Veraltete Sicherheitsbenachrichtigungen
In diesem Artikel werden veraltete Sicherheitswarnungen in Microsoft Defender für Cloud aufgeführt.
Veraltete Defender for Containers-Warnungen
Die folgenden Listen enthalten die Sicherheitswarnungen von Defender for Containers, die veraltet waren.
Manipulation der Hostfirewall erkannt
(K8S.NODE_FirewallDisabled)
Beschreibung: Die Analyse von Prozessen, die innerhalb eines Containers oder direkt auf einem Kubernetes-Knoten ausgeführt werden, hat eine mögliche Manipulation der On-Host-Firewall erkannt. Angreifer deaktivieren diese häufig, um Daten zu exfiltrieren.
MITRE-Taktiken: DefenseEvasion, Exfiltration
Schweregrad: Mittel
Verdächtige Verwendung von DNS über HTTPS
(K8S.NODE_SuspiciousDNSOverHttps)
Beschreibung: Die Analyse von Prozessen, die in einem Container oder direkt auf einem Kubernetes-Knoten ausgeführt werden, hat die Verwendung eines DNS-Aufrufs über HTTPS ungewöhnlich erkannt. Diese Technik wird von Angreifern verwendet, um Aufrufe von verdächtigen oder schädlichen Websites auszublenden.
MITRE-Taktiken: DefenseEvasion, Exfiltration
Schweregrad: Mittel
Es wurde eine mögliche Verbindung mit bösartigem Speicherort erkannt.
(K8S.NODE_ThreatIntelCommandLineSuspectDomain)
Beschreibung: Die Analyse von Prozessen, die in einem Container oder direkt auf einem Kubernetes-Knoten ausgeführt werden, hat eine Verbindung zu einem Speicherort erkannt, der als bösartig oder ungewöhnlich gemeldet wurde. Dies ist ein Indikator, dass möglicherweise eine Kompromittierung aufgetreten ist.
MITRE-Taktiken: InitialAccess
Schweregrad: Mittel
Digital Currency Mining-Aktivität
(K8S. NODE_CurrencyMining)
Beschreibung: Analyse von DNS-Transaktionen erkannte digitale Währungsminingaktivität. Bei einer solchen Aktivität kann es sich um das Verhalten legitimer Benutzer handeln, in vielen Fällen wird sie jedoch nach der Kompromittierung von Ressourcen von Angreifern ausgeführt. Zu den typischen Aktivitäten von Angreifern zählen in diesem Fall der Download und die Ausführung gängiger Mining-Tools.
MITRE-Taktiken: Exfiltration
Schweregrad: Niedrig
Veraltete Defender für Server Linux-Warnungen
VM_AbnormalDaemonTermination
Anzeigename der Warnung: Abnorme Beendigung
Schweregrad: Niedrig
VM_BinaryGeneratedFromCommandLine
Anzeigename der Warnung: Verdächtige Binärdatei erkannt
Schweregrad: Mittel
VM_CommandlineSuspectDomain Suspicious
Warnungsanzeigename: Domänennamenreferenz
Schweregrad: Niedrig
VM_CommonBot
Warnungsanzeigename: Verhalten ähnlich wie gängige Linux-Bots erkannt
Schweregrad: Mittel
VM_CompCommonBots
Warnungsanzeigename: Befehle ähnlich wie gängige Linux-Bots erkannt
Schweregrad: Mittel
VM_CompSuspiciousScript
Anzeigename der Warnung: Shellskript erkannt
Schweregrad: Mittel
VM_CompTestRule
Anzeigename der Warnung: Zusammengesetzte Analysetestbenachrichtigung
Schweregrad: Niedrig
VM_CronJobAccess
Anzeigename der Warnung: Manipulation geplanter Vorgänge erkannt
Schweregrad: Informational
VM_CryptoCoinMinerArtifacts
Anzeigename der Warnung: Prozess, der mit dem erkannten digitalen Währungsmining verknüpft ist
Schweregrad: Mittel
VM_CryptoCoinMinerDownload
Warnungsanzeigename: Möglicher Cryptocoinminer Download erkannt
Schweregrad: Mittel
VM_CryptoCoinMinerExecution
Anzeigename der Warnung: Potenzieller Kryptomünzeminer gestartet
Schweregrad: Mittel
VM_DataEgressArtifacts
Warnungsanzeigename: Mögliche Datenexfiltration erkannt
Schweregrad: Mittel
VM_DigitalCurrencyMining
Warnungsanzeigename: Digitales Währungsminingverhalten erkannt
Schweregrad: hoch
VM_DownloadAndRunCombo
Anzeigename der Warnung: Verdächtiger Download Und dann Aktivität ausführen
Schweregrad: Mittel
VM_EICAR
Anzeigename der Warnung: Microsoft Defender für Cloud-Testwarnung (keine Bedrohung)
Schweregrad: hoch
VM_ExecuteHiddenFile
Anzeigename der Warnung: Ausführung der ausgeblendeten Datei
Schweregrad: Informational
VM_ExploitAttempt
Warnungsanzeigename: Möglicher Versuch der Befehlszeilenausnutzung
Schweregrad: Mittel
VM_ExposedDocker
Anzeigename der Warnung: Verfügbar gemachter Docker-Daemon im TCP-Socket
Schweregrad: Mittel
VM_FairwareMalware
Name der Warnungsanzeige: Verhalten ähnlich wie Fairware Ransomware erkannt
Schweregrad: Mittel
VM_FirewallDisabled
Warnungsanzeigename: Manipulation der erkannten Hostfirewall
Schweregrad: Mittel
VM_HadoopYarnExploit
Warnungsanzeigename: Mögliche Nutzung von Hadoop Yarn
Schweregrad: Mittel
VM_HistoryFileCleared
Anzeigename der Warnung: Eine Verlaufsdatei wurde gelöscht.
Schweregrad: Mittel
VM_KnownLinuxAttackTool
Anzeigename der Warnung: Mögliches Angriffstool erkannt
Schweregrad: Mittel
VM_KnownLinuxCredentialAccessTool
Anzeigename der Warnung: Mögliches Tool für den Zugriff auf Anmeldeinformationen erkannt
Schweregrad: Mittel
VM_KnownLinuxDDoSToolkit
Warnungsanzeigename: Indikatoren, die mit dem DDOS-Toolkit verknüpft sind, erkannt
Schweregrad: Mittel
VM_KnownLinuxScreenshotTool
Name der Warnungsanzeige: Screenshot, der auf dem Host erstellt wurde
Schweregrad: Niedrig
VM_LinuxBackdoorArtifact
Anzeigename der Warnung: Mögliche Hintertür erkannt
Schweregrad: Mittel
VM_LinuxReconnaissance
Warnungsanzeigename: Lokale Hostaufklärung erkannt
Schweregrad: Mittel
VM_MismatchedScriptFeatures
Warnungsanzeigename: Nicht übereinstimmende Skripterweiterungen erkannt
Schweregrad: Mittel
VM_MitreCalderaTools
Warnungsanzeigename: MITRE Caldera-Agent erkannt
Schweregrad: Mittel
VM_NewSingleUserModeStartupScript
Anzeigename der Warnung: Festgestellter Persistenzversuch
Schweregrad: Mittel
VM_NewSudoerAccount
Anzeigename der Warnung: Konto, das der Gruppe "sudo" hinzugefügt wurde
Schweregrad: Niedrig
VM_OverridingCommonFiles
Anzeigename der Warnung: Potenzielle Außerkraftsetzung allgemeiner Dateien
Schweregrad: Mittel
VM_PrivilegedContainerArtifacts
Warnungsanzeigename: Container, der im privilegierten Modus ausgeführt wird
Schweregrad: Niedrig
VM_PrivilegedExecutionInContainer
Warnungsanzeigename: Befehl in einem Container, der mit hohen Berechtigungen ausgeführt wird
Schweregrad: Niedrig
VM_ReadingHistoryFile
Anzeigename der Warnung: Ungewöhnlicher Zugriff auf bash-Verlaufsdatei
Schweregrad: Informational
VM_ReverseShell
Name der Warnungsanzeige: Potenzielle Reverseshell erkannt
Schweregrad: Mittel
VM_SshKeyAccess
Warnungsanzeigename: Prozess, der den Zugriff auf die SSH-Datei autorisierter Schlüssel auf ungewöhnliche Weise gesehen hat
Schweregrad: Niedrig
VM_SshKeyAddition
Anzeigename der Warnung: Neuer SSH-Schlüssel hinzugefügt
Schweregrad: Niedrig
VM_SuspectCompilation
Anzeigename der Warnung: Verdächtige Kompilierung erkannt
Schweregrad: Mittel
VM_SuspectConnection
Warnungsanzeigename: Ein ungewöhnlicher Verbindungsversuch wurde erkannt.
Schweregrad: Mittel
VM_SuspectDownload
Warnungsanzeigename: Erkannter Dateidownload aus einer bekannten schädlichen Quelle
Schweregrad: Mittel
VM_SuspectDownloadArtifacts
Anzeigename der Warnung: Verdächtiger Dateidownload erkannt
Schweregrad: Niedrig
VM_SuspectExecutablePath
Anzeigename der Warnung: Ausführbare Datei, die von einem verdächtigen Speicherort ausgeführt wurde
Schweregrad: Mittel
VM_SuspectHtaccessFileAccess
Warnungsanzeigename: Zugriff auf htaccess-Datei erkannt
Schweregrad: Mittel
VM_SuspectInitialShellCommand
Anzeigename der Warnung: Verdächtiger erster Befehl in der Shell
Schweregrad: Niedrig
VM_SuspectMixedCaseText
Warnungsanzeigename: Erkannte anomale Mischung aus Groß- und Kleinbuchstaben in der Befehlszeile
Schweregrad: Mittel
VM_SuspectNetworkConnection
Anzeigename der Warnung: Verdächtige Netzwerkverbindung
Schweregrad: Informational
VM_SuspectNohup
Anzeigename der Warnung: Verdächtige Verwendung des Nohup-Befehls erkannt
Schweregrad: Mittel
VM_SuspectPasswordChange
Warnungsanzeigename: Mögliche Kennwortänderung mithilfe der crypt-Methode erkannt
Schweregrad: Mittel
VM_SuspectPasswordFileAccess
Anzeigename der Warnung: Verdächtiger Kennwortzugriff
Schweregrad: Informational
VM_SuspectPhp
Anzeigename der Warnung: Verdächtige PHP-Ausführung erkannt
Schweregrad: Mittel
VM_SuspectPortForwarding
Anzeigename der Warnung: Potenzielle Portweiterleitung an externe IP-Adresse
Schweregrad: Mittel
VM_SuspectProcessAccountPrivilegeCombo
Name der Warnungsanzeige: Prozess, der in einem Dienstkonto ausgeführt wird, wurde unerwartet stamm
Schweregrad: Mittel
VM_SuspectProcessTermination
Anzeigename der Warnung: Sicherheitsbezogene Prozessbeendigung erkannt
Schweregrad: Niedrig
VM_SuspectUserAddition
Anzeigename der Warnung: Verdächtige Verwendung des useradd-Befehls erkannt
Schweregrad: Mittel
VM_SuspiciousCommandLineExecution
Anzeigename der Warnung: Verdächtige Befehlsausführung
Schweregrad: hoch
VM_SuspiciousDNSOverHttps
Anzeigename der Warnung: Verdächtige Verwendung von DNS über HTTPS
Schweregrad: Mittel
VM_SystemLogRemoval
Anzeigename der Warnung: Mögliche Protokollmanipulationsaktivität erkannt
Schweregrad: Mittel
VM_ThreatIntelCommandLineSuspectDomain
Anzeigename der Warnung: Es wurde eine mögliche Verbindung zu einem schädlichen Speicherort erkannt.
Schweregrad: Mittel
VM_ThreatIntelSuspectLogon
Name der Warnungsanzeige: Eine Anmeldung von einer schädlichen IP wurde erkannt.
Schweregrad: hoch
VM_TimerServiceDisabled
Warnungsanzeigename: Versuch, apt-daily-upgrade.timer service erkannt zu stoppen
Schweregrad: Informational
VM_TimestampTampering
Anzeigename der Warnung: Verdächtige Datei-Zeitstempeländerung
Schweregrad: Niedrig
VM_Webshell
Warnungsanzeigename: Mögliche bösartige Webshell erkannt
Schweregrad: Mittel
Veraltete Defender für Server-Windows-Warnungen
SCUBA_MULTIPLEACCOUNTCREATE
Anzeigename der Warnung: Verdächtige Erstellung von Konten auf mehreren Hosts
Schweregrad: Mittel
SCUBA_PSINSIGHT_CONTEXT
Anzeigename der Warnung: Verdächtige Verwendung von PowerShell erkannt
Schweregrad: Informational
SCUBA_RULE_AddGuestToAdministrators
Anzeigename der Warnung: Hinzufügen eines Gastkontos zur Gruppe "Lokale Administratoren"
Schweregrad: Mittel
SCUBA_RULE_Apache_Tomcat_executing_suspicious_commands
Anzeigename der Warnung: Apache_Tomcat_executing_suspicious_commands
Schweregrad: Mittel
SCUBA_RULE_KnownBruteForcingTools
Anzeigename der Warnung: Verdächtiger Prozess ausgeführt
Schweregrad: hoch
SCUBA_RULE_KnownCollectionTools
Anzeigename der Warnung: Verdächtiger Prozess ausgeführt
Schweregrad: hoch
SCUBA_RULE_KnownDefenseEvasionTools
Anzeigename der Warnung: Verdächtiger Prozess ausgeführt
Schweregrad: hoch
SCUBA_RULE_KnownExecutionTools
Anzeigename der Warnung: Verdächtiger Prozess ausgeführt
Schweregrad: hoch
SCUBA_RULE_KnownPassTheHashTools
Anzeigename der Warnung: Verdächtiger Prozess ausgeführt
Schweregrad: hoch
SCUBA_RULE_KnownSpammingTools
Anzeigename der Warnung: Verdächtiger Prozess ausgeführt
Schweregrad: Mittel
SCUBA_RULE_Lowering_Security_Settings
Anzeigename der Warnung: Die Deaktivierung kritischer Dienste wurde erkannt.
Schweregrad: Mittel
SCUBA_RULE_OtherKnownHackerTools
Anzeigename der Warnung: Verdächtiger Prozess ausgeführt
Schweregrad: hoch
SCUBA_RULE_RDP_session_hijacking_via_tscon
Warnungsanzeigename: Verdächtige Integritätsstufe für RDP-Entführerung
Schweregrad: Mittel
SCUBA_RULE_RDP_session_hijacking_via_tscon_service
Anzeigename der Warnung: Verdächtige Dienstinstallation
Schweregrad: Mittel
SCUBA_RULE_Suppress_pesky_unauthorized_use_prohibited_notices
Anzeigename der Warnung: Erkannte Unterdrückung der rechtlichen Benachrichtigung, die Benutzern bei der Anmeldung angezeigt wird
Schweregrad: Niedrig
SCUBA_RULE_WDigest_Enabling
Warnungsanzeigename: Die Aktivierung des Registrierungsschlüssels "WDigest UseLogonCredential" wurde erkannt.
Schweregrad: Mittel
VM.Windows_ApplockerBypass
Warnungsanzeigename: Potenzieller Versuch, AppLocker zu umgehen, erkannt
Schweregrad: hoch
VM.Windows_BariumKnownSuspiciousProcessExecution
Warnungsanzeigename: Verdächtige Dateierstellung erkannt
Schweregrad: hoch
VM.Windows_Base64EncodedExecutableInCommandLineParams
Warnungsanzeigename: Erkannt, codierte ausführbare Datei in Befehlszeilendaten
Schweregrad: hoch
VM.Windows_CalcsCommandLineUse
Name der Warnungsanzeige: Verdächtige Verwendung von Cacls erkannt, um den Sicherheitsstatus des Systems zu senken
Schweregrad: Mittel
VM.Windows_CommandLineStartingAllExe
Anzeigename der Warnung: Verdächtige Befehlszeile erkannt, mit der alle ausführbaren Dateien in einem Verzeichnis gestartet werden
Schweregrad: Mittel
VM.Windows_DisablingAndDeletingIISLogFiles
Warnungsanzeigename: Erkannte Aktionen, die auf das Deaktivieren und Löschen von IIS-Protokolldateien hinweisen
Schweregrad: Mittel
VM.Windows_DownloadUsingCertutil
Anzeigename der Warnung: Verdächtiger Download mithilfe von Certutil erkannt
Schweregrad: Mittel
VM.Windows_EchoOverPipeOnLocalhost
Name der Warnungsanzeige: Verdächtige benannte Pipe-Kommunikation erkannt
Schweregrad: hoch
VM.Windows_EchoToConstructPowerShellScript
Warnungsanzeigename: Dynamische PowerShell-Skripterstellung
Schweregrad: Mittel
VM.Windows_ExecutableDecodedUsingCertutil
Warnungsanzeigename: Erkannte Decodierung einer ausführbaren Datei mit integriertem certutil.exe-Tool
Schweregrad: Mittel
VM.Windows_FileDeletionIsSospisiousLocation
Anzeigename der Warnung: Verdächtige Dateilöschung erkannt
Schweregrad: Mittel
VM.Windows_KerberosGoldenTicketAttack
Warnungsanzeigename: Verdächtigte Kerberos Golden Ticket-Angriffsparameter beobachtet
Schweregrad: Mittel
VM.Windows_KeygenToolKnownProcessName
Warnungsanzeigename: Es wurde die mögliche Ausführung von ausführbaren Schlüsseln erkannt, die verdächtiger Prozess ausgeführt wurde.
Schweregrad: Mittel
VM.Windows_KnownCredentialAccessTools
Anzeigename der Warnung: Verdächtiger Prozess ausgeführt
Schweregrad: hoch
VM.Windows_KnownSuspiciousPowerShellScript
Anzeigename der Warnung: Verdächtige Verwendung von PowerShell erkannt
Schweregrad: hoch
VM.Windows_KnownSuspiciousSoftwareInstallation
Anzeigename der Warnung: Software mit hohem Risiko erkannt
Schweregrad: Mittel
VM.Windows_MsHtaAndPowerShellCombination
Name der Warnungsanzeige: Verdächtige Kombination von HTA und PowerShell erkannt
Schweregrad: Mittel
VM.Windows_MultipleAccountsQuery
Anzeigename der Warnung: Mehrere abgefragte Domänenkonten
Schweregrad: Mittel
VM.Windows_NewAccountCreation
Warnungsanzeigename: Kontoerstellung erkannt
Schweregrad: Informational
VM.Windows_ObfuscatedCommandLine
Warnungsanzeigename: Erkannte verschleierte Befehlszeile.
Schweregrad: hoch
VM.Windows_PcaluaUseToLaunchExecutable
Anzeigename der Warnung: Verdächtige Verwendung von Pcalua.exe erkannt, um ausführbaren Code zu starten
Schweregrad: Mittel
VM.Windows_PetyaRansomware
Anzeigename der Warnung: Erkannte Petya Ransomware-Indikatoren
Schweregrad: hoch
VM.Windows_PowerShellPowerSploitScriptExecution
Anzeigename der Warnung: Verdächtige PowerShell-Cmdlets ausgeführt
Schweregrad: Mittel
VM.Windows_RansomwareIndication
Anzeigename der Warnung: Ransomware-Indikatoren erkannt
Schweregrad: hoch
VM.Windows_SqlDumperUsedSuspiciously
Anzeigename der Warnung: Mögliches Dumping von Anmeldeinformationen wurde erkannt [mehrfach gesehen]
Schweregrad: Mittel
VM.Windows_StopCriticalServices
Anzeigename der Warnung: Die Deaktivierung kritischer Dienste wurde erkannt.
Schweregrad: Mittel
VM.Windows_SubvertingAccessibilityBinary
Anzeigename der Warnung: Angriff auf Sticky Keys erkannte verdächtige Kontoerstellung detected Medium
VM.Windows_SuspiciousAccountCreation
Anzeigename der Warnung: Verdächtige Kontoerstellung erkannt
Schweregrad: Mittel
VM.Windows_SuspiciousFirewallRuleAdded
Anzeigename der Warnung: Verdächtige neue Firewallregel erkannt
Schweregrad: Mittel
VM.Windows_SuspiciousFTPSSwitchUsage
Name der Warnungsanzeige: Verdächtige Verwendung des FTP-s Schalters erkannt
Schweregrad: Mittel
VM.Windows_SuspiciousSQLActivity
Anzeigename der Warnung: Verdächtige SQL-Aktivität
Schweregrad: Mittel
VM.Windows_SVCHostFromInvalidPath
Anzeigename der Warnung: Verdächtiger Prozess ausgeführt
Schweregrad: hoch
VM.Windows_SystemEventLogCleared
Anzeigename der Warnung: Das Windows-Sicherheit-Protokoll wurde gelöscht.
Schweregrad: Informational
VM.Windows_TelegramInstallation
Name der Warnungsanzeige: Potenziell verdächtige Verwendung des Telegram-Tools erkannt
Schweregrad: Mittel
VM.Windows_UndercoverProcess
Anzeigename der Warnung: Verdächtiger benannter Prozess erkannt
Schweregrad: hoch
VM.Windows_UserAccountControlBypass
Anzeigename der Warnung: Erkannte Änderung an einem Registrierungsschlüssel, der zum Umgehen des UAC missbraucht werden kann
Schweregrad: Mittel
VM.Windows_VBScriptEncoding
Anzeigename der Warnung: Verdächtige Ausführung des VBScript.Encode-Befehls erkannt
Schweregrad: Mittel
VM.Windows_WindowPositionRegisteryChange
Anzeigename der Warnung: Verdächtiger WindowPosition-Registrierungswert erkannt
Schweregrad: Niedrig
VM.Windows_ZincPortOpenningUsingFirewallRule
Warnungsanzeigename: Bösartige Firewallregel, die von ZINK-Serverimplantat erstellt wurde
Schweregrad: hoch
VM_DigitalCurrencyMining
Warnungsanzeigename: Digitales Währungsminingverhalten erkannt
Schweregrad: hoch
VM_MaliciousSQLActivity
Anzeigename der Warnung: Bösartige SQL-Aktivität
Schweregrad: hoch
VM_ProcessWithDoubleExtensionExecution
Anzeigename der Warnung: Verdächtige Doppelerweiterungsdatei ausgeführt
Schweregrad: hoch
VM_RegistryPersistencyKey
Warnungsanzeigename: Windows-Registrierungspersistenzmethode erkannt
Schweregrad: Niedrig
VM_ShadowCopyDeletion
Anzeigename der Warnung: Verdächtige Volume Shadow Copy Activity Ausführbare Datei, die von einem verdächtigen Speicherort ausgeführt wird
Schweregrad: hoch
VM_SuspectExecutablePath
Anzeigename der Warnung: Ausführbare Datei, die von einem verdächtigen Speicherort ausgeführt wurde, erkannt anomale Mischung aus Groß- und Kleinbuchstaben in der Befehlszeile
Schweregrad: Informational
Medium
VM_SuspectPhp
Anzeigename der Warnung: Verdächtige PHP-Ausführung erkannt
Schweregrad: Mittel
VM_SuspiciousCommandLineExecution
Anzeigename der Warnung: Verdächtige Befehlsausführung
Schweregrad: hoch
VM_SuspiciousScreenSaverExecution
Anzeigename der Warnung: Verdächtiger Bildschirmschonerprozess ausgeführt
Schweregrad: Mittel
VM_SvcHostRunInRareServiceGroup
Warnungsanzeigename: Seltene SVCHOST-Dienstgruppe ausgeführt
Schweregrad: Informational
VM_SystemProcessInAbnormalContext
Anzeigename der Warnung: Verdächtiger Systemprozess ausgeführt
Schweregrad: Mittel
VM_ThreatIntelCommandLineSuspectDomain
Anzeigename der Warnung: Es wurde eine mögliche Verbindung zu einem schädlichen Speicherort erkannt.
Schweregrad: Mittel
VM_ThreatIntelSuspectLogon
Name der Warnungsanzeige: Eine Anmeldung von einer schädlichen IP wurde erkannt.
Schweregrad: hoch
VM_VbScriptHttpObjectAllocation
Warnungsanzeigename: VBScript-HTTP-Objektzuweisung erkannt
Schweregrad: hoch
VM_TaskkillBurst
Anzeigename der Warnung: Verdächtiger Prozessabbruch
Schweregrad: Niedrig
VM_RunByPsExec
Anzeigename der Warnung: PsExec-Ausführung erkannt
Schweregrad: Informational
Hinweis
Für Warnungen, die sich in der Vorschau befinden: Die ergänzenden Bestimmungen für Azure-Vorschauen enthalten zusätzliche rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden bzw. anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.