Alerty dotyczące rozszerzeń maszyn wirtualnych platformy Azure
W tym artykule wymieniono alerty zabezpieczeń, które można uzyskać dla rozszerzeń maszyn wirtualnych platformy Azure z Microsoft Defender dla Chmury i wszystkich planów usługi Microsoft Defender, które są włączone. Alerty wyświetlane w środowisku zależą od chronionych zasobów i usług oraz dostosowanej konfiguracji.
Uwaga
Niektóre ostatnio dodane alerty obsługiwane przez usługę Microsoft Defender Threat Intelligence i Ochrona punktu końcowego w usłudze Microsoft Defender mogą być nieudokumentowane.
Dowiedz się, jak reagować na te alerty.
Dowiedz się, jak eksportować alerty.
Uwaga
Alerty z różnych źródeł mogą zająć różne czasy. Na przykład alerty wymagające analizy ruchu sieciowego mogą być wyświetlane dłużej niż alerty związane z podejrzanymi procesami uruchomionymi na maszynach wirtualnych.
Alerty rozszerzeń maszyn wirtualnych platformy Azure
Te alerty koncentrują się na wykrywaniu podejrzanych działań rozszerzeń maszyn wirtualnych platformy Azure i zapewnia wgląd w próby naruszenia zabezpieczeń i wykonywania złośliwych działań na maszynach wirtualnych.
Rozszerzenia maszyn wirtualnych platformy Azure to małe aplikacje, które są uruchamiane po wdrożeniu na maszynach wirtualnych i zapewniają możliwości, takie jak konfiguracja, automatyzacja, monitorowanie, zabezpieczenia i inne. Rozszerzenia są zaawansowanym narzędziem, ale mogą być używane przez podmioty zagrożeń dla różnych złośliwych intencji, na przykład:
Zbieranie i monitorowanie danych
Wykonywanie kodu i wdrażanie konfiguracji z wysokimi uprawnieniami
Resetowanie poświadczeń i tworzenie użytkowników administracyjnych
Szyfrowanie dysków
Dowiedz się więcej na temat Defender dla Chmury najnowszych zabezpieczeń przed nadużyciami rozszerzeń maszyn wirtualnych platformy Azure.
Podejrzany błąd podczas instalowania rozszerzenia procesora GPU w ramach subskrypcji (wersja zapoznawcza)
(VM_GPUExtensionSuspiciousFailure)
Opis: Podejrzana intencja instalowania rozszerzenia procesora GPU na nieobsługiwanych maszynach wirtualnych. To rozszerzenie powinno być zainstalowane na maszynach wirtualnych wyposażonych w procesor graficzny, a w tym przypadku maszyny wirtualne nie są wyposażone w takie. Te błędy można zobaczyć, gdy złośliwi przeciwnicy wykonują wiele instalacji takiego rozszerzenia w celach kryptograficznych.
Taktyka MITRE: wpływ
Ważność: średni rozmiar
Wykryto podejrzaną instalację rozszerzenia procesora GPU na maszynie wirtualnej (wersja zapoznawcza)
(VM_GPUDriverExtensionUnusualExecution)
Opis: Wykryto podejrzaną instalację rozszerzenia procesora GPU na maszynie wirtualnej, analizując operacje usługi Azure Resource Manager w ramach subskrypcji. Osoby atakujące mogą użyć rozszerzenia sterownika procesora GPU do zainstalowania sterowników procesora GPU na maszynie wirtualnej za pośrednictwem usługi Azure Resource Manager w celu przeprowadzenia przejęcia kryptograficznego. To działanie jest uważane za podejrzane, ponieważ zachowanie podmiotu zabezpieczeń odbiega od zwykłych wzorców.
Taktyka MITRE: wpływ
Ważność: Niska
Uruchom polecenie z podejrzanym skryptem wykryto na maszynie wirtualnej (wersja zapoznawcza)
(VM_RunCommandSuspiciousScript)
Opis: Na maszynie wirtualnej wykryto polecenie Uruchom z podejrzanym skryptem, analizując operacje usługi Azure Resource Manager w ramach subskrypcji. Osoby atakujące mogą użyć polecenia Uruchom, aby wykonać złośliwy kod z wysokimi uprawnieniami na maszynie wirtualnej za pośrednictwem usługi Azure Resource Manager. Skrypt jest uważany za podejrzany, ponieważ niektóre części zostały zidentyfikowane jako potencjalnie złośliwe.
Taktyka MITRE: Wykonywanie
Ważność: Wysoka
Wykryto podejrzane nieautoryzowane użycie polecenia uruchamiania na maszynie wirtualnej (wersja zapoznawcza)
(VM_RunCommandSuspiciousFailure)
Opis: Podejrzane nieautoryzowane użycie polecenia uruchamiania nie powiodło się i zostało wykryte na maszynie wirtualnej, analizując operacje usługi Azure Resource Manager w ramach subskrypcji. Osoby atakujące mogą próbować użyć polecenia Uruchom, aby wykonać złośliwy kod z wysokimi uprawnieniami na maszynach wirtualnych za pośrednictwem usługi Azure Resource Manager. To działanie jest uważane za podejrzane, ponieważ nie było powszechnie spotykane wcześniej.
Taktyka MITRE: Wykonywanie
Ważność: średni rozmiar
Wykryto podejrzane użycie polecenia uruchamiania na maszynie wirtualnej (wersja zapoznawcza)
(VM_RunCommandSuspiciousUsage)
Opis: Wykryto podejrzane użycie polecenia Uruchom na maszynie wirtualnej, analizując operacje usługi Azure Resource Manager w ramach subskrypcji. Osoby atakujące mogą użyć polecenia Uruchom, aby wykonać złośliwy kod z wysokimi uprawnieniami na maszynach wirtualnych za pośrednictwem usługi Azure Resource Manager. To działanie jest uważane za podejrzane, ponieważ nie było powszechnie spotykane wcześniej.
Taktyka MITRE: Wykonywanie
Ważność: Niska
Wykryto podejrzane użycie wielu rozszerzeń monitorowania lub zbierania danych na maszynach wirtualnych (wersja zapoznawcza)
(VM_SuspiciousMultiExtensionUsage)
Opis: wykryto podejrzane użycie wielu rozszerzeń monitorowania lub zbierania danych na maszynach wirtualnych, analizując operacje usługi Azure Resource Manager w ramach subskrypcji. Osoby atakujące mogą nadużywać takich rozszerzeń na potrzeby zbierania danych, monitorowania ruchu sieciowego i nie tylko w ramach subskrypcji. To użycie jest uznawane za podejrzane, ponieważ nie było powszechnie spotykane wcześniej.
TAKTYKA MITRE: Rekonesans
Ważność: średni rozmiar
Wykryto podejrzaną instalację rozszerzeń szyfrowania dysków na maszynach wirtualnych (wersja zapoznawcza)
(VM_DiskEncryptionSuspiciousUsage)
Opis: Wykryto podejrzaną instalację rozszerzeń szyfrowania dysków na maszynach wirtualnych, analizując operacje usługi Azure Resource Manager w ramach subskrypcji. Osoby atakujące mogą nadużywać rozszerzenia szyfrowania dysku, aby wdrożyć pełne szyfrowanie dysków na maszynach wirtualnych za pośrednictwem usługi Azure Resource Manager w celu wykonania działania wymuszającego okup. To działanie jest uznawane za podejrzane, ponieważ nie było powszechnie spotykane przed i ze względu na dużą liczbę instalacji rozszerzeń.
Taktyka MITRE: wpływ
Ważność: średni rozmiar
Wykryto podejrzane użycie rozszerzenia VMAccess na maszynach wirtualnych (wersja zapoznawcza)
(VM_VMAccessSuspiciousUsage)
Opis: Wykryto podejrzane użycie rozszerzenia VMAccess na maszynach wirtualnych. Osoby atakujące mogą nadużywać rozszerzenia VMAccess w celu uzyskania dostępu i naruszenia zabezpieczeń maszyn wirtualnych z wysokimi uprawnieniami przez zresetowanie dostępu lub zarządzanie użytkownikami administracyjnymi. To działanie jest uważane za podejrzane, ponieważ zachowanie podmiotu zabezpieczeń odbiega od zwykłych wzorców i ze względu na dużą liczbę instalacji rozszerzeń.
Taktyka MITRE: Trwałość
Ważność: średni rozmiar
Wykryto rozszerzenie Desired State Configuration (DSC) z podejrzanym skryptem na maszynie wirtualnej (wersja zapoznawcza)
(VM_DSCExtensionSuspiciousScript)
Opis: Rozszerzenie Desired State Configuration (DSC) z podejrzanym skryptem zostało wykryte na maszynie wirtualnej, analizując operacje usługi Azure Resource Manager w ramach subskrypcji. Osoby atakujące mogą używać rozszerzenia Desired State Configuration (DSC) do wdrażania złośliwych konfiguracji, takich jak mechanizmy trwałości, złośliwe skrypty i inne, z wysokimi uprawnieniami, na maszynach wirtualnych. Skrypt jest uważany za podejrzany, ponieważ niektóre części zostały zidentyfikowane jako potencjalnie złośliwe.
Taktyka MITRE: Wykonywanie
Ważność: Wysoka
Wykryto podejrzane użycie rozszerzenia Desired State Configuration (DSC) na maszynach wirtualnych (wersja zapoznawcza)
(VM_DSCExtensionSuspiciousUsage)
Opis: Wykryto podejrzane użycie rozszerzenia Desired State Configuration (DSC) na maszynach wirtualnych, analizując operacje usługi Azure Resource Manager w ramach subskrypcji. Osoby atakujące mogą używać rozszerzenia Desired State Configuration (DSC) do wdrażania złośliwych konfiguracji, takich jak mechanizmy trwałości, złośliwe skrypty i inne, z wysokimi uprawnieniami, na maszynach wirtualnych. To działanie jest uważane za podejrzane, ponieważ zachowanie podmiotu zabezpieczeń odbiega od zwykłych wzorców i ze względu na dużą liczbę instalacji rozszerzeń.
Taktyka MITRE: Wykonywanie
Ważność: Niska
Na maszynie wirtualnej wykryto rozszerzenie niestandardowego skryptu z podejrzanym skryptem (wersja zapoznawcza)
(VM_CustomScriptExtensionSuspiciousCmd)
Opis: Niestandardowe rozszerzenie skryptu z podejrzanym skryptem zostało wykryte na maszynie wirtualnej, analizując operacje usługi Azure Resource Manager w ramach subskrypcji. Osoby atakujące mogą używać rozszerzenia niestandardowego skryptu do wykonywania złośliwego kodu z wysokimi uprawnieniami na maszynie wirtualnej za pośrednictwem usługi Azure Resource Manager. Skrypt jest uważany za podejrzany, ponieważ niektóre części zostały zidentyfikowane jako potencjalnie złośliwe.
Taktyka MITRE: Wykonywanie
Ważność: Wysoka
Podejrzane nieudane wykonywanie niestandardowego rozszerzenia skryptu na maszynie wirtualnej
(VM_CustomScriptExtensionSuspiciousFailure)
Opis: Wykryto podejrzane niepowodzenie rozszerzenia niestandardowego skryptu na maszynie wirtualnej, analizując operacje usługi Azure Resource Manager w ramach subskrypcji. Takie błędy mogą być skojarzone ze złośliwymi skryptami uruchamianymi przez to rozszerzenie.
Taktyka MITRE: Wykonywanie
Ważność: średni rozmiar
Nietypowe usuwanie niestandardowego rozszerzenia skryptu na maszynie wirtualnej
(VM_CustomScriptExtensionUnusualDeletion)
Opis: Wykryto nietypowe usunięcie niestandardowego rozszerzenia skryptu na maszynie wirtualnej przez przeanalizowanie operacji usługi Azure Resource Manager w ramach subskrypcji. Osoby atakujące mogą używać niestandardowych rozszerzeń skryptów do wykonywania złośliwego kodu na maszynach wirtualnych za pośrednictwem usługi Azure Resource Manager.
Taktyka MITRE: Wykonywanie
Ważność: średni rozmiar
Nietypowe wykonywanie niestandardowego rozszerzenia skryptu na maszynie wirtualnej
(VM_CustomScriptExtensionUnusualExecution)
Opis: Nietypowe wykonanie niestandardowego rozszerzenia skryptu zostało wykryte na maszynie wirtualnej przez przeanalizowanie operacji usługi Azure Resource Manager w ramach subskrypcji. Osoby atakujące mogą używać niestandardowych rozszerzeń skryptów do wykonywania złośliwego kodu na maszynach wirtualnych za pośrednictwem usługi Azure Resource Manager.
Taktyka MITRE: Wykonywanie
Ważność: średni rozmiar
Rozszerzenie niestandardowego skryptu z podejrzanym punktem wejścia na maszynie wirtualnej
(VM_CustomScriptExtensionSuspiciousEntryPoint)
Opis: Niestandardowe rozszerzenie skryptu z podejrzanym punktem wejścia zostało wykryte na maszynie wirtualnej, analizując operacje usługi Azure Resource Manager w ramach subskrypcji. Punkt wejścia odnosi się do podejrzanego repozytorium GitHub. Osoby atakujące mogą używać niestandardowych rozszerzeń skryptów do wykonywania złośliwego kodu na maszynach wirtualnych za pośrednictwem usługi Azure Resource Manager.
Taktyka MITRE: Wykonywanie
Ważność: średni rozmiar
Rozszerzenie niestandardowego skryptu z podejrzanym ładunkiem na maszynie wirtualnej
(VM_CustomScriptExtensionSuspiciousPayload)
Opis: Niestandardowe rozszerzenie skryptu z ładunkiem z podejrzanego repozytorium GitHub zostało wykryte na maszynie wirtualnej, analizując operacje usługi Azure Resource Manager w ramach subskrypcji. Osoby atakujące mogą używać niestandardowych rozszerzeń skryptów do wykonywania złośliwego kodu na maszynach wirtualnych za pośrednictwem usługi Azure Resource Manager.
Taktyka MITRE: Wykonywanie
Ważność: średni rozmiar
Uwaga
W przypadku alertów w wersji zapoznawczej: Dodatkowe postanowienia dotyczące wersji zapoznawczej platformy Azure obejmują dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.