Warnungen für Azure-VM-Erweiterungen
In diesem Artikel werden die Sicherheitswarnungen aufgeführt, die Sie möglicherweise für Azure-VM-Erweiterungen von Microsoft Defender für Cloud und alle von Ihnen aktivierten Microsoft Defender-Pläne erhalten. Welche Warnungen in Ihrer Umgebung angezeigt werden, hängt von den Ressourcen und Diensten, die Sie schützen, sowie von Ihrer angepassten Konfiguration ab.
Hinweis
Einige der kürzlich hinzugefügten Warnungen, die von Microsoft Defender Threat Intelligence und Microsoft Defender für Endpunkt unterstützt werden, sind möglicherweise nicht dokumentiert.
Informationen zur Reaktion auf diese Warnungen
Informationen zum Exportieren von Warnungen
Hinweis
Warnungen aus unterschiedlichen Quellen erfordern möglicherweise unterschiedlich lange Zeit, bis sie angezeigt werden. Beispielsweise kann es länger dauern, bis Warnungen, die eine Analyse des Netzwerkdatenverkehrs erfordern, angezeigt werden, als das Anzeigen von Warnungen im Zusammenhang mit verdächtigen Prozessen auf virtuellen Computern.
Warnungen zu Azure-VM-Erweiterungen
Diese Warnungen konzentrieren sich auf das Erkennen verdächtiger Aktivitäten von Erweiterungen für virtuelle Azure-Computer und bietet Einblicke in die Versuche von Angreifern, böswillige Aktivitäten auf Ihren virtuellen Computern zu kompromittieren und auszuführen.
Azure-VM-Erweiterungen sind kleine Anwendungen, die nach der Bereitstellung auf VMs ausgeführt werden und Funktionen wie Konfiguration, Automatisierung, Überwachung, Sicherheit und vieles mehr ermöglichen. Erweiterungen sind nützlich, können jedoch von Angreifer*innen für verschiedene schädliche Zwecke verwendet werden, darunter:
Datensammlung und -überwachung
Codeausführung und Konfigurationsbereitstellung mit erhöhten Berechtigungen
Zurücksetzen von Anmeldeinformationen und Erstellen von Administratorbenutzerkonten
Verschlüsseln von Datenträgern
Erfahren Sie mehr über Defender for Cloud– neuesten Schutz vor dem Missbrauch von Azure VM-Erweiterungen.
Verdächtiger Fehler bei der Installation der GPU-Erweiterung in Ihrem Abonnement (Vorschau)
(VM_GPUExtensionSuspiciousFailure)
Beschreibung: Verdächtige Absicht, eine GPU-Erweiterung auf nicht unterstützten VMs zu installieren. Diese Erweiterung sollte auf VMs installiert werden, die mit einem Grafikprozessor ausgestattet sind. Dies ist bei den aktuellen VMs nicht der Fall. Diese Fehler treten auf, wenn Angreifer*innen mehrere Installationen einer solchen Erweiterung zu Cryptominingzwecken ausführen.
MITRE-Taktiken: Auswirkung
Schweregrad: Mittel
Verdächtige Installation einer GPU-Erweiterung auf Ihrer VM erkannt (Vorschau)
(VM_GPUDriverExtensionUnusualExecution)
Beschreibung: Verdächtige Installation einer GPU-Erweiterung wurde auf Ihrem virtuellen Computer erkannt, indem die Azure Resource Manager-Vorgänge in Ihrem Abonnement analysiert werden. Angreifer könnten die GPU-Treibererweiterung verwenden, um GPU-Treiber über den Azure-Resource Manager auf Ihrer VM zu installieren, um Cryptojacking durchzuführen. Diese Aktivität wird als verdächtig eingestuft, weil das Verhalten des Prinzipals von seinen üblichen Mustern abweicht.
MITRE-Taktiken: Auswirkung
Schweregrad: Niedrig
Befehlsausführung mit verdächtigem Skript auf Ihrer VM erkannt (Vorschau)
(VM_RunCommandSuspiciousScript)
Beschreibung: Ein Befehl "Ausführen" mit einem verdächtigen Skript wurde auf Ihrem virtuellen Computer erkannt, indem die Azure Resource Manager-Vorgänge in Ihrem Abonnement analysiert werden. Angreifer könnten die Skriptausführung verwenden, um über den Azure Resource Manager schädlichen Code mit hohen Berechtigungen auf Ihrer VM auszuführen. Das Skript wird als verdächtig eingestuft, weil bestimmte Teile als möglicherweise schädlich identifiziert wurden.
MITRE-Taktiken: Ausführung
Schweregrad: hoch
Verdächtige nicht autorisierte Nutzung der Skriptausführung auf Ihrer VM erkannt (Vorschau)
(VM_RunCommandSuspiciousFailure)
Beschreibung: Verdächtige nicht autorisierte Verwendung des Ausführungsbefehls ist fehlgeschlagen und wurde auf Ihrem virtuellen Computer erkannt, indem die Azure Resource Manager-Vorgänge in Ihrem Abonnement analysiert werden. Angreifer könnten versuchen, mithilfe der Skriptausführung über den Azure Resource Manager schädlichen Code mit hohen Berechtigungen auf Ihren VMs auszuführen. Diese Aktivität wird als verdächtig eingestuft, weil sie bisher nicht häufig festgestellt wurde.
MITRE-Taktiken: Ausführung
Schweregrad: Mittel
Verdächtige Nutzung der Skriptausführung auf Ihrer VM erkannt (Vorschau)
(VM_RunCommandSuspiciousUsage)
Beschreibung: Verdächtige Verwendung des Ausführungsbefehls wurde auf Ihrem virtuellen Computer erkannt, indem die Azure Resource Manager-Vorgänge in Ihrem Abonnement analysiert werden. Angreifer könnten die Skriptausführung verwenden, um über den Azure Resource Manager schädlichen Code mit erhöhten Berechtigungen auf Ihren VMs auszuführen. Diese Aktivität wird als verdächtig eingestuft, weil sie bisher nicht häufig festgestellt wurde.
MITRE-Taktiken: Ausführung
Schweregrad: Niedrig
Verdächtige Verwendung mehrerer Überwachungs- oder Datensammlungserweiterungen auf Ihren VMs erkannt (Vorschau)
(VM_SuspiciousMultiExtensionUsage)
Beschreibung: Verdächtige Verwendung mehrerer Überwachungs- oder Datensammlungserweiterungen wurde auf Ihren virtuellen Computern erkannt, indem die Azure Resource Manager-Vorgänge in Ihrem Abonnement analysiert werden. Angreifer könnten solche Erweiterungen für die Datensammlung, die Überwachung des Netzwerkdatenverkehrs und weitere Aktionen in Ihrem Abonnement missbrauchen. Diese Nutzung wird als verdächtig eingestuft, weil sie bisher nicht häufig festgestellt wurde.
MITRE-Taktiken: Aufklärung
Schweregrad: Mittel
Verdächtige Installation von Datenträgerverschlüsselungserweiterungen auf Ihren VMs erkannt (Vorschau)
(VM_DiskEncryptionSuspiciousUsage)
Beschreibung: Verdächtige Installation von Datenträgerverschlüsselungserweiterungen wurde auf Ihren virtuellen Computern erkannt, indem die Azure Resource Manager-Vorgänge in Ihrem Abonnement analysiert werden. Angreifer könnten die Datenträgerverschlüsselungserweiterung missbrauchen, um vollständige Datenträgerverschlüsselungen auf Ihren VMs über den Azure Resource Manager bereitzustellen und so zu versuchen, Ransomware-Aktivitäten durchzuführen. Diese Aktivität wird als verdächtig eingestuft, weil sie bisher nicht häufig festgestellt wurde und sehr viele Erweiterungen installiert wurden.
MITRE-Taktiken: Auswirkung
Schweregrad: Mittel
Verdächtige Nutzung der VMAccess-Erweiterung auf Ihren VMs erkannt (Vorschau)
(VM_VMAccessSuspiciousUsage)
Beschreibung: Verdächtige Verwendung der VMAccess-Erweiterung wurde auf Ihren virtuellen Computern erkannt. Angreifer missbrauchen die VMAccess-Erweiterung möglicherweise, um Zugriff zu erhalten und Ihre virtuellen Computer mit hohen Berechtigungen zu kompromittieren, indem Sie den Zugriff zurücksetzen oder Administrative Benutzer verwalten. Diese Aktivität wird als verdächtig angesehen, weil das Verhalten des Prinzipals von seinen üblichen Mustern abweicht und sehr viele Erweiterungen installiert wurden.
Schweregrad: Mittel
DSC-Erweiterung (Desired State Configuration) mit einem verdächtigen Skript auf Ihrer VM erkannt (Vorschau)
(VM_DSCExtensionSuspiciousScript)
Beschreibung: Die DSC-Erweiterung (Desired State Configuration) mit einem verdächtigen Skript wurde auf Ihrem virtuellen Computer erkannt, indem die Azure Resource Manager-Vorgänge in Ihrem Abonnement analysiert werden. Angreifer könnten die DSC (Desired State Configuration)-Erweiterung verwenden, um schädliche Konfigurationen wie Persistenzmechanismen, schädliche Skripts un mehr mit hohen Berechtigungen auf Ihren VMs bereitzustellen. Das Skript wird als verdächtig eingestuft, weil bestimmte Teile als möglicherweise schädlich identifiziert wurden.
MITRE-Taktiken: Ausführung
Schweregrad: hoch
Verdächtige Nutzung einer DSC-Erweiterung (Desired State Configuration) auf Ihren VMs erkannt (Vorschau)
(VM_DSCExtensionSuspiciousUsage)
Beschreibung: Verdächtige Verwendung einer DSC-Erweiterung (Desired State Configuration) wurde auf Ihren virtuellen Computern erkannt, indem die Azure Resource Manager-Vorgänge in Ihrem Abonnement analysiert werden. Angreifer könnten die DSC (Desired State Configuration)-Erweiterung verwenden, um schädliche Konfigurationen wie Persistenzmechanismen, schädliche Skripts un mehr mit hohen Berechtigungen auf Ihren VMs bereitzustellen. Diese Aktivität wird als verdächtig angesehen, weil das Verhalten des Prinzipals von seinen üblichen Mustern abweicht und sehr viele Erweiterungen installiert wurden.
MITRE-Taktiken: Ausführung
Schweregrad: Niedrig
Benutzerdefinierte Skripterweiterung mit verdächtigem Skript auf Ihrer VM erkannt (Vorschau)
(VM_CustomScriptExtensionSuspiciousCmd)
Beschreibung: Benutzerdefinierte Skripterweiterung mit einem verdächtigen Skript wurde auf Ihrem virtuellen Computer erkannt, indem die Azure Resource Manager-Vorgänge in Ihrem Abonnement analysiert werden. Angreifer könnten eine benutzerdefinierte Skripterweiterung verwenden, um über den Azure Resource Manager schädlichen Code mit hohen Berechtigungen auf Ihrer VM auszuführen. Das Skript wird als verdächtig eingestuft, weil bestimmte Teile als möglicherweise schädlich identifiziert wurden.
MITRE-Taktiken: Ausführung
Schweregrad: hoch
Verdächtige fehlgeschlagene Ausführung einer benutzerdefinierten Skripterweiterung auf Ihrer VM
(VM_CustomScriptExtensionSuspiciousFailure)
Beschreibung: Verdächtiger Fehler einer benutzerdefinierten Skripterweiterung wurde auf Ihrem virtuellen Computer erkannt, indem die Azure Resource Manager-Vorgänge in Ihrem Abonnement analysiert werden. Solche Fehler können böswilligen Skripts zugeordnet werden, die von dieser Erweiterung ausgeführt werden.
MITRE-Taktiken: Ausführung
Schweregrad: Mittel
Ungewöhnliche Löschung einer benutzerdefinierten Skripterweiterung auf Ihrer VM
(VM_CustomScriptExtensionUnusualDeletion)
Beschreibung: Ungewöhnliches Löschen einer benutzerdefinierten Skripterweiterung wurde auf Ihrem virtuellen Computer erkannt, indem die Azure Resource Manager-Vorgänge in Ihrem Abonnement analysiert werden. Angreifer verwenden möglicherweise benutzerdefinierte Skripterweiterungen, um bösartigen Code auf Ihren virtuellen Computern über den Azure Resource Manager auszuführen.
MITRE-Taktiken: Ausführung
Schweregrad: Mittel
Ungewöhnliche Ausführung einer benutzerdefinierten Skripterweiterung auf Ihrer VM
(VM_CustomScriptExtensionUnusualExecution)
Beschreibung: Ungewöhnliche Ausführung einer benutzerdefinierten Skripterweiterung wurde auf Ihrem virtuellen Computer erkannt, indem die Azure Resource Manager-Vorgänge in Ihrem Abonnement analysiert werden. Angreifer verwenden möglicherweise benutzerdefinierte Skripterweiterungen, um bösartigen Code auf Ihren virtuellen Computern über den Azure Resource Manager auszuführen.
MITRE-Taktiken: Ausführung
Schweregrad: Mittel
Benutzerdefinierte Skripterweiterung mit verdächtigem Einstiegspunkt auf Ihrer VM
(VM_CustomScriptExtensionSuspiciousEntryPoint)
Beschreibung: Benutzerdefinierte Skripterweiterung mit einem verdächtigen Einstiegspunkt wurde auf Ihrem virtuellen Computer erkannt, indem die Azure Resource Manager-Vorgänge in Ihrem Abonnement analysiert werden. Der Einstiegspunkt verweist auf ein verdächtiges GitHub-Repository. Angreifer verwenden möglicherweise benutzerdefinierte Skripterweiterungen, um bösartigen Code auf Ihren virtuellen Computern über den Azure Resource Manager auszuführen.
MITRE-Taktiken: Ausführung
Schweregrad: Mittel
Benutzerdefinierte Skripterweiterung mit verdächtiger Payload auf Ihrer VM
(VM_CustomScriptExtensionSuspiciousPayload)
Beschreibung: Benutzerdefinierte Skripterweiterung mit einer Nutzlast aus einem verdächtigen GitHub-Repository wurde auf Ihrem virtuellen Computer erkannt, indem die Azure Resource Manager-Vorgänge in Ihrem Abonnement analysiert werden. Angreifer verwenden möglicherweise benutzerdefinierte Skripterweiterungen, um bösartigen Code auf Ihren virtuellen Computern über den Azure Resource Manager auszuführen.
MITRE-Taktiken: Ausführung
Schweregrad: Mittel
Hinweis
Für Warnungen, die sich in der Vorschau befinden: Die ergänzenden Bestimmungen für Azure-Vorschauen enthalten zusätzliche rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden bzw. anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.