Alertas para computadores Linux

Este artigo lista os alertas de segurança que você pode receber para computadores Linux do Microsoft Defender para Nuvem e todos os planos do Microsoft Defender habilitados. Os alertas mostrados em seu ambiente dependem dos recursos e serviços que você está protegendo, bem como a configuração personalizada.

Observação

Alguns dos alertas adicionados recentemente com a plataforma Microsoft Defender Threat Intelligence e Microsoft Defender para Ponto de Extremidade podem não estar documentados.

Saiba como responder a esses alertas.

Saiba como exportar alertas.

Observação

Alertas de fontes diferentes podem levar diferentes quantidades de tempo para serem exibidos. Por exemplo, alertas que exigem análise de tráfego de rede podem levar mais tempo para aparecer do que alertas relacionados a processos suspeitos em execução em máquinas virtuais.

Alertas de máquinas Linux

O Plano 2 do Microsoft Defender para Servidores fornece detecções e alertas exclusivos, além dos fornecidos pelo Microsoft Defender para Ponto de Extremidade. Os alertas disponibilizados para computadores Linux são:

Mais detalhes e observações

Um arquivo de histórico foi limpo

Descrição: a análise dos dados do host indica que o arquivo de log do histórico de comandos foi limpo. Os invasores podem fazer isso para cobrir seus rastros. A operação foi executada pelo usuário: "%{nome do usuário}".

Táticas do MITRE: -

Gravidade: Média

A violação da política de controle de aplicativo adaptável foi auditada

(VM_AdaptiveApplicationControlLinuxViolationAudited)

Descrição: os usuários abaixo executaram aplicativos que estão violando a política de controle de aplicativos da sua organização nesta máquina. Isso pode expor o computador a vulnerabilidades de malware ou de aplicativo.

Táticas do MITRE: Execução

Gravidade: Informativo

Exclusão ampla de arquivos antimalware na sua máquina virtual

(VM_AmBroadFilesExclusion)

Descrição: a exclusão de arquivos da extensão antimalware com regra de exclusão ampla foi detectada em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Essa exclusão praticamente desabilita a proteção de Antimalware. Os invasores podem excluir arquivos da verificação de antimalware na sua máquina virtual para evitar a detecção durante a execução de código arbitrário ou durante a infecção do computador com um malware.

Táticas do MITRE: -

Gravidade: Média

Desabilitação de antimalware e execução de código na sua máquina virtual

(VM_AmDisablementAndCodeExecution)

Descrição: antimalware desativado ao mesmo tempo que a execução de código em sua máquina virtual. Isso foi detectado pela análise das operações do Azure Resource Manager na sua assinatura. Os invasores desabilitam os verificadores de antimalware para evitar a detecção durante a execução de ferramentas não autorizadas ou durante a infecção do computador com um malware.

Táticas do MITRE: -

Gravidade: Alta

Desabilitação de antimalware na sua máquina virtual

(VM_AmDisablement)

Descrição: antimalware desativado em sua máquina virtual. Isso foi detectado pela análise das operações do Azure Resource Manager na sua assinatura. Os invasores podem desabilitar o antimalware na sua máquina virtual para evitar a detecção.

Táticas MITRE: Evasão de Defesa

Gravidade: Média

Exclusão de arquivo antimalware e execução de código na sua máquina virtual

(VM_AmFileExclusionAndCodeExecution)

Descrição: o arquivo excluído do scanner antimalware ao mesmo tempo em que o código foi executado por meio de uma extensão de script personalizada na máquina virtual. Isso foi detectado pela análise das operações do Azure Resource Manager na sua assinatura. Os invasores podem excluir arquivos da verificação de antimalware na sua máquina virtual para evitar a detecção durante a execução de ferramentas não autorizadas ou durante a infecção do computador com um malware.

Táticas MITRE: Evasão de Defesa, Execução

Gravidade: Alta

Exclusão de arquivos antimalware e execução de código em sua máquina virtual (temporária)

(VM_AmTempFileExclusionAndCodeExecution)

Descrição: a exclusão temporária de arquivos da extensão antimalware em paralelo à execução do código por meio da extensão de script personalizado foi detectada em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Os invasores podem excluir arquivos da verificação de antimalware na sua máquina virtual para evitar a detecção durante a execução de código arbitrário ou durante a infecção do computador com um malware.

Táticas MITRE: Evasão de Defesa, Execução

Gravidade: Alta

Exclusão de arquivo antimalware na sua máquina virtual

(VM_AmTempFileExclusion)

Descrição: arquivo excluído do scanner antimalware na máquina virtual. Isso foi detectado pela análise das operações do Azure Resource Manager na sua assinatura. Os invasores podem excluir arquivos da verificação de antimalware na sua máquina virtual para evitar a detecção durante a execução de ferramentas não autorizadas ou durante a infecção do computador com um malware.

Táticas MITRE: Evasão de Defesa

Gravidade: Média

A proteção em tempo real de antimalware foi desabilitada na sua máquina virtual

(VM_AmRealtimeProtectionDisabled)

Descrição: a desabilitação da proteção em tempo real da extensão antimalware foi detectada em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Os invasores podem desabilitar a proteção em tempo real da verificação de antimalware na sua máquina virtual para evitar a detecção durante a execução de código arbitrário ou durante a infecção do computador com um malware.

Táticas MITRE: Evasão de Defesa

Gravidade: Média

A proteção em tempo real de antimalware foi desabilitada temporariamente na sua máquina virtual

(VM_AmTempRealtimeProtectionDisablement)

Descrição: a desabilitação temporária da proteção em tempo real da extensão antimalware foi detectada em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Os invasores podem desabilitar a proteção em tempo real da verificação de antimalware na sua máquina virtual para evitar a detecção durante a execução de código arbitrário ou durante a infecção do computador com um malware.

Táticas MITRE: Evasão de Defesa

Gravidade: Média

A proteção em tempo real de antimalware foi desabilitada temporariamente durante a execução de código na sua máquina virtual

(VM_AmRealtimeProtectionDisablementAndCodeExec)

Descrição: a desabilitação temporária da proteção em tempo real da extensão antimalware em paralelo à execução de código por meio da extensão de script personalizado foi detectada em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Os invasores podem desabilitar a proteção em tempo real da verificação de antimalware na sua máquina virtual para evitar a detecção durante a execução de código arbitrário ou durante a infecção do computador com um malware.

Táticas do MITRE: -

Gravidade: Alta

(VM_AmMalwareCampaignRelatedExclusion)

Descrição: uma regra de exclusão foi detectada em sua máquina virtual para impedir que sua extensão antimalware verifique determinados arquivos suspeitos de estarem relacionados a uma campanha de malware. Essa regra foi detectada pela análise das operações do Azure Resource Manager na sua assinatura. Os invasores podem excluir arquivos das verificações de antimalware para evitar a detecção durante a execução de código arbitrário ou durante a infecção do computador com um malware.

Táticas MITRE: Evasão de Defesa

Gravidade: Média

Desabilitação temporária de antimalware na sua máquina virtual

(VM_AmTemporarilyDisablement)

Descrição: Antimalware temporariamente desativado em sua máquina virtual. Isso foi detectado pela análise das operações do Azure Resource Manager na sua assinatura. Os invasores podem desabilitar o antimalware na sua máquina virtual para evitar a detecção.

Táticas do MITRE: -

Gravidade: Média

Exclusão de arquivo antimalware incomum na sua máquina virtual

(VM_UnusualAmFileExclusion)

Descrição: a exclusão incomum de arquivos da extensão antimalware foi detectada em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Os invasores podem excluir arquivos da verificação de antimalware na sua máquina virtual para evitar a detecção durante a execução de código arbitrário ou durante a infecção do computador com um malware.

Táticas MITRE: Evasão de Defesa

Gravidade: Média

Comportamento semelhante ao ransomware detectado [visto várias vezes]

Descrição: a análise dos dados do host em %{Compromised Host} detectou a execução de arquivos que se assemelham a ransomware conhecido que pode impedir que os usuários acessem seu sistema ou arquivos pessoais e exige o pagamento de resgate para recuperar o acesso. Esse comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes dos computadores]

Táticas do MITRE: -

Gravidade: Alta

Comunicação com um domínio suspeito identificado pela inteligência contra ameaças

(AzureDNS_ThreatIntelSuspectDomain)

Descrição: a comunicação com o domínio suspeito foi detectada analisando as transações de DNS do recurso e comparando-a com domínios mal-intencionados conhecidos identificados por feeds de inteligência contra ameaças. A comunicação com domínios mal-intencionados é executada frequentemente por invasores e pode indicar que seu recurso está comprometido.

Táticas MITRE: Acesso Inicial, Persistência, Execução, Comando e Controle, Exploração

Gravidade: Média

Contêiner com uma imagem de mineração detectada

(VM_MinerInContainerImage)

Descrição: os logs da máquina indicam a execução de um contêiner do Docker que executa uma imagem associada a uma mineração de moeda digital.

Táticas do MITRE: Execução

Gravidade: Alta

Mistura anormal de caracteres maiúsculos e minúsculos detectada na linha de comando

Descrição: a análise dos dados do host em %{Compromised Host} detectou uma linha de comando com uma mistura anômala de caracteres maiúsculos e minúsculos. Esse tipo de padrão, embora possivelmente benéfico, também é típico de invasores que estão tentando ocultar correspondência de regras com base em maiúsculas e minúsculas ou de hash ao executar tarefas administrativas em um host comprometido.

Táticas do MITRE: -

Gravidade: Média

Download de arquivo de uma fonte mal-intencionada conhecida detectado

Descrição: a análise dos dados do host detectou o download de um arquivo de uma fonte de malware conhecida em %{Compromised Host}.

Táticas do MITRE: -

Gravidade: Média

Atividade de rede suspeita detectada

Descrição: a análise do tráfego de rede de %{Compromised Host} detectou atividades de rede suspeitas. Esse tráfego, embora possivelmente benigno, é normalmente usado por um invasor para se comunicar com servidores mal-intencionados para download de ferramentas, comando e controle e exfiltração de dados. A atividade típica relacionada ao invasor inclui a cópia de ferramentas de administração remota para um host comprometido e a exfiltração de dados do usuário dela.

Táticas do MITRE: -

Gravidade: Baixa

Descrição: a análise dos dados do host no %{Compromised Host} detectou a execução de um processo ou comando normalmente associado à mineração de moeda digital.

Táticas do MITRE: -

Gravidade: Alta

Desabilitação do log de auditoria [visto várias vezes]

Descrição: o sistema de auditoria do Linux fornece uma maneira de rastrear informações relevantes para a segurança no sistema. Registra o máximo possível de informações sobre os eventos que estão ocorrendo em seu sistema. Desabilitar o log de auditoria pode dificultar a descoberta de violações de políticas de segurança usadas no sistema. Esse comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes dos computadores]

Táticas do MITRE: -

Gravidade: Baixa

Exploração da vulnerabilidade do Xorg [visto várias vezes]

Descrição: A análise dos dados do host em %{Compromised Host} detectou o usuário do Xorg com argumentos suspeitos. Os invasores podem usar essa técnica em tentativas de escalonamento de privilégios. Esse comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes dos computadores]

Táticas do MITRE: -

Gravidade: Média

Ataque de força bruta de SSH com falha

(VM_SshBruteForceFailed)

Descrição: foram detectados ataques de força bruta malsucedidos dos seguintes invasores: %{Attackers}. Os invasores tentaram acessar o host com os seguintes nomes de usuário: %{Accounts used on failed sign in to host attempts}.

Táticas MITRE: Sondagem

Gravidade: Média

Comportamento de ataque sem arquivos detectado

(VM_FilelessAttackBehavior.Linux)

Descrição: a memória do processo especificado abaixo contém comportamentos comumente usados por ataques sem arquivo. Os comportamentos específicos incluem: {lista de comportamentos observados}

Táticas do MITRE: Execução

Gravidade: Baixa

Técnica de ataque de sem arquivos detectada

(VM_FilelessAttackTechnique.Linux)

Descrição: a memória do processo especificado abaixo contém evidências de uma técnica de ataque sem arquivo. Ataques sem arquivo são usados por invasores para executar código e, ao mesmo tempo, escapar da detecção do software de segurança. Os comportamentos específicos incluem: {lista de comportamentos observados}

Táticas do MITRE: Execução

Gravidade: Alta

Kit de ferramentas de ataque sem arquivos detectado

(VM_FilelessAttackToolkit.Linux)

Descrição: a memória do processo especificado abaixo contém um kit de ferramentas de ataque sem arquivo: {ToolKitName}. Os kits de ferramentas de ataque sem arquivo normalmente não estão presentes no sistema de arquivos, dificultando a detecção pelo software antivírus tradicional. Os comportamentos específicos incluem: {lista de comportamentos observados}

Táticas MITRE: Evasão de Defesa, Execução

Gravidade: Alta

Execução de arquivo oculto detectada

Descrição: a análise dos dados do host indica que um arquivo oculto foi executado por %{nome de usuário}. A atividade pode ser legítima ou uma indicação de um host comprometido.

Táticas do MITRE: -

Gravidade: Informativo

Nova chave SSH adicionada [visto várias vezes]

(VM_SshKeyAddition)

Descrição: uma nova chave SSH foi adicionada ao arquivo de chaves autorizadas. Esse comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes dos computadores]

Táticas do MITRE: Persistência

Gravidade: Baixa

Nova chave SSH adicionada

Descrição: uma nova chave SSH foi adicionada ao arquivo de chaves autorizadas.

Táticas do MITRE: -

Gravidade: Baixa

Possível backdoor detectado [visto várias vezes]

Descrição: a análise dos dados do host detectou um arquivo suspeito sendo baixado e executado em %{Compromised Host} em sua assinatura. A atividade foi associada anteriormente à instalação de um backdoor. Esse comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes dos computadores]

Táticas do MITRE: -

Gravidade: Média

Possível exploração do servidor de email detectada

(VM_MailserverExploitation )

Descrição: a análise dos dados do host em %{Compromised Host} detectou uma execução incomum na conta do servidor de e-mail

Táticas do MITRA: Exploração

Gravidade: Média

Possível web shell mal-intencionado detectado

Descrição: a análise dos dados do host em %{Compromised Host} detectou um possível shell da Web. Os invasores geralmente carregam um web shell em um computador comprometido para obter persistência ou maior exploração.

Táticas do MITRE: -

Gravidade: Média

Possível alteração de senha usando o método de criptografia detectado [visto várias vezes]

Descrição: a análise dos dados do host em %{Compromised Host} detectou alteração de senha usando o método crypt. Os invasores podem fazer essa alteração para continuar o acesso e obter persistência após o comprometimento. Esse comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes dos computadores]

Táticas do MITRE: -

Gravidade: Média

Processo associado à mineração de moeda digital detectado [visto várias vezes]

Descrição: a análise dos dados do host em %{Compromised Host} detectou a execução de um processo normalmente associado à mineração de moeda digital. Esse comportamento foi visto 100 vezes hoje nos seguintes computadores: [Nomes dos computadores]

Táticas do MITRE: -

Gravidade: Média

Processo associado à mineração de moeda digital detectado

Descrição: a análise de dados do host detectou a execução de um processo normalmente associado à mineração de moeda digital.

Táticas MITRE: Exploração, Execução

Gravidade: Média

Ferramenta de download codificada do Python detectado [visto várias vezes]

Descrição: a análise de dados do host em %{Compromised Host} detectou a execução de Python codificado que baixa e executa código de um local remoto. Isso pode ser uma indicação de atividade maliciosa. Esse comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes dos computadores]

Táticas do MITRE: -

Gravidade: Baixa

Captura de tela obtida no host [visto várias vezes]

Descrição: a análise dos dados do host em %{Compromised Host} detectou o usuário de uma ferramenta de captura de tela. Os invasores podem usar essas ferramentas para acessar dados privados. Esse comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes dos computadores]

Táticas do MITRE: -

Gravidade: Baixa

Shellcode detectado [visto várias vezes]

Descrição: a análise dos dados do host em %{Compromised Host} detectou o código shell sendo gerado a partir da linha de comando. O processo pode ser uma atividade legítima ou uma indicação de que um de seus computadores foi comprometido. Esse comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes dos computadores]

Táticas do MITRE: -

Gravidade: Média

Ataque de força bruta SSH bem-sucedido

(VM_SshBruteForceSuccess)

Descrição: a análise dos dados do host detectou um ataque de força bruta bem-sucedido. O IP %{IP de origem do invasor} foi visto fazendo várias tentativas de logon. Alguns logons foram feitos desse IP com os seguintes usuários: %{Contas usadas para entrada bem-sucedida no host}. Isso significa que o host pode ser comprometido e controlado por um agente mal-intencionado.

Táticas do MITRA: Exploração

Gravidade: Alta

Criação de conta suspeita detectada

Descrição: a análise de dados do host em %{Compromised Host} detectou a criação ou o uso de uma conta local %{Nome da conta suspeita}: esse nome de conta se assemelha muito a uma conta padrão do Windows ou nome de grupo '%{Semelhante ao nome da conta}'. Potencialmente é uma conta não autorizada criada por um invasor, portanto, nomeada para evitar ser observada por um administrador humano.

Táticas do MITRE: -

Gravidade: Média

Módulo kernel suspeito detectado [visto várias vezes]

Descrição: a análise dos dados do host em %{Compromised Host} detectou um arquivo de objeto compartilhado sendo carregado como um módulo do kernel. Pode ser uma atividade legítima ou uma indicação de que um de seus computadores foi comprometido. Esse comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes dos computadores]

Táticas do MITRE: -

Gravidade: Média

Acesso suspeito à senha [visto várias vezes]

Descrição: a análise dos dados do host detectou acesso suspeito a senhas de usuário criptografadas em %{Compromised Host}. Esse comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes dos computadores]

Táticas do MITRE: -

Gravidade: Informativo

Acesso suspeito à senha

Descrição: a análise dos dados do host detectou acesso suspeito a senhas de usuário criptografadas em %{Compromised Host}.

Táticas do MITRE: -

Gravidade: Informativo

Solicitação suspeita para o Painel do Kubernetes

(VM_KubernetesDashboard)

Descrição: os registros da máquina indicam que uma solicitação suspeita foi feita ao Painel do Kubernetes. A solicitação foi enviada de um nó do Kubernetes, possivelmente de um dos contêineres em execução no nó. Embora o comportamento possa ser intencional, pode indicar que o nó está executando um contêiner comprometido.

Táticas MITRE: LateralMovement

Gravidade: Média

Redefinição de configuração incomum na sua máquina virtual

(VM_VMAccessUnusualConfigReset)

Descrição: uma redefinição de configuração incomum foi detectada em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Embora essa ação possa ser legítima, os invasores podem tentar utilizar a extensão VM Access para redefinir a configuração em sua máquina virtual e comprometê-la.

Táticas MITRE: Acesso a credenciais

Gravidade: Média

Redefinição de senha de usuário incomum na sua máquina virtual

(VM_VMAccessUnusualPasswordReset)

Descrição: uma redefinição de senha de usuário incomum foi detectada em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Embora essa ação possa ser legítima, os invasores podem tentar utilizar a extensão VM Access para redefinir as credenciais de um usuário local em sua máquina virtual e comprometê-la.

Táticas MITRE: Acesso a credenciais

Gravidade: Média

Redefinição de chave SSH de usuário incomum na sua máquina virtual

(VM_VMAccessUnusualSSHReset)

Descrição: uma redefinição de chave SSH de usuário incomum foi detectada em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Embora essa ação possa ser legítima, os invasores podem tentar utilizar a extensão VM Access para redefinir a chave SSH de uma conta de usuário em sua máquina virtual e comprometê-la.

Táticas MITRE: Acesso a credenciais

Gravidade: Média

Instalação suspeita da extensão de GPU em sua máquina virtual (versão prévia)

(VM_GPUDriverExtensionUnusualExecution)

Descrição: a instalação suspeita de uma extensão de GPU foi detectada em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Os invasores podem usar a extensão de driver de GPU para instalar drivers de GPU em sua máquina virtual por meio do Azure Resource Manager para executar o cryptojacking.

Táticas do MITRE: Impacto

Gravidade: Baixa

Observação

Para obter alertas que estão em versão prévia: os termos suplementares de versão prévia do Azure incluem termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.

Próximas etapas