非推奨のセキュリティ アラート

この記事では、Microsoft Defender for Cloud の非推奨のセキュリティ アラートの一覧を示します。

非推奨の Defender for Containers アラート

次の一覧には、非推奨となった Defender for Containers のセキュリティ アラートが含まれています。

Manipulation of host firewall detected (ホスト ファイアウォールの操作が検出されました)

(K8S.NODE_FirewallDisabled)

説明: コンテナー内で実行されているプロセス、または Kubernetes ノード上で直接実行されているプロセスの分析により、ホスト上のファイアウォールが操作される可能性が検出されました。 攻撃者は、データを抜き取るためにこれを無効にすることがよくあります。

MITRE の戦術: DefenseEvasion、Exfiltration

重大度: 中

Suspicious use of DNS over HTTPS (DNS over HTTPS の不審な使用)

(K8S.NODE_SuspiciousDNSOverHttps)

説明: コンテナー内で実行されているプロセス、または Kubernetes ノード上で直接実行されているプロセスの分析で、一般的でない方法で HTTPS 経由の DNS 呼び出しの使用が検出されました。 この手法は、攻撃者が不審なサイトや悪意のあるサイトの呼び出しを隠すために使用されます。

MITRE の戦術: DefenseEvasion、Exfiltration

重大度: 中

悪意のある場所への接続の可能性が検出されました

(K8S.NODE_ThreatIntelCommandLineSuspectDomain)

説明: コンテナー内で実行されているプロセス、または Kubernetes ノード上で直接実行されているプロセスの分析で、悪意のある場所または異常であると報告された場所への接続が検出されました。 これは、侵害が発生した可能性があることを示す指標です。

MITRE の戦術: InitialAccess

重大度: 中

Digital currency mining activity (デジタル通貨マイニング アクティビティ)

(K8S。NODE_CurrencyMining)

説明: デジタル通貨マイニング アクティビティが検出された DNS トランザクションの分析。 このようなアクティビティはユーザーの正当な行動の場合もありますが、リソースの侵害の後に攻撃者によって頻繁に実行されます。 攻撃者の一般的な関連アクティビティには、一般的なマイニング ツールのダウンロードと実行が含まれる可能性があります。

MITRE の戦術: 流出

重大度: 低

非推奨の Defender for Servers Linux アラート

VM_AbnormalDaemonTermination

アラート表示名: 異常終了

重大度: 低

VM_BinaryGeneratedFromCommandLine

アラートの表示名: 疑わしいバイナリが検出されました

重大度: 中

VM_CommandlineSuspectDomain

アラート表示名: ドメイン名の参照

重大度: 低

VM_CommonBot

アラートの表示名: 一般的な Linux ボットと同様の動作が検出されました

重大度: 中

VM_CompCommonBots

アラートの表示名: 一般的な Linux ボットに似たコマンドが検出されました

重大度: 中

VM_CompSuspiciousScript

アラート表示名: シェル スクリプトが検出されました

重大度: 中

VM_CompTestRule

アラートの表示名: 複合分析テスト アラート

重大度: 低

VM_CronJobAccess

アラート表示名: スケジュールされたタスクの操作が検出されました

重大度: 情報

VM_CryptoCoinMinerArtifacts

アラート表示名: デジタル通貨マイニングに関連付けられているプロセスが検出されました

重大度: 中

VM_CryptoCoinMinerDownload

アラート表示名: Cryptocoinminer のダウンロードの可能性が検出されました

重大度: 中

VM_CryptoCoinMinerExecution

アラート表示名: 潜在的な暗号コインマイナーが開始されました

重大度: 中

VM_DataEgressArtifacts

アラート表示名: データ流出の可能性が検出されました

重大度: 中

VM_DigitalCurrencyMining

アラート表示名: デジタル通貨マイニング関連の動作が検出されました

重大度: 高

VM_DownloadAndRunCombo

アラートの表示名: 疑わしいダウンロードの実行アクティビティ

重大度: 中

VM_EICAR

アラートの表示名: Microsoft Defender for Cloud のテスト アラート (脅威ではありません)

重大度: 高

VM_ExecuteHiddenFile

アラート表示名: 隠しファイルの実行

重大度: 情報

VM_ExploitAttempt

アラート表示名: コマンド ラインの悪用が試行される可能性があります

重大度: 中

VM_ExposedDocker

アラート表示名: TCP ソケットで公開された Docker デーモン

重大度: 中

VM_FairwareMalware

アラートの表示名: Fairware ランサムウェアに似た動作が検出されました

重大度: 中

VM_FirewallDisabled

アラート表示名: ホスト ファイアウォールの操作が検出されました

重大度: 中

VM_HadoopYarnExploit

アラート表示名: Hadoop Yarn の悪用の可能性

重大度: 中

VM_HistoryFileCleared

アラート表示名: 履歴ファイルがクリアされました

重大度: 中

VM_KnownLinuxAttackTool

アラートの表示名: 攻撃の可能性のあるツールが検出されました

重大度: 中

VM_KnownLinuxCredentialAccessTool

アラートの表示名: 考えられる資格情報アクセス ツールが検出されました

重大度: 中

VM_KnownLinuxDDoSToolkit

アラート表示名: DDOS ツールキットに関連付けられているインジケーターが検出されました

重大度: 中

VM_KnownLinuxScreenshotTool

アラートの表示名: ホストで撮影されたスクリーンショット

重大度: 低

VM_LinuxBackdoorArtifact

アラート表示名: バックドアの可能性が検出されました

重大度: 中

VM_LinuxReconnaissance

アラート表示名: ローカル ホストの偵察が検出されました

重大度: 中

VM_MismatchedScriptFeatures

アラート表示名: スクリプト拡張機能の不一致が検出されました

重大度: 中

VM_MitreCalderaTools

アラート表示名: MITRE カルデラ エージェントが検出されました

重大度: 中

VM_NewSingleUserModeStartupScript

アラートの表示名: 永続化の試行が検出されました

重大度: 中

VM_NewSudoerAccount

アラートの表示名: sudo グループに追加されたアカウント

重大度: 低

VM_OverridingCommonFiles

アラート表示名: 一般的なファイルがオーバーライドされる可能性がある

重大度: 中

VM_PrivilegedContainerArtifacts

アラート表示名: 特権モードで実行されているコンテナー

重大度: 低

VM_PrivilegedExecutionInContainer

アラート表示名: 高い特権で実行されているコンテナー内のコマンド

重大度: 低

VM_ReadingHistoryFile

アラート表示名: bash 履歴ファイルへの通常とは異なるアクセス

重大度: 情報

VM_ReverseShell

アラートの表示名: 潜在的な逆シェルが検出されました

重大度: 中

VM_SshKeyAccess

アラート表示名: SSH 承認キー ファイルに通常とは異なる方法でアクセスするプロセス

重大度: 低

VM_SshKeyAddition

アラート表示名: 新しい SSH キーが追加されました

重大度: 低

VM_SuspectCompilation

アラートの表示名: 不審なコンパイルが検出されました

重大度: 中

VM_SuspectConnection

アラート表示名: 一般的でない接続試行が検出されました

重大度: 中

VM_SuspectDownload

アラート表示名: 既知の悪意のあるソースからのファイルのダウンロードが検出されました

重大度: 中

VM_SuspectDownloadArtifacts

アラート表示名: 疑わしいファイルのダウンロードが検出されました

重大度: 低

VM_SuspectExecutablePath

アラート表示名: 疑わしい場所から実行されている実行可能ファイルが見つかりました

重大度: 中

VM_SuspectHtaccessFileAccess

アラート表示名: htaccess ファイルのアクセスが検出されました

重大度: 中

VM_SuspectInitialShellCommand

アラート表示名: シェルでの疑わしい最初のコマンド

重大度: 低

VM_SuspectMixedCaseText

アラート表示名: コマンド ラインで大文字と小文字の異常な組み合わせが検出されました

重大度: 中

VM_SuspectNetworkConnection

アラート表示名: 疑わしいネットワーク接続

重大度: 情報

VM_SuspectNohup

アラート表示名: nohup コマンドの疑わしい使用が検出されました

重大度: 中

VM_SuspectPasswordChange

アラート表示名: crypt-method を使用したパスワード変更の可能性が検出されました

重大度: 中

VM_SuspectPasswordFileAccess

アラート表示名: 疑わしいパスワード アクセス

重大度: 情報

VM_SuspectPhp

アラートの表示名: 疑わしい PHP の実行が検出されました

重大度: 中

VM_SuspectPortForwarding

アラート表示名: 外部 IP アドレスへの潜在的なポート転送

重大度: 中

VM_SuspectProcessAccountPrivilegeCombo

アラート表示名: サービス アカウントで実行されているプロセスが予期せずルートになりました

重大度: 中

VM_SuspectProcessTermination

アラート表示名: セキュリティ関連のプロセス終了が検出されました

重大度: 低

VM_SuspectUserAddition

アラート表示名: useradd コマンドの疑わしい使用が検出されました

重大度: 中

VM_SuspiciousCommandLineExecution

アラート表示名: 疑わしいコマンドの実行

重大度: 高

VM_SuspiciousDNSOverHttps

アラート表示名: HTTPS 経由での DNS の疑わしい使用

重大度: 中

VM_SystemLogRemoval

アラートの表示名: ログ改ざんの可能性が検出されました

重大度: 中

VM_ThreatIntelCommandLineSuspectDomain

アラートの表示名: 悪意のある場所への接続が検出されました

重大度: 中

VM_ThreatIntelSuspectLogon

アラート表示名: 悪意のある IP からのログオンが検出されました

重大度: 高

VM_TimerServiceDisabled

アラート表示名: apt-daily-upgrade.timer サービスの停止が検出されました

重大度: 情報

VM_TimestampTampering

アラート表示名: 疑わしいファイル のタイムスタンプの変更

重大度: 低

VM_Webshell

アラートの表示名: 悪意のある Web シェルの可能性が検出されました

重大度: 中

非推奨の Defender for Servers Windows アラート

SCUBA_MULTIPLEACCOUNTCREATE

アラート表示名: 複数のホストでのアカウントの疑わしい作成

重大度: 中

SCUBA_PSINSIGHT_CONTEXT

アラート表示名: PowerShell の疑わしい使用が検出されました

重大度: 情報

SCUBA_RULE_AddGuestToAdministrators

アラート表示名: ローカル管理者グループへのゲスト アカウントの追加

重大度: 中

SCUBA_RULE_Apache_Tomcat_executing_suspicious_commands

アラートの表示名: Apache_Tomcat_executing_suspicious_commands

重大度: 中

SCUBA_RULE_KnownBruteForcingTools

アラート表示名: 疑わしいプロセスが実行されました

重大度: 高

SCUBA_RULE_KnownCollectionTools

アラート表示名: 疑わしいプロセスが実行されました

重大度: 高

SCUBA_RULE_KnownDefenseEvasionTools

アラート表示名: 疑わしいプロセスが実行されました

重大度: 高

SCUBA_RULE_KnownExecutionTools

アラート表示名: 疑わしいプロセスが実行されました

重大度: 高

SCUBA_RULE_KnownPassTheHashTools

アラート表示名: 疑わしいプロセスが実行されました

重大度: 高

SCUBA_RULE_KnownSpammingTools

アラート表示名: 疑わしいプロセスが実行されました

重大度: 中

SCUBA_RULE_Lowering_Security_Settings

アラート表示名: 重要なサービスの無効化が検出されました

重大度: 中

SCUBA_RULE_OtherKnownHackerTools

アラート表示名: 疑わしいプロセスが実行されました

重大度: 高

SCUBA_RULE_RDP_session_hijacking_via_tscon

アラート表示名: RDP ハイジャックを示す疑わしい整合性レベル

重大度: 中

SCUBA_RULE_RDP_session_hijacking_via_tscon_service

アラート表示名: サービスのインストールの可能性

重大度: 中

SCUBA_RULE_Suppress_pesky_unauthorized_use_prohibited_notices

アラート表示名: ログオン時にユーザーに表示される法的通知の抑制が検出されました

重大度: 低

SCUBA_RULE_WDigest_Enabling

アラート表示名: WDigest UseLogonCredential レジストリ キーの有効化が検出されました

重大度: 中

VM.Windows_ApplockerBypass

アラート表示名: AppLocker のバイパス試行の可能性が検出されました

重大度: 高

VM.Windows_BariumKnownSuspiciousProcessExecution

アラートの表示名: 疑わしいファイルの作成が検出されました

重大度: 高

VM.Windows_Base64EncodedExecutableInCommandLineParams

アラート表示名: コマンド ライン データでエンコードされた実行可能ファイルが検出されました

重大度: 高

VM.Windows_CalcsCommandLineUse

アラート表示名: システムのセキュリティ状態を下げるために Cacls の疑わしい使用が検出されました

重大度: 中

VM.Windows_CommandLineStartingAllExe

アラート表示名: ディレクトリ内のすべての実行可能ファイルを起動するために使用される疑わしいコマンド ラインが検出されました

重大度: 中

VM.Windows_DisablingAndDeletingIISLogFiles

アラート表示名: IIS ログ ファイルの無効化と削除を示すアクションが検出されました

重大度: 中

VM.Windows_DownloadUsingCertutil

アラート表示名: Certutil を使用した疑わしいダウンロードが検出されました

重大度: 中

VM.Windows_EchoOverPipeOnLocalhost

アラート表示名: 疑わしい名前付きパイプ通信が検出されました

重大度: 高

VM.Windows_EchoToConstructPowerShellScript

アラート表示名: 動的 PowerShell スクリプトの構築

重大度: 中

VM.Windows_ExecutableDecodedUsingCertutil

アラート表示名: 組み込みのcertutil.exe ツールを使用した実行可能ファイルのデコードが検出されました

重大度: 中

VM.Windows_FileDeletionIsSospisiousLocation

アラートの表示名: 疑わしいファイルの削除が検出されました

重大度: 中

VM.Windows_KerberosGoldenTicketAttack

アラート表示名: Kerberos ゴールデン チケット攻撃の可能性があるパラメーターが観察されました

重大度: 中

VM.Windows_KeygenToolKnownProcessName

アラートの表示名: 実行された keygen 実行可能ファイルの疑わしいプロセスの実行が検出されました

重大度: 中

VM.Windows_KnownCredentialAccessTools

アラート表示名: 疑わしいプロセスが実行されました

重大度: 高

VM.Windows_KnownSuspiciousPowerShellScript

アラート表示名: PowerShell の疑わしい使用が検出されました

重大度: 高

VM.Windows_KnownSuspiciousSoftwareInstallation

アラートの表示名: 危険度の高いソフトウェアが検出されました

重大度: 中

VM.Windows_MsHtaAndPowerShellCombination

アラート表示名: HTA と PowerShell の疑わしい組み合わせが検出されました

重大度: 中

VM.Windows_MultipleAccountsQuery

アラートの表示名: 複数のドメイン アカウントのクエリ

重大度: 中

VM.Windows_NewAccountCreation

アラート表示名: アカウントの作成が検出されました

重大度: 情報

VM.Windows_ObfuscatedCommandLine

アラート表示名: 難読化されたコマンド ラインが検出されました。

重大度: 高

VM.Windows_PcaluaUseToLaunchExecutable

アラート表示名: 実行可能コードを起動するためのPcalua.exeの疑わしい使用が検出されました

重大度: 中

VM.Windows_PetyaRansomware

アラートの表示名: 検出された Petya ランサムウェア インジケーター

重大度: 高

VM.Windows_PowerShellPowerSploitScriptExecution

アラート表示名: 疑わしい PowerShell コマンドレットが実行されました

重大度: 中

VM.Windows_RansomwareIndication

アラートの表示名: ランサムウェア インジケーターが検出されました

重大度: 高

VM.Windows_SqlDumperUsedSuspiciously

アラート表示名: 資格情報ダンプの可能性が検出されました [複数回表示]

重大度: 中

VM.Windows_StopCriticalServices

アラート表示名: 重要なサービスの無効化が検出されました

重大度: 中

VM.Windows_SubvertingAccessibilityBinary

アラートの表示名: スティッキー攻撃で疑わしいアカウントの作成が検出されました (中)

VM.Windows_SuspiciousAccountCreation

アラートの表示名: 疑わしいアカウントの作成が検出されました

重大度: 中

VM.Windows_SuspiciousFirewallRuleAdded

アラートの表示名: 疑わしい新しいファイアウォール規則が検出されました

重大度: 中

VM.Windows_SuspiciousFTPSSwitchUsage

アラート表示名: FTP -s スイッチの疑わしい使用が検出されました

重大度: 中

VM.Windows_SuspiciousSQLActivity

アラート表示名: 疑わしい SQL アクティビティ

重大度: 中

VM.Windows_SVCHostFromInvalidPath

アラート表示名: 疑わしいプロセスが実行されました

重大度: 高

VM.Windows_SystemEventLogCleared

アラートの表示名: Windows セキュリティ ログがクリアされました

重大度: 情報

VM.Windows_TelegramInstallation

アラート表示名: Telegram ツールの疑わしい使用が検出されました

重大度: 中

VM.Windows_UndercoverProcess

アラート表示名: 疑わしい名前付きプロセスが検出されました

重大度: 高

VM.Windows_UserAccountControlBypass

アラートの表示名: UAC をバイパスするために悪用される可能性があるレジストリ キーへの変更が検出されました

重大度: 中

VM.Windows_VBScriptEncoding

アラート表示名: VBScript.Encode コマンドの疑わしい実行が検出されました

重大度: 中

VM.Windows_WindowPositionRegisteryChange

アラート表示名: Suspicious WindowPosition レジストリ値が検出されました

重大度: 低

VM.Windows_ZincPortOpenningUsingFirewallRule

アラート表示名: ZINC サーバー インプラントによって作成された悪意のあるファイアウォール規則

重大度: 高

VM_DigitalCurrencyMining

アラート表示名: デジタル通貨マイニング関連の動作が検出されました

重大度: 高

VM_MaliciousSQLActivity

アラートの表示名: 悪意のある SQL アクティビティ

重大度: 高

VM_ProcessWithDoubleExtensionExecution

アラート表示名: 疑わしい二重拡張ファイルが実行されました

重大度: 高

VM_RegistryPersistencyKey

アラート表示名: Windows レジストリの永続化方法が検出されました

重大度: 低

VM_ShadowCopyDeletion

アラートの表示名: 疑わしい場所から実行されている疑わしいボリューム シャドウ コピー アクティビティの実行可能ファイルが見つかりました

重大度: 高

VM_SuspectExecutablePath

アラート表示名: 疑わしい場所から実行されている実行可能ファイルが見つかりました。コマンド ラインで大文字と小文字の異常な組み合わせが検出されました

重大度: 情報

Medium

VM_SuspectPhp

アラートの表示名: 疑わしい PHP の実行が検出されました

重大度: 中

VM_SuspiciousCommandLineExecution

アラート表示名: 疑わしいコマンドの実行

重大度: 高

VM_SuspiciousScreenSaverExecution

アラート表示名: 疑わしいスクリーンセーバー プロセスが実行されました

重大度: 中

VM_SvcHostRunInRareServiceGroup

アラート表示名: まれに実行された SVCHOST サービス グループ

重大度: 情報

VM_SystemProcessInAbnormalContext

アラート表示名: 疑わしいシステム プロセスが実行されました

重大度: 中

VM_ThreatIntelCommandLineSuspectDomain

アラートの表示名: 悪意のある場所への接続が検出されました

重大度: 中

VM_ThreatIntelSuspectLogon

アラート表示名: 悪意のある IP からのログオンが検出されました

重大度: 高

VM_VbScriptHttpObjectAllocation

アラート表示名: VBScript HTTP オブジェクトの割り当てが検出されました

重大度: 高

VM_TaskkillBurst

アラート表示名: 疑わしいプロセス終了バースト

重大度: 低

VM_RunByPsExec

アラート表示名: PsExec の実行が検出されました

重大度: 情報

Note

プレビュー段階のアラートの場合: Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはその他のまだ一般提供されていない Azure 機能に適用される追加の法律条項が含まれています。

次のステップ