Alertas para máquinas Windows
Este artigo lista os alertas de segurança que você pode receber para máquinas Windows no Microsoft Defender for Cloud e quaisquer planos do Microsoft Defender habilitados. Os alertas mostrados em seu ambiente dependem dos recursos e serviços que você está protegendo e da sua configuração personalizada.
Saiba como responder a esses alertas.
Alertas de máquinas Windows
O Microsoft Defender for Servers Plan 2 fornece deteções e alertas exclusivos, além dos fornecidos pelo Microsoft Defender for Endpoint. Os alertas fornecidos para máquinas Windows são:
Foi detetado um logon de um IP mal-intencionado. [visto várias vezes]
Descrição: Ocorreu uma autenticação remota bem-sucedida para a conta [conta] e o processo [processo], no entanto, o endereço IP de logon (x.x.x.x) foi relatado anteriormente como mal-intencionado ou altamente incomum. Um ataque bem-sucedido provavelmente ocorreu. Os arquivos com as extensões .scr são arquivos de proteção de tela e normalmente residem e são executados a partir do diretório do sistema Windows.
Gravidade: Alta
A violação da política de controle de aplicativos adaptáveis foi auditada
VM_AdaptiveApplicationControlWindowsViolationAudited
Descrição: Os usuários abaixo executaram aplicativos que estão violando a política de controle de aplicativos da sua organização nesta máquina. Ele pode possivelmente expor a máquina a malware ou vulnerabilidades de aplicativos.
Táticas MITRE: Execução
Gravidade: Informativo
Adição da conta de convidado ao grupo Administradores locais
Descrição: A análise dos dados do host detetou a adição da conta interna de convidado ao grupo Administradores locais em %{Host comprometido}, que está fortemente associada à atividade do invasor.
Gravidade: Média
Um log de eventos foi limpo
Descrição: Os logs da máquina indicam uma operação suspeita de limpeza do log de eventos pelo usuário: '%{nome de usuário}' em Máquina: '%{CompromisedEntity}'. O log %{log channel} foi limpo.
Gravidade: Informativo
Falha na ação antimalware
Descrição: O Microsoft Antimalware encontrou um erro ao executar uma ação sobre malware ou outro software potencialmente indesejado.
Gravidade: Média
Ação antimalware tomada
Descrição: O Microsoft Antimalware para Azure tomou uma ação para proteger esta máquina contra malware ou outro software potencialmente indesejado.
Gravidade: Média
Exclusão de arquivos amplos antimalware em sua máquina virtual
(VM_AmBroadFilesExclusion)
Descrição: A exclusão de arquivos da extensão antimalware com regra de exclusão ampla foi detetada em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Tal exclusão praticamente desativando a proteção Antimalware. Os invasores podem excluir arquivos da verificação antimalware em sua máquina virtual para evitar a deteção ao executar código arbitrário ou infetar a máquina com malware.
Gravidade: Média
Antimalware desativado e execução de código em sua máquina virtual
(VM_AmDisablementAndCodeExecution)
Descrição: Antimalware desativado ao mesmo tempo que a execução de código na sua máquina virtual. Isso foi detetado analisando as operações do Azure Resource Manager em sua assinatura. Os atacantes desativam os scanners antimalware para impedir a deteção ao executar ferramentas não autorizadas ou infetar a máquina com malware.
Gravidade: Alta
Antimalware desativado na sua máquina virtual
(VM_AmDisablement)
Descrição: Antimalware desativado na sua máquina virtual. Isso foi detetado analisando as operações do Azure Resource Manager em sua assinatura. Os invasores podem desativar o antimalware em sua máquina virtual para evitar a deteção.
Táticas MITRE: Evasão de Defesa
Gravidade: Média
Exclusão de arquivos antimalware e execução de código em sua máquina virtual
(VM_AmFileExclusionAndCodeExecution)
Descrição: Arquivo excluído do seu scanner antimalware ao mesmo tempo em que o código foi executado por meio de uma extensão de script personalizada em sua máquina virtual. Isso foi detetado analisando as operações do Azure Resource Manager em sua assinatura. Os invasores podem excluir arquivos da verificação antimalware em sua máquina virtual para impedir a deteção ao executar ferramentas não autorizadas ou infetar a máquina com malware.
Táticas MITRE: Evasão de Defesa, Execução
Gravidade: Alta
Exclusão de ficheiros antimalware e execução de código na sua máquina virtual (temporária)
(VM_AmTempFileExclusionAndCodeExecution)
Descrição: A exclusão temporária de arquivo da extensão antimalware em paralelo à execução de código por meio de extensão de script personalizada foi detetada em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Os invasores podem excluir arquivos da verificação antimalware em sua máquina virtual para evitar a deteção ao executar código arbitrário ou infetar a máquina com malware.
Táticas MITRE: Evasão de Defesa, Execução
Gravidade: Alta
Exclusão de ficheiros antimalware na sua máquina virtual
(VM_AmTempFileExclusion)
Descrição: Arquivo excluído do scanner antimalware em sua máquina virtual. Isso foi detetado analisando as operações do Azure Resource Manager em sua assinatura. Os invasores podem excluir arquivos da verificação antimalware em sua máquina virtual para impedir a deteção ao executar ferramentas não autorizadas ou infetar a máquina com malware.
Táticas MITRE: Evasão de Defesa
Gravidade: Média
A proteção antimalware em tempo real foi desativada na sua máquina virtual
(VM_AmRealtimeProtectionDisabled)
Descrição: A desativação da proteção em tempo real da extensão antimalware foi detetada na sua máquina virtual analisando as operações do Azure Resource Manager na sua subscrição. Os invasores podem desativar a proteção em tempo real da verificação antimalware em sua máquina virtual para evitar a deteção ao executar código arbitrário ou infetar a máquina com malware.
Táticas MITRE: Evasão de Defesa
Gravidade: Média
A proteção antimalware em tempo real foi desativada temporariamente na sua máquina virtual
(VM_AmTempRealtimeProtectionDisablement)
Descrição: A desativação temporária da extensão antimalware de proteção em tempo real foi detetada em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Os invasores podem desativar a proteção em tempo real da verificação antimalware em sua máquina virtual para evitar a deteção ao executar código arbitrário ou infetar a máquina com malware.
Táticas MITRE: Evasão de Defesa
Gravidade: Média
A proteção antimalware em tempo real foi desativada temporariamente enquanto o código era executado na sua máquina virtual
(VM_AmRealtimeProtectionDisablementAndCodeExec)
Descrição: A desativação temporária da extensão antimalware em tempo real em paralelo à execução de código por meio da extensão de script personalizada foi detetada em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Os invasores podem desativar a proteção em tempo real da verificação antimalware em sua máquina virtual para evitar a deteção ao executar código arbitrário ou infetar a máquina com malware.
Gravidade: Alta
Verificações antimalware bloqueadas em busca de arquivos potencialmente relacionados a campanhas de malware em sua máquina virtual (Visualização)
(VM_AmMalwareCampaignRelatedExclusion)
Descrição: foi detetada uma regra de exclusão na sua máquina virtual para impedir que a extensão antimalware analise determinados ficheiros suspeitos de estarem relacionados com uma campanha de malware. A regra foi detetada analisando as operações do Azure Resource Manager em sua assinatura. Os invasores podem excluir arquivos das verificações antimalware para evitar a deteção ao executar código arbitrário ou infetar a máquina com malware.
Táticas MITRE: Evasão de Defesa
Gravidade: Média
Antimalware temporariamente desativado na sua máquina virtual
(VM_AmTemporarilyDisablement)
Descrição: Antimalware temporariamente desativado na sua máquina virtual. Isso foi detetado analisando as operações do Azure Resource Manager em sua assinatura. Os invasores podem desativar o antimalware em sua máquina virtual para evitar a deteção.
Gravidade: Média
Exclusão de arquivo incomum antimalware em sua máquina virtual
(VM_UnusualAmFileExclusion)
Descrição: A exclusão de arquivo incomum da extensão antimalware foi detetada em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Os invasores podem excluir arquivos da verificação antimalware em sua máquina virtual para evitar a deteção ao executar código arbitrário ou infetar a máquina com malware.
Táticas MITRE: Evasão de Defesa
Gravidade: Média
Comunicação com domínio suspeito identificado por informações sobre ameaças
(AzureDNS_ThreatIntelSuspectDomain)
Descrição: A comunicação com um domínio suspeito foi detetada analisando as transações DNS do seu recurso e comparando com domínios mal-intencionados conhecidos identificados por feeds de inteligência de ameaças. A comunicação com domínios maliciosos é frequentemente realizada por atacantes e pode implicar que o seu recurso está comprometido.
Táticas MITRE: Acesso Inicial, Persistência, Execução, Comando e Controle, Exploração
Gravidade: Média
Ações detetadas indicativas de desabilitar e excluir arquivos de log do IIS
Descrição: A análise dos dados do host detetou ações que mostram os arquivos de log do IIS sendo desabilitados e/ou excluídos.
Gravidade: Média
Detetada mistura anômala de caracteres maiúsculos e minúsculos na linha de comando
Descrição: A análise dos dados do host em %{Compromised Host} detetou uma linha de comando com uma mistura anômala de caracteres maiúsculos e minúsculos. Este tipo de padrão, embora possivelmente benigno, também é típico de atacantes que tentam esconder-se da correspondência das regras baseadas em hash ou sensíveis às maiúsculas e minúsculas ao realizar tarefas administrativas num anfitrião comprometido.
Gravidade: Média
Alteração detetada em uma chave do Registro que pode ser abusada para ignorar o UAC
Descrição: A análise dos dados do host em %{Host comprometido} detetou que uma chave do Registro que pode ser abusada para ignorar o UAC (Controle de Conta de Usuário) foi alterada. Esse tipo de configuração, embora possivelmente benigno, também é típico da atividade do invasor ao tentar passar de acesso sem privilégios (usuário padrão) para acesso privilegiado (por exemplo, administrador) em um host comprometido.
Gravidade: Média
Decodificação detetada de um executável usando a ferramenta certutil.exe integrada
Descrição: A análise dos dados do host em %{Host comprometido} detetou que o certutil.exe, um utilitário de administrador interno, estava sendo usado para decodificar um executável em vez de sua finalidade principal relacionada à manipulação de certificados e dados de certificados. Os atacantes são conhecidos por abusar da funcionalidade de ferramentas de administração legítimas para efetuar ações maliciosas, por exemplo, utilizando uma ferramenta como o certutil.exe para descodificar um executável malicioso que, em seguida, será executado posteriormente.
Gravidade: Alta
Detetada a ativação da chave de registo WDigest UseLogonCredential
Descrição: A análise dos dados do host detetou uma alteração na chave do Registro HKLM\SYSTEM\ CurrentControlSet\Control\SecurityProviders\WDigest\ "UseLogonCredential". Especificamente, essa chave foi atualizada para permitir que as credenciais de logon sejam armazenadas em texto não criptografado na memória LSA. Uma vez habilitado, um invasor pode despejar senhas de texto não criptografado da memória LSA com ferramentas de coleta de credenciais, como o Mimikatz.
Gravidade: Média
Executável codificado detetado em dados de linha de comando
Descrição: A análise dos dados do host em %{Compromised Host} detetou um executável codificado em base 64. Isso já foi associado a invasores que tentam construir executáveis em tempo real através de uma sequência de comandos e tentam escapar de sistemas de deteção de intrusão, garantindo que nenhum comando individual acione um alerta. Isso pode ser uma atividade legítima ou uma indicação de um host comprometido.
Gravidade: Alta
Linha de comando ofuscada detetada
Descrição: Os atacantes usam técnicas de ofuscação cada vez mais complexas para evitar deteções que são executadas contra os dados subjacentes. A análise dos dados do host em %{Compromised Host} detetou indicadores suspeitos de ofuscação na linha de comando.
Gravidade: Informativo
Detetada possível execução do executável keygen
Descrição: A análise dos dados do host em %{Compromised Host} detetou a execução de um processo cujo nome é indicativo de uma ferramenta keygen, tais ferramentas são normalmente usadas para derrotar mecanismos de licenciamento de software, mas seu download é frequentemente empacotado com outro software mal-intencionado. O grupo de atividades GOLD é conhecido por fazer uso de tais keygens para obter secretamente acesso à porta dos fundos para hosts que eles comprometem.
Gravidade: Média
Detetada possível execução de malware dropper
Descrição: A análise dos dados do host em %{Compromised Host} detetou um nome de arquivo que foi anteriormente associado a um dos métodos do grupo de atividade GOLD de instalar malware em um host vítima.
Gravidade: Alta
Detetada possível atividade de reconhecimento local
Descrição: A análise dos dados do host em %{Compromised Host} detetou uma combinação de comandos systeminfo que foi anteriormente associada a um dos métodos do grupo de atividades GOLD para executar atividade de reconhecimento. Embora 'systeminfo.exe' seja uma ferramenta legítima do Windows, executá-lo duas vezes consecutivas da maneira que ocorreu aqui é raro.
Gravidade: Baixa
Detetado uso potencialmente suspeito da ferramenta Telegram
Descrição: A análise dos dados do host mostra a instalação do Telegram, um serviço gratuito de mensagens instantâneas baseado em nuvem que existe tanto para o sistema móvel quanto para desktop. Os atacantes são conhecidos por abusar deste serviço para transferir binários maliciosos para qualquer outro computador, telefone ou tablet.
Gravidade: Média
Supressão detetada de aviso legal exibido aos usuários no logon
Descrição: A análise dos dados do host em %{Host comprometido} detetou alterações na chave do Registro que controla se um aviso legal é exibido aos usuários quando eles fazem logon. A análise de segurança da Microsoft determinou que esta é uma atividade comum realizada por atacantes depois de ter comprometido um host.
Gravidade: Baixa
Detetada combinação suspeita de HTA e PowerShell
Descrição: mshta.exe (Microsoft HTML Application Host), que é um binário assinado da Microsoft, está sendo usado pelos invasores para iniciar comandos mal-intencionados do PowerShell. Os atacantes geralmente recorrem a ter um arquivo HTA com VBScript embutido. Quando uma vítima navega até o arquivo HTA e escolhe executá-lo, os comandos e scripts do PowerShell que ele contém são executados. A análise dos dados do host em %{Compromised Host} detetou mshta.exe iniciar comandos do PowerShell.
Gravidade: Média
Argumentos de linha de comando suspeitos detetados
Descrição: A análise dos dados do host em %{Compromised Host} detetou argumentos de linha de comando suspeitos que foram usados em conjunto com um shell reverso usado pelo grupo de atividade HYDROGEN.
Gravidade: Alta
Linha de comando suspeita detetada usada para iniciar todos os executáveis em um diretório
Descrição: A análise dos dados do host detetou um processo suspeito em execução em %{Host comprometido}. A linha de comando indica uma tentativa de iniciar todos os executáveis (*.exe) que possam residir em um diretório. Isso pode ser uma indicação de um host comprometido.
Gravidade: Média
Credenciais suspeitas detetadas na linha de comando
Descrição: A análise dos dados do host em %{Compromised Host} detetou uma senha suspeita sendo usada para executar um arquivo pelo grupo de atividade BORON. Este grupo de atividade é conhecido por usar essa senha para executar malware Pirpi em um host vítima.
Gravidade: Alta
Credenciais de documentos suspeitos detetadas
Descrição: A análise dos dados do host em %{Compromised Host} detetou um hash de senha pré-computado comum e suspeito usado por malware sendo usado para executar um arquivo. O grupo de atividade HYDROGEN é conhecido por usar essa senha para executar malware em um host vítima.
Gravidade: Alta
Execução suspeita detetada do comando VBScript.Encode
Descrição: A análise dos dados do host em %{Compromised Host} detetou a execução do comando VBScript.Encode. Isso codifica os scripts em texto ilegível, tornando mais difícil para os usuários examinarem o código. A pesquisa de ameaças da Microsoft mostra que os invasores geralmente usam arquivos VBscript codificados como parte de seu ataque para escapar dos sistemas de deteção. Isso pode ser uma atividade legítima ou uma indicação de um host comprometido.
Gravidade: Média
Execução suspeita detetada via rundll32.exe
Descrição: A análise dos dados do host em %{Compromised Host} detetou rundll32.exe sendo usado para executar um processo com um nome incomum, consistente com o esquema de nomenclatura de processo visto anteriormente usado pelo grupo de atividade GOLD ao instalar seu implante de primeiro estágio em um host comprometido.
Gravidade: Alta
Comandos de limpeza de ficheiros suspeitos detetados
Descrição: A análise dos dados do host em %{Compromised Host} detetou uma combinação de comandos systeminfo que já foi associada a um dos métodos do grupo de atividades GOLD de executar atividades de autolimpeza pós-comprometimento. Embora 'systeminfo.exe' seja uma ferramenta legítima do Windows, executá-lo duas vezes consecutivas, seguido por um comando delete da maneira que ocorreu aqui é raro.
Gravidade: Alta
Criação de ficheiros suspeitos detetada
Descrição: A análise dos dados do host em %{Compromised Host} detetou a criação ou execução de um processo que indicou anteriormente uma ação pós-comprometimento tomada em um host vítima pelo grupo de atividades BARIUM. Este grupo de atividades é conhecido por usar essa técnica para baixar mais malware para um host comprometido depois que um anexo em um documento de phishing é aberto.
Gravidade: Alta
Detetadas comunicações suspeitas de pipe nomeado
Descrição: A análise dos dados do host em %{Host comprometido} detetou dados sendo gravados em um pipe nomeado local a partir de um comando do console do Windows. Os pipes nomeados são conhecidos por serem um canal usado por atacantes para executar tarefas e comunicar com um implante malicioso. Isso pode ser uma atividade legítima ou uma indicação de um host comprometido.
Gravidade: Alta
Atividade de rede suspeita detetada
Descrição: A análise do tráfego de rede de %{Compromised Host} detetou atividade de rede suspeita. Esse tráfego, embora possivelmente benigno, é normalmente usado por um invasor para se comunicar com servidores mal-intencionados para download de ferramentas, comando e controle e exfiltração de dados. A atividade típica de invasores relacionados inclui copiar ferramentas de administração remota para um host comprometido e exfiltrar dados do usuário a partir dele.
Gravidade: Baixa
Nova regra de firewall suspeita detetada
Descrição: A análise dos dados do host detetou que uma nova regra de firewall foi adicionada via netsh.exe para permitir o tráfego de um executável em um local suspeito.
Gravidade: Média
Detetado uso suspeito de Cacls para reduzir o estado de segurança do sistema
Descrição: Os atacantes usam inúmeras maneiras como força bruta, spear phishing, etc. para alcançar o compromisso inicial e obter uma posição na rede. Uma vez que o compromisso inicial é alcançado, eles geralmente tomam medidas para reduzir as configurações de segurança de um sistema. Caclsâ€"abreviação de change access control list é o utilitário de linha de comando nativo do Microsoft Windows frequentemente usado para modificar a permissão de segurança em pastas e arquivos. Muitas vezes o binário é usado pelos atacantes para baixar as configurações de segurança de um sistema. Isso é feito dando a todos acesso total a alguns dos binários do sistema, como ftp.exe, net.exe, wscript.exe etc. A análise dos dados do host em %{Compromised Host} detetou o uso suspeito de Cacls para diminuir a segurança de um sistema.
Gravidade: Média
Detetado o uso suspeito do FTP -s Switch
Descrição: A análise dos dados de criação do processo a partir do %{Compromised Host} detetou o uso da opção FTP "-s:filename". Essa opção é usada para especificar um arquivo de script FTP para o cliente executar. Malware ou processos maliciosos são conhecidos por usar essa opção FTP (-s:filename) para apontar para um arquivo de script, que é configurado para se conectar a um servidor FTP remoto e baixar binários mais maliciosos.
Gravidade: Média
Detetado uso suspeito de Pcalua.exe para iniciar código executável
Descrição: A análise dos dados do host em %{Compromised Host} detetou o uso de pcalua.exe para iniciar o código executável. Pcalua.exe é componente do Microsoft Windows "Assistente de Compatibilidade de Programas", que deteta problemas de compatibilidade durante a instalação ou execução de um programa. Os atacantes são conhecidos por abusar da funcionalidade de ferramentas legítimas do sistema Windows para executar ações maliciosas, por exemplo, usando pcalua.exe com a opção -a para iniciar executáveis mal-intencionados localmente ou a partir de compartilhamentos remotos.
Gravidade: Média
Detetada a desativação de serviços críticos
Descrição: A análise dos dados do host em %{Compromised Host} detetou a execução do comando "net.exe stop" sendo usado para parar serviços críticos como SharedAccess ou o aplicativo de Segurança do Windows. A interrupção de qualquer um desses serviços pode ser indício de um comportamento mal-intencionado.
Gravidade: Média
Comportamento relacionado à mineração de moeda digital detetado
Descrição: A análise dos dados do host em %{Compromised Host} detetou a execução de um processo ou comando normalmente associado à mineração de moeda digital.
Gravidade: Alta
Construção dinâmica de script PS
Descrição: A análise dos dados do host em %{Host comprometido} detetou um script do PowerShell sendo construído dinamicamente. Os atacantes às vezes usam essa abordagem de construir progressivamente um script para escapar dos sistemas IDS. Esta pode ser uma atividade legítima ou uma indicação de que uma das suas máquinas foi comprometida.
Gravidade: Média
Executável encontrado a partir de uma localização suspeita
Descrição: A análise dos dados do host detetou um arquivo executável em %{Compromised Host} que está sendo executado a partir de um local em comum com arquivos suspeitos conhecidos. Este executável pode ser uma atividade legítima ou uma indicação de um host comprometido.
Gravidade: Alta
Comportamento de ataque sem arquivo detetado
(VM_FilelessAttackBehavior.Windows)
Descrição: A memória do processo especificado contém comportamentos comumente usados por ataques sem arquivo. Os comportamentos específicos incluem:
- Shellcode, que é um pequeno pedaço de código normalmente usado como carga útil na exploração de uma vulnerabilidade de software.
- Conexões de rede ativas. Consulte NetworkConnections abaixo para obter detalhes.
- Chamadas de função para interfaces de sistema operacional sensíveis à segurança. Consulte Recursos abaixo para obter os recursos do sistema operacional referenciados.
- Contém um thread que foi iniciado em um segmento de código alocado dinamicamente. Este é um padrão comum para ataques de injeção de processo.
Táticas MITRE: Evasão de Defesa
Gravidade: Baixa
Técnica de ataque sem arquivo detetada
(VM_FilelessAttackTechnique.Windows)
Descrição: A memória do processo especificado abaixo contém evidências de uma técnica de ataque sem ficheiros. Os ataques sem ficheiros são utilizados pelos atacantes para executar código enquanto evitam a deteção por software de segurança. Os comportamentos específicos incluem:
- Shellcode, que é um pequeno pedaço de código normalmente usado como carga útil na exploração de uma vulnerabilidade de software.
- Imagem executável injetada no processo, como em um ataque de injeção de código.
- Conexões de rede ativas. Consulte NetworkConnections abaixo para obter detalhes.
- Chamadas de função para interfaces de sistema operacional sensíveis à segurança. Consulte Recursos abaixo para obter os recursos do sistema operacional referenciados.
- Esvaziamento de processos, que é uma técnica usada por malware em que um processo legítimo é carregado no sistema para agir como um contêiner para código hostil.
- Contém um thread que foi iniciado em um segmento de código alocado dinamicamente. Este é um padrão comum para ataques de injeção de processo.
Táticas MITRE: Evasão de Defesa, Execução
Gravidade: Alta
Kit de ferramentas de ataque sem arquivo detetado
(VM_FilelessAttackToolkit.Windows)
Descrição: A memória do processo especificado contém um kit de ferramentas de ataque sem ficheiro: [nome do kit de ferramentas]. Os kits de ferramentas de ataque sem arquivo usam técnicas que minimizam ou eliminam vestígios de malware no disco e reduzem consideravelmente as chances de deteção por soluções de verificação de malware baseadas em disco. Os comportamentos específicos incluem:
- Kits de ferramentas bem conhecidos e software de mineração de criptomoedas.
- Shellcode, que é um pequeno pedaço de código normalmente usado como carga útil na exploração de uma vulnerabilidade de software.
- Executável malicioso injetado na memória do processo.
Táticas MITRE: Evasão de Defesa, Execução
Gravidade: Média
Software de alto risco detetado
Descrição: A análise dos dados do host de %{Compromised Host} detetou o uso de software que foi associado à instalação de malware no passado. Uma técnica comum utilizada na distribuição de software malicioso é empacotá-lo dentro de ferramentas benignas, como a vista neste alerta. Quando você usa essas ferramentas, o malware pode ser instalado silenciosamente em segundo plano.
Gravidade: Média
Os membros do grupo Administradores locais foram enumerados
Descrição: Os logs da máquina indicam uma enumeração bem-sucedida no grupo %{Nome de Domínio do Grupo Enumerado}%{Nome do Grupo Enumerado}. Especificamente, %{Enumerating User Domain Name}%{Enumerating User Name} enumerou remotamente os membros do grupo %{Enumerated Group Domain Name}%{Enumerated Group Name}. Essa atividade pode ser uma atividade legítima ou uma indicação de que uma máquina em sua organização foi comprometida e usada para reconhecimento %{vmname}.
Gravidade: Informativo
Regra de firewall maliciosa criada pelo implante do servidor ZINC [visto várias vezes]
Descrição: Uma regra de firewall foi criada usando técnicas que correspondem a um ator conhecido, ZINC. A regra foi possivelmente usada para abrir uma porta em %{Host comprometido} para permitir comunicações de Comando e Controle. Esse comportamento foi visto [x] vezes hoje nas seguintes máquinas: [Nomes de máquinas]
Gravidade: Alta
Atividade SQL maliciosa
Descrição: Os logs da máquina indicam que '%{nome do processo}' foi executado pela conta: %{nome de usuário}. Esta atividade é considerada maliciosa.
Gravidade: Alta
Várias contas de domínio consultadas
Descrição: A análise dos dados do host determinou que um número incomum de contas de domínio distintas está sendo consultado dentro de um curto período de tempo a partir de %{Host comprometido}. Este tipo de atividade pode ser legítimo, mas também pode ser um indício de compromisso.
Gravidade: Média
Possível dumping de credenciais detetado [visto várias vezes]
Descrição: A análise dos dados do host detetou o uso da ferramenta nativa do Windows (por exemplo, sqldumper.exe) sendo usada de uma forma que permite extrair credenciais da memória. Os atacantes geralmente usam essas técnicas para extrair credenciais que depois usam ainda mais para movimento lateral e escalonamento de privilégios. Esse comportamento foi visto [x] vezes hoje nas seguintes máquinas: [Nomes de máquinas]
Gravidade: Média
Tentativa potencial de ignorar o AppLocker detetada
Descrição: A análise dos dados do host em %{Host comprometido} detetou uma tentativa potencial de ignorar as restrições do AppLocker. O AppLocker pode ser configurado para implementar uma política que limite quais executáveis podem ser executados em um sistema Windows. O padrão de linha de comando semelhante ao identificado neste alerta foi associado anteriormente a tentativas de invasores de contornar a política do AppLocker usando executáveis confiáveis (permitidos pela política do AppLocker) para executar código não confiável. Isso pode ser uma atividade legítima ou uma indicação de um host comprometido.
Gravidade: Alta
Grupo de serviço SVCHOST raro executado
(VM_SvcHostRunInRareServiceGroup)
Descrição: O processo do sistema SVCHOST foi observado executando um grupo de serviços raros. O malware geralmente usa SVCHOST para mascarar sua atividade maliciosa.
Táticas MITRE: Evasão de Defesa, Execução
Gravidade: Informativo
Ataque de teclas pegajosas detetado
Descrição: A análise dos dados do host indica que um invasor pode estar subvertendo um binário de acessibilidade (por exemplo, teclas adesivas, teclado na tela, narrador) para fornecer acesso backdoor ao host %{Host comprometido}.
Gravidade: Média
Ataque de força bruta bem-sucedido
(VM_LoginBruteForceSuccess)
Descrição: Foram detetadas várias tentativas de início de sessão a partir da mesma fonte. Alguns autenticados com sucesso no host. Isso se assemelha a um ataque burst, no qual um invasor executa várias tentativas de autenticação para encontrar credenciais de conta válidas.
Táticas MITRE: Exploração
Gravidade: Média/Alta
Nível de integridade suspeito indicativo de sequestro de PDR
Descrição: A análise dos dados do host detetou o tscon.exe em execução com privilégios SYSTEM - isso pode ser indicativo de um invasor abusando desse binário para alternar o contexto para qualquer outro usuário conectado neste host, é uma técnica conhecida do invasor para comprometer mais contas de usuário e mover-se lateralmente através de uma rede.
Gravidade: Média
Instalação de serviço suspeita
Descrição: A análise dos dados do host detetou a instalação do tscon.exe como um serviço: este binário sendo iniciado como um serviço potencialmente permite que um invasor alterne trivialmente para qualquer outro usuário conectado neste host sequestrando conexões RDP, é uma técnica conhecida do invasor para comprometer mais contas de usuário e mover-se lateralmente através de uma rede.
Gravidade: Média
Parâmetros de ataque Kerberos Golden Ticket suspeitos observados
Descrição: A análise dos dados do host detetou parâmetros de linha de comando consistentes com um ataque Kerberos Golden Ticket.
Gravidade: Média
Criação de conta suspeita detetada
Descrição: A análise dos dados do anfitrião em %{Compromised Host} detetou a criação ou utilização de uma conta local %{Nome de conta suspeito} : este nome de conta assemelha-se muito a uma conta padrão do Windows ou nome de grupo '%{Similar ao Nome da Conta}'. Esta é potencialmente uma conta fraudulenta criada por um atacante, assim chamada para evitar ser notada por um administrador humano.
Gravidade: Média
Atividade suspeita detetada
(VM_SuspiciousActivity)
Descrição: A análise dos dados do host detetou uma sequência de um ou mais processos em execução em %{nome da máquina} que historicamente foram associados a atividades maliciosas. Embora os comandos individuais possam parecer benignos, o alerta é pontuado com base em uma agregação desses comandos. Isso pode ser uma atividade legítima ou uma indicação de um host comprometido.
Táticas MITRE: Execução
Gravidade: Média
Atividade de autenticação suspeita
(VM_LoginBruteForceValidUserFailed)
Descrição: Embora nenhum deles tenha tido sucesso, algumas delas usaram contas foram reconhecidas pelo anfitrião. Isso se assemelha a um ataque de dicionário, no qual um invasor executa várias tentativas de autenticação usando um dicionário de nomes de conta e senhas predefinidos para encontrar credenciais válidas para acessar o host. Isso indica que alguns dos nomes da sua conta de host podem existir em um dicionário de nomes de conta bem conhecido.
Táticas MITRE: Sondagem
Gravidade: Média
Segmento de código suspeito detetado
Descrição: indica que um segmento de código foi alocado usando métodos não padronizados, como injeção refletiva e esvaziamento do processo. O alerta fornece mais características do segmento de código que foram processadas para fornecer contexto para os recursos e comportamentos do segmento de código relatado.
Gravidade: Média
Arquivo de extensão dupla suspeito executado
Descrição: A análise dos dados do host indica uma execução de um processo com uma extensão dupla suspeita. Esta extensão pode induzir os utilizadores a pensar que os ficheiros são seguros para serem abertos e pode indicar a presença de malware no sistema.
Gravidade: Alta
Download suspeito usando Certutil detetado [visto várias vezes]
Descrição: A análise dos dados do host em %{Compromised Host} detetou o uso do certutil.exe, um utilitário de administrador integrado, para o download de um binário em vez de sua finalidade principal relacionada à manipulação de certificados e dados de certificados. Os atacantes são conhecidos por abusar da funcionalidade de ferramentas legítimas de administrador para executar ações maliciosas, por exemplo, usando certutil.exe para baixar e decodificar um executável mal-intencionado que será executado posteriormente. Esse comportamento foi visto [x] vezes hoje nas seguintes máquinas: [Nomes de máquinas]
Gravidade: Média
Download suspeito usando Certutil detetado
Descrição: A análise dos dados do host em %{Compromised Host} detetou o uso do certutil.exe, um utilitário de administrador integrado, para o download de um binário em vez de sua finalidade principal relacionada à manipulação de certificados e dados de certificados. Os atacantes são conhecidos por abusar da funcionalidade de ferramentas legítimas de administrador para executar ações maliciosas, por exemplo, usando certutil.exe para baixar e decodificar um executável mal-intencionado que será executado posteriormente.
Gravidade: Média
Atividade suspeita do PowerShell detetada
Descrição: A análise dos dados do host detetou um script do PowerShell em execução em %{Host comprometido} que tem recursos em comum com scripts suspeitos conhecidos. Esse script pode ser uma atividade legítima ou uma indicação de um host comprometido.
Gravidade: Alta
Cmdlets suspeitos do PowerShell executados
Descrição: a análise dos dados do host indica a execução de cmdlets PowerSploit do PowerShell mal-intencionados conhecidos.
Gravidade: Média
Processo suspeito executado [visto várias vezes]
Descrição: Os logs da máquina indicam que o processo suspeito: '%{Processo suspeito}' estava em execução na máquina, geralmente associado a tentativas de invasores de acessar credenciais. Esse comportamento foi visto [x] vezes hoje nas seguintes máquinas: [Nomes de máquinas]
Gravidade: Alta
Processo suspeito executado
Descrição: Os logs da máquina indicam que o processo suspeito: '%{Processo suspeito}' estava em execução na máquina, geralmente associado a tentativas de invasores de acessar credenciais.
Gravidade: Alta
Nome do processo suspeito detetado [visto várias vezes]
Descrição: A análise dos dados do host em %{Compromised Host} detetou um processo cujo nome é suspeito, por exemplo, correspondendo a uma ferramenta de invasor conhecida ou nomeado de uma forma sugestiva de ferramentas invasoras que tentam se esconder à vista de todos. Este processo pode ser uma atividade legítima ou uma indicação de que uma das suas máquinas foi comprometida. Esse comportamento foi visto [x] vezes hoje nas seguintes máquinas: [Nomes de máquinas]
Gravidade: Média
Nome do processo suspeito detetado
Descrição: A análise dos dados do host em %{Compromised Host} detetou um processo cujo nome é suspeito, por exemplo, correspondendo a uma ferramenta de invasor conhecida ou nomeado de uma forma sugestiva de ferramentas invasoras que tentam se esconder à vista de todos. Este processo pode ser uma atividade legítima ou uma indicação de que uma das suas máquinas foi comprometida.
Gravidade: Média
Atividade suspeita do SQL
Descrição: Os logs da máquina indicam que '%{nome do processo}' foi executado pela conta: %{nome de usuário}. Esta atividade é incomum com esta conta.
Gravidade: Média
Processo SVCHOST suspeito executado
Descrição: O processo do sistema SVCHOST foi observado em execução em um contexto anormal. O malware geralmente usa SVCHOST para mascarar sua atividade maliciosa.
Gravidade: Alta
Processo de sistema suspeito executado
(VM_SystemProcessInAbnormalContext)
Descrição: O processo do sistema %{nome do processo} foi observado em execução em um contexto anormal. O malware geralmente usa esse nome de processo para mascarar sua atividade maliciosa.
Táticas MITRE: Evasão de Defesa, Execução
Gravidade: Alta
Atividade suspeita de cópia de sombra de volume
Descrição: A análise dos dados do host detetou uma atividade de exclusão de cópia de sombra no recurso. A Cópia Sombra de Volume (VSC) é um artefacto importante que armazena os instantâneos de dados. Alguns malwares e, especificamente, o Ransomware, têm como alvo o VSC para sabotar estratégias de backup.
Gravidade: Alta
Valor de registo WindowPosition suspeito detetado
Descrição: A análise dos dados do host em %{Compromised Host} detetou uma tentativa de alteração na configuração do registro WindowPosition que poderia ser indicativa de ocultar janelas de aplicativos em seções não visíveis da área de trabalho. Esta pode ser uma atividade legítima ou uma indicação de uma máquina comprometida: este tipo de atividade foi previamente associado a adware conhecido (ou software indesejado), como Win32/OneSystemCare e Win32/SystemHealer, e malware como Win32/Creprote. Quando o valor WindowPosition é definido como 201329664, (Hex: 0x0c00 0c00, correspondente ao eixo X=0c00 e ao eixo Y=0c00), isso coloca a janela do aplicativo de console em uma seção não visível da tela do usuário em uma área oculta da visualização abaixo do menu Iniciar/barra de tarefas visível. O valor Hex suspeito conhecido inclui, mas não se limita a c000c000.
Gravidade: Baixa
Processo suspeito nomeado detetado
Descrição: A análise dos dados do host em %{Compromised Host} detetou um processo cujo nome é muito semelhante, mas diferente de um processo executado com muita frequência (%{Similar ao Nome do Processo}). Embora esse processo possa ser benigno, sabe-se que os invasores às vezes se escondem à vista de todos, nomeando suas ferramentas maliciosas para se assemelhar a nomes de processos legítimos.
Gravidade: Média
Redefinição de configuração incomum em sua máquina virtual
(VM_VMAccessUnusualConfigReset)
Descrição: Uma redefinição de configuração incomum foi detetada em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Embora essa ação possa ser legítima, os invasores podem tentar utilizar a extensão VM Access para redefinir a configuração em sua máquina virtual e comprometê-la.
Táticas MITRE: Acesso a credenciais
Gravidade: Média
Execução de processo incomum detetada
Descrição: A análise dos dados do host em %{Host comprometido} detetou a execução de um processo por %{Nome de Usuário} que era incomum. Contas como %{Nome de Usuário} tendem a executar um conjunto limitado de operações, essa execução foi determinada como fora de caráter e pode ser suspeita.
Gravidade: Alta
Redefinição de senha de usuário incomum em sua máquina virtual
(VM_VMAccessUnusualPasswordReset)
Descrição: Uma redefinição de senha de usuário incomum foi detetada em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Embora essa ação possa ser legítima, os invasores podem tentar utilizar a extensão VM Access para redefinir as credenciais de um usuário local em sua máquina virtual e comprometê-la.
Táticas MITRE: Acesso a credenciais
Gravidade: Média
Redefinição de chave SSH de usuário incomum em sua máquina virtual
(VM_VMAccessUnusualSSHReset)
Descrição: Uma redefinição de chave SSH de usuário incomum foi detetada em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Embora essa ação possa ser legítima, os invasores podem tentar utilizar a extensão VM Access para redefinir a chave SSH de uma conta de usuário em sua máquina virtual e comprometê-la.
Táticas MITRE: Acesso a credenciais
Gravidade: Média
Alocação de objeto HTTP VBScript detetada
Descrição: Foi detetada a criação de um ficheiro VBScript utilizando a Linha de Comandos. O script a seguir contém o comando HTTP object allocation (alocação de objetos HTTP). Esta ação pode ser usada para descarregar ficheiros maliciosos.
Instalação suspeita da extensão GPU na sua máquina virtual (Pré-visualização)
(VM_GPUDriverExtensionUnusualExecution)
Descrição: A instalação suspeita de uma extensão de GPU foi detetada na sua máquina virtual analisando as operações do Azure Resource Manager na sua subscrição. Os invasores podem usar a extensão de driver de GPU para instalar drivers de GPU em sua máquina virtual por meio do Gerenciador de Recursos do Azure para executar o cryptojacking.
Táticas MITRE: Impacto
Gravidade: Baixa
Invocação da ferramenta AzureHound detetada
(ARM_AzureHound)
Descrição: AzureHound foi executado em sua assinatura e executou operações de coleta de informações para enumerar recursos. Os agentes de ameaças usam ferramentas automatizadas, como o AzureHound, para enumerar recursos e usá-los para acessar dados confidenciais ou executar movimentos laterais. Isso foi detetado analisando as operações do Azure Resource Manager em sua assinatura. Essa operação pode indicar que uma identidade em sua organização foi violada e que o agente de ameaça está tentando comprometer seu ambiente.
Táticas MITRE: Discovery
Gravidade: Média
Nota
Para alertas que estão em pré-visualização: Os Termos Suplementares do Azure Preview incluem termos legais adicionais que se aplicam a funcionalidades do Azure que estão em versão beta, pré-visualização ou que ainda não foram disponibilizadas para disponibilidade geral.