Alertas de segurança – um guia de referência
Este artigo fornece links para páginas que listam os alertas de segurança que você pode receber do Microsoft Defender para Nuvem e de todos os planos habilitados do Microsoft Defender. Os alertas exibidos em seu ambiente dependem dos recursos e serviços que você está protegendo e de sua configuração personalizada.
Observação
Alguns dos alertas adicionados recentemente com a plataforma Microsoft Defender Threat Intelligence e Microsoft Defender para Ponto de Extremidade podem não estar documentados.
Esta página também inclui uma tabela que descreve a cadeia de eliminação do Microsoft Defender para Nuvem alinhada com a versão 9 da matriz MITRE ATT&CK.
Saiba como responder a esses alertas.
Observação
Alertas de fontes diferentes podem levar diferentes quantidades de tempo para serem exibidos. Por exemplo, alertas que exigem análise de tráfego de rede podem levar mais tempo para aparecer do que alertas relacionados a processos suspeitos em execução em máquinas virtuais.
Páginas de alerta de segurança por categoria
- Alertas para computadores Windows
- Alertas para computadores Linux
- Alertas para DNS
- Alertas para extensões de VM do Azure
- Alertas para o Serviço de Aplicativo do Azure
- Alertas para contêineres - clusters do Kubernetes
- Alertas para o Banco de Dados SQL e o Azure Synapse Analytics
- Alertas para bancos de dados relacionais de software livre
- Alertas para o Resource Manager
- Alertas para o Armazenamento do Azure
- Alertas para o Azure Cosmos DB
- Alertas para a camada de rede do Azure
- Alertas para o Azure Key Vault
- Alertas para a Proteção contra DDoS do Azure
- Alertas para o Defender para APIs
- Alertas para cargas de trabalho de IA
- Alertas de segurança obsoletos
Táticas MITRE ATT&CK
Entender a intenção de um ataque pode ajudá-lo a investigar e relatar o evento com mais facilidade. Para ajudar com esses esforços, os alertas do Microsoft Defender para Nuvem incluem as táticas MITRE com muitos alertas.
A série de etapas que descrevem a progressão de um ciberataque de reconhecimento para exfiltração de dados é geralmente conhecida como "kill chain".
As intenções de cadeia de eliminação com suporte do Defender para Nuvem são baseadas na versão 9 da matriz MITRE ATT&CK e descritas na tabela abaixo.
Tática | Versão ATT&CK | Descrição |
---|---|---|
PreAttack | O PreAttack pode ser uma tentativa de acessar um determinado recurso, independentemente de uma intenção mal-intencionada, ou uma tentativa com falha de obter acesso a um sistema de destino para coletar informações antes da exploração. Normalmente, a etapa é detectada como uma tentativa, proveniente de fora da rede, para verificar o sistema de destino e identificar um ponto de entrada. | |
Acesso inicial | V7, V9 | O InitialAccess é o estágio em que um invasor consegue obter uma base no recurso atacado. Esse estágio é relevante para os hosts de computação e recursos, como contas de usuário, certificados etc. Os atores de ameaça geralmente poderão controlar o recurso após esse estágio. |
Persistência | V7, V9 | A persistência é qualquer acesso, ação ou alteração na configuração em um sistema que forneça a um ator de ameaças uma presença persistente nesse sistema. Os atores de ameaças geralmente precisarão manter o acesso aos sistemas por meio de interrupções, como reinicializações do sistema, perda de credenciais ou outras falhas que exijam que uma ferramenta de acesso remoto reinicie ou forneça um backdoor alternativo para que eles recuperem o acesso. |
Escalonamento de Privilégios | V7, V9 | A elevação de privilégio é o resultado de ações que permitem que um adversário obtenha um nível mais alto de permissões em um sistema ou uma rede. Determinadas ferramentas ou ações exigem um nível mais alto de privilégio para funcionar e provavelmente são necessárias em muitos pontos em uma operação. Contas de usuário com permissões para acessar sistemas específicos ou executar funções específicas necessárias para que os adversários atinjam seu objetivo também podem ser consideradas um escalonamento de privilégio. |
Evasão de defesa | V7, V9 | A evasão de defesa consiste em técnicas que um adversário pode usar para evitar a detecção ou evitar outras defesas. Às vezes, essas ações são as mesmas que as técnicas (ou variações) em outras categorias que têm o benefício adicional de derrubar uma determinada defesa ou mitigação. |
Acesso com credencial | V7, V9 | O acesso a credenciais representa técnicas que resultam no acesso às credenciais do sistema, do domínio ou do serviço ou no controle dessas credenciais dentro de um ambiente empresarial. Os adversários provavelmente tentarão obter credenciais legítimas contas de usuários ou de administrador (administrador do sistema local ou usuários de domínio com acesso de administrador) para usar na rede. Com acesso suficiente em uma rede, um adversário pode criar contas para uso posterior no ambiente. |
Discovery | V7, V9 | A descoberta consiste em técnicas que permitem que o adversário obtenha conhecimento sobre o sistema e a rede interna. Quando os adversários têm acesso a um novo sistema, eles devem se orientar para o que agora têm controle e quais benefícios o sistema operacional oferece ao seu objetivo atual ou metas gerais durante a invasão. O sistema operacional fornece muitas ferramentas nativas que auxiliam nesta fase de coleta de informações após o comprometimento. |
LateralMovement | V7, V9 | A movimentação lateral consiste de técnicas que permitem que um adversário acesse e controle sistemas remotos em uma rede e pode incluir a execução de ferramentas em sistemas remotos, mas não necessariamente fazê-lo. As técnicas de movimento lateral podem permitir que um adversário colete informações de um sistema sem precisar de mais ferramentas, como uma ferramenta de acesso remoto. Um adversário pode usar a movimentação lateral para muitas finalidades, incluindo execução remota de ferramentas, ponto de acesso a mais sistemas, acesso a informações ou arquivos específicos, acesso mais credenciais ou causar algum efeito. |
Execução | V7, V9 | A tática de execução representa as técnicas que resultam na execução de código controlado por adversário em um sistema local ou remoto. Essa tática geralmente é usada em conjunto com a movimentação lateral para expandir o acesso a sistemas remotos em uma rede. |
Coleção | V7, V9 | A coleção consiste de técnicas usadas para identificar e coletar informações, como arquivos confidenciais, de uma rede de destino antes do vazamento. Esta categoria também abrange locais em um sistema ou rede onde o adversário pode procurar informações para exfiltrar. |
Comando e controle | V7, V9 | A tática de comando e controle representa como os adversários se comunicam com os sistemas que estão controlando em uma rede de destino. |
Exfiltração | V7, V9 | A exfiltração refere-se a técnicas e atributos que ajudam o adversário a remover arquivos e informações de uma rede de destino ou resultam nessa ação. Esta categoria também abrange locais em um sistema ou rede onde o adversário pode procurar informações para exfiltrar. |
Impacto | V7, V9 | Os eventos de impacto tentam principalmente reduzir diretamente a disponibilidade ou a integridade de um sistema, um serviço ou uma rede, incluindo a manipulação de dados para afetar um processo comercial ou operacional. Geralmente se refere a técnicas como ransomware, desfiguração, manipulação de dados e outros. |
Observação
Para obter alertas que estão em versão prévia: os termos suplementares de versão prévia do Azure incluem termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.