Azure VM 拡張機能のアラート

[アーティクル]
08/07/2024

この記事では、Microsoft Defender for Cloud から Azure VM 拡張機能に対して取得できるセキュリティアラートと、有効にしたすべての Microsoft Defender プランの一覧を示します。お使いの環境で示されるアラートは、保護対象のリソースとサービスおよびカスタマイズした構成によって異なります。

Note

Microsoft Defender 脅威インテリジェンスと Microsoft Defender for Endpoint を利用して最近追加されたアラートの一部は、文書化されていない可能性があります。

これらのアラートに対応する方法については、こちらを参照してください。

アラートをエクスポートする方法については、こちらを参照してください。

注意

アラートの出力元によって、表示されるまでの時間が変わる場合があります。たとえば、ネットワークトラフィックの分析を必要とするアラートは、仮想マシンで実行されている不審なプロセスに関連するアラートよりも、表示されるまでより長い時間がかかる可能性があります。

Azure VM 拡張機能のアラート

これらのアラートは、Azure 仮想マシン拡張機能の疑わしいアクティビティの検出に焦点を当て、仮想マシンに対する悪意のあるアクティビティを侵害および実行しようとする攻撃者の試みに関する分析情報を提供します。

Azure 仮想マシン拡張機能は、仮想マシンでデプロイ後に実行され、構成、自動化、監視、セキュリティなどの機能を提供する小規模なアプリケーションです。拡張機能は強力なツールですが、次のようなさまざまな悪意のある意図で脅威アクターに使用される可能性があります。

データ収集と監視
高い特権でのコードの実行と構成のデプロイ
資格情報のリセットと管理ユーザーの作成
ディスクの暗号化

Azure VM 拡張機能の悪用に対する最新の保護 Defender for Cloud について説明します。

サブスクリプションへの GPU 拡張機能のインストール中の不審なエラー (プレビュー)

(VM_GPUExtensionSuspiciousFailure)

説明: サポートされていない VM に GPU 拡張機能をインストールする疑わしい意図。この拡張機能はグラフィックプロセッサを搭載した仮想マシンにインストールする必要がありますが、この場合、仮想マシンにはグラフィックプロセッサが搭載されていません。これらのエラーは、悪意のある攻撃者が暗号化マイニングを目的としてそのような拡張機能の複数のインストールを実行するときに発生する可能性があります。

MITRE 戦術: 影響

重大度: 中

仮想マシン上で GPU 拡張機能の不審なインストールが検出されました (プレビュー)

(VM_GPUDriverExtensionUnusualExecution)

説明: サブスクリプション内の Azure Resource Manager 操作を分析することで、仮想マシンに GPU 拡張機能の疑わしいインストールが検出されました。攻撃者はクリプトジャッキングを実行するために、GPU ドライバー拡張機能を使用して、Azure Resource Manager 経由で仮想マシンに GPU ドライバーをインストールする可能性があります。プリンシパルの動作が通常のパターンから逸脱しているため、この行為は不審であると考えられます。

MITRE 戦術: 影響

重大度: 低

仮想マシン上で不審なスクリプトを含む Run Command が検出されました (プレビュー)

(VM_RunCommandSuspiciousScript)

説明: サブスクリプション内の Azure Resource Manager 操作を分析することで、疑わしいスクリプトを含む実行コマンドが仮想マシンで検出されました。攻撃者は実行コマンドを使って、Azure Resource Manager から仮想マシンに対して高い特権で悪意のあるコードを実行する可能性があります。特定の部分が潜在的に悪意があると特定されたため、スクリプトは疑わしいと見なされます。

MITRE の戦術: 実行

重大度: 高

仮想マシン上で不審な無許可 Run Command の使用が検出されました (プレビュー)

(VM_RunCommandSuspiciousFailure)

説明: 実行コマンドの疑わしい未承認の使用が失敗し、サブスクリプションの Azure Resource Manager 操作を分析して仮想マシンで検出されました。攻撃者は実行コマンドを使って、Azure Resource Manager から仮想マシンに対して高い特権で悪意のあるコードの実行を試みる可能性があります。このアクティビティはこれまで一般的に見られたことがないため、疑わしいと考えられます。

MITRE の戦術: 実行

重大度: 中

仮想マシン上で不審な Run Command の使用が検出されました (プレビュー)

(VM_RunCommandSuspiciousUsage)

説明: サブスクリプション内の Azure Resource Manager 操作を分析することで、仮想マシンで実行コマンドの疑わしい使用状況が検出されました。攻撃者は実行コマンドを使って、Azure Resource Manager から仮想マシンに対して高い特権で悪意のあるコードを実行する可能性があります。このアクティビティはこれまで一般的に見られたことがないため、疑わしいと考えられます。

MITRE の戦術: 実行

重大度: 低

複数の監視拡張機能またはデータ収集拡張機能の不審な使用が仮想マシンで検出されました (プレビュー)

(VM_SuspiciousMultiExtensionUsage)

説明: サブスクリプション内の Azure Resource Manager 操作を分析することで、仮想マシンで複数の監視またはデータ収集拡張機能の疑わしい使用状況が検出されました。攻撃者は、データの収集やネットワークトラフィックの監視などのために、サブスクリプション内でこのような拡張機能を悪用する可能性があります。この使用はこれまで一般的に見られたことがないため、疑わしいと考えられます。

MITRE 戦術: 偵察

重大度: 中

仮想マシン上でディスク暗号化拡張機能の不審なインストールが検出されました (プレビュー)

(VM_DiskEncryptionSuspiciousUsage)

説明: サブスクリプションの Azure Resource Manager 操作を分析することで、仮想マシンにディスク暗号化拡張機能の疑わしいインストールが検出されました。攻撃者はディスク暗号化拡張機能を悪用し、Azure Resource Manager 経由で仮想マシンにフルディスク暗号化を展開し、ランサムウェアアクティビティを実行する可能性があります。このアクティビティは、これまで一般的に見られたことがなく、拡張機能のインストール数が多いため、疑わしいと考えられます。

MITRE 戦術: 影響

重大度: 中

VMAccess 拡張機能の不審な使用が仮想マシンで検出されました (プレビュー)

(VM_VMAccessSuspiciousUsage)

説明: 仮想マシンで VMAccess 拡張機能の疑わしい使用が検出されました。攻撃者は、VMAccess 拡張機能を悪用してアクセス権を取得し、アクセスをリセットしたり、管理ユーザーを管理したりすることで、高い特権で仮想マシンを侵害する可能性があります。プリンシパルの動作が通常のパターンから逸脱していること、拡張機能のインストール数が多いことから、このアクティビティは疑わしいと見なされます。

MITRE の戦術: 永続化

重大度: 中

不審なスクリプトを含む Desired State Configuration (DSC) 拡張機能が仮想マシン上で検出されました (プレビュー)

(VM_DSCExtensionSuspiciousScript)

説明: 疑わしいスクリプトを含む Desired State Configuration (DSC) 拡張機能が、サブスクリプション内の Azure Resource Manager 操作を分析することによって仮想マシンで検出されました。攻撃者は、Desired State Configuration (DSC) 拡張機能を使用して、永続化メカニズムや悪意のあるスクリプトなどの悪意のある構成を高い特権で仮想マシンに展開する可能性があります。特定の部分が潜在的に悪意があると特定されたため、スクリプトは疑わしいと見なされます。

MITRE の戦術: 実行

重大度: 高

Desired State Configuration (DSC) 拡張機能の不審な使用が仮想マシンで検出されました (プレビュー)

(VM_DSCExtensionSuspiciousUsage)

説明: サブスクリプション内の Azure Resource Manager 操作を分析することで、仮想マシンで Desired State Configuration (DSC) 拡張機能の疑わしい使用状況が検出されました。攻撃者は、Desired State Configuration (DSC) 拡張機能を使用して、永続化メカニズムや悪意のあるスクリプトなどの悪意のある構成を高い特権で仮想マシンに展開する可能性があります。プリンシパルの動作が通常のパターンから逸脱していること、拡張機能のインストール数が多いことから、このアクティビティは疑わしいと見なされます。

MITRE の戦術: 実行

重大度: 低

不審なスクリプトを含むカスタムスクリプト拡張機能が仮想マシンで検出されました (プレビュー)

(VM_CustomScriptExtensionSuspiciousCmd)

説明: 疑わしいスクリプトを含むカスタムスクリプト拡張機能が、サブスクリプション内の Azure Resource Manager 操作を分析することによって仮想マシンで検出されました。攻撃者はカスタムスクリプト拡張機能を使用し、Azure Resource Manager 経由で仮想マシン上で高い特権で悪意のあるコードを実行する可能性があります。特定の部分が潜在的に悪意があると特定されたため、スクリプトは疑わしいと見なされます。

MITRE の戦術: 実行

重大度: 高

Suspicious failed execution of custom script extension in your virtual machine (仮想マシンでのカスタムスクリプト拡張機能の不審な実行の失敗)

(VM_CustomScriptExtensionSuspiciousFailure)

説明: サブスクリプション内の Azure Resource Manager 操作を分析することで、仮想マシンでカスタムスクリプト拡張機能の疑わしいエラーが検出されました。このようなエラーは、この拡張機能によって実行される悪意のあるスクリプトに関連付けられている可能性があります。

MITRE の戦術: 実行

重大度: 中

Unusual deletion of custom script extension in your virtual machine (仮想マシンでの通常とは異なるカスタムスクリプト拡張機能の削除)

(VM_CustomScriptExtensionUnusualDeletion)

説明: サブスクリプションの Azure Resource Manager 操作を分析することで、仮想マシンでカスタムスクリプト拡張機能の異常な削除が検出されました。攻撃者は、カスタムスクリプト拡張機能を使用して、Azure Resource Manager を介して仮想マシン上で悪意のあるコードを実行する可能性があります。

MITRE の戦術: 実行

重大度: 中

Unusual execution of custom script extension in your virtual machine (仮想マシンでの通常とは異なるカスタムスクリプト拡張機能の実行)

(VM_CustomScriptExtensionUnusualExecution)

説明: サブスクリプションの Azure Resource Manager 操作を分析することで、仮想マシンでカスタムスクリプト拡張機能の異常な実行が検出されました。攻撃者は、カスタムスクリプト拡張機能を使用して、Azure Resource Manager を介して仮想マシン上で悪意のあるコードを実行する可能性があります。

MITRE の戦術: 実行

重大度: 中

Custom script extension with suspicious entry-point in your virtual machine (不審なエントリポイントを使用した、仮想マシンのカスタムスクリプト拡張機能)

(VM_CustomScriptExtensionSuspiciousEntryPoint)

説明: サブスクリプション内の Azure Resource Manager 操作を分析することで、疑わしいエントリポイントを含むカスタムスクリプト拡張機能が仮想マシンで検出されました。このエントリポイントは、不審な GitHub リポジトリを参照しています。攻撃者は、カスタムスクリプト拡張機能を使用して、Azure Resource Manager を介して仮想マシン上で悪意のあるコードを実行する可能性があります。

MITRE の戦術: 実行

重大度: 中

Custom script extension with suspicious payload in your virtual machine (不審なペイロードを使用した、仮想マシンのカスタムスクリプト拡張機)

(VM_CustomScriptExtensionSuspiciousPayload)

説明: 疑わしい GitHub リポジトリからのペイロードを含むカスタムスクリプト拡張機能が、サブスクリプション内の Azure Resource Manager 操作を分析することによって、仮想マシンで検出されました。攻撃者は、カスタムスクリプト拡張機能を使用して、Azure Resource Manager を介して仮想マシン上で悪意のあるコードを実行する可能性があります。

MITRE の戦術: 実行

重大度: 中

Note

プレビュー段階のアラートの場合: Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはその他のまだ一般提供されていない Azure 機能に適用される追加の法律条項が含まれています。

次の方法で共有

Azure VM 拡張機能のアラート

Azure VM 拡張機能のアラート

サブスクリプションへの GPU 拡張機能のインストール中の不審なエラー (プレビュー)

仮想マシン上で GPU 拡張機能の不審なインストールが検出されました (プレビュー)

仮想マシン上で不審なスクリプトを含む Run Command が検出されました (プレビュー)

仮想マシン上で不審な無許可 Run Command の使用が検出されました (プレビュー)

仮想マシン上で不審な Run Command の使用が検出されました (プレビュー)

複数の監視拡張機能またはデータ収集拡張機能の不審な使用が仮想マシンで検出されました (プレビュー)

仮想マシン上でディスク暗号化拡張機能の不審なインストールが検出されました (プレビュー)

VMAccess 拡張機能の不審な使用が仮想マシンで検出されました (プレビュー)

不審なスクリプトを含む Desired State Configuration (DSC) 拡張機能が仮想マシン上で検出されました (プレビュー)

Desired State Configuration (DSC) 拡張機能の不審な使用が仮想マシンで検出されました (プレビュー)

不審なスクリプトを含むカスタムスクリプト拡張機能が仮想マシンで検出されました (プレビュー)

Suspicious failed execution of custom script extension in your virtual machine (仮想マシンでのカスタムスクリプト拡張機能の不審な実行の失敗)

Unusual deletion of custom script extension in your virtual machine (仮想マシンでの通常とは異なるカスタムスクリプト拡張機能の削除)

Unusual execution of custom script extension in your virtual machine (仮想マシンでの通常とは異なるカスタムスクリプト拡張機能の実行)

Custom script extension with suspicious entry-point in your virtual machine (不審なエントリポイントを使用した、仮想マシンのカスタムスクリプト拡張機能)

Custom script extension with suspicious payload in your virtual machine (不審なペイロードを使用した、仮想マシンのカスタムスクリプト拡張機)

次のステップ

フィードバック

その他のリソース

次の方法で共有

Azure VM 拡張機能のアラート

Azure VM 拡張機能のアラート

サブスクリプションへの GPU 拡張機能のインストール中の不審なエラー (プレビュー)

仮想マシン上で GPU 拡張機能の不審なインストールが検出されました (プレビュー)

仮想マシン上で不審なスクリプトを含む Run Command が検出されました (プレビュー)

仮想マシン上で不審な無許可 Run Command の使用が検出されました (プレビュー)

仮想マシン上で不審な Run Command の使用が検出されました (プレビュー)

複数の監視拡張機能またはデータ収集拡張機能の不審な使用が仮想マシンで検出されました (プレビュー)

仮想マシン上でディスク暗号化拡張機能の不審なインストールが検出されました (プレビュー)

VMAccess 拡張機能の不審な使用が仮想マシンで検出されました (プレビュー)

不審なスクリプトを含む Desired State Configuration (DSC) 拡張機能が仮想マシン上で検出されました (プレビュー)

Desired State Configuration (DSC) 拡張機能の不審な使用が仮想マシンで検出されました (プレビュー)

不審なスクリプトを含むカスタム スクリプト拡張機能が仮想マシンで検出されました (プレビュー)

Suspicious failed execution of custom script extension in your virtual machine (仮想マシンでのカスタム スクリプト拡張機能の不審な実行の失敗)

Unusual deletion of custom script extension in your virtual machine (仮想マシンでの通常とは異なるカスタム スクリプト拡張機能の削除)

Unusual execution of custom script extension in your virtual machine (仮想マシンでの通常とは異なるカスタム スクリプト拡張機能の実行)

Custom script extension with suspicious entry-point in your virtual machine (不審なエントリ ポイントを使用した、仮想マシンのカスタム スクリプト拡張機能)

Custom script extension with suspicious payload in your virtual machine (不審なペイロードを使用した、仮想マシンのカスタム スクリプト拡張機)

次のステップ

フィードバック

その他のリソース

不審なスクリプトを含むカスタムスクリプト拡張機能が仮想マシンで検出されました (プレビュー)

Suspicious failed execution of custom script extension in your virtual machine (仮想マシンでのカスタムスクリプト拡張機能の不審な実行の失敗)

Unusual deletion of custom script extension in your virtual machine (仮想マシンでの通常とは異なるカスタムスクリプト拡張機能の削除)

Unusual execution of custom script extension in your virtual machine (仮想マシンでの通常とは異なるカスタムスクリプト拡張機能の実行)

Custom script extension with suspicious entry-point in your virtual machine (不審なエントリポイントを使用した、仮想マシンのカスタムスクリプト拡張機能)

Custom script extension with suspicious payload in your virtual machine (不審なペイロードを使用した、仮想マシンのカスタムスクリプト拡張機)