Alerty dotyczące maszyn z systemem Windows
W tym artykule wymieniono alerty zabezpieczeń, które można uzyskać dla maszyn z systemem Windows w Microsoft Defender dla Chmury i wszystkich planach usługi Microsoft Defender, które włączono. Alerty wyświetlane w środowisku zależą od chronionych zasobów i usług oraz dostosowanej konfiguracji.
Dowiedz się, jak reagować na te alerty.
Dowiedz się, jak eksportować alerty.
Alerty dotyczące maszyn z systemem Windows
Usługa Microsoft Defender dla serwerów (plan 2) udostępnia unikatowe wykrycia i alerty oprócz tych udostępnianych przez Ochrona punktu końcowego w usłudze Microsoft Defender. Alerty udostępniane dla maszyn z systemem Windows to:
Wykryto logowanie ze złośliwego adresu IP. [widziane wiele razy]
Opis: Wystąpiło pomyślne zdalne uwierzytelnianie dla konta [konto] i proces [proces], jednak wcześniej zgłoszono jako złośliwy lub wysoce nietypowy adres IP logowania (x.x.x.x). Prawdopodobnie doszło do pomyślnego ataku. Pliki z rozszerzeniami scr są plikami wygaszacza ekranu i zwykle znajdują się i są wykonywane z katalogu systemowego systemu Windows.
Taktyka MITRE: -
Ważność: Wysoka
Naruszenie zasad adaptacyjnego sterowania aplikacjami zostało poddane inspekcji
VM_AdaptiveApplicationControlWindowsViolationAudited
Opis: Poniżej użytkownicy uruchamiali aplikacje naruszające zasady kontroli aplikacji organizacji na tym komputerze. Może on potencjalnie uwidocznić maszynę w poszukiwaniu złośliwego oprogramowania lub luk w zabezpieczeniach aplikacji.
Taktyka MITRE: Wykonywanie
Ważność: informacyjna
Dodawanie konta gościa do grupy Administratorzy lokalni
Opis: Analiza danych hosta wykryła dodanie wbudowanego konta gościa do grupy Administratorzy lokalni na serwerze %{Host z naruszonym naruszeniem}, co jest silnie skojarzone z działaniem osoby atakującej.
Taktyka MITRE: -
Ważność: średni rozmiar
Dziennik zdarzeń został wyczyszczone
Opis: Dzienniki komputera wskazują podejrzane operacje czyszczenia dziennika zdarzeń według użytkownika: "%{nazwa użytkownika}" na maszynie: "%{Naruszoneentity}". Dziennik %{log channel} został wyczyszczone.
Taktyka MITRE: -
Ważność: informacyjna
Akcja ochrony przed złośliwym kodem nie powiodła się
Opis: Program Microsoft Antimalware napotkał błąd podczas wykonywania akcji w poszukiwaniu złośliwego oprogramowania lub innego potencjalnie niechcianego oprogramowania.
Taktyka MITRE: -
Ważność: średni rozmiar
Podjęto akcję ochrony przed złośliwym kodem
Opis: Program Microsoft Antimalware dla platformy Azure podjął akcję w celu ochrony tej maszyny przed złośliwym oprogramowaniem lub innym potencjalnie niechcianym oprogramowaniem.
Taktyka MITRE: -
Ważność: średni rozmiar
Wykluczenie szerokiego oprogramowania chroniącego przed złośliwym kodem na maszynie wirtualnej
(VM_AmBroadFilesExclusion)
Opis: Na maszynie wirtualnej wykryto wykluczenie plików z rozszerzenia ochrony przed złośliwym kodem z szeroką regułą wykluczania, analizując operacje usługi Azure Resource Manager w ramach subskrypcji. Takie wykluczenie praktycznie wyłącza ochronę przed złośliwym kodem. Osoby atakujące mogą wykluczyć pliki ze skanowania przed złośliwym kodem na maszynie wirtualnej, aby zapobiec wykryciu podczas uruchamiania dowolnego kodu lub infekowania maszyny za pomocą złośliwego oprogramowania.
Taktyka MITRE: -
Ważność: średni rozmiar
Oprogramowanie chroniące przed złośliwym kodem jest wyłączone i wykonywanie kodu na maszynie wirtualnej
(VM_AmDisablementAndCodeExecution)
Opis: Oprogramowanie chroniące przed złośliwym kodem jest wyłączone w tym samym czasie co wykonywanie kodu na maszynie wirtualnej. Wykryto to przez analizowanie operacji usługi Azure Resource Manager w ramach subskrypcji. Osoby atakujące wyłączają skanery ochrony przed złośliwym kodem, aby zapobiec wykrywaniu podczas uruchamiania nieautoryzowanych narzędzi lub infekowania maszyny za pomocą złośliwego oprogramowania.
Taktyka MITRE: -
Ważność: Wysoka
Oprogramowanie chroniące przed złośliwym kodem jest wyłączone na maszynie wirtualnej
(VM_AmDisablement)
Opis: Ochrona przed złośliwym kodem jest wyłączona na maszynie wirtualnej. Wykryto to przez analizowanie operacji usługi Azure Resource Manager w ramach subskrypcji. Osoby atakujące mogą wyłączyć oprogramowanie chroniące przed złośliwym kodem na maszynie wirtualnej, aby zapobiec wykrywaniu.
Taktyka MITRE: Uchylanie się od obrony
Ważność: średni rozmiar
Wykluczanie plików i wykonywanie kodu ochrony przed złośliwym kodem na maszynie wirtualnej
(VM_AmFileExclusionAndCodeExecution)
Opis: Plik wykluczony ze skanera ochrony przed złośliwym kodem w tym samym czasie co kod został wykonany za pośrednictwem niestandardowego rozszerzenia skryptu na maszynie wirtualnej. Wykryto to przez analizowanie operacji usługi Azure Resource Manager w ramach subskrypcji. Osoby atakujące mogą wykluczyć pliki ze skanowania oprogramowania chroniącego przed złośliwym kodem na maszynie wirtualnej, aby zapobiec wykrywaniu podczas uruchamiania nieautoryzowanych narzędzi lub infekowania maszyny za pomocą złośliwego oprogramowania.
Taktyka MITRE: Uchylanie się od obrony, egzekucja
Ważność: Wysoka
Wykluczanie i wykonywanie kodu ochrony przed złośliwym kodem na maszynie wirtualnej (tymczasowe)
(VM_AmTempFileExclusionAndCodeExecution)
Opis: Tymczasowe wykluczenie pliku z rozszerzenia ochrony przed złośliwym kodem równolegle do wykonywania kodu za pośrednictwem rozszerzenia niestandardowego skryptu zostało wykryte na maszynie wirtualnej przez przeanalizowanie operacji usługi Azure Resource Manager w ramach subskrypcji. Osoby atakujące mogą wykluczyć pliki ze skanowania przed złośliwym kodem na maszynie wirtualnej, aby zapobiec wykryciu podczas uruchamiania dowolnego kodu lub infekowania maszyny za pomocą złośliwego oprogramowania.
Taktyka MITRE: Uchylanie się od obrony, egzekucja
Ważność: Wysoka
Wykluczenie pliku ochrony przed złośliwym kodem na maszynie wirtualnej
(VM_AmTempFileExclusion)
Opis: Plik wykluczony ze skanera ochrony przed złośliwym kodem na maszynie wirtualnej. Wykryto to przez analizowanie operacji usługi Azure Resource Manager w ramach subskrypcji. Osoby atakujące mogą wykluczyć pliki ze skanowania oprogramowania chroniącego przed złośliwym kodem na maszynie wirtualnej, aby zapobiec wykrywaniu podczas uruchamiania nieautoryzowanych narzędzi lub infekowania maszyny za pomocą złośliwego oprogramowania.
Taktyka MITRE: Uchylanie się od obrony
Ważność: średni rozmiar
Ochrona przed złośliwym kodem w czasie rzeczywistym została wyłączona na maszynie wirtualnej
(VM_AmRealtimeProtectionDisabled)
Opis: Wyłączenie ochrony w czasie rzeczywistym rozszerzenia ochrony przed złośliwym kodem zostało wykryte na maszynie wirtualnej przez przeanalizowanie operacji usługi Azure Resource Manager w ramach subskrypcji. Osoby atakujące mogą wyłączyć ochronę w czasie rzeczywistym przed skanowaniem przed złośliwym kodem na maszynie wirtualnej, aby uniknąć wykrywania podczas uruchamiania dowolnego kodu lub infekowania maszyny za pomocą złośliwego oprogramowania.
Taktyka MITRE: Uchylanie się od obrony
Ważność: średni rozmiar
Ochrona przed złośliwym kodem w czasie rzeczywistym została tymczasowo wyłączona na maszynie wirtualnej
(VM_AmTempRealtimeProtectionDisablement)
Opis: Tymczasowe wyłączenie ochrony w czasie rzeczywistym rozszerzenia ochrony przed złośliwym kodem zostało wykryte na maszynie wirtualnej przez przeanalizowanie operacji usługi Azure Resource Manager w ramach subskrypcji. Osoby atakujące mogą wyłączyć ochronę w czasie rzeczywistym przed skanowaniem przed złośliwym kodem na maszynie wirtualnej, aby uniknąć wykrywania podczas uruchamiania dowolnego kodu lub infekowania maszyny za pomocą złośliwego oprogramowania.
Taktyka MITRE: Uchylanie się od obrony
Ważność: średni rozmiar
Ochrona przed złośliwym kodem w czasie rzeczywistym została tymczasowo wyłączona podczas wykonywania kodu na maszynie wirtualnej
(VM_AmRealtimeProtectionDisablementAndCodeExec)
Opis: Tymczasowe wyłączenie rozszerzenia ochrony przed złośliwym kodem w czasie rzeczywistym równolegle do wykonywania kodu za pomocą niestandardowego rozszerzenia skryptu zostało wykryte na maszynie wirtualnej przez przeanalizowanie operacji usługi Azure Resource Manager w ramach subskrypcji. Osoby atakujące mogą wyłączyć ochronę w czasie rzeczywistym przed skanowaniem przed złośliwym kodem na maszynie wirtualnej, aby uniknąć wykrywania podczas uruchamiania dowolnego kodu lub infekowania maszyny za pomocą złośliwego oprogramowania.
Taktyka MITRE: -
Ważność: Wysoka
Skanowanie chroniące przed złośliwym kodem zablokowane dla plików potencjalnie związanych z kampaniami złośliwego oprogramowania na maszynie wirtualnej (wersja zapoznawcza)
(VM_AmMalwareCampaignRelatedExclusion)
Opis: Na maszynie wirtualnej wykryto regułę wykluczania, aby zapobiec skanowaniu niektórych plików, które są podejrzane o związek z kampanią złośliwego oprogramowania. Reguła została wykryta przez przeanalizowanie operacji usługi Azure Resource Manager w ramach subskrypcji. Osoby atakujące mogą wykluczyć pliki ze skanowania oprogramowania chroniącego przed złośliwym kodem, aby zapobiec wykrywaniu podczas uruchamiania dowolnego kodu lub infekowania maszyny za pomocą złośliwego oprogramowania.
Taktyka MITRE: Uchylanie się od obrony
Ważność: średni rozmiar
Oprogramowanie chroniące przed złośliwym kodem tymczasowo wyłączone na maszynie wirtualnej
(VM_AmTemporarilyDisablement)
Opis: Oprogramowanie chroniące przed złośliwym kodem tymczasowo wyłączone na maszynie wirtualnej. Wykryto to przez analizowanie operacji usługi Azure Resource Manager w ramach subskrypcji. Osoby atakujące mogą wyłączyć oprogramowanie chroniące przed złośliwym kodem na maszynie wirtualnej, aby zapobiec wykrywaniu.
Taktyka MITRE: -
Ważność: średni rozmiar
Nietypowe wykluczenie pliku ochrony przed złośliwym kodem na maszynie wirtualnej
(VM_UnusualAmFileExclusion)
Opis: Wykryto nietypowe wykluczenie pliku z rozszerzenia ochrony przed złośliwym kodem na maszynie wirtualnej, analizując operacje usługi Azure Resource Manager w ramach subskrypcji. Osoby atakujące mogą wykluczyć pliki ze skanowania przed złośliwym kodem na maszynie wirtualnej, aby zapobiec wykryciu podczas uruchamiania dowolnego kodu lub infekowania maszyny za pomocą złośliwego oprogramowania.
Taktyka MITRE: Uchylanie się od obrony
Ważność: średni rozmiar
Komunikacja z podejrzaną domeną zidentyfikowaną przez analizę zagrożeń
(AzureDNS_ThreatIntelSuspectDomain)
Opis: Wykryto komunikację z podejrzaną domeną przez analizowanie transakcji DNS z zasobu i porównywanie ze znanymi złośliwymi domenami zidentyfikowanymi przez źródła danych analizy zagrożeń. Komunikacja ze złośliwymi domenami jest często wykonywana przez osoby atakujące i może oznaczać, że zasób został naruszony.
Taktyka MITRE: wstępny dostęp, trwałość, wykonywanie, sterowanie i kontrola, wykorzystywanie
Ważność: średni rozmiar
Wykryte akcje wskazujące na wyłączenie i usunięcie plików dziennika usług IIS
Opis: Analiza wykrytych akcji dotyczących danych hosta, które pokazują, że pliki dziennika usług IIS są wyłączone i/lub usunięte.
Taktyka MITRE: -
Ważność: średni rozmiar
Wykryto nietypową kombinację znaków wyższej i małej litery w wierszu polecenia
Opis: Analiza danych hosta na serwerze %{Host z naruszeniem zabezpieczeń} wykryła wiersz polecenia z nietypową kombinacją wyższej i małej litery. Ten rodzaj wzorca, choć prawdopodobnie łagodny, jest również typowy dla osób atakujących próbujących ukryć się przed dopasowaniem reguł opartych na wielkości liter lub skrótu podczas wykonywania zadań administracyjnych na naruszonym hoście.
Taktyka MITRE: -
Ważność: średni rozmiar
Wykryto zmianę klucza rejestru, który może być nadużywany w celu obejścia kontroli dostępu użytkownika
Opis: Analiza danych hosta na serwerze %{Host z naruszonym naruszeniem} wykryła, że zmieniono klucz rejestru, który może być nadużywany w celu obejścia kontroli konta użytkownika. Taka konfiguracja, choć prawdopodobnie łagodna, jest również typowa dla działania osoby atakującej podczas próby przejścia z nieuprzywilejowanego (użytkownika standardowego) na uprzywilejowany (na przykład administrator) na naruszonym hoście.
Taktyka MITRE: -
Ważność: średni rozmiar
Wykryto dekodowanie pliku wykonywalnego przy użyciu wbudowanego narzędzia certutil.exe
Opis: Analiza danych hosta na serwerze %{Host z naruszeniem zabezpieczeń} wykryła, że certutil.exe, wbudowane narzędzie administratora, było używane do dekodowania pliku wykonywalnego zamiast głównego przeznaczenia, który odnosi się do manipulowania certyfikatami i danymi certyfikatów. Osoby atakujące nadużywają funkcjonalności wiarygodnych narzędzi administratora w celu wykonania złośliwych akcji. Mogą na przykład użyć narzędzia, takiego jak certutil.exe, do dekodowania złośliwego pliku wykonywalnego, który następnie zostanie wykonany.
Taktyka MITRE: -
Ważność: Wysoka
Wykryto włączenie klucza rejestru WDigest UseLogonCredential
Opis: Analiza danych hosta wykryła zmianę klucza rejestru HKLM\SYSTEM\ CurrentControlSet\Control\SecurityProviders\WDigest\ "UseLogonCredential". W szczególności ten klucz został zaktualizowany, aby umożliwić przechowywanie poświadczeń logowania w postaci zwykłego tekstu w pamięci LSA. Po włączeniu osoba atakująca może zrzucić hasła w postaci zwykłego tekstu z pamięci LSA przy użyciu narzędzi do zbierania poświadczeń, takich jak Mimikatz.
Taktyka MITRE: -
Ważność: średni rozmiar
Wykryto zakodowany plik wykonywalny w danych wiersza polecenia
Opis: Analiza danych hosta na serwerze %{Host z naruszonym naruszeniem} wykryła plik wykonywalny zakodowany w formacie base-64. Wcześniej była ona skojarzona z osobami atakującymi próbującymi skonstruować pliki wykonywalne na bieżąco przez sekwencję poleceń i próbując uniknąć włamań systemów wykrywania, upewniając się, że żadne pojedyncze polecenie nie wyzwoli alertu. Może to być uzasadnione działanie lub wskazanie naruszonego hosta.
Taktyka MITRE: -
Ważność: Wysoka
Wykryto zaciemniony wiersz polecenia
Opis: Osoby atakujące używają coraz bardziej złożonych technik zaciemniania w celu uniknięcia wykryć, które są uruchamiane względem danych bazowych. Analiza danych hosta w elemencie %{Host z naruszeniem zabezpieczeń} wykryła podejrzane wskaźniki zaciemnienia w wierszu polecenia.
Taktyka MITRE: -
Ważność: informacyjna
Wykryto możliwe wykonanie pliku wykonywalnego keygen
Opis: Analiza danych hosta na serwerze %{Host naruszony} wykryła wykonanie procesu, którego nazwa wskazuje na narzędzie keygen. Takie narzędzia są zwykle używane do pokonania mechanizmów licencjonowania oprogramowania, ale ich pobieranie jest często powiązane z innym złośliwym oprogramowaniem. Grupa działań GOLD była znana, aby wykorzystać takie keygens do potajemnie uzyskać dostęp do tylnych drzwi do hostów, których złamają.
Taktyka MITRE: -
Ważność: średni rozmiar
Wykryto możliwe wykonanie porzuconego złośliwego oprogramowania
Opis: Analiza danych hosta na hoście %{Naruszone bezpieczeństwo} wykryła nazwę pliku, która została wcześniej skojarzona z jedną z metod grupy działań GOLD instalowania złośliwego oprogramowania na hoście ofiary.
Taktyka MITRE: -
Ważność: Wysoka
Wykryto możliwe lokalne działanie rekonesansu
Opis: Analiza danych hosta na hoście %{Naruszone zabezpieczenia} wykryła kombinację poleceń systeminfo, które zostały wcześniej skojarzone z jedną z metod grupy działań GOLD wykonywania działań rozpoznawczych. Chociaż "systeminfo.exe" jest legalnym narzędziem systemu Windows, wykonanie go dwa razy z rzędu w sposób, w jaki wystąpił tutaj, jest rzadkie.
Taktyka MITRE: -
Ważność: Niska
Wykryto potencjalnie podejrzane użycie narzędzia Telegram
Opis: Analiza danych hosta pokazuje instalację usługi Telegram, bezpłatnej usługi obsługi wiadomości błyskawicznych opartych na chmurze, która istnieje zarówno dla systemu mobilnego, jak i klasycznego. Osoby atakujące są znane nadużyciom tej usługi w celu przeniesienia złośliwych plików binarnych na dowolny inny komputer, telefon lub tablet.
Taktyka MITRE: -
Ważność: średni rozmiar
Wykryto pomijanie powiadomienia prawnego wyświetlanego użytkownikom podczas logowania
Opis: Analiza danych hosta na serwerze %{Host z naruszonym naruszeniem} wykryła zmiany klucza rejestru, które określają, czy powiadomienie prawne jest wyświetlane użytkownikom podczas logowania. Analiza zabezpieczeń firmy Microsoft ustaliła, że jest to typowe działanie podejmowane przez osoby atakujące po naruszeniu zabezpieczeń hosta.
Taktyka MITRE: -
Ważność: Niska
Wykryto podejrzaną kombinację funkcji HTA i programu PowerShell
Opis: mshta.exe (host aplikacji HTML firmy Microsoft), który jest podpisanym plikiem binarnym firmy Microsoft, jest używany przez osoby atakujące do uruchamiania złośliwych poleceń programu PowerShell. Osoby atakujące często uciekają się do posiadania pliku HTA z wbudowanym skryptem VBScript. Gdy ofiara przechodzi do pliku HTA i zdecyduje się go uruchomić, są wykonywane polecenia programu PowerShell i skrypty, które zawiera. Analiza danych hosta na hoście %{Naruszone bezpieczeństwo hosta} wykryła mshta.exe uruchamiania poleceń programu PowerShell.
Taktyka MITRE: -
Ważność: średni rozmiar
Wykryto podejrzane argumenty wiersza polecenia
Opis: Analiza danych hosta w elemencie %{Host naruszony} wykryła podejrzane argumenty wiersza polecenia, które zostały użyte w połączeniu z odwrotną powłoką używaną przez grupę działań WODOR.
Taktyka MITRE: -
Ważność: Wysoka
Wykryto podejrzany wiersz polecenia używany do uruchamiania wszystkich plików wykonywalnych w katalogu
Opis: Analiza danych hosta wykryła podejrzany proces uruchomiony na serwerze %{Host z naruszonym naruszeniem}. Wiersz polecenia wskazuje próbę uruchomienia wszystkich plików wykonywalnych (*.exe), które mogą znajdować się w katalogu. Może to wskazywać na naruszonego hosta.
Taktyka MITRE: -
Ważność: średni rozmiar
Wykryto podejrzane poświadczenia w wierszu polecenia
Opis: Analiza danych hosta na serwerze %{Host z naruszonym naruszeniem} wykryła podejrzane hasło używane do wykonywania pliku przez borON grupy działań. Ta grupa działań była znana z używania tego hasła do wykonywania złośliwego oprogramowania Pirpi na hoście ofiary.
Taktyka MITRE: -
Ważność: Wysoka
Wykryto podejrzane poświadczenia dokumentu
Opis: Analiza danych hosta na serwerze %{Host z naruszonym naruszeniem} wykryła podejrzane, typowe wstępnie skompilowane skróty haseł używane przez złośliwe oprogramowanie używane do wykonywania pliku. Grupa działań WODOR jest znana z używania tego hasła do wykonywania złośliwego oprogramowania na hoście ofiary.
Taktyka MITRE: -
Ważność: Wysoka
Wykryto podejrzane wykonanie polecenia VBScript.Encode
Opis: Analiza danych hosta na serwerze %{Host z naruszonym naruszeniem} wykryła wykonanie polecenia VBScript.Encode. Spowoduje to zakodowanie skryptów w nieprzeczytany tekst, co utrudnia użytkownikom badanie kodu. Badania zagrożeń firmy Microsoft pokazują, że osoby atakujące często używają zakodowanych plików VBscript w ramach ataku w celu uniknięcia systemów wykrywania. Może to być uzasadnione działanie lub wskazanie naruszonego hosta.
Taktyka MITRE: -
Ważność: średni rozmiar
Wykryto podejrzane wykonywanie za pośrednictwem rundll32.exe
Opis: Analiza danych hosta na serwerze %{Host z naruszeniem zabezpieczeń} wykryła, rundll32.exe używane do wykonywania procesu o nietypowej nazwie, zgodnej ze schematem nazewnictwa procesów, który był wcześniej używany przez grupę działań GOLD podczas instalowania implantu pierwszego etapu na naruszonym hoście.
Taktyka MITRE: -
Ważność: Wysoka
Wykryto podejrzane polecenia oczyszczania plików
Opis: Analiza danych hosta na serwerze %{Naruszony host} wykryła kombinację poleceń systeminfo, które zostały wcześniej skojarzone z jedną z metod grupy działań GOLD podczas samodzielnego oczyszczania po naruszeniu zabezpieczeń. Chociaż "systeminfo.exe" jest legalnym narzędziem systemu Windows, wykonanie go dwa razy z rzędu, a następnie polecenie usuwania w sposób, który wystąpił tutaj, jest rzadki.
Taktyka MITRE: -
Ważność: Wysoka
Wykryto podejrzane tworzenie pliku
Opis: Analiza danych hosta na serwerze %{Host z naruszonym naruszeniem} wykryła utworzenie lub wykonanie procesu, który wcześniej wskazywał działanie po naruszeniu zabezpieczeń podjęte na hoście ofiary przez grupę działań BARIUM. Ta grupa działań była znana z używania tej techniki w celu pobrania większej liczby złośliwego oprogramowania na hosta, który został naruszony po otwarciu załącznika w dokumentie wyłudzania informacji.
Taktyka MITRE: -
Ważność: Wysoka
Wykryto podejrzaną komunikację nazwanego potoku
Opis: Analiza danych hosta na serwerze %{Host z naruszonym naruszeniem} wykryła, że dane są zapisywane w lokalnym nazwanym potoku za pomocą polecenia konsoli systemu Windows. Nazwane potoki są znane jako kanał używany przez osoby atakujące do zadania i komunikowania się ze złośliwym implantem. Może to być uzasadnione działanie lub wskazanie naruszonego hosta.
Taktyka MITRE: -
Ważność: Wysoka
Wykryto podejrzane działanie sieci
Opis: Analiza ruchu sieciowego z hosta %{Naruszone zabezpieczenia} wykryła podejrzane działanie sieci. Taki ruch, choć prawdopodobnie łagodny, jest zwykle używany przez osobę atakującą do komunikowania się ze złośliwymi serwerami do pobierania narzędzi, kontroli i kontroli i eksfiltracji danych. Typowe powiązane działania osoby atakujące obejmują kopiowanie narzędzi administracji zdalnej do hosta z naruszonym dostępem i eksfiltrowanie z niego danych użytkownika.
Taktyka MITRE: -
Ważność: Niska
Wykryto podejrzaną nową regułę zapory
Opis: Analiza danych hosta wykryła dodanie nowej reguły zapory za pośrednictwem netsh.exe w celu zezwolenia na ruch z pliku wykonywalnego w podejrzanej lokalizacji.
Taktyka MITRE: -
Ważność: średni rozmiar
Wykryto podejrzane użycie cacls w celu obniżenia stanu zabezpieczeń systemu
Opis: Osoby atakujące używają niezliczonych sposobów, takich jak atak siłowy, wyłudzanie informacji itp., aby osiągnąć początkowe naruszenie i uzyskać przyczółek w sieci. Po osiągnięciu początkowego naruszenia często podejmują kroki w celu obniżenia ustawień zabezpieczeń systemu. Caclsâ € "skrót dla listy kontroli dostępu zmian to natywne narzędzie wiersza polecenia systemu Microsoft Windows często używane do modyfikowania uprawnień zabezpieczeń folderów i plików. Wiele czasu dane binarne są używane przez osoby atakujące w celu obniżenia ustawień zabezpieczeń systemu. W tym celu można zapewnić wszystkim pełny dostęp do niektórych plików binarnych systemu, takich jak ftp.exe, net.exe, wscript.exe itp. Analiza danych hosta na serwerze %{Naruszony host} wykryła podejrzane użycie platformy Cacls w celu obniżenia bezpieczeństwa systemu.
Taktyka MITRE: -
Ważność: średni rozmiar
Wykryto podejrzane użycie przełącznika FTP -s
Opis: Analiza danych tworzenia procesów z hosta %{Naruszone zabezpieczenia} wykryła użycie przełącznika FTP "-s:nazwa_pliku". Ten przełącznik służy do określania pliku skryptu FTP, który ma zostać uruchomiony przez klienta. Złośliwe oprogramowanie lub złośliwe procesy są znane, aby używać tego przełącznika FTP (-s:nazwa_pliku) do wskazywania pliku skryptu, który jest skonfigurowany do łączenia się ze zdalnym serwerem FTP i pobierania bardziej złośliwych plików binarnych.
Taktyka MITRE: -
Ważność: średni rozmiar
Wykryto podejrzane użycie Pcalua.exe do uruchomienia kodu wykonywalnego
Opis: Analiza danych hosta na hoście %{Naruszone zabezpieczenia} wykryła użycie pcalua.exe do uruchomienia kodu wykonywalnego. Pcalua.exe jest składnikiem "Asystenta zgodności programów" systemu Microsoft Windows, który wykrywa problemy ze zgodnością podczas instalacji lub wykonywania programu. Osoby atakujące są znane z nadużyć funkcjonalności legalnych narzędzi systemu Windows do wykonywania złośliwych akcji, na przykład przy użyciu pcalua.exe z przełącznikiem umożliwiającym uruchamianie złośliwych plików wykonywalnych lokalnie lub z udziałów zdalnych.
Taktyka MITRE: -
Ważność: średni rozmiar
Wykryto wyłączenie usług krytycznych
Opis: Analiza danych hosta na serwerze %{Host z naruszonym naruszeniem} wykryła wykonanie polecenia "net.exe stop" używanego do zatrzymywania krytycznych usług, takich jak SharedAccess lub Zabezpieczenia Windows aplikacji. Zatrzymanie jednej z tych usług może wskazywać na złośliwe zachowanie.
Taktyka MITRE: -
Ważność: średni rozmiar
Wykryto zachowanie związane z wyszukiwania walutami cyfrowymi
Opis: Analiza danych hosta na serwerze %{Host z naruszeniem zabezpieczeń} wykryła wykonanie procesu lub polecenia zwykle skojarzonego z wyszukiwaniem walut cyfrowych.
Taktyka MITRE: -
Ważność: Wysoka
Dynamiczna konstrukcja skryptu PS
Opis: Analiza danych hosta na serwerze %{Host z naruszonym naruszeniem} wykryła dynamicznie konstruowany skrypt programu PowerShell. Osoby atakujące czasami używają tego podejścia do progresywnego tworzenia skryptu w celu uniknięcia systemów IDS. Może to być uzasadnione działanie lub wskazanie, że jeden z Twoich maszyn został naruszony.
Taktyka MITRE: -
Ważność: średni rozmiar
Znaleziono plik wykonywalny uruchomiony z podejrzanej lokalizacji
Opis: Analiza danych hosta wykryła plik wykonywalny na serwerze %{Host naruszony}, który jest uruchomiony z lokalizacji wspólnej ze znanymi podejrzanymi plikami. Ten plik wykonywalny może być legalnym działaniem lub wskazaniem naruszonego hosta.
Taktyka MITRE: -
Ważność: Wysoka
Wykryto zachowanie ataków bez plików
(VM_FilelessAttackBehavior.Windows)
Opis: Pamięć określonego procesu zawiera zachowania często używane przez ataki bez plików. Konkretne zachowania obejmują:
- Kod powłoki, który jest małym fragmentem kodu, zwykle używanym jako ładunek w wykorzystaniu luki w zabezpieczeniach oprogramowania.
- Aktywne połączenia sieciowe. Aby uzyskać szczegółowe informacje, zobacz NetworkConnections poniżej.
- Wywołania funkcji do interfejsów systemu operacyjnego wrażliwego na zabezpieczenia. Zobacz Możliwości poniżej, aby uzyskać informacje o możliwościach systemu operacyjnego.
- Zawiera wątek, który został uruchomiony w dynamicznie przydzielonym segmencie kodu. Jest to typowy wzorzec ataków polegających na wstrzyknięciu procesu.
Taktyka MITRE: Uchylanie się od obrony
Ważność: Niska
Wykryto technikę ataku bez plików
(VM_FilelessAttackTechnique.Windows)
Opis: Pamięć procesu określonego poniżej zawiera dowody na technikę ataku bez plików. Ataki bez plików są używane przez osoby atakujące do wykonywania kodu podczas unikania wykrywania przez oprogramowanie zabezpieczające. Konkretne zachowania obejmują:
- Kod powłoki, który jest małym fragmentem kodu, zwykle używanym jako ładunek w wykorzystaniu luki w zabezpieczeniach oprogramowania.
- Obraz wykonywalny wstrzyknięty do procesu, taki jak atak polegający na wstrzyknięciu kodu.
- Aktywne połączenia sieciowe. Aby uzyskać szczegółowe informacje, zobacz NetworkConnections poniżej.
- Wywołania funkcji do interfejsów systemu operacyjnego wrażliwego na zabezpieczenia. Zobacz Możliwości poniżej, aby uzyskać informacje o możliwościach systemu operacyjnego.
- Wydrążenie procesów, które jest techniką używaną przez złośliwe oprogramowanie, w którym w systemie jest ładowany legalny proces do działania jako kontener dla wrogiego kodu.
- Zawiera wątek, który został uruchomiony w dynamicznie przydzielonym segmencie kodu. Jest to typowy wzorzec ataków polegających na wstrzyknięciu procesu.
Taktyka MITRE: Uchylanie się od obrony, egzekucja
Ważność: Wysoka
Wykryto zestaw narzędzi do ataków bez plików
(VM_FilelessAttackToolkit.Windows)
Opis: Pamięć określonego procesu zawiera zestaw narzędzi do ataków bez plików: [nazwa zestawu narzędzi]. Zestawy narzędzi do ataków bez plików używają technik, które minimalizują lub eliminują ślady złośliwego oprogramowania na dysku i znacznie zmniejszają prawdopodobieństwo wykrycia przez rozwiązania do skanowania złośliwego oprogramowania opartego na dyskach. Konkretne zachowania obejmują:
- Dobrze znane zestawy narzędzi i oprogramowanie do wyszukiwania kryptograficznego.
- Kod powłoki, który jest małym fragmentem kodu, zwykle używanym jako ładunek w wykorzystaniu luki w zabezpieczeniach oprogramowania.
- Wstrzyknięto złośliwy plik wykonywalny w pamięci procesu.
Taktyka MITRE: Uchylanie się od obrony, egzekucja
Ważność: średni rozmiar
Wykryto oprogramowanie o wysokim ryzyku
Opis: Analiza danych hosta z hosta %{Naruszone bezpieczeństwo hosta} wykryła użycie oprogramowania skojarzonego z instalacją złośliwego oprogramowania w przeszłości. Typową techniką używaną w dystrybucji złośliwego oprogramowania jest spakowanie go w innych łagodnych narzędziach, takich jak ta widoczna w tym alercie. W przypadku korzystania z tych narzędzi złośliwe oprogramowanie może być instalowane w tle w trybie dyskretnym.
Taktyka MITRE: -
Ważność: średni rozmiar
Członkowie grupy Administratorzy lokalni zostali wyliczeni
Opis: Dzienniki maszyn wskazują pomyślne wyliczenie w grupie %{Wyliczona nazwa domeny grupy}%{Wyliczona nazwa grupy}. W szczególności %{Wyliczanie nazwy domeny użytkownika}%{Wyliczanie nazwy użytkownika} zdalnie wyliczało członków grupy %{Wyliczonej nazwy domeny grupy}%{Nazwa grupy wyliczanej}}. To działanie może być uzasadnione lub wskazywać, że bezpieczeństwo maszyny w organizacji zostało naruszone i użyte do rekonesansu %{vmname}.
Taktyka MITRE: -
Ważność: informacyjna
Złośliwa reguła zapory utworzona przez implant serwera [widziana wiele razy]
Opis: Reguła zapory została utworzona przy użyciu technik, które pasują do znanego aktora,. Reguła była prawdopodobnie używana do otwierania portu na hoście %{Naruszone bezpieczeństwo}, aby umożliwić komunikację poleceń i kontroli. To zachowanie było widoczne [x] razy dzisiaj na następujących maszynach: [Nazwy maszyn]
Taktyka MITRE: -
Ważność: Wysoka
Złośliwe działanie SQL
Opis: Dzienniki komputera wskazują, że element "%{nazwa procesu}" został wykonany przez konto: %{nazwa użytkownika}. To działanie jest uznawane za złośliwe.
Taktyka MITRE: -
Ważność: Wysoka
Zapytania o wiele kont domeny
Opis: Analiza danych hosta ustaliła, że nietypowa liczba unikatowych kont domeny jest badana w krótkim czasie od użytkownika %{Host z naruszonym dostępem}. Tego rodzaju działalność może być uzasadniona, ale może być również wskazaniem kompromisu.
Taktyka MITRE: -
Ważność: średni rozmiar
Wykryto możliwe dumping poświadczeń [widziany wiele razy]
Opis: Analiza danych hosta wykryła użycie natywnego narzędzia systemu Windows (na przykład sqldumper.exe) używanego w sposób umożliwiający wyodrębnianie poświadczeń z pamięci. Osoby atakujące często używają tych technik do wyodrębniania poświadczeń, których następnie używają do przenoszenia bocznego i eskalacji uprawnień. To zachowanie było widoczne [x] razy dzisiaj na następujących maszynach: [Nazwy maszyn]
Taktyka MITRE: -
Ważność: średni rozmiar
Wykryto potencjalną próbę obejścia funkcji AppLocker
Opis: Analiza danych hosta na serwerze %{Host z naruszeniem zabezpieczeń} wykryła potencjalną próbę obejścia ograniczeń funkcji AppLocker. Funkcję AppLocker można skonfigurować do implementowania zasad, które ograniczają, jakie pliki wykonywalne mogą być uruchamiane w systemie Windows. Wzorzec wiersza polecenia podobny do tego, który został zidentyfikowany w tym alercie, został wcześniej skojarzony z osobami atakującymi próbującymi obejść zasady funkcji AppLocker przy użyciu zaufanych plików wykonywalnych (dozwolonych przez zasady funkcji AppLocker) w celu wykonania niezaufanego kodu. Może to być uzasadnione działanie lub wskazanie naruszonego hosta.
Taktyka MITRE: -
Ważność: Wysoka
Uruchomiona rzadka grupa usług SVCHOST
(VM_SvcHostRunInRareServiceGroup)
Opis: Zaobserwowano uruchomienie rzadkiej grupy usług w procesie systemowym SVCHOST. Złośliwe oprogramowanie często używa SVCHOST do maskowania złośliwego działania.
Taktyka MITRE: Uchylanie się od obrony, egzekucja
Ważność: informacyjna
Wykryto atak na klucze sticky
Opis: Analiza danych hosta wskazuje, że osoba atakująca może odwrócić plik binarny ułatwień dostępu (na przykład przyklejone, klawiatura ekranowa, narrator) w celu zapewnienia dostępu zaplecza do hosta %{Host naruszony bezpieczeństwo}.
Taktyka MITRE: -
Ważność: średni rozmiar
Udany atak siłowy
(VM_LoginBruteForceSuccess)
Opis: Wykryto kilka prób logowania z tego samego źródła. Niektóre pomyślnie uwierzytelnione na hoście. Przypomina to atak z serii, w którym osoba atakująca wykonuje wiele prób uwierzytelnienia w celu znalezienia prawidłowych poświadczeń konta.
Taktyka MITRE: Wyzysk
Ważność: średni/wysoki
Podejrzany poziom integralności wskazuje na porwanie RDP
Opis: Analiza danych hosta wykryła tscon.exe uruchomioną z uprawnieniami SYSTEM — może to wskazywać na to, że osoba atakująca nadużywa tego pliku binarnego w celu przełączenia kontekstu na dowolnego innego zalogowanego użytkownika na tym hoście. Jest to znana technika atakująca umożliwiająca naruszenie większej liczby kont użytkowników i przechodzenie poprzecznie przez sieć.
Taktyka MITRE: -
Ważność: średni rozmiar
Podejrzana instalacja usługi
Opis: Analiza danych hosta wykryła instalację tscon.exe jako usługi: ten plik binarny jest uruchamiany jako usługa, co potencjalnie umożliwia osobie atakującej trivially przełączenie się na dowolnego innego zalogowanego użytkownika na tym hoście przez przejęcie połączeń RDP; jest to znana technika atakująca, aby naruszyć bezpieczeństwo większej liczby kont użytkowników i przenieść się później przez sieć.
Taktyka MITRE: -
Ważność: średni rozmiar
Zaobserwowano podejrzane parametry ataku przy użyciu protokołu Kerberos Golden Ticket
Opis: Analiza danych hosta wykrytych parametrów wiersza polecenia spójnych z atakiem protokołu Kerberos Golden Ticket.
Taktyka MITRE: -
Ważność: średni rozmiar
Wykryto podejrzane tworzenie konta
Opis: Analiza danych hosta na serwerze %{Host z naruszonymi naruszeniami} wykryła utworzenie lub użycie konta lokalnego %{Nazwa podejrzanego konta}: ta nazwa konta jest ściśle podobna do standardowej nazwy konta systemu Windows lub grupy %{Podobne do nazwy konta}. Jest to potencjalnie nieautoryzowane konto utworzone przez osobę atakującą, tak nazwane w celu uniknięcia zauważenia przez administratora ludzkiego.
Taktyka MITRE: -
Ważność: średni rozmiar
Wykryto podejrzane działanie
(VM_SuspiciousActivity)
Opis: Analiza danych hosta wykryła sekwencję co najmniej jednego procesu uruchomionego w lokalizacji %{nazwa komputera}, które zostały historycznie skojarzone ze złośliwym działaniem. Chociaż poszczególne polecenia mogą wydawać się łagodne, alert jest oceniany na podstawie agregacji tych poleceń. Może to być uzasadnione działanie lub wskazanie naruszonego hosta.
Taktyka MITRE: Wykonywanie
Ważność: średni rozmiar
Podejrzane działanie uwierzytelniania
(VM_LoginBruteForceValidUserFailed)
Opis: Chociaż żaden z nich nie zakończył się pomyślnie, niektóre z nich zostały rozpoznane przez hosta. Przypomina to atak słownikowy, w którym osoba atakująca wykonuje wiele prób uwierzytelniania przy użyciu słownika wstępnie zdefiniowanych nazw kont i haseł w celu znalezienia prawidłowych poświadczeń dostępu do hosta. Oznacza to, że niektóre nazwy kont hosta mogą istnieć w dobrze znanym słowniku nazw kont.
Taktyka MITRE: Sondowanie
Ważność: średni rozmiar
Wykryto podejrzany segment kodu
Opis: wskazuje, że segment kodu został przydzielony przy użyciu niestandardowych metod, takich jak iniekcja refleksyjna i wydrążenie procesów. Alert zawiera więcej cech segmentu kodu, który został przetworzony w celu zapewnienia kontekstu dla możliwości i zachowań zgłaszanego segmentu kodu.
Taktyka MITRE: -
Ważność: średni rozmiar
Wykonany podejrzany plik podwójnego rozszerzenia
Opis: Analiza danych hosta wskazuje wykonanie procesu z podejrzanym podwójnym rozszerzeniem. To rozszerzenie może skłonić użytkowników do myślenia, że pliki są bezpieczne do otwarcia i mogą wskazywać na obecność złośliwego oprogramowania w systemie.
Taktyka MITRE: -
Ważność: Wysoka
Wykryto podejrzane pobieranie przy użyciu narzędzia Certutil [widziane wiele razy]
Opis: Analiza danych hosta na serwerze %{Host z naruszeniem zabezpieczeń} wykryła użycie certutil.exe, wbudowanego narzędzia administratora do pobierania pliku binarnego zamiast głównego przeznaczenia, który odnosi się do manipulowania certyfikatami i danymi certyfikatów. Osoby atakujące są znane z nadużyć funkcjonalności legalnych narzędzi administratora do wykonywania złośliwych akcji, na przykład przy użyciu certutil.exe do pobierania i dekodowania złośliwego pliku wykonywalnego, który następnie zostanie wykonany. To zachowanie było widoczne [x] razy dzisiaj na następujących maszynach: [Nazwy maszyn]
Taktyka MITRE: -
Ważność: średni rozmiar
Wykryto podejrzane pobieranie przy użyciu narzędzia Certutil
Opis: Analiza danych hosta na serwerze %{Host z naruszeniem zabezpieczeń} wykryła użycie certutil.exe, wbudowanego narzędzia administratora do pobierania pliku binarnego zamiast głównego przeznaczenia, który odnosi się do manipulowania certyfikatami i danymi certyfikatów. Osoby atakujące są znane z nadużyć funkcjonalności legalnych narzędzi administratora do wykonywania złośliwych akcji, na przykład przy użyciu certutil.exe do pobierania i dekodowania złośliwego pliku wykonywalnego, który następnie zostanie wykonany.
Taktyka MITRE: -
Ważność: średni rozmiar
Wykryto podejrzane działanie programu PowerShell
Opis: Analiza danych hosta wykryła skrypt programu PowerShell uruchomiony na hoście %{Naruszone bezpieczeństwo}, który ma funkcje wspólne ze znanymi podejrzanymi skryptami. Ten skrypt może być legalnym działaniem lub wskazaniem naruszonego hosta.
Taktyka MITRE: -
Ważność: Wysoka
Wykonane podejrzane polecenia cmdlet programu PowerShell
Opis: Analiza danych hosta wskazuje wykonywanie znanych złośliwych poleceń cmdlet programu PowerShell PowerSploit.
Taktyka MITRE: -
Ważność: średni rozmiar
Wykonany podejrzany proces [widziany wiele razy]
Opis: Dzienniki komputera wskazują, że podejrzany proces: "%{Podejrzany proces}" był uruchomiony na maszynie, często skojarzone z osobami atakującymi próbującymi uzyskać dostęp do poświadczeń. To zachowanie było widoczne [x] razy dzisiaj na następujących maszynach: [Nazwy maszyn]
Taktyka MITRE: -
Ważność: Wysoka
Wykonany podejrzany proces
Opis: Dzienniki komputera wskazują, że podejrzany proces: "%{Podejrzany proces}" był uruchomiony na maszynie, często skojarzone z osobami atakującymi próbującymi uzyskać dostęp do poświadczeń.
Taktyka MITRE: -
Ważność: Wysoka
Wykryto podejrzaną nazwę procesu [widzianą wielokrotnie]
Opis: Analiza danych hosta na serwerze %{Host zagrożony} wykryła proces, którego nazwa jest podejrzana, na przykład odpowiadająca znanemu narzędziu atakującemu lub nazwana w sposób sugerujący narzędzia atakujące, które próbują ukryć się w widoku. Ten proces może być uzasadnionym działaniem lub wskazaniem, że jeden z Twoich maszyn został naruszony. To zachowanie było widoczne [x] razy dzisiaj na następujących maszynach: [Nazwy maszyn]
Taktyka MITRE: -
Ważność: średni rozmiar
Wykryto podejrzaną nazwę procesu
Opis: Analiza danych hosta na serwerze %{Host zagrożony} wykryła proces, którego nazwa jest podejrzana, na przykład odpowiadająca znanemu narzędziu atakującemu lub nazwana w sposób sugerujący narzędzia atakujące, które próbują ukryć się w widoku. Ten proces może być uzasadnionym działaniem lub wskazaniem, że jeden z Twoich maszyn został naruszony.
Taktyka MITRE: -
Ważność: średni rozmiar
Podejrzane działanie SQL
Opis: Dzienniki komputera wskazują, że element "%{nazwa procesu}" został wykonany przez konto: %{nazwa użytkownika}. To działanie jest nietypowe w przypadku tego konta.
Taktyka MITRE: -
Ważność: średni rozmiar
Wykonany podejrzany proces SVCHOST
Opis: Proces systemowy SVCHOST zaobserwowano działanie w nietypowym kontekście. Złośliwe oprogramowanie często używa SVCHOST do maskowania złośliwego działania.
Taktyka MITRE: -
Ważność: Wysoka
Wykonany podejrzany proces systemowy
(VM_SystemProcessInAbnormalContext)
Opis: Proces systemowy %{nazwa procesu} zaobserwowano uruchomienie w nietypowym kontekście. Złośliwe oprogramowanie często używa tej nazwy procesu do maskowania złośliwego działania.
Taktyka MITRE: Uchylanie się od obrony, egzekucja
Ważność: Wysoka
Podejrzane działanie kopiowania woluminów w tle
Opis: Analiza danych hosta wykryła działanie usuwania kopii w tle w zasobie. Kopiowanie woluminów w tle (VSC, Volume Shadow Copy) to ważny artefakt, który przechowuje migawki danych. Niektóre złośliwe oprogramowanie, a w szczególności oprogramowanie Wymuszanie oprogramowania wymuszającego okup, są przeznaczone dla programu VSC w celu sabotowania strategii tworzenia kopii zapasowych.
Taktyka MITRE: -
Ważność: Wysoka
Wykryto podejrzaną wartość rejestru WindowPosition
Opis: Analiza danych hosta na serwerze %{Host z naruszonymi zabezpieczeniami} wykryła próbę zmiany konfiguracji rejestru WindowPosition, która może wskazywać na ukrywanie okien aplikacji w nienadzorowanych sekcjach pulpitu. Może to być uzasadnione działanie lub wskazanie naruszonej maszyny: ten typ działania został wcześniej skojarzony ze znanym oprogramowaniem adware (lub niechcianym oprogramowaniem), takim jak Win32/OneSystemCare i Win32/SystemHealer i złośliwe oprogramowanie, takie jak Win32/Creprote. Po ustawieniu wartości WindowPosition na wartość 201329664 (Szesnastkowy: 0x0c00 0c00, co odpowiada wartościom X-axis=0c00 i Y-axis=0c00), umieszcza okno aplikacji konsolowej w niewidocznej sekcji ekranu użytkownika w obszarze ukrytym przed widocznym menu start/paskiem zadań. Znana wartość szesnastkowy obejmuje, ale nie tylko c000c000.
Taktyka MITRE: -
Ważność: Niska
Wykryto podejrzany proces o nazwie
Opis: Analiza danych hosta na serwerze %{Host z naruszonym naruszeniem} wykryła proces, którego nazwa jest bardzo podobna, ale różni się od bardzo często uruchamianego procesu (%{Podobne do nazwy procesu}). Chociaż ten proces może być łagodny dla atakujących, czasami ukrywa się w zasięgu wzroku, nazywając ich złośliwe narzędzia podobnymi do legalnych nazw procesów.
Taktyka MITRE: -
Ważność: średni rozmiar
Nietypowe resetowanie konfiguracji na maszynie wirtualnej
(VM_VMAccessUnusualConfigReset)
Opis: Wykryto nietypowe resetowanie konfiguracji na maszynie wirtualnej, analizując operacje usługi Azure Resource Manager w ramach subskrypcji. Mimo że ta akcja może być uzasadniona, osoby atakujące mogą spróbować zresetować konfigurację na maszynie wirtualnej i naruszyć jej bezpieczeństwo.
Taktyka MITRE: dostęp do poświadczeń
Ważność: średni rozmiar
Wykryto nietypowe wykonanie procesu
Opis: Analiza danych hosta na serwerze %{Host z naruszonym naruszeniem} wykryła wykonanie procesu przez użytkownika %{Nazwa użytkownika}, która była nietypowa. Konta, takie jak %{Nazwa użytkownika} mają tendencję do wykonywania ograniczonego zestawu operacji, to wykonanie zostało uznane za poza znakiem i może być podejrzane.
Taktyka MITRE: -
Ważność: Wysoka
Nietypowe resetowanie hasła użytkownika na maszynie wirtualnej
(VM_VMAccessUnusualPasswordReset)
Opis: Wykryto nietypowe resetowanie hasła użytkownika na maszynie wirtualnej przez przeanalizowanie operacji usługi Azure Resource Manager w ramach subskrypcji. Mimo że ta akcja może być uzasadniona, osoby atakujące mogą spróbować użyć rozszerzenia dostępu do maszyny wirtualnej, aby zresetować poświadczenia użytkownika lokalnego na maszynie wirtualnej i naruszyć jego bezpieczeństwo.
Taktyka MITRE: dostęp do poświadczeń
Ważność: średni rozmiar
Nietypowe resetowanie klucza SSH użytkownika na maszynie wirtualnej
(VM_VMAccessUnusualSSHReset)
Opis: Wykryto nietypowe resetowanie klucza SSH użytkownika na maszynie wirtualnej przez przeanalizowanie operacji usługi Azure Resource Manager w ramach subskrypcji. Mimo że ta akcja może być uzasadniona, osoby atakujące mogą spróbować zresetować klucz SSH konta użytkownika na maszynie wirtualnej i naruszyć jego bezpieczeństwo.
Taktyka MITRE: dostęp do poświadczeń
Ważność: średni rozmiar
Wykryto alokację obiektu HTTP w języku VBScript
Opis: wykryto tworzenie pliku VBScript przy użyciu wiersza polecenia. Poniższy skrypt zawiera polecenie alokacji obiektów HTTP. Ta akcja może służyć do pobierania złośliwych plików.
Podejrzana instalacja rozszerzenia procesora GPU na maszynie wirtualnej (wersja zapoznawcza)
(VM_GPUDriverExtensionUnusualExecution)
Opis: Wykryto podejrzaną instalację rozszerzenia procesora GPU na maszynie wirtualnej, analizując operacje usługi Azure Resource Manager w ramach subskrypcji. Osoby atakujące mogą użyć rozszerzenia sterownika procesora GPU do zainstalowania sterowników procesora GPU na maszynie wirtualnej za pośrednictwem usługi Azure Resource Manager w celu przeprowadzenia przejęcia kryptograficznego.
Taktyka MITRE: wpływ
Ważność: Niska
Wykryto wywołanie narzędzia AzureHound
(ARM_AzureHound)
Opis: Element AzureHound został uruchomiony w ramach subskrypcji i wykonał operacje zbierania informacji w celu wyliczenia zasobów. Aktorzy zagrożeń używają zautomatyzowanych narzędzi, takich jak AzureHound, do wyliczania zasobów i używania ich do uzyskiwania dostępu do poufnych danych lub wykonywania przenoszenia bocznego. Wykryto to przez analizowanie operacji usługi Azure Resource Manager w ramach subskrypcji. Ta operacja może wskazywać, że tożsamość w organizacji została naruszona i że aktor zagrożeń próbuje naruszyć bezpieczeństwo środowiska.
Ważność: średni rozmiar
Uwaga
W przypadku alertów w wersji zapoznawczej: Dodatkowe postanowienia dotyczące wersji zapoznawczej platformy Azure obejmują dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.