurde erkannt.

Schweregrad: hoch

VM_VbScriptHttpObjectAllocation

Warnungsanzeigename: VBScript-HTTP-Objektzuweisung erkannt

Schweregrad: hoch

VM_TaskkillBurst

Anzeigename der Warnung: Verdächtiger Prozessabbruch

Schweregrad: Niedrig

VM_RunByPsExec

Anzeigename der Warnung: PsExec-Ausführung erkannt

Schweregrad: Informational

Hinweis

Für Warnungen, die sich in der Vorschau befinden: Die ergänzenden Bestimmungen für Azure-Vorschauen enthalten zusätzliche rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden bzw. anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.

Nächste Schritte