Alertas do Resource Manager
Este artigo lista os alertas de segurança que você pode receber para o Resource Manager do Microsoft Defender para Nuvem e todos os planos do Microsoft Defender habilitados. Os alertas mostrados em seu ambiente dependem dos recursos e serviços que você está protegendo, bem como a configuração personalizada.
Observação
Alguns dos alertas adicionados recentemente com a plataforma Microsoft Defender Threat Intelligence e Microsoft Defender para Ponto de Extremidade podem não estar documentados.
Saiba como responder a esses alertas.
Observação
Alertas de fontes diferentes podem levar diferentes quantidades de tempo para serem exibidos. Por exemplo, alertas que exigem análise de tráfego de rede podem levar mais tempo para aparecer do que alertas relacionados a processos suspeitos em execução em máquinas virtuais.
Alertas do Resource Manager
Observação
Os alertas com uma indicação de acesso delegado são disparados devido à atividade de provedores de serviços de terceiros. saiba mais sobre as indicações de atividade dos provedores de serviços.
Operação do Azure Resource Manager partindo de um endereço IP suspeito
(ARM_OperationFromSuspiciousIP)
Descrição: Microsoft Defender para Resource Manager detectou uma operação de um endereço IP que foi marcado como suspeito em feeds de inteligência contra ameaças.
Táticas do MITRE: Execução
Gravidade: Média
Operação do Azure Resource Manager partindo de um endereço IP de proxy suspeito
(ARM_OperationFromSuspiciousProxyIP)
Descrição: o Microsoft Defender para Resource Manager detectou uma operação de gerenciamento de recursos de um endereço IP associado a serviços de proxy, como o TOR. Embora esse comportamento possa ser legítimo, ele geralmente é visto em atividades mal-intencionadas, quando os atores da ameaça tentam ocultar o IP de origem.
Táticas MITRE: Evasão de Defesa
Gravidade: Média
Kit de ferramentas de exploração do MicroBurst usado para enumerar recursos nas suas assinaturas
(ARM_MicroBurst.AzDomainInfo)
Descrição: um script do PowerShell foi executado em sua assinatura e executou um padrão suspeito de execução de uma operação de coleta de informações para descobrir recursos, permissões e estruturas de rede. Atores de ameaças usam scripts automatizados, como o MicroBurst, para coletar informações e realizar atividades mal-intencionadas. Isso foi detectado pela análise das operações do Azure Resource Manager na sua assinatura. Essa operação pode indicar que uma identidade na organização foi violada e que o ator de ameaça está tentando comprometer seu ambiente para intenções mal-intencionadas.
Gravidade: Baixa
Kit de ferramentas de exploração do MicroBurst usado para enumerar recursos nas suas assinaturas
(ARM_MicroBurst.AzureDomainInfo)
Descrição: um script do PowerShell foi executado em sua assinatura e executou um padrão suspeito de execução de uma operação de coleta de informações para descobrir recursos, permissões e estruturas de rede. Atores de ameaças usam scripts automatizados, como o MicroBurst, para coletar informações e realizar atividades mal-intencionadas. Isso foi detectado pela análise das operações do Azure Resource Manager na sua assinatura. Essa operação pode indicar que uma identidade na organização foi violada e que o ator de ameaça está tentando comprometer seu ambiente para intenções mal-intencionadas.
Gravidade: Baixa
Kit de ferramentas de exploração do MicroBurst usado para executar um código na sua máquina virtual
(ARM_MicroBurst.AzVMBulkCMD)
Descrição: um script do PowerShell foi executado em sua assinatura e executou um padrão suspeito de execução de código em uma VM ou em uma lista de VMs. Atores de ameaças usam scripts automatizados, como o MicroBurst, para executar um script em uma VM para realizar atividades mal-intencionadas. Isso foi detectado pela análise das operações do Azure Resource Manager na sua assinatura. Essa operação pode indicar que uma identidade na organização foi violada e que o ator de ameaça está tentando comprometer seu ambiente para intenções mal-intencionadas.
Táticas do MITRE: Execução
Gravidade: Alta
Kit de ferramentas de exploração do MicroBurst usado para executar um código na sua máquina virtual
(RM_MicroBurst.AzureRmVMBulkCMD)
Descrição: o kit de ferramentas de exploração do MicroBurst foi usado para executar código em suas máquinas virtuais. Isso foi detectado pela análise das operações do Azure Resource Manager na sua assinatura.
Gravidade: Alta
Kit de ferramentas de exploração do MicroBurst usado para extrair chaves dos seus cofres de chaves do Azure
(ARM_MicroBurst.AzKeyVaultKeysREST)
Descrição: um script do PowerShell foi executado em sua assinatura e executou um padrão suspeito de extração de chaves de um Azure Key Vault. Atores de ameaças usam scripts automatizados, como o MicroBurst, para listar chaves e usá-las para acessar dados confidenciais ou realizar movimentos laterais. Isso foi detectado pela análise das operações do Azure Resource Manager na sua assinatura. Essa operação pode indicar que uma identidade na organização foi violada e que o ator de ameaça está tentando comprometer seu ambiente para intenções mal-intencionadas.
Gravidade: Alta
Kit de ferramentas de exploração do MicroBurst usado para extrair chaves das suas contas de armazenamento
(ARM_MicroBurst.AZStorageKeysREST)
Descrição: um script do PowerShell foi executado em sua assinatura e executou um padrão suspeito de extração de chaves para contas de armazenamento. Atores de ameaças usam scripts automatizados, como o MicroBurst, para listar chaves e usá-las para acessar dados confidenciais na(s) sua(s) Conta(s) de Armazenamento. Isso foi detectado pela análise das operações do Azure Resource Manager na sua assinatura. Essa operação pode indicar que uma identidade na organização foi violada e que o ator de ameaça está tentando comprometer seu ambiente para intenções mal-intencionadas.
Táticas MITRE: Coleção
Gravidade: Alta
Kit de ferramentas de exploração do MicroBurst usado para extrair segredos dos seus cofres de chaves do Azure
(ARM_MicroBurst.AzKeyVaultSecretsREST)
Descrição: um script do PowerShell foi executado em sua assinatura e executou um padrão suspeito de extração de segredos de um Azure Key Vault. Atores de ameaças usam scripts automatizados, como o MicroBurst, para listar segredos e usá-los para acessar dados confidenciais ou realizar movimentos laterais. Isso foi detectado pela análise das operações do Azure Resource Manager na sua assinatura. Essa operação pode indicar que uma identidade na organização foi violada e que o ator de ameaça está tentando comprometer seu ambiente para intenções mal-intencionadas.
Gravidade: Alta
Kit de ferramentas de exploração do PowerZure usado para elevar o acesso do Azure Active Directory para o Azure
(ARM_PowerZure.AzureElevatedPrivileges)
Descrição: o kit de ferramentas de exploração do PowerZure foi usado para elevar o acesso do AzureAD para o Azure. Isso foi detectado pela análise das operações do Azure Resource Manager no seu locatário.
Gravidade: Alta
Kit de ferramentas de exploração do PowerZure usado para enumerar recursos
(ARM_PowerZure.GetAzureTargets)
Descrição: o kit de ferramentas de exploração do PowerZure foi usado para enumerar recursos em nome de uma conta de usuário legítima em sua organização. Isso foi detectado pela análise das operações do Azure Resource Manager na sua assinatura.
Táticas MITRE: Coleção
Gravidade: Alta
Kit de ferramentas de exploração do PowerZure usado para enumerar contêineres de armazenamento, compartilhamentos e tabelas
(ARM_PowerZure.ShowStorageContent)
Descrição: o kit de ferramentas de exploração do PowerZure foi usado para enumerar compartilhamentos de armazenamento, tabelas e contêineres. Isso foi detectado pela análise das operações do Azure Resource Manager na sua assinatura.
Gravidade: Alta
Kit de ferramentas de exploração do PowerZure usado para executar um Runbook na sua assinatura
(ARM_PowerZure.StartRunbook)
Descrição: o kit de ferramentas de exploração do PowerZure foi usado para executar um Runbook. Isso foi detectado pela análise das operações do Azure Resource Manager na sua assinatura.
Gravidade: Alta
Kit de ferramentas de exploração do PowerZure usado para extrair conteúdo de Runbooks
(ARM_PowerZure.AzureRunbookContent)
Descrição: o kit de ferramentas de exploração do PowerZure foi usado para extrair o conteúdo do Runbook. Isso foi detectado pela análise das operações do Azure Resource Manager na sua assinatura.
Táticas MITRE: Coleção
Gravidade: Alta
Versão prévia – execução do kit de ferramentas do Azurite detectada
(ARM_Azurite)
Descrição: uma execução conhecida do kit de ferramentas de reconhecimento do ambiente de nuvem foi detectada em seu ambiente. A ferramenta Azurite pode ser usada por um invasor (ou testador de penetração) para mapear os recursos das assinaturas e identificar configurações inseguras.
Táticas MITRE: Coleção
Gravidade: Alta
VERSÃO PRÉVIA – Criação suspeita de recursos de computação detectada
(ARM_SuspiciousComputeCreation)
Descrição: o Microsoft Defender para Resource Manager identificou uma criação suspeita de recursos de computação em sua assinatura utilizando Máquinas Virtuais/Conjunto de Dimensionamento do Azure. As operações identificadas têm a finalidade de permitir que os administradores gerenciem seus ambientes com eficiência, implantando novos recursos quando necessário. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar tais operações para realizar a mineração de criptomoedas. A atividade é considerada suspeita, pois a escala de recursos de computação é maior do que a observada anteriormente na assinatura. Isso pode indicar que a entidade de segurança foi comprometida e está sendo usada de forma mal-intencionada.
Táticas do MITRE: Impacto
Gravidade: Média
VERSÃO PRÉVIA – Recuperação suspeita do cofre de chaves detectada
(Arm_Suspicious_Vault_Recovering)
Descrição: Microsoft Defender para Resource Manager detectou uma operação de recuperação suspeita para um recurso de cofre de chaves excluído de forma reversível. O usuário que está recuperando o recurso é diferente do usuário que o excluiu. Isso é altamente suspeito porque o usuário raramente invoca tal operação. Além disso, o usuário fez logon sem autenticação multifator (MFA). Isso pode indicar que o usuário está comprometido e está tentando descobrir segredos e chaves para obter acesso a recursos confidenciais ou para executar a movimentação lateral em sua rede.
Táticas MITRE: Movimento lateral
Gravidade: Média/alta
VERSÃO PRÉVIA – sessão de gerenciamento suspeita usando uma conta inativa detectada
(ARM_UnusedAccountPersistence)
Descrição: a análise de logs de atividades de assinatura detectou um comportamento suspeito. Uma entidade de segurança que não está em uso por um longo período de tempo agora está executando ações que podem proteger a persistência de um invasor.
Táticas do MITRE: Persistência
Gravidade: Média
VERSÃO PRÉVIA – Invocação suspeita de uma operação de "Acesso à Credencial" de alto risco por uma entidade de serviço detectada
(ARM_AnomalousServiceOperation.CredentialAccess)
Descrição: Microsoft Defender para Resource Manager identificou uma invocação suspeita de uma operação de alto risco em sua assinatura, o que pode indicar uma tentativa de acessar credenciais. As operações identificadas têm a finalidade de permitir que os administradores gerenciem seus ambientes com eficiência. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar essas operações para acessar credenciais restritas e comprometer recursos em seu ambiente. Isso pode indicar que a entidade de serviço foi comprometida e está sendo usada de modo mal-intencionado.
Táticas MITRE: acesso a credenciais
Gravidade: Média
VERSÃO PRÉVIA – Invocação suspeita de uma operação de "Coleta de dados" de alto risco por uma entidade de serviço detectada
(ARM_AnomalousServiceOperation.Collection)
Descrição: o Microsoft Defender para Resource Manager identificou uma invocação suspeita de uma operação de alto risco em sua assinatura, o que pode indicar uma tentativa de coletar dados. As operações identificadas têm a finalidade de permitir que os administradores gerenciem seus ambientes com eficiência. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar essas operações para coletar dados confidenciais sobre recursos em seu ambiente. Isso pode indicar que a entidade de serviço foi comprometida e está sendo usada de modo mal-intencionado.
Táticas MITRE: Coleção
Gravidade: Média
VERSÃO PRÉVIA – Invocação suspeita de uma operação de "Evasão de defensa" de alto risco por uma entidade de serviço detectada
(ARM_AnomalousServiceOperation.DefenseEvasion)
Descrição: o Microsoft Defender para Resource Manager identificou uma invocação suspeita de uma operação de alto risco em sua assinatura, o que pode indicar uma tentativa de escapar das defesas. As operações identificadas têm a finalidade de permitir que os administradores gerenciem a postura de segurança de seus ambientes com eficiência. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar essas operações para evitar ser detectado e comprometer os recursos em seu ambiente. Isso pode indicar que a entidade de serviço foi comprometida e está sendo usada de modo mal-intencionado.
Táticas MITRE: Evasão de Defesa
Gravidade: Média
VERSÃO PRÉVIA – Invocação suspeita de uma operação de "Execução" de alto risco por uma entidade de serviço detectada
(ARM_AnomalousServiceOperation.Execution)
Descrição: o Microsoft Defender para Resource Manager identificou uma invocação suspeita de uma operação de alto risco em um computador em sua assinatura, o que pode indicar uma tentativa de executar código. As operações identificadas têm a finalidade de permitir que os administradores gerenciem seus ambientes com eficiência. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar essas operações para acessar credenciais restritas e comprometer recursos em seu ambiente. Isso pode indicar que a entidade de serviço foi comprometida e está sendo usada de modo mal-intencionado.
Táticas MITRE: Execução de Defesa
Gravidade: Média
VERSÃO PRÉVIA – Invocação suspeita de uma operação de "Impacto" de alto risco por uma entidade de serviço detectada
(ARM_AnomalousServiceOperation.Impact)
Descrição: Microsoft Defender para Resource Manager identificou uma invocação suspeita de uma operação de alto risco em sua assinatura, o que pode indicar uma tentativa de alteração de configuração. As operações identificadas têm a finalidade de permitir que os administradores gerenciem seus ambientes com eficiência. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar essas operações para acessar credenciais restritas e comprometer recursos em seu ambiente. Isso pode indicar que a entidade de serviço foi comprometida e está sendo usada de modo mal-intencionado.
Táticas do MITRE: Impacto
Gravidade: Média
VERSÃO PRÉVIA – Invocação suspeita de uma operação de "Acesso inicial" de alto risco por uma entidade de serviço detectada
(ARM_AnomalousServiceOperation.InitialAccess)
Descrição: Microsoft Defender para Resource Manager identificou uma invocação suspeita de uma operação de alto risco em sua assinatura, o que pode indicar uma tentativa de acessar recursos restritos. As operações identificadas têm a finalidade de permitir que os administradores acessem seus ambientes com eficiência. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar essas operações para obter acesso inicial a recursos restritos em seu ambiente. Isso pode indicar que a entidade de serviço foi comprometida e está sendo usada de modo mal-intencionado.
Táticas MITRE: Acesso inicial
Gravidade: Média
VERSÃO PRÉVIA – Invocação suspeita de uma operação de "Acesso de movimento lateral" de alto risco por uma entidade de serviço detectada
(ARM_AnomalousServiceOperation.LateralMovement)
Descrição: Microsoft Defender para Resource Manager identificou uma invocação suspeita de uma operação de alto risco em sua assinatura, o que pode indicar uma tentativa de executar o movimento lateral. As operações identificadas têm a finalidade de permitir que os administradores gerenciem seus ambientes com eficiência. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar essas operações para comprometer mais recursos em seu ambiente. Isso pode indicar que a entidade de serviço foi comprometida e está sendo usada de modo mal-intencionado.
Táticas MITRE: Movimento lateral
Gravidade: Média
VERSÃO PRÉVIA – Invocação suspeita de uma operação de "persistência" de alto risco por uma entidade de serviço detectada
(ARM_AnomalousServiceOperation.Persistence)
Descrição: Microsoft Defender para Resource Manager identificou uma invocação suspeita de uma operação de alto risco em sua assinatura, o que pode indicar uma tentativa de estabelecer persistência. As operações identificadas têm a finalidade de permitir que os administradores gerenciem seus ambientes com eficiência. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar essas operações para estabelecer persistência em seu ambiente. Isso pode indicar que a entidade de serviço foi comprometida e está sendo usada de modo mal-intencionado.
Táticas do MITRE: Persistência
Gravidade: Média
VERSÃO PRÉVIA – Invocação suspeita de uma operação de "Elevação de privilégio" de alto risco por uma entidade de serviço detectada
(ARM_AnomalousServiceOperation.PrivilegeEscalation)
Descrição: o Microsoft Defender para Resource Manager identificou uma invocação suspeita de uma operação de alto risco em sua assinatura, o que pode indicar uma tentativa de escalonar privilégios. As operações identificadas têm a finalidade de permitir que os administradores gerenciem seus ambientes com eficiência. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar essas operações para escalar privilégios enquanto compromete os recursos em seu ambiente. Isso pode indicar que a entidade de serviço foi comprometida e está sendo usada de modo mal-intencionado.
Táticas do MITRE: escalonamento de privilégios
Gravidade: Média
VERSÃO PRÉVIA – sessão de gerenciamento suspeita usando uma conta inativa detectada
(ARM_UnusedAccountPersistence)
Descrição: a análise de logs de atividades de assinatura detectou um comportamento suspeito. Uma entidade de segurança que não está em uso por um longo período de tempo agora está executando ações que podem proteger a persistência de um invasor.
Táticas do MITRE: Persistência
Gravidade: Média
VERSÃO PRÉVIA – sessão de gerenciamento suspeita usando o PowerShell detectada
(ARM_UnusedAppPowershellPersistence)
Descrição: a análise de logs de atividades de assinatura detectou um comportamento suspeito. Uma entidade que não usa regularmente o PowerShell para gerenciar o ambiente de assinatura agora está usando o PowerShell e executando ações que podem proteger a persistência de um invasor.
Táticas do MITRE: Persistência
Gravidade: Média
PREVIEW – Sessão de gerenciamento suspeita usando o portal do Azure detectada
(ARM_UnusedAppIbizaPersistence)
Descrição: a análise dos logs de atividades da assinatura detectou um comportamento suspeito. Uma entidade de segurança que não usa regularmente o portal do Azure (Ibiza) para gerenciar o ambiente de assinatura (não usou o portal do Azure para gerenciar nos últimos 45 dias ou uma assinatura que está gerenciando ativamente), agora está usando o portal do Azure e executando ações que podem proteger a persistência de um invasor.
Táticas do MITRE: Persistência
Gravidade: Média
Função personalizada privilegiada criada para sua assinatura de forma suspeita (Versão prévia)
(ARM_PrivilegedRoleDefinitionCreation)
Descrição: o Microsoft Defender para Resource Manager detectou uma criação suspeita de definição de função personalizada privilegiada em sua assinatura. Essa operação pode ter sido executada por um usuário legítimo de sua organização. Uma outra opção seria a violação de uma conta em sua organização e o ator da ameaça está tentando criar uma função privilegiada a ser usada no futuro para escapar da detecção.
Táticas MITRA: Escalonamento de Privilégios, Evasão de Defesa
Gravidade: Informativo
Atribuição de função suspeita do Azure detectada (versão prévia)
(ARM_AnomalousRBACRoleAssignment)
Descrição: o Microsoft Defender para Resource Manager identificou uma atribuição/execução de função suspeita do Azure usando o PIM (Privileged Identity Management) em seu locatário, o que pode indicar que uma conta em sua organização foi comprometida. As operações identificadas foram projetadas para permitir que os administradores permitam às entidades de segurança acesso aos recursos do Azure. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar a atribuição de funções para escalar suas permissões, permitindo que eles avancem no ataque.
Táticas MITRA: Movimento Lateral, Evasão de Defesa
Gravidade: Baixa (PIM) / Alta
Invocação suspeita de uma operação de "Acesso a credencial" de alto risco detectada (versão prévia)
(ARM_AnomalousOperation.CredentialAccess)
Descrição: Microsoft Defender para Resource Manager identificou uma invocação suspeita de uma operação de alto risco em sua assinatura, o que pode indicar uma tentativa de acessar credenciais. As operações identificadas têm a finalidade de permitir que os administradores acessem seus ambientes com eficiência. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar essas operações para acessar credenciais restritas e comprometer recursos em seu ambiente. Isso pode indicar que a conta foi comprometida e está sendo usada de modo mal-intencionado.
Táticas MITRE: Acesso a credenciais
Gravidade: Média
Invocação suspeita de uma operação de "Coleta de Dados" de alto risco detectada (versão prévia)
(ARM_AnomalousOperation.Collection)
Descrição: o Microsoft Defender para Resource Manager identificou uma invocação suspeita de uma operação de alto risco em sua assinatura, o que pode indicar uma tentativa de coletar dados. As operações identificadas têm a finalidade de permitir que os administradores gerenciem seus ambientes com eficiência. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar essas operações para coletar dados confidenciais sobre recursos em seu ambiente. Isso pode indicar que a conta foi comprometida e está sendo usada de modo mal-intencionado.
Táticas MITRE: Coleção
Gravidade: Média
Invocação suspeita de uma operação de "Evasão de defesa" de alto risco detectada (versão prévia)
(ARM_AnomalousOperation.DefenseEvasion)
Descrição: o Microsoft Defender para Resource Manager identificou uma invocação suspeita de uma operação de alto risco em sua assinatura, o que pode indicar uma tentativa de escapar das defesas. As operações identificadas têm a finalidade de permitir que os administradores gerenciem a postura de segurança de seus ambientes com eficiência. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar essas operações para evitar ser detectado e comprometer os recursos em seu ambiente. Isso pode indicar que a conta foi comprometida e está sendo usada de modo mal-intencionado.
Táticas MITRE: Evasão de Defesa
Gravidade: Média
Invocação suspeita de uma operação de "Execução" de alto risco detectada (versão prévia)
(ARM_AnomalousOperation.Execution)
Descrição: o Microsoft Defender para Resource Manager identificou uma invocação suspeita de uma operação de alto risco em um computador em sua assinatura, o que pode indicar uma tentativa de executar código. As operações identificadas têm a finalidade de permitir que os administradores gerenciem seus ambientes com eficiência. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar essas operações para acessar credenciais restritas e comprometer recursos em seu ambiente. Isso pode indicar que a conta foi comprometida e está sendo usada de modo mal-intencionado.
Táticas do MITRE: Execução
Gravidade: Média
Invocação suspeita de uma operação de "Impacto" de alto risco detectada (versão prévia)
(ARM_AnomalousOperation.Impact)
Descrição: Microsoft Defender para Resource Manager identificou uma invocação suspeita de uma operação de alto risco em sua assinatura, o que pode indicar uma tentativa de alteração de configuração. As operações identificadas têm a finalidade de permitir que os administradores gerenciem seus ambientes com eficiência. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar essas operações para acessar credenciais restritas e comprometer recursos em seu ambiente. Isso pode indicar que a conta foi comprometida e está sendo usada de modo mal-intencionado.
Táticas do MITRE: Impacto
Gravidade: Média
Invocação suspeita de uma operação de "Acesso inicial" de alto risco detectada (versão prévia)
(ARM_AnomalousOperation.InitialAccess)
Descrição: Microsoft Defender para Resource Manager identificou uma invocação suspeita de uma operação de alto risco em sua assinatura, o que pode indicar uma tentativa de acessar recursos restritos. As operações identificadas têm a finalidade de permitir que os administradores acessem seus ambientes com eficiência. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar essas operações para obter acesso inicial a recursos restritos em seu ambiente. Isso pode indicar que a conta foi comprometida e está sendo usada de modo mal-intencionado.
Táticas MITRE: Acesso Inicial
Gravidade: Média
Invocação suspeita de uma operação de "Movimentação lateral" de alto risco detectada (versão prévia)
(ARM_AnomalousOperation.LateralMovement)
Descrição: Microsoft Defender para Resource Manager identificou uma invocação suspeita de uma operação de alto risco em sua assinatura, o que pode indicar uma tentativa de executar o movimento lateral. As operações identificadas têm a finalidade de permitir que os administradores gerenciem seus ambientes com eficiência. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar essas operações para comprometer mais recursos em seu ambiente. Isso pode indicar que a conta foi comprometida e está sendo usada de modo mal-intencionado.
Táticas MITRE: Movimento Lateral
Gravidade: Média
Operação Elevar Acesso suspeita (Versão prévia)(ARM_AnomalousElevateAccess)
Descrição: Microsoft Defender para Resource Manager identificou uma operação suspeita de "Elevar Acesso". A atividade é considerada suspeita, pois essa entidade de segurança raramente invoca essas operações. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar uma operação "Elevar Acesso" para executar o escalonamento de privilégios para um usuário comprometido.
Táticas do MITRE: Escalonamento de Privilégios
Gravidade: Média
Invocação suspeita de uma operação de "Persistência" de alto risco detectada (versão prévia)
(ARM_AnomalousOperation.Persistence)
Descrição: Microsoft Defender para Resource Manager identificou uma invocação suspeita de uma operação de alto risco em sua assinatura, o que pode indicar uma tentativa de estabelecer persistência. As operações identificadas têm a finalidade de permitir que os administradores gerenciem seus ambientes com eficiência. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar essas operações para estabelecer persistência em seu ambiente. Isso pode indicar que a conta foi comprometida e está sendo usada de modo mal-intencionado.
Táticas do MITRE: Persistência
Gravidade: Média
Invocação suspeita de uma operação de "Elevação de privilégio" de alto risco detectada (versão prévia)
(ARM_AnomalousOperation.PrivilegeEscalation)
Descrição: o Microsoft Defender para Resource Manager identificou uma invocação suspeita de uma operação de alto risco em sua assinatura, o que pode indicar uma tentativa de escalonar privilégios. As operações identificadas têm a finalidade de permitir que os administradores gerenciem seus ambientes com eficiência. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar essas operações para escalar privilégios enquanto compromete os recursos em seu ambiente. Isso pode indicar que a conta foi comprometida e está sendo usada de modo mal-intencionado.
Táticas do MITRE: Escalonamento de Privilégios
Gravidade: Média
Uso do kit de ferramentas de exploração do MicroBurst para executar um código arbitrário ou infiltrar as credenciais de conta da Automação do Azure
(ARM_MicroBurst.RunCodeOnBehalf)
Descrição: um script do PowerShell foi executado em sua assinatura e executou um padrão suspeito de execução de um código arbitrário ou exfiltração de credenciais de conta de Automação do Azure. Atores de ameaças usam scripts automatizados, como o MicroBurst, para executar um código arbitrário para realizar atividades mal-intencionadas. Isso foi detectado pela análise das operações do Azure Resource Manager na sua assinatura. Essa operação pode indicar que uma identidade na organização foi violada e que o ator de ameaça está tentando comprometer seu ambiente para intenções mal-intencionadas.
Táticas MITRE: Persistência, Acesso a Credenciais
Gravidade: Alta
Uso de técnicas NetSPI para manter a persistência no seu ambiente do Azure
(ARM_NetSPI.MaintainPersistence)
Descrição: uso da técnica de persistência NetSPI para criar um backdoor de webhook e manter a persistência em seu ambiente do Azure. Isso foi detectado pela análise das operações do Azure Resource Manager na sua assinatura.
Gravidade: Alta
Uso do kit de ferramentas de exploração do PowerZure para executar um código arbitrário ou infiltrar as credenciais de conta da Automação do Azure
(ARM_PowerZure.RunCodeOnBehalf)
Descrição: o kit de ferramentas de exploração do PowerZure foi detectado tentando executar código ou exfiltrar credenciais de conta de Automação do Azure. Isso foi detectado pela análise das operações do Azure Resource Manager na sua assinatura.
Gravidade: Alta
Uso da função do PowerZure para manter a persistência no seu ambiente do Azure
(ARM_PowerZure.MaintainPersistence)
Descrição: o kit de ferramentas de exploração do PowerZure detectou a criação de um backdoor de webhook para manter a persistência em seu ambiente do Azure. Isso foi detectado pela análise das operações do Azure Resource Manager na sua assinatura.
Gravidade: Alta
Atribuição de função clássica suspeita detectada (versão prévia)
(ARM_AnomalousClassicRoleAssignment)
Descrição: Microsoft Defender para Resource Manager identificou uma atribuição de função clássica suspeita em seu locatário, o que pode indicar que uma conta em sua organização foi comprometida. As operações identificadas foram projetadas para fornecer compatibilidade com versões anteriores de funções clássicas que não são mais usadas com frequência. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar essa atribuição para conceder permissões a outra conta de usuário sob seu controle.
Táticas MITRA: Movimento Lateral, Evasão de Defesa
Gravidade: Alta
Observação
Para obter alertas que estão em versão prévia: os termos suplementares de versão prévia do Azure incluem termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.