Incidentes – um guia de referência
Observação
Para incidentes que estão em versão prévia: Os termos suplementares de versão prévia do Azure incluem termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.
Este artigo lista os incidentes que você pode obter do Microsoft Defender para Nuvem e todos os planos do Microsoft Defender que você tenha habilitado. Os incidentes mostrados em seu ambiente dependem dos recursos e serviços que você está protegendo, bem como a configuração personalizada.
Um incidente de segurança é uma correlação de alertas com uma história de ataque que compartilha uma entidade. Por exemplo, Recurso, Endereço IP, Usuário compartilham um padrão de cadeia de encerramento.
Você pode selecionar um incidente para exibir todos os alertas relacionados ao incidente e obter mais informações.
Saiba como gerenciar incidentes de segurança.
Observação
O mesmo alerta pode existir como parte de um incidente, bem como para ser visível como um alerta autônomo.
Incidente de segurança
| Alerta | Descrição | Severidade |
|---|---|---|
| Incidente de segurança detectou atividade suspeita do usuário (versão prévia) | Esse incidente indica operações suspeitas de usuário em seu ambiente. Vários alertas de diferentes planos do Defender para Nuvem foram disparados por esse usuário, o que aumenta a fidelidade de atividades mal-intencionadas em seu ambiente. Embora essa atividade possa ser legítima, um ator de ameaça pode utilizar essas operações para comprometer recursos em seu ambiente. Isso pode indicar que a conta foi comprometida e está sendo usada de modo mal-intencionado. | Alto |
| Incidente de segurança detectou atividade de entidade de serviço suspeita (versão prévia) | Esse incidente indica operações suspeitas da entidade de serviço em seu ambiente. Vários alertas de diferentes planos do Defender para Nuvem foram disparados por essa entidade de serviço, o que aumenta a fidelidade de atividades mal-intencionadas em seu ambiente. Embora essa atividade possa ser legítima, um ator de ameaça pode utilizar essas operações para comprometer recursos em seu ambiente. Isso pode indicar que a entidade de serviço foi comprometida e está sendo usada de modo mal-intencionado. | Alto |
| Incidente de segurança detectou atividade suspeita de mineração de criptografia (versão prévia) | Cenário 1: Esse incidente indica que atividades suspeitas de mineração de criptografia foram detectadas após atividade suspeita de usuário ou entidade de serviço. Vários alertas de diferentes planos do Defender para Nuvem foram disparados no mesmo recurso, o que aumenta a fidelidade de atividades mal-intencionadas em seu ambiente. Atividade de conta suspeita pode indicar que um ator de ameaça obteve acesso não autorizado ao seu ambiente, e a atividade de mineração de criptografia bem-sucedida pode sugerir que eles com êxito comprometeram seu recurso e estão usando-o para minerar criptomoedas, o que pode levar a custos maiores para sua organização. Cenário 2: Esse incidente indica que atividades suspeitas de mineração de criptografia foram detectadas após um ataque de força bruta no mesmo recurso de máquina virtual. Vários alertas de diferentes planos do Defender para Nuvem foram disparados no mesmo recurso, o que aumenta a fidelidade de atividades mal-intencionadas em seu ambiente. O ataque de força bruta à máquina virtual pode indicar que um ator de ameaça está tentando obter acesso não autorizado ao seu ambiente, e a atividade de mineração de criptografia bem-sucedida pode sugerir que eles com êxito comprometeram seu recurso e o usaram para minerar criptomoedas, o que pode levar a custos maiores para sua organização. |
Alto |
| Incidente de segurança detectou atividade de Key Vault suspeita (versão prévia) | Cenário 1: Esse incidente indica que atividades suspeitas foram detectadas em seu ambiente relacionadas ao uso de Key Vault. Vários alertas de diferentes planos do Defender para Nuvem foram disparados por esse usuário ou entidade de serviço, o que aumenta a fidelidade de atividades mal-intencionadas em seu ambiente. Atividades suspeitas de Key Vault podem indicar que um ator de ameaça está tentando obter acesso aos seus dados confidenciais, como chaves, segredos e certificados, e a conta está comprometida e está sendo usada com intenção mal-intencionada. Cenário 2: Esse incidente indica que atividades suspeitas foram detectadas em seu ambiente relacionadas ao uso de Key Vault. Vários alertas de diferentes planos do Defender para Nuvem foram disparados do mesmo endereço IP, o que aumenta a fidelidade de atividades mal-intencionadas em seu ambiente. Atividades suspeitas de Key Vault podem indicar que um ator de ameaça está tentando obter acesso aos seus dados confidenciais, como chaves, segredos e certificados, e a conta está comprometida e está sendo usada com intenção mal-intencionada. Cenário 3: Esse incidente indica que atividades suspeitas foram detectadas em seu ambiente relacionadas ao uso de Key Vault. Vários alertas de diferentes planos do Defender para Nuvem foram disparados no mesmo recurso, o que aumenta a fidelidade de atividades mal-intencionadas em seu ambiente. Atividades suspeitas de Key Vault podem indicar que um ator de ameaça está tentando obter acesso aos seus dados confidenciais, como chaves, segredos e certificados, e a conta está comprometida e está sendo usada com intenção mal-intencionada. |
Alto |
| Incidente de segurança detectou atividade SAS suspeita (versão prévia) | Esse incidente indica que atividades suspeitas foram detectadas após o possível uso indevido de um token SAS. Vários alertas de diferentes planos do Defender para Nuvem foram disparados no mesmo recurso, o que aumenta a fidelidade de atividades mal-intencionadas em seu ambiente. O uso de um token SAS pode indicar que um ator de ameaça obteve acesso não autorizado à sua conta de armazenamento e está tentando acessar ou exfiltrar dados confidenciais. | Alto |
| Incidente de segurança detectou atividade de localização geográfica anormal (versão prévia) | Cenário 1: Esse incidente indica que a atividade de localização geográfica anormal foi detectada em seu ambiente. Vários alertas de diferentes planos do Defender para Nuvem foram disparados no mesmo recurso, o que aumenta a fidelidade de atividades mal-intencionadas em seu ambiente. Atividades suspeitas originadas de locais anômalos podem indicar que um ator de ameaça obteve acesso não autorizado ao seu ambiente e está tentando comprometê-lo. Cenário 2: Esse incidente indica que a atividade de localização geográfica anormal foi detectada em seu ambiente. Vários alertas de diferentes planos do Defender para Nuvem foram disparados do mesmo endereço IP, o que aumenta a fidelidade de atividades mal-intencionadas em seu ambiente. Atividades suspeitas originadas de locais anômalos podem indicar que um ator de ameaça obteve acesso não autorizado ao seu ambiente e está tentando comprometê-lo. |
Alto |
| Incidente de segurança detectou atividade de IP suspeita (versão prévia) | Cenário 1: Esse incidente indica que atividades suspeitas foram detectadas provenientes de um endereço IP suspeito. Vários alertas de diferentes planos do Defender para Nuvem foram disparados do mesmo endereço IP, o que aumenta a fidelidade de atividades mal-intencionadas em seu ambiente. Atividades suspeitas originadas de um endereço IP suspeito podem indicar que um invasor obteve acesso não autorizado ao seu ambiente e está tentando comprometê-lo. Cenário 2: Esse incidente indica que atividades suspeitas foram detectadas provenientes de um endereço IP suspeito. Vários alertas de diferentes planos do Defender para Nuvem foram disparados no mesmo usuário ou entidade de serviço, o que aumenta a fidelidade de atividades mal-intencionadas em seu ambiente. Atividades suspeitas originadas de um endereço IP suspeito podem indicar que um invasor obteve acesso não autorizado ao seu ambiente e está tentando comprometê-lo. |
Alto |
| Incidente de segurança detectou atividade suspeita de ataque sem arquivo (versão prévia) | Esse incidente indica que um kit de ferramentas de ataque sem arquivo foi detectado em uma máquina virtual após uma possível tentativa de exploração no mesmo recurso. Vários alertas de diferentes planos do Defender para Nuvem foram disparados na mesma máquina virtual, o que aumenta a fidelidade de atividades mal-intencionadas em seu ambiente. A presença de um kit de ferramentas de ataque sem arquivo na máquina virtual pode indicar que um ator de ameaça obteve acesso não autorizado ao seu ambiente e está tentando escapar da detecção enquanto realiza atividades mal-intencionadas. | Alto |
| Incidente de segurança detectou atividade DDOS suspeita (versão prévia) | Esse incidente indica que a atividade DDOS (Negação de Serviço Distribuída) suspeita foi detectada em seu ambiente. Os ataques DDOS foram projetados para sobrecarregar sua rede ou aplicativo com um alto volume de tráfego, fazendo com que ele fique indisponível para usuários legítimos. Vários alertas de diferentes planos do Defender para Nuvem foram disparados no mesmo endereço IP, o que aumenta a fidelidade de atividades mal-intencionadas em seu ambiente. | Alto |
| Incidente de segurança detectou atividade de exfiltração de dados suspeitos (versão prévia) | Cenário 1: Esse incidente indica que atividades suspeitas de exfiltração de dados foram detectadas após atividades suspeitas de usuário ou entidade de serviço. Vários alertas de diferentes planos do Defender para Nuvem foram disparados no mesmo recurso, o que aumenta a fidelidade de atividades mal-intencionadas em seu ambiente. Atividade de conta suspeita pode indicar que um ator de ameaça obteve acesso não autorizado ao seu ambiente e a atividade de exfiltração de dados bem-sucedida pode sugerir que eles estão tentando roubar informações confidenciais. Cenário 2: Esse incidente indica que atividades suspeitas de exfiltração de dados foram detectadas após atividade suspeita de usuário ou entidade de serviço. Vários alertas de diferentes planos do Defender para Nuvem foram disparados do mesmo endereço IP, o que aumenta a fidelidade de atividades mal-intencionadas em seu ambiente. Atividade de conta suspeita pode indicar que um ator de ameaça obteve acesso não autorizado ao seu ambiente e a atividade de exfiltração de dados bem-sucedida pode sugerir que eles estão tentando roubar informações confidenciais. Cenário 3: Esse incidente indica que atividades suspeitas de exfiltração de dados foram detectadas após redefinição de senha incomum em uma máquina virtual. Vários alertas de diferentes planos do Defender para Nuvem foram disparados do mesmo endereço IP, o que aumenta a fidelidade de atividades mal-intencionadas em seu ambiente. Atividade de conta suspeita pode indicar que um ator de ameaça obteve acesso não autorizado ao seu ambiente e a atividade de exfiltração de dados bem-sucedida pode sugerir que eles estão tentando roubar informações confidenciais. |
Alto |
| Incidente de segurança detectou atividade suspeita de API (versão prévia) | Esse incidente indica que a atividade suspeita da API foi detectada. Vários alertas do Defender para Nuvem foram disparados no mesmo recurso, o que aumenta a fidelidade de atividades mal-intencionadas em seu ambiente. O uso suspeito da API pode indicar que um ator de ameaça está tentando acessar informações confidenciais ou executar ações não autorizadas. | Alto |
| Incidente de segurança detectou atividade suspeita de cluster do Kubernetes (versão prévia) | Esse incidente indica que atividades suspeitas foram detectadas no cluster do Kubernetes após atividades suspeitas do usuário. Vários alertas de diferentes planos do Defender para Nuvem foram disparados no mesmo cluster, o que aumenta a fidelidade de atividades mal-intencionadas em seu ambiente. A atividade suspeita no cluster do Kubernetes pode indicar que um ator de ameaça obteve acesso não autorizado ao seu ambiente e está tentando comprometê-lo. | Alto |
| Incidente de segurança detectou atividade de armazenamento suspeita (versão prévia) | Cenário 1: Esse incidente indica que atividades suspeitas de armazenamento foram detectadas após atividades suspeitas de usuário ou entidade de serviço. Vários alertas de diferentes planos do Defender para Nuvem foram disparados no mesmo recurso, o que aumenta a fidelidade de atividades mal-intencionadas em seu ambiente. Atividade de conta suspeita pode indicar que um ator de ameaça obteve acesso não autorizado ao seu ambiente e a atividade de armazenamento suspeita bem-sucedida pode sugerir que eles estão tentando acessar dados potencialmente confidenciais. Cenário 2: Esse incidente indica que atividades suspeitas de armazenamento foram detectadas após atividades suspeitas de usuário ou entidade de serviço. Vários alertas de diferentes planos do Defender para Nuvem foram disparados do mesmo endereço IP, o que aumenta a fidelidade de atividades mal-intencionadas em seu ambiente. Atividade de conta suspeita pode indicar que um ator de ameaça obteve acesso não autorizado ao seu ambiente e a atividade de armazenamento suspeita bem-sucedida pode sugerir que eles estão tentando acessar dados potencialmente confidenciais. |
Alto |
| Incidente de segurança detectou atividade suspeita do kit de ferramentas do Azure (versão prévia) | Esse incidente indica que atividades suspeitas foram detectadas após o uso potencial de um kit de ferramentas do Azure. Vários alertas de diferentes planos do Defender para Nuvem foram disparados no mesmo usuário ou entidade de serviço, o que aumenta a fidelidade de atividades mal-intencionadas em seu ambiente. O uso de um kit de ferramentas do Azure pode indicar que um invasor obteve acesso não autorizado ao seu ambiente e está tentando comprometê-lo. | Alto |
| Um incidente de segurança detectou uma atividade de DNS suspeita (Versão prévia) | Cenário 1: este incidente indica que uma atividade de DNS suspeita foi detectada. Vários alertas de diferentes planos do Defender para Nuvem foram disparados no mesmo recurso, o que aumenta a fidelidade de atividades mal-intencionadas em seu ambiente. Uma atividade de DNS suspeita pode indicar que um ator de ameaça obteve acesso não autorizado ao seu ambiente e está tentando comprometê-lo. Cenário 2: este incidente indica que uma atividade de DNS suspeita foi detectada. Vários alertas de diferentes planos do Defender para Nuvem foram disparados do mesmo endereço IP, o que aumenta a fidelidade de atividades mal-intencionadas em seu ambiente. Uma atividade de DNS suspeita pode indicar que um ator de ameaça obteve acesso não autorizado ao seu ambiente e está tentando comprometê-lo. |
Médio |
| Um incidente de segurança detectou uma atividade de SQL suspeita (Versão prévia) | Cenário 1: este incidente indica que uma atividade de SQL suspeita foi detectada. Vários alertas de diferentes planos do Defender para Nuvem foram disparados do mesmo endereço IP, o que aumenta a fidelidade de atividades mal-intencionadas em seu ambiente. Uma atividade de SQL suspeita poderá indicar que um ator de ameaça está direcionando um ataque ao seu servidor SQL e tentando comprometê-lo. Cenário 2: este incidente indica que uma atividade de SQL suspeita foi detectada. Vários alertas de diferentes planos do Defender para Nuvem foram disparados no mesmo recurso, o que aumenta a fidelidade de atividades mal-intencionadas em seu ambiente. Uma atividade de SQL suspeita poderá indicar que um ator de ameaça está direcionando um ataque ao seu servidor SQL e tentando comprometê-lo. |
Alto |
| Incidente de segurança detectou atividade suspeita do serviço de aplicativo (versão prévia) | Cenário 1: esse incidente indica que atividades suspeitas foram detectadas em seu ambiente do serviço de aplicativo. Vários alertas de diferentes planos do Defender para Nuvem foram disparados no mesmo recurso, o que aumenta a fidelidade de atividades mal-intencionadas em seu ambiente. Atividades suspeitas do serviço de aplicativo podem indicar que um ator de ameaça está direcionando seu aplicativo e pode estar tentando comprometê-lo. Cenário 2: esse incidente indica que atividades suspeitas foram detectadas em seu ambiente do serviço de aplicativo. Vários alertas de diferentes planos do Defender para Nuvem foram disparados do mesmo endereço IP, o que aumenta a fidelidade de atividades mal-intencionadas em seu ambiente. Atividades suspeitas do serviço de aplicativo podem indicar que um ator de ameaça está direcionando seu aplicativo e pode estar tentando comprometê-lo. |
Alto |
| Incidente de segurança detectou computador comprometido com comunicação botnet | Esse incidente indica atividade botnet suspeita em sua máquina virtual. Vários alertas de diferentes planos do Defender para Nuvem foram disparados em ordem cronológica no mesmo recurso, seguindo a estrutura MITRE ATT&CK. Isso pode indicar que um ator de ameaça obteve acesso não autorizado ao seu ambiente e está tentando comprometê-lo. | Médio/Alto |
| Incidente de segurança detectou computadores comprometidos com comunicação botnet | Esse incidente indica atividade de botnet suspeita em suas máquinas virtuais. Vários alertas de diferentes planos do Defender para Nuvem foram disparados em ordem cronológica no mesmo recurso, seguindo a estrutura MITRE ATT&CK. Isso pode indicar que um ator de ameaça obteve acesso não autorizado ao seu ambiente e está tentando comprometê-lo. | Médio/Alto |
| Incidente de segurança detectou computador comprometido com atividade de saída mal-intencionada | Esse incidente indica atividades de saída suspeitas em sua máquina virtual. Vários alertas de diferentes planos do Defender para Nuvem foram disparados em ordem cronológica no mesmo recurso, seguindo a estrutura MITRE ATT&CK. Isso pode indicar que um ator de ameaça obteve acesso não autorizado ao seu ambiente e está tentando comprometê-lo. | Médio/Alto |
| Incidente de segurança detectou computadores comprometidos | Esse incidente indica atividade suspeita em uma ou mais de suas máquinas virtuais. Vários alertas de diferentes planos do Defender para Nuvem foram disparados em ordem cronológica nos mesmos recursos, seguindo a estrutura MITRE ATT&CK. Isso pode indicar que um ator de ameaça obteve acesso não autorizado ao seu ambiente e comprometeu esses computadores com êxito. | Médio/Alto |
| Incidente de segurança detectou computadores comprometidos com atividade de saída mal-intencionada | Esse incidente indica atividades de saída suspeitas de suas máquinas virtuais. Vários alertas de diferentes planos do Defender para Nuvem foram disparados em ordem cronológica nos mesmos recursos, seguindo a estrutura MITRE ATT&CK. Isso pode indicar que um ator de ameaça obteve acesso não autorizado ao seu ambiente e está tentando comprometê-lo. | Médio/Alto |
| Incidente de segurança detectado em vários computadores | Esse incidente indica atividade suspeita em uma ou mais de suas máquinas virtuais. Vários alertas de diferentes planos do Defender para Nuvem foram disparados em ordem cronológica no mesmo recurso, seguindo a estrutura MITRE ATT&CK. Isso pode indicar que um ator de ameaça obteve acesso não autorizado ao seu ambiente e está tentando comprometê-lo. | Médio/Alto |
| Incidente de segurança com processo compartilhado detectado | Cenário 1: Esse incidente indica atividade suspeita em sua máquina virtual. Vários alertas de diferentes planos do Defender para Nuvem foram disparados compartilhando o mesmo processo. Isso pode indicar que um ator de ameaça obteve acesso não autorizado ao seu ambiente e está tentando comprometê-lo. Cenário 2: Esse incidente indica atividade suspeita em suas máquinas virtuais. Vários alertas de diferentes planos do Defender para Nuvem foram disparados compartilhando o mesmo processo. Isso pode indicar que um ator de ameaça obteve acesso não autorizado ao seu ambiente e está tentando comprometê-lo. |
Médio/Alto |
Próximas etapas
Gerencie incidentes de segurança no Microsoft Defender para Nuvem