Zastaralé výstrahy zabezpečení
Tento článek obsahuje seznam zastaralých výstrah zabezpečení v programu Microsoft Defender for Cloud.
Zastaralá upozornění defenderu pro kontejnery
Následující seznamy zahrnují výstrahy zabezpečení defenderu for Containers, které byly zastaralé.
Zjištěná manipulace s bránou firewall hostitele
(K8S. NODE_FirewallDisabled)
Popis: Analýza procesů spuštěných v kontejneru nebo přímo na uzlu Kubernetes zjistila možnou manipulaci s bránou firewall na hostiteli. Útočníci ho často zakážou, aby data exfiltrují.
Taktika MITRE: DefenseEvasion, Exfiltration
Závažnost: Střední
Podezřelé použití DNS přes HTTPS
(K8S. NODE_SuspiciousDNSOverHttps)
Popis: Analýza procesů spuštěných v kontejneru nebo přímo na uzlu Kubernetes zjistila použití volání DNS přes PROTOKOL HTTPS neobvyklým způsobem. Tuto techniku používají útočníci ke skrytí podezřelých nebo škodlivých webů.
Taktika MITRE: DefenseEvasion, Exfiltration
Závažnost: Střední
Bylo zjištěno možné připojení ke škodlivému umístění.
(K8S. NODE_ThreatIntelCommandLineSuspectDomain)
Popis: Analýza procesů spuštěných v kontejneru nebo přímo na uzlu Kubernetes zjistila připojení k umístění, které bylo hlášeno jako škodlivé nebo neobvyklé. Jedná se o indikátor, že mohlo dojít k ohrožení zabezpečení.
Taktika MITRE: InitialAccess
Závažnost: Střední
Aktivita dolování digitálních měn
(K8S. NODE_CurrencyMining)
Popis: Analýza transakcí DNS zjistila činnost dolování digitální měny. Tato aktivita, i když je to možné legitimní chování uživatelů, se často provádí útočníky po ohrožení prostředků. Typická aktivita související s útočníkem pravděpodobně zahrnuje stažení a spuštění běžných nástrojů pro dolování.
Taktika MITRE: Exfiltrace
Závažnost: Nízká
Zastaralá výstraha Defenderu pro servery s Linuxem
VM_AbnormalDaemonTermination
Zobrazovaný název upozornění: Neobvyklé ukončení
Závažnost: Nízká
VM_BinaryGeneratedFromCommandLine
Zobrazovaný název výstrahy: Zjištěn podezřelý binární soubor
Závažnost: Střední
VM_CommandlineSuspectDomain podezřelé
Zobrazovaný název upozornění: Odkaz na název domény
Závažnost: Nízká
VM_CommonBot
Zobrazovaný název upozornění: Chování podobné běžným zjištěným linuxovými roboty
Závažnost: Střední
VM_CompCommonBots
Zobrazovaný název upozornění: Zjištěné příkazy podobné běžným robotům s Linuxem
Závažnost: Střední
VM_CompSuspiciousScript
Zobrazovaný název upozornění: Zjištěn skript prostředí
Závažnost: Střední
VM_CompTestRule
Zobrazovaný název výstrahy: Výstraha složeného analytického testu
Závažnost: Nízká
VM_CronJobAccess
Zobrazovaný název upozornění: Manipulace se zjištěnými naplánovanými úlohami
Závažnost: Informační
VM_CryptoCoinMinerArtifacts
Zobrazovaný název výstrahy: Byl zjištěn proces přidružený k dolování digitální měny
Závažnost: Střední
VM_CryptoCoinMinerDownload
Zobrazovaný název upozornění: Zjistilo se možné stažení cryptocoinmineru
Závažnost: Střední
VM_CryptoCoinMinerExecution
Zobrazovaný název upozornění: Spustil se potenciální miner kryptografických mincí
Závažnost: Střední
VM_DataEgressArtifacts
Zobrazovaný název výstrahy: Byla zjištěna možná exfiltrace dat
Závažnost: Střední
VM_DigitalCurrencyMining
Zobrazovaný název výstrahy: Zjistilo se chování související s dolováním digitální měny
Závažnost: Vysoká
VM_DownloadAndRunCombo
Zobrazovaný název upozornění: Podezřelé stažení a spuštění aktivity
Závažnost: Střední
VM_EICAR
Zobrazovaný název výstrahy: Upozornění microsoft Defenderu pro cloudový test (ne hrozba)
Závažnost: Vysoká
VM_ExecuteHiddenFile
Zobrazovaný název upozornění: Spuštění skrytého souboru
Závažnost: Informační
VM_ExploitAttempt
Zobrazovaný název upozornění: Možný pokus o zneužití příkazového řádku
Závažnost: Střední
VM_ExposedDocker
Zobrazovaný název upozornění: Zveřejnění démona Dockeru na soketu TCP
Závažnost: Střední
VM_FairwareMalware
Zobrazovaný název upozornění: Chování podobné ransomwaru Fairware bylo zjištěno
Závažnost: Střední
VM_FirewallDisabled
Zobrazovaný název upozornění: Zjištěná manipulace s bránou firewall hostitele
Závažnost: Střední
VM_HadoopYarnExploit
Zobrazovaný název upozornění: Možné zneužití Hadoop Yarn
Závažnost: Střední
VM_HistoryFileCleared
Zobrazovaný název upozornění: Byl vymazán soubor historie.
Závažnost: Střední
VM_KnownLinuxAttackTool
Zobrazovaný název upozornění: Zjištěn možný nástroj pro útok
Závažnost: Střední
VM_KnownLinuxCredentialAccessTool
Zobrazovaný název upozornění: Byl zjištěn možný nástroj pro přístup k přihlašovacím údajům
Závažnost: Střední
VM_KnownLinuxDDoSToolkit
Zobrazovaný název upozornění: Zjištěny indikátory související se sadou nástrojů DDOS
Závažnost: Střední
VM_KnownLinuxScreenshotTool
Zobrazovaný název upozornění: Snímek obrazovky pořízený na hostiteli
Závažnost: Nízká
VM_LinuxBackdoorArtifact
Zobrazovaný název upozornění: Možné zjištění zadního vrátka
Závažnost: Střední
VM_LinuxReconnaissance
Zobrazovaný název výstrahy: Zjištění rekognoskace místního hostitele
Závažnost: Střední
VM_MismatchedScriptFeatures
Zobrazovaný název upozornění: Zjištěna neshoda rozšíření skriptu
Závažnost: Střední
VM_MitreCalderaTools
Zobrazovaný název upozornění: Zjistil se agent MITRE Caldera
Závažnost: Střední
VM_NewSingleUserModeStartupScript
Zobrazovaný název upozornění: Zjištěný pokus o trvalost
Závažnost: Střední
VM_NewSudoerAccount
Zobrazovaný název upozornění: Účet přidaný do skupiny sudo
Závažnost: Nízká
VM_OverridingCommonFiles
Zobrazovaný název upozornění: Potenciální přepsání běžných souborů
Závažnost: Střední
VM_PrivilegedContainerArtifacts
Zobrazovaný název upozornění: Kontejner spuštěný v privilegovaném režimu
Závažnost: Nízká
VM_PrivilegedExecutionInContainer
Zobrazovaný název výstrahy: Příkaz v kontejneru spuštěném s vysokými oprávněními
Závažnost: Nízká
VM_ReadingHistoryFile
Zobrazovaný název upozornění: Neobvyklý přístup k souboru historie Bash
Závažnost: Informační
VM_ReverseShell
Zobrazovaný název upozornění: Zjistilo se potenciální zpětné prostředí
Závažnost: Střední
VM_SshKeyAccess
Zobrazovaný název upozornění: Proces, který se zobrazuje při přístupu k souboru autorizovaných klíčů SSH neobvyklým způsobem
Závažnost: Nízká
VM_SshKeyAddition
Zobrazovaný název upozornění: Přidání nového klíče SSH
Závažnost: Nízká
VM_SuspectCompilation
Zobrazovaný název výstrahy: Byla zjištěna podezřelá kompilace
Závažnost: Střední
VM_SuspectConnection
Zobrazovaný název upozornění: Byl zjištěn neobvyklý pokus o připojení.
Závažnost: Střední
VM_SuspectDownload
Zobrazovaný název upozornění: Zjištěný soubor ke stažení ze známého škodlivého zdroje
Závažnost: Střední
VM_SuspectDownloadArtifacts
Zobrazovaný název upozornění: Zjištění podezřelého souboru ke stažení
Závažnost: Nízká
VM_SuspectExecutablePath
Zobrazovaný název upozornění: Spustitelný soubor spuštěný z podezřelého umístění
Závažnost: Střední
VM_SuspectHtaccessFileAccess
Zobrazovaný název upozornění: Zjištěn přístup k souboru htaccess
Závažnost: Střední
VM_SuspectInitialShellCommand
Zobrazovaný název upozornění: Podezřelý první příkaz v prostředí
Závažnost: Nízká
VM_SuspectMixedCaseText
Zobrazovaný název upozornění: Zjištěná neobvyklá kombinace velkých a malých písmen v příkazovém řádku
Závažnost: Střední
VM_SuspectNetworkConnection
Zobrazovaný název upozornění: Podezřelé síťové připojení
Závažnost: Informační
VM_SuspectNohup
Zobrazovaný název upozornění: Zjištění podezřelého použití příkazu nohup
Závažnost: Střední
VM_SuspectPasswordChange
Zobrazovaný název výstrahy: Možná změna hesla pomocí metody kryptografie byla zjištěna
Závažnost: Střední
VM_SuspectPasswordFileAccess
Zobrazovaný název upozornění: Podezřelý přístup k heslu
Závažnost: Informační
VM_SuspectPhp
Zobrazovaný název upozornění: Bylo zjištěno podezřelé spuštění PHP
Závažnost: Střední
VM_SuspectPortForwarding
Zobrazovaný název upozornění: Potenciální přesměrování portů na externí IP adresu
Závažnost: Střední
VM_SuspectProcessAccountPrivilegeCombo
Zobrazovaný název upozornění: Proces spuštěný v účtu služby se neočekávaně stal kořenem
Závažnost: Střední
VM_SuspectProcessTermination
Zobrazovaný název výstrahy: Zjistilo se ukončení procesu souvisejícího se zabezpečením
Závažnost: Nízká
VM_SuspectUserAddition
Zobrazovaný název výstrahy: Zjištění podezřelého použití příkazu useradd
Závažnost: Střední
VM_SuspiciousCommandLineExecution
Zobrazovaný název upozornění: Podezřelé spuštění příkazu
Závažnost: Vysoká
VM_SuspiciousDNSOverHttps
Zobrazovaný název upozornění: Podezřelé použití DNS přes HTTPS
Závažnost: Střední
VM_SystemLogRemoval
Zobrazovaný název upozornění: Byla zjištěna možná aktivita manipulace s protokolem
Závažnost: Střední
VM_ThreatIntelCommandLineSuspectDomain
Zobrazovaný název upozornění: Bylo zjištěno možné připojení ke škodlivému umístění.
Závažnost: Střední
VM_ThreatIntelSuspectLogon
Zobrazovaný název upozornění: Bylo zjištěno přihlášení ze škodlivé IP adresy.
Závažnost: Vysoká
VM_TimerServiceDisabled
Zobrazovaný název upozornění: Došlo k pokusu o zastavení služby apt-daily-upgrade.timer
Závažnost: Informační
VM_TimestampTampering
Zobrazovaný název upozornění: Změna časového razítka podezřelého souboru
Závažnost: Nízká
VM_Webshell
Zobrazovaný název upozornění: Zjistilo se možné škodlivé webové prostředí
Závažnost: Střední
Zastaralá výstraha Defenderu pro servery s Windows
SCUBA_MULTIPLEACCOUNTCREATE
Zobrazovaný název upozornění: Podezřelé vytvoření účtů na více hostitelích
Závažnost: Střední
SCUBA_PSINSIGHT_CONTEXT
Zobrazovaný název upozornění: Zjištění podezřelého použití PowerShellu
Závažnost: Informační
SCUBA_RULE_AddGuestToAdministrators
Zobrazovaný název upozornění: Přidání účtu hosta do místní skupiny Administrators
Závažnost: Střední
SCUBA_RULE_Apache_Tomcat_executing_suspicious_commands
Zobrazovaný název upozornění: Apache_Tomcat_executing_suspicious_commands
Závažnost: Střední
SCUBA_RULE_KnownBruteForcingTools
Zobrazovaný název výstrahy: Byl proveden podezřelý proces
Závažnost: Vysoká
SCUBA_RULE_KnownCollectionTools
Zobrazovaný název výstrahy: Byl proveden podezřelý proces
Závažnost: Vysoká
SCUBA_RULE_KnownDefenseEvasionTools
Zobrazovaný název výstrahy: Byl proveden podezřelý proces
Závažnost: Vysoká
SCUBA_RULE_KnownExecutionTools
Zobrazovaný název výstrahy: Byl proveden podezřelý proces
Závažnost: Vysoká
SCUBA_RULE_KnownPassTheHashTools
Zobrazovaný název výstrahy: Byl proveden podezřelý proces
Závažnost: Vysoká
SCUBA_RULE_KnownSpammingTools
Zobrazovaný název výstrahy: Byl proveden podezřelý proces
Závažnost: Střední
SCUBA_RULE_Lowering_Security_Settings
Zobrazovaný název výstrahy: Zjistilo se zakázání důležitých služeb.
Závažnost: Střední
SCUBA_RULE_OtherKnownHackerTools
Zobrazovaný název výstrahy: Byl proveden podezřelý proces
Závažnost: Vysoká
SCUBA_RULE_RDP_session_hijacking_via_tscon
Zobrazovaný název upozornění: Podezřelá úroveň integrity indikující napadení protokolu RDP
Závažnost: Střední
SCUBA_RULE_RDP_session_hijacking_via_tscon_service
Zobrazovaný název upozornění: Podezřelá instalace služby
Závažnost: Střední
SCUBA_RULE_Suppress_pesky_unauthorized_use_prohibited_notices
Zobrazovaný název upozornění: Zjistilo se potlačení právního oznámení zobrazeného uživatelům při přihlášení
Závažnost: Nízká
SCUBA_RULE_WDigest_Enabling
Zobrazovaný název upozornění: Zjistilo se povolení klíče registru WDigest UseLogonCredential
Závažnost: Střední
VM.Windows_ApplockerBypass
Zobrazovaný název upozornění: Potenciální pokus o obejití zjištěného AppLockeru
Závažnost: Vysoká
VM.Windows_BariumKnownSuspiciousProcessExecution
Zobrazovaný název upozornění: Zjištění podezřelého vytvoření souboru
Závažnost: Vysoká
VM.Windows_Base64EncodedExecutableInCommandLineParams
Zobrazovaný název výstrahy: Zjištěný kódovaný spustitelný soubor v datech příkazového řádku
Závažnost: Vysoká
VM.Windows_CalcsCommandLineUse
Zobrazovaný název výstrahy: Zjištění podezřelého použití cacls ke snížení stavu zabezpečení systému
Závažnost: Střední
VM.Windows_CommandLineStartingAllExe
Zobrazovaný název výstrahy: Zjištěný podezřelý příkazový řádek použitý ke spuštění všech spustitelných souborů v adresáři
Závažnost: Střední
VM.Windows_DisablingAndDeletingIISLogFiles
Zobrazovaný název upozornění: Zjištěné akce ukazující na zakázání a odstranění souborů protokolu služby IIS
Závažnost: Střední
VM.Windows_DownloadUsingCertutil
Zobrazovaný název upozornění: Zjištění podezřelého stahování pomocí nástroje Certutil
Závažnost: Střední
VM.Windows_EchoOverPipeOnLocalhost
Zobrazovaný název výstrahy: Zjištěná podezřelá komunikace s pojmenovanými kanály
Závažnost: Vysoká
VM.Windows_EchoToConstructPowerShellScript
Zobrazovaný název upozornění: Konstrukce dynamického skriptu PowerShellu
Závažnost: Střední
VM.Windows_ExecutableDecodedUsingCertutil
Zobrazovaný název výstrahy: Detekované dekódování spustitelného souboru pomocí integrovaného nástroje certutil.exe
Závažnost: Střední
VM.Windows_FileDeletionIsSospisiousLocation
Zobrazovaný název upozornění: Zjištění podezřelého odstranění souboru
Závažnost: Střední
VM.Windows_KerberosGoldenTicketAttack
Zobrazovaný název upozornění: Byl zjištěn podezření na parametry útoku Kerberos Golden Ticket
Závažnost: Střední
VM.Windows_KeygenToolKnownProcessName
Zobrazovaný název výstrahy: Zjistilo se možné spuštění spustitelného spustitelného souboru keygen Podezřelého procesu
Závažnost: Střední
VM.Windows_KnownCredentialAccessTools
Zobrazovaný název výstrahy: Byl proveden podezřelý proces
Závažnost: Vysoká
VM.Windows_KnownSuspiciousPowerShellScript
Zobrazovaný název upozornění: Zjištění podezřelého použití PowerShellu
Závažnost: Vysoká
VM.Windows_KnownSuspiciousSoftwareInstallation
Zobrazovaný název výstrahy: Zjištěn vysoce rizikový software
Závažnost: Střední
VM.Windows_MsHtaAndPowerShellCombination
Zobrazovaný název upozornění: Zjištěná podezřelá kombinace HTA a PowerShellu
Závažnost: Střední
VM.Windows_MultipleAccountsQuery
Zobrazovaný název výstrahy: Dotazováno více doménových účtů
Závažnost: Střední
VM.Windows_NewAccountCreation
Zobrazovaný název upozornění: Zjištění vytvoření účtu
Závažnost: Informační
VM.Windows_ObfuscatedCommandLine
Zobrazovaný název výstrahy: Zjištěný obfuskovaný příkazový řádek
Závažnost: Vysoká
VM.Windows_PcaluaUseToLaunchExecutable
Zobrazovaný název upozornění: Zjištění podezřelého použití Pcalua.exe ke spuštění spustitelného kódu
Závažnost: Střední
VM.Windows_PetyaRansomware
Zobrazovaný název upozornění: Zjištěné indikátory ransomwaru Petya
Závažnost: Vysoká
VM.Windows_PowerShellPowerSploitScriptExecution
Zobrazovaný název upozornění: Spuštěné podezřelé rutiny PowerShellu
Závažnost: Střední
VM.Windows_RansomwareIndication
Zobrazovaný název upozornění: Zjištěny indikátory ransomwaru
Závažnost: Vysoká
VM.Windows_SqlDumperUsedSuspiciously
Zobrazovaný název upozornění: Zjištění možného dumpingu přihlašovacích údajů [zobrazeno vícekrát]
Závažnost: Střední
VM.Windows_StopCriticalServices
Zobrazovaný název výstrahy: Zjistilo se zakázání důležitých služeb.
Závažnost: Střední
VM.Windows_SubvertingAccessibilityBinary
Zobrazovaný název výstrahy: Útok pomocí rychlých klíčů zjistil podezřelé vytvoření účtu
VM.Windows_SuspiciousAccountCreation
Zobrazovaný název upozornění: Zjištění podezřelého vytvoření účtu
Závažnost: Střední
VM.Windows_SuspiciousFirewallRuleAdded
Zobrazovaný název upozornění: Zjistilo se podezřelé nové pravidlo brány firewall
Závažnost: Střední
VM.Windows_SuspiciousFTPSSwitchUsage
Zobrazovaný název upozornění: Zjistilo se podezřelé použití přepínače FTP-s
Závažnost: Střední
VM.Windows_SuspiciousSQLActivity
Zobrazovaný název upozornění: Podezřelá aktivita SQL
Závažnost: Střední
VM.Windows_SVCHostFromInvalidPath
Zobrazovaný název výstrahy: Byl proveden podezřelý proces
Závažnost: Vysoká
VM.Windows_SystemEventLogCleared
Zobrazovaný název upozornění: Protokol Zabezpečení Windows byl vymazán.
Závažnost: Informační
VM.Windows_TelegramInstallation
Zobrazovaný název výstrahy: Zjistilo se potenciálně podezřelé použití nástrojeGraf
Závažnost: Střední
VM.Windows_UndercoverProcess
Zobrazovaný název výstrahy: Zjištěn podezřelý pojmenovaný proces
Závažnost: Vysoká
VM.Windows_UserAccountControlBypass
Zobrazovaný název výstrahy: Zjištěná změna klíče registru, která může být zneužita k obejití nástroje Řízení uživatelských účtů
Závažnost: Střední
VM.Windows_VBScriptEncoding
Zobrazovaný název výstrahy: Zjištění podezřelého spuštění příkazu VBScript.Encode
Závažnost: Střední
VM.Windows_WindowPositionRegisteryChange
Zobrazovaný název upozornění: Zjištěna podezřelá hodnota registru WindowPosition
Závažnost: Nízká
VM.Windows_ZincPortOpenningUsingFirewallRule
Zobrazovaný název výstrahy: Škodlivé pravidlo brány firewall vytvořené implantátem serveruINK
Závažnost: Vysoká
VM_DigitalCurrencyMining
Zobrazovaný název výstrahy: Zjistilo se chování související s dolováním digitální měny
Závažnost: Vysoká
VM_MaliciousSQLActivity
Zobrazovaný název upozornění: Škodlivá aktivita SQL
Závažnost: Vysoká
VM_ProcessWithDoubleExtensionExecution
Zobrazovaný název upozornění: Spustil se podezřelý soubor s dvojitou příponou
Závažnost: Vysoká
VM_RegistryPersistencyKey
Zobrazovaný název výstrahy: Zjištěná metoda trvalosti registru Systému Windows
Závažnost: Nízká
VM_ShadowCopyDeletion
Zobrazovaný název upozornění: Podezřelý spustitelný soubor aktivity stínové kopie svazku spuštěný z podezřelého umístění
Závažnost: Vysoká
VM_SuspectExecutablePath
Zobrazovaný název upozornění: Spustitelný soubor spuštěný z podezřelého umístění Zjistilo se neobvyklé kombinace velkých a malých písmen v příkazovém řádku.
Závažnost: Informační
Střední
VM_SuspectPhp
Zobrazovaný název upozornění: Bylo zjištěno podezřelé spuštění PHP
Závažnost: Střední
VM_SuspiciousCommandLineExecution
Zobrazovaný název upozornění: Podezřelé spuštění příkazu
Závažnost: Vysoká
VM_SuspiciousScreenSaverExecution
Zobrazovaný název upozornění: Spustil se podezřelý proces Screensaver
Závažnost: Střední
VM_SvcHostRunInRareServiceGroup
Zobrazovaný název výstrahy: Spuštěná skupina služeb SVCHOST
Závažnost: Informační
VM_SystemProcessInAbnormalContext
Zobrazovaný název výstrahy: Spustil se podezřelý proces systému
Závažnost: Střední
VM_ThreatIntelCommandLineSuspectDomain
Zobrazovaný název upozornění: Bylo zjištěno možné připojení ke škodlivému umístění.
Závažnost: Střední
VM_ThreatIntelSuspectLogon
Zobrazovaný název upozornění: Bylo zjištěno přihlášení ze škodlivé IP adresy.
Závažnost: Vysoká
VM_VbScriptHttpObjectAllocation
Zobrazovaný název upozornění: Zjistilo se přidělení objektů HTTP VBScriptu
Závažnost: Vysoká
VM_TaskkillBurst
Zobrazovaný název upozornění: Nárazové ukončení podezřelého procesu
Závažnost: Nízká
VM_RunByPsExec
Zobrazovaný název výstrahy: Bylo zjištěno spuštění PsExec
Závažnost: Informační
Poznámka:
Upozornění, která jsou ve verzi Preview: Doplňkové podmínky Azure Preview obsahují další právní podmínky, které se vztahují na funkce Azure, které jsou v beta verzi, preview nebo které ještě nejsou vydány v obecné dostupnosti.