Resource Manager のアラート
この記事では、Microsoft Defender for Cloud から Resource Manager に対して取得できるセキュリティ アラートと、有効にしたすべての Microsoft Defender プランの一覧を示します。 お使いの環境で示されるアラートは、保護対象のリソースとサービスおよびカスタマイズした構成によって異なります。
Note
Microsoft Defender 脅威インテリジェンスと Microsoft Defender for Endpoint を利用して最近追加されたアラートの一部は、文書化されていない可能性があります。
これらのアラートに対応する方法については、こちらを参照してください。
アラートをエクスポートする方法については、こちらを参照してください。
注意
アラートの出力元によって、表示されるまでの時間が変わる場合があります。 たとえば、ネットワーク トラフィックの分析を必要とするアラートは、仮想マシンで実行されている不審なプロセスに関連するアラートよりも、表示されるまでより長い時間がかかる可能性があります。
Resource Manager アラート
Note
委任されたアクセスが表示されているアラートは、サードパーティのサービス プロバイダーのアクティビティのためにトリガーされます。 サービス プロバイダーのアクティビティの表示の詳細を確認してください。
Azure Resource Manager operation from suspicious IP address (不審な IP アドレスからの Azure Resource Manager の操作)
(ARM_OperationFromSuspiciousIP)
説明: Microsoft Defender for Resource Manager は、脅威インテリジェンス フィードで疑わしいとマークされている IP アドレスからの操作を検出しました。
MITRE の戦術: 実行
重大度: 中
Azure Resource Manager operation from suspicious proxy IP address (不審なプロキシ IP アドレスからの Azure Resource Manager の操作)
(ARM_OperationFromSuspiciousProxyIP)
説明: Microsoft Defender for Resource Manager によって、TOR などのプロキシ サービスに関連付けられている IP アドレスからのリソース管理操作が検出されました。 この動作は正当である可能性もありますが、悪意のあるアクティビティで脅威アクターがソース IP を隠そうとするときに多く見られます。
MITRE 戦術: 防御回避
重大度: 中
MicroBurst exploitation toolkit used to enumerate resources in your subscriptions (サブスクリプション内のリソースの列挙に MicroBurst 悪用ツールキットが使用されました)
(ARM_MicroBurst.AzDomainInfo)
説明: PowerShell スクリプトがサブスクリプションで実行され、リソース、アクセス許可、およびネットワーク構造を検出するための情報収集操作を実行する疑わしいパターンが実行されました。 脅威アクターは、MicroBurst などの自動スクリプトを使用して、悪意のあるアクティビティのために情報を収集します。 これは、サブスクリプションでの Azure Resource Manager の操作を分析することによって検出されました。 この操作は、組織内の ID が侵害され、脅威アクターが、悪意のある目的のために環境を侵害しようとしていることを示している可能性があります。
MITRE の戦術: -
重大度: 低
MicroBurst exploitation toolkit used to enumerate resources in your subscriptions (サブスクリプション内のリソースの列挙に MicroBurst 悪用ツールキットが使用されました)
(ARM_MicroBurst.AzureDomainInfo)
説明: PowerShell スクリプトがサブスクリプションで実行され、リソース、アクセス許可、およびネットワーク構造を検出するための情報収集操作を実行する疑わしいパターンが実行されました。 脅威アクターは、MicroBurst などの自動スクリプトを使用して、悪意のあるアクティビティのために情報を収集します。 これは、サブスクリプションでの Azure Resource Manager の操作を分析することによって検出されました。 この操作は、組織内の ID が侵害され、脅威アクターが、悪意のある目的のために環境を侵害しようとしていることを示している可能性があります。
MITRE の戦術: -
重大度: 低
MicroBurst exploitation toolkit used to execute code on your virtual machine (仮想マシンでのコードの実行に MicroBurst 悪用ツールキットが使用されました)
(ARM_MicroBurst.AzVMBulkCMD)
説明: サブスクリプションで PowerShell スクリプトが実行され、VM または VM の一覧でコードを実行する疑わしいパターンが実行されました。 脅威アクターは、MicroBurst などの自動スクリプトを使用して、悪意のあるアクティビティのために VM でスクリプトを実行します。 これは、サブスクリプションでの Azure Resource Manager の操作を分析することによって検出されました。 この操作は、組織内の ID が侵害され、脅威アクターが、悪意のある目的のために環境を侵害しようとしていることを示している可能性があります。
MITRE の戦術: 実行
重大度: 高
MicroBurst exploitation toolkit used to execute code on your virtual machine (仮想マシンでのコードの実行に MicroBurst 悪用ツールキットが使用されました)
(RM_MicroBurst.AzureRmVMBulkCMD)
説明: MicroBurst の悪用ツールキットは、仮想マシンでコードを実行するために使用されました。 これは、サブスクリプションでの Azure Resource Manager の操作を分析することによって検出されました。
MITRE の戦術: -
重大度: 高
MicroBurst exploitation toolkit used to extract keys from your Azure key vaults (Azure キー コンテナーからのキーの抽出に MicroBurst 悪用ツールキットが使用されました)
(ARM_MicroBurst.AzKeyVaultKeysREST)
説明: サブスクリプションで PowerShell スクリプトが実行され、Azure Key Vault からキーを抽出する疑わしいパターンが実行されました。 脅威アクターは、MicroBurst などの自動スクリプトを使用してキーをリストし、それらを使用して機密データにアクセスしたり、横移動を実行したりします。 これは、サブスクリプションでの Azure Resource Manager の操作を分析することによって検出されました。 この操作は、組織内の ID が侵害され、脅威アクターが、悪意のある目的のために環境を侵害しようとしていることを示している可能性があります。
MITRE の戦術: -
重大度: 高
MicroBurst exploitation toolkit used to extract keys to your storage accounts (ストレージ アカウントへのキーの抽出に MicroBurst 悪用ツールキットが使用されました)
(ARM_MicroBurst.AZStorageKeysREST)
説明: サブスクリプションで PowerShell スクリプトが実行され、ストレージ アカウントにキーを抽出する疑わしいパターンが実行されました。 脅威アクターは、MicroBurst などの自動スクリプトを使用してキーをリストし、それらを使用してストレージ アカウント内の機密データにアクセスします。 これは、サブスクリプションでの Azure Resource Manager の操作を分析することによって検出されました。 この操作は、組織内の ID が侵害され、脅威アクターが、悪意のある目的のために環境を侵害しようとしていることを示している可能性があります。
MITRE の戦術: コレクション
重大度: 高
MicroBurst exploitation toolkit used to extract secrets from your Azure key vaults (Azure キー コンテナーからのシークレットの抽出に MicroBurst 悪用ツールキットが使用されました)
(ARM_MicroBurst.AzKeyVaultSecretsREST)
説明: サブスクリプションで PowerShell スクリプトが実行され、Azure Key Vault からシークレットを抽出する疑わしいパターンが実行されました。 脅威アクターは、MicroBurst などの自動スクリプトを使用してシークレットをリストし、それらを使用して機密データにアクセスしたり、横移動を実行したりします。 これは、サブスクリプションでの Azure Resource Manager の操作を分析することによって検出されました。 この操作は、組織内の ID が侵害され、脅威アクターが、悪意のある目的のために環境を侵害しようとしていることを示している可能性があります。
MITRE の戦術: -
重大度: 高
PowerZure exploitation toolkit used to elevate access from Azure AD to Azure (Azure AD から Azure へのアクセス権の昇格に PowerZure 悪用ツールキットが使用されました)
(ARM_PowerZure.AzureElevatedPrivileges)
説明: PowerZure 悪用ツールキットを使用して、AzureAD から Azure へのアクセスを昇格しました。 これは、テナントでの Azure Resource Manager の操作を分析することによって検出されました。
MITRE の戦術: -
重大度: 高
PowerZure exploitation toolkit used to enumerate resources (リソースの列挙に PowerZure 悪用ツールキットが使用されました)
(ARM_PowerZure.GetAzureTargets)
説明: PowerZure 悪用ツールキットは、組織内の正当なユーザー アカウントに代わってリソースを列挙するために使用されました。 これは、サブスクリプションでの Azure Resource Manager の操作を分析することによって検出されました。
MITRE の戦術: コレクション
重大度: 高
PowerZure exploitation toolkit used to enumerate storage containers, shares, and tables (ストレージ コンテナー、共有、テーブルの列挙に PowerZure 悪用ツールキットが使用されました)
(ARM_PowerZure.ShowStorageContent)
説明: PowerZure 悪用ツールキットは、ストレージ共有、テーブル、コンテナーを列挙するために使用されました。 これは、サブスクリプションでの Azure Resource Manager の操作を分析することによって検出されました。
MITRE の戦術: -
重大度: 高
PowerZure exploitation toolkit used to execute a Runbook in your subscription (サブスクリプションでの Runbook の実行に PowerZure 悪用ツールキットが使用されました)
(ARM_PowerZure.StartRunbook)
説明: PowerZure 悪用ツールキットを使用して Runbook を実行しました。 これは、サブスクリプションでの Azure Resource Manager の操作を分析することによって検出されました。
MITRE の戦術: -
重大度: 高
PowerZure exploitation toolkit used to extract Runbooks content (Runbook の内容の抽出に PowerZure 悪用ツールキットが使用されました)
(ARM_PowerZure.AzureRunbookContent)
説明: PowerZure 悪用ツールキットを使用して Runbook コンテンツを抽出しました。 これは、サブスクリプションでの Azure Resource Manager の操作を分析することによって検出されました。
MITRE の戦術: コレクション
重大度: 高
PREVIEW - Azurite toolkit run detected (プレビュー - Azurite ツールキットの実行が検出されました)
(ARM_Azurite)
説明: 環境内で既知のクラウド環境偵察ツールキットの実行が検出されました。 Azurite ツールは、攻撃者 (または侵入テスター) によって、サブスクリプション リソースのマッピングおよび安全でない構成の特定に使用される恐れがあります。
MITRE の戦術: コレクション
重大度: 高
プレビュー - 検出されたコンピューティング リソースの疑わしい作成
(ARM_SuspiciousComputeCreation)
説明: Microsoft Defender for Resource Manager は、仮想マシン/Azure スケール セットを使用して、サブスクリプション内のコンピューティング リソースの疑わしい作成を特定しました。 特定された操作は、必要に応じて新しいリソースをデプロイすることで管理者が環境を効率的に管理できるように設計されています。 このアクティビティは正当なものである場合もありますが、脅威アクターがこのような操作を利用して、暗号資産マイニングを行う可能性があります。 コンピューティング リソースのスケールは、サブスクリプションで以前に確認されたよりも高いため、アクティビティは疑わしいと見なされます。 これは、プリンシパルが侵害され、悪意を持って使用されていることを示している可能性があります。
MITRE 戦術: 影響
重大度: 中
プレビュー - 不審なキー コンテナーの回復が検出されました
(Arm_Suspicious_Vault_Recovering)
説明: 論理的に削除されたキー コンテナー リソースに対する疑わしい回復操作が Microsoft Defender for Resource Manager によって検出されました。 リソースを回復しているユーザーは、リソースを削除したユーザーとは異なります。 ユーザーがこのような操作を呼び出すことは稀なため、これは非常に不審なです。 さらに、ユーザーは多要素認証 (MFA) なしでログオンしました。 これは、このユーザーが侵害され、機密性の高いリソースにアクセスしたり、ネットワーク内で横移動を実行したりするために、シークレットとキーを検出しようとしていることを示している可能性があります。
MITRE 戦術: 横移動
重大度: 中/高
PREVIEW - Suspicious management session using an inactive account detected (プレビュー - 非アクティブ アカウントを使用する不審な管理セッションが検出されました)
(ARM_UnusedAccountPersistence)
説明: サブスクリプション アクティビティ ログの分析で疑わしい動作が検出されました。 長期間使用されなかったプリンシパルでは、現在、攻撃者の永続化をセキュリティで保護できるアクションが実行されています。
MITRE の戦術: 永続化
重大度: 中
PREVIEW - Suspicious invocation of a high-risk 'Credential Access' operation by a service principal detected (プレビュー - サービス プリンシパルによるリスクの高い "資格情報アクセス" 操作の不審な呼び出しが検出されました)
(ARM_AnomalousServiceOperation.CredentialAccess)
説明: Microsoft Defender for Resource Manager は、サブスクリプションでの危険度の高い操作の疑わしい呼び出しを特定しました。これは、資格情報へのアクセスの試行を示している可能性があります。 特定された操作は、管理者が環境を効率的に管理できるように設計されています。 このアクティビティは正当なものである可能性があります。脅威アクターは、このような操作を利用して制限された資格情報にアクセスし、環境内のリソースを侵害する可能性があります。 これは、サービス プリンシパルが侵害され、悪意を持って使用されていることを示している可能性があります。
MITRE の戦術: 資格情報アクセス
重大度: 中
PREVIEW - Suspicious invocation of a high-risk 'Data Collection' operation by a service principal detected (プレビュー - サービス プリンシパルによるリスクの高い "データ収集" 操作の不審な呼び出しが検出されました)
(ARM_AnomalousServiceOperation.Collection)
説明: Microsoft Defender for Resource Manager は、サブスクリプションでの危険度の高い操作の疑わしい呼び出しを特定しました。これは、データの収集の試行を示している可能性があります。 特定された操作は、管理者が環境を効率的に管理できるように設計されています。 このアクティビティは正当なものである可能性があります。脅威アクターは、このような操作を利用して、環境内のリソースに関する機密データを収集する可能性があります。 これは、サービス プリンシパルが侵害され、悪意を持って使用されていることを示している可能性があります。
MITRE の戦術: コレクション
重大度: 中
PREVIEW - Suspicious invocation of a high-risk 'Defense Evasion' operation by a service principal detected (プレビュー - サービス プリンシパルによるリスクの高い "防御回避" 操作の不審な呼び出しが検出されました)
(ARM_AnomalousServiceOperation.DefenseEvasion)
説明: Microsoft Defender for Resource Manager は、サブスクリプションで危険度の高い操作の疑わしい呼び出しを特定しました。これは、防御を回避しようとする試みを示している可能性があります。 特定された操作は、管理者が環境のセキュリティ体制を効率的に管理できるように設計されています。 このアクティビティは正当なものである可能性があります。脅威アクターは、環境内のリソースを侵害している間に検出されないように、このような操作を利用する可能性があります。 これは、サービス プリンシパルが侵害され、悪意を持って使用されていることを示している可能性があります。
MITRE 戦術: 防御回避
重大度: 中
PREVIEW - Suspicious invocation of a high-risk 'Execution' operation by a service principal detected (プレビュー - サービス プリンシパルによるリスクの高い "実行" 操作の不審な呼び出しが検出されました)
(ARM_AnomalousServiceOperation.Execution)
説明: Microsoft Defender for Resource Manager は、サブスクリプション内のコンピューターで危険度の高い操作が疑わしい呼び出しを検出しました。これは、コードの実行試行を示している可能性があります。 特定された操作は、管理者が環境を効率的に管理できるように設計されています。 このアクティビティは正当なものである可能性があります。脅威アクターは、このような操作を利用して制限された資格情報にアクセスし、環境内のリソースを侵害する可能性があります。 これは、サービス プリンシパルが侵害され、悪意を持って使用されていることを示している可能性があります。
MITRE 戦術: 防御の実行
重大度: 中
PREVIEW - Suspicious invocation of a high-risk 'Impact' operation by a service principal detected (プレビュー - サービス プリンシパルによるリスクの高い "影響" 操作の不審な呼び出しが検出されました)
(ARM_AnomalousServiceOperation.Impact)
説明: Microsoft Defender for Resource Manager は、サブスクリプションでの危険度の高い操作の疑わしい呼び出しを特定しました。これは、構成の変更が試行されたことを示している可能性があります。 特定された操作は、管理者が環境を効率的に管理できるように設計されています。 このアクティビティは正当なものである可能性があります。脅威アクターは、このような操作を利用して制限された資格情報にアクセスし、環境内のリソースを侵害する可能性があります。 これは、サービス プリンシパルが侵害され、悪意を持って使用されていることを示している可能性があります。
MITRE 戦術: 影響
重大度: 中
PREVIEW - Suspicious invocation of a high-risk 'Initial Access' operation by a service principal detected (プレビュー - サービス プリンシパルによるリスクの高い "初期アクセス" 操作の不審な呼び出しが検出されました)
(ARM_AnomalousServiceOperation.InitialAccess)
説明: Microsoft Defender for Resource Manager は、サブスクリプションで危険度の高い操作の疑わしい呼び出しを特定しました。これは、制限されたリソースへのアクセスの試行を示している可能性があります。 特定された操作は、管理者が環境に効率的にアクセスできるように設計されています。 このアクティビティは正当なものである可能性があります。脅威アクターは、このような操作を利用して、環境内の制限されたリソースへの初期アクセスを取得する可能性があります。 これは、サービス プリンシパルが侵害され、悪意を持って使用されていることを示している可能性があります。
MITRE の戦術: 初期アクセス
重大度: 中
PREVIEW - Suspicious invocation of a high-risk 'Lateral Movement Access' operation by a service principal detected (プレビュー - サービス プリンシパルによるリスクの高い "横移動アクセス" 操作の不審な呼び出しが検出されました)
(ARM_AnomalousServiceOperation.LateralMovement)
説明: Microsoft Defender for Resource Manager は、サブスクリプションで危険度の高い操作の疑わしい呼び出しを特定しました。これは、横移動を実行しようとしている可能性があることを示しています。 特定された操作は、管理者が環境を効率的に管理できるように設計されています。 このアクティビティは正当なものである可能性があります。脅威アクターは、このような操作を利用して環境内のより多くのリソースを侵害する可能性があります。 これは、サービス プリンシパルが侵害され、悪意を持って使用されていることを示している可能性があります。
MITRE 戦術: 横移動
重大度: 中
PREVIEW - Suspicious invocation of a high-risk 'persistence' operation by a service principal detected (プレビュー - サービス プリンシパルによるリスクの高い "永続化" 操作の不審な呼び出しが検出されました)
(ARM_AnomalousServiceOperation.Persistence)
説明: Microsoft Defender for Resource Manager は、サブスクリプションでの危険度の高い操作の疑わしい呼び出しを特定しました。これは、永続化を確立しようとしている可能性があることを示しています。 特定された操作は、管理者が環境を効率的に管理できるように設計されています。 このアクティビティは正当なものである可能性があります。脅威アクターは、このような操作を利用して、環境内で永続化を確立する可能性があります。 これは、サービス プリンシパルが侵害され、悪意を持って使用されていることを示している可能性があります。
MITRE の戦術: 永続化
重大度: 中
PREVIEW - Suspicious invocation of a high-risk 'Privilege Escalation' operation by a service principal detected (プレビュー - サービス プリンシパルによるリスクの高い "特権エスカレーション" 操作の不審な呼び出しが検出されました)
(ARM_AnomalousServiceOperation.PrivilegeEscalation)
説明: Microsoft Defender for Resource Manager は、サブスクリプションで危険度の高い操作の疑わしい呼び出しを特定しました。これは、特権をエスカレートしようとする試みを示している可能性があります。 特定された操作は、管理者が環境を効率的に管理できるように設計されています。 このアクティビティは正当なものである可能性があります。脅威アクターは、このような操作を利用して特権をエスカレートし、環境内のリソースを侵害する可能性があります。 これは、サービス プリンシパルが侵害され、悪意を持って使用されていることを示している可能性があります。
MITRE の戦術: 特権エスカレーション
重大度: 中
PREVIEW - Suspicious management session using an inactive account detected (プレビュー - 非アクティブ アカウントを使用する不審な管理セッションが検出されました)
(ARM_UnusedAccountPersistence)
説明: サブスクリプション アクティビティ ログの分析で疑わしい動作が検出されました。 長期間使用されなかったプリンシパルでは、現在、攻撃者の永続化をセキュリティで保護できるアクションが実行されています。
MITRE の戦術: 永続化
重大度: 中
PREVIEW - Suspicious management session using PowerShell detected (プレビュー - PowerShell を使用する不審な管理セッションが検出されました)
(ARM_UnusedAppPowershellPersistence)
説明: サブスクリプション アクティビティ ログの分析で疑わしい動作が検出されました。 サブスクリプション環境を管理するために定期的に PowerShell を使用しないプリンシパルでは、現在、PowerShell が使用され、攻撃者の永続化をセキュリティで保護できるアクションが実行されています。
MITRE の戦術: 永続化
重大度: 中
プレビュー: Azure portal を使用した疑わしい管理セッションが検出されました
(ARM_UnusedAppIbizaPersistence)
説明: サブスクリプション アクティビティ ログの分析で、疑わしい動作が検出されました。 サブスクリプション環境を管理するために定期的に Azure portal (Ibiza) を使用しない (過去 45 日間、Azure portal を使用して管理していない、またはアクティブに管理しているサブスクリプション) プリンシパルで、現在、Azure portal を使用して、攻撃者の永続化をセキュリティで保護できるアクションが実行されています。
MITRE の戦術: 永続化
重大度: 中
Privileged custom role created for your subscription in a suspicious way (Preview) (不審な方法でサブスクリプション用に作成された特権付きカスタム ロール (プレビュー))
(ARM_PrivilegedRoleDefinitionCreation)
説明: Microsoft Defender for Resource Manager で、サブスクリプションで特権カスタム ロール定義が疑わしい作成を検出しました。 この操作は、組織内の正当なユーザーによって実行された可能性があります。 または、組織内のアカウントが侵害されたこと、および脅威アクターが、将来検出を回避するために使用する特権ロールを作成しようとしていることを示している場合もあります。
MITRE 戦術: 特権エスカレーション、防御回避
重大度: 情報
Suspicious Azure role assignment detected (Preview) (不審な Azure ロールの割り当てが検出されました (プレビュー))
(ARM_AnomalousRBACRoleAssignment)
説明: Microsoft Defender for Resource Manager は、テナントで PIM (Privileged Identity Management) を使用して実行された疑わしい Azure ロールの割り当てを特定しました。これは、組織内のアカウントが侵害されたことを示している可能性があります。 特定された操作は、管理者がプリンシパルに Azure リソースへのアクセスを許可できるように設計されています。 このアクティビティは正当なものである可能性があります。脅威アクターはロールの割り当てを利用してアクセス許可をエスカレートし、攻撃を進めることができます。
MITRE 戦術: 横移動、防御回避
重大度: 低 (PIM) / 高
高リスクの "資格情報のアクセス" 操作の発動疑いの検出 (プレビュー)
(ARM_AnomalousOperation.CredentialAccess)
説明: Microsoft Defender for Resource Manager は、サブスクリプションでの危険度の高い操作の疑わしい呼び出しを特定しました。これは、資格情報へのアクセスの試行を示している可能性があります。 特定された操作は、管理者が環境に効率的にアクセスできるように設計されています。 このアクティビティは正当なものである可能性があります。脅威アクターは、このような操作を利用して制限された資格情報にアクセスし、環境内のリソースを侵害する可能性があります。 これは、アカウントが侵害され、有害な意図を持って使用されていることを示している可能性があります。
MITRE の戦術: 資格情報アクセス
重大度: 中
Suspicious invocation of a high-risk 'Data Collection' operation detected (Preview) (高リスクの "データ収集" 操作の発動疑いの検出 (プレビュー))
(ARM_AnomalousOperation.Collection)
説明: Microsoft Defender for Resource Manager は、サブスクリプションでの危険度の高い操作の疑わしい呼び出しを特定しました。これは、データの収集の試行を示している可能性があります。 特定された操作は、管理者が環境を効率的に管理できるように設計されています。 このアクティビティは正当なものである可能性があります。脅威アクターは、このような操作を利用して、環境内のリソースに関する機密データを収集する可能性があります。 これは、アカウントが侵害され、有害な意図を持って使用されていることを示している可能性があります。
MITRE の戦術: コレクション
重大度: 中
Suspicious invocation of a high-risk 'Defense Evasion' operation detected (Preview) (高リスクの "防御回避" 操作の発動疑いの検出 (プレビュー))
(ARM_AnomalousOperation.DefenseEvasion)
説明: Microsoft Defender for Resource Manager は、サブスクリプションで危険度の高い操作の疑わしい呼び出しを特定しました。これは、防御を回避しようとする試みを示している可能性があります。 特定された操作は、管理者が環境のセキュリティ体制を効率的に管理できるように設計されています。 このアクティビティは正当なものである可能性があります。脅威アクターは、環境内のリソースを侵害している間に検出されないように、このような操作を利用する可能性があります。 これは、アカウントが侵害され、有害な意図を持って使用されていることを示している可能性があります。
MITRE 戦術: 防御回避
重大度: 中
Suspicious invocation of a high-risk 'Execution' operation detected (Preview) (高リスクの "実行" 操作の発動疑いの検出 (プレビュー))
(ARM_AnomalousOperation.Execution)
説明: Microsoft Defender for Resource Manager は、サブスクリプション内のコンピューターで危険度の高い操作が疑わしい呼び出しを検出しました。これは、コードの実行試行を示している可能性があります。 特定された操作は、管理者が環境を効率的に管理できるように設計されています。 このアクティビティは正当なものである可能性があります。脅威アクターは、このような操作を利用して制限された資格情報にアクセスし、環境内のリソースを侵害する可能性があります。 これは、アカウントが侵害され、有害な意図を持って使用されていることを示している可能性があります。
MITRE の戦術: 実行
重大度: 中
Suspicious invocation of a high-risk 'Impact' operation detected (Preview) (高リスクの "影響" 操作の発動疑いの検出 (プレビュー))
(ARM_AnomalousOperation.Impact)
説明: Microsoft Defender for Resource Manager は、サブスクリプションでの危険度の高い操作の疑わしい呼び出しを特定しました。これは、構成の変更が試行されたことを示している可能性があります。 特定された操作は、管理者が環境を効率的に管理できるように設計されています。 このアクティビティは正当なものである可能性があります。脅威アクターは、このような操作を利用して制限された資格情報にアクセスし、環境内のリソースを侵害する可能性があります。 これは、アカウントが侵害され、有害な意図を持って使用されていることを示している可能性があります。
MITRE 戦術: 影響
重大度: 中
高リスクの "初期アクセス" 操作の発動疑いの検出 (プレビュー)
(ARM_AnomalousOperation.InitialAccess)
説明: Microsoft Defender for Resource Manager は、サブスクリプションで危険度の高い操作の疑わしい呼び出しを特定しました。これは、制限されたリソースへのアクセスの試行を示している可能性があります。 特定された操作は、管理者が環境に効率的にアクセスできるように設計されています。 このアクティビティは正当なものである可能性があります。脅威アクターは、このような操作を利用して、環境内の制限されたリソースへの初期アクセスを取得する可能性があります。 これは、アカウントが侵害され、有害な意図を持って使用されていることを示している可能性があります。
MITRE の戦術: 初期アクセス
重大度: 中
Suspicious invocation of a high-risk 'Lateral Movement' operation detected (Preview) (高リスクの "侵入拡大" 操作の発動疑いの検出 (プレビュー))
(ARM_AnomalousOperation.LateralMovement)
説明: Microsoft Defender for Resource Manager は、サブスクリプションで危険度の高い操作の疑わしい呼び出しを特定しました。これは、横移動を実行しようとしている可能性があることを示しています。 特定された操作は、管理者が環境を効率的に管理できるように設計されています。 このアクティビティは正当なものである可能性があります。脅威アクターは、このような操作を利用して環境内のより多くのリソースを侵害する可能性があります。 これは、アカウントが侵害され、有害な意図を持って使用されていることを示している可能性があります。
MITRE 戦術: 横移動
重大度: 中
疑わしいアクセス権の昇格操作 (プレビュー) (ARM_AnomalousElevateAccess)
説明: Microsoft Defender for Resource Manager によって、疑わしい "アクセス権の昇格" 操作が特定されました。 このプリンシパルがこのような操作を呼び出すことはめったにないため、このアクティビティは疑わしいと見なされます。 このアクティビティは正当なものである可能性があります。脅威アクターは、侵害されたユーザーに対して特権エスカレーションを実行するために "アクセス権の昇格" 操作を利用する可能性があります。
MITRE の戦術: 特権エスカレーション
重大度: 中
Suspicious invocation of a high-risk 'Persistence' operation detected (Preview) (高リスクの "永続化" 操作の発動疑いの検出 (プレビュー))
(ARM_AnomalousOperation.Persistence)
説明: Microsoft Defender for Resource Manager は、サブスクリプションでの危険度の高い操作の疑わしい呼び出しを特定しました。これは、永続化を確立しようとしている可能性があることを示しています。 特定された操作は、管理者が環境を効率的に管理できるように設計されています。 このアクティビティは正当なものである可能性があります。脅威アクターは、このような操作を利用して、環境内で永続化を確立する可能性があります。 これは、アカウントが侵害され、有害な意図を持って使用されていることを示している可能性があります。
MITRE の戦術: 永続化
重大度: 中
Suspicious invocation of a high-risk 'Privilege Escalation' operation detected (Preview) (高リスクの "特権エスカレーション" 操作の発動疑いの検出 (プレビュー))
(ARM_AnomalousOperation.PrivilegeEscalation)
説明: Microsoft Defender for Resource Manager は、サブスクリプションで危険度の高い操作の疑わしい呼び出しを特定しました。これは、特権をエスカレートしようとする試みを示している可能性があります。 特定された操作は、管理者が環境を効率的に管理できるように設計されています。 このアクティビティは正当なものである可能性があります。脅威アクターは、このような操作を利用して特権をエスカレートし、環境内のリソースを侵害する可能性があります。 これは、アカウントが侵害され、有害な意図を持って使用されていることを示している可能性があります。
MITRE の戦術: 特権エスカレーション
重大度: 中
Usage of MicroBurst exploitation toolkit to run an arbitrary code or exfiltrate Azure Automation account credentials (任意のコードを実行したり、Azure Automation アカウントの資格情報を抜き取ったりするために、MicroBurst 悪用ツールキットが使用されました)
(ARM_MicroBurst.RunCodeOnBehalf)
説明: PowerShell スクリプトがサブスクリプションで実行され、任意のコードを実行したり、Azure Automation アカウントの資格情報を流出させたりする疑わしいパターンが実行されました。 脅威アクターは、MicroBurst などの自動スクリプトを使用して、悪意のあるアクティビティのために任意のコードを実行します。 これは、サブスクリプションでの Azure Resource Manager の操作を分析することによって検出されました。 この操作は、組織内の ID が侵害され、脅威アクターが、悪意のある目的のために環境を侵害しようとしていることを示している可能性があります。
MITRE の戦術: 永続化、資格情報アクセス
重大度: 高
Usage of NetSPI techniques to maintain persistence in your Azure environment (Azure 環境で永続性を維持するために NetSPI 手法が使用されました)
(ARM_NetSPI.MaintainPersistence)
説明: NetSPI 永続化手法を使用して、Webhook バックドアを作成し、Azure 環境で永続化を維持します。 これは、サブスクリプションでの Azure Resource Manager の操作を分析することによって検出されました。
MITRE の戦術: -
重大度: 高
Usage of PowerZure exploitation toolkit to run an arbitrary code or exfiltrate Azure Automation account credentials (任意のコードを実行したり、Azure Automation アカウントの資格情報を抜き取ったりするために、PowerZure 悪用ツールキットが使用されました)
(ARM_PowerZure.RunCodeOnBehalf)
説明: PowerZure 悪用ツールキットで、コードの実行または Azure Automation アカウントの資格情報の流出が検出されました。 これは、サブスクリプションでの Azure Resource Manager の操作を分析することによって検出されました。
MITRE の戦術: -
重大度: 高
Usage of PowerZure function to maintain persistence in your Azure environment (Azure 環境で永続性を維持するために PowerZure 機能が使用されました)
(ARM_PowerZure.MaintainPersistence)
説明: PowerZure 悪用ツールキットによって、Azure 環境での永続化を維持するための Webhook バックドアの作成が検出されました。 これは、サブスクリプションでの Azure Resource Manager の操作を分析することによって検出されました。
MITRE の戦術: -
重大度: 高
Suspicious classic role assignment detected (Preview) (不審なクラシックロールの割り当てが検出されました (プレビュー))
(ARM_AnomalousClassicRoleAssignment)
説明: Microsoft Defender for Resource Manager は、テナントでの疑わしいクラシック ロールの割り当てを特定しました。これは、組織内のアカウントが侵害されたことを示している可能性があります。 特定された操作は、一般的に使用されなくなった従来のロールとの下位互換性を提供するように設計されています。 このアクティビティは正当なものである可能性があります。脅威アクターは、このような割り当てを利用して、自分の制御下にある別のユーザー アカウントにアクセス許可を付与する可能性があります。
MITRE 戦術: 横移動、防御回避
重大度: 高
Note
プレビュー段階のアラートの場合: Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはその他のまだ一般提供されていない Azure 機能に適用される追加の法律条項が含まれています。