Warnungen für Linux-Computer
In diesem Artikel werden die Sicherheitswarnungen aufgeführt, die Sie möglicherweise für Linux-Computer von Microsoft Defender für Cloud und alle von Ihnen aktivierten Microsoft Defender-Pläne erhalten. Welche Warnungen in Ihrer Umgebung angezeigt werden, hängt von den Ressourcen und Diensten, die Sie schützen, sowie von Ihrer angepassten Konfiguration ab.
Hinweis
Einige der kürzlich hinzugefügten Warnungen, die von Microsoft Defender Threat Intelligence und Microsoft Defender für Endpunkt unterstützt werden, sind möglicherweise nicht dokumentiert.
Informationen zur Reaktion auf diese Warnungen
Informationen zum Exportieren von Warnungen
Hinweis
Warnungen aus unterschiedlichen Quellen erfordern möglicherweise unterschiedlich lange Zeit, bis sie angezeigt werden. Beispielsweise kann es länger dauern, bis Warnungen, die eine Analyse des Netzwerkdatenverkehrs erfordern, angezeigt werden, als das Anzeigen von Warnungen im Zusammenhang mit verdächtigen Prozessen auf virtuellen Computern.
Linux-Computer-Warnungen
Microsoft Defender für Server Plan 2 bietet zusätzlich zu den von Microsoft Defender für Endpunkt bereitgestellten Erkennungen und Warnungen weitere spezielle Erkennungen und Warnungen. Die für Linux-Computer bereitgestellten Warnungen sind:
Eine Verlaufsdatei wurde gelöscht
Beschreibung: Analyse von Hostdaten gibt an, dass die Protokolldatei des Befehlsverlaufs gelöscht wurde. Angreifer können dies tun, um ihre Spuren abzudecken. Der Vorgang wurde vom Benutzer durchgeführt: „%{user name}“.
Schweregrad: Mittel
Richtlinienverletzung für adaptive Anwendungskontrolle wurde überwacht.
(VM_AdaptiveApplicationControlLinuxViolationAudited)
Beschreibung: Die folgenden Benutzer haben Anwendungen ausgeführt, die die Anwendungssteuerungsrichtlinie Ihrer Organisation auf diesem Computer verletzen. Dadurch kann der Computer möglicherweise für Malware oder Anwendungsschwachstellen anfällig werden.
MITRE-Taktiken: Ausführung
Schweregrad: Informational
Umfassender Ausschluss von Dateien von der Antischadsoftwareüberprüfung auf Ihrer VM
(VM_AmBroadFilesExclusion)
Beschreibung: Der Ausschluss von Dateien aus der Antischadsoftwareerweiterung mit breiter Ausschlussregel wurde auf Ihrem virtuellen Computer erkannt, indem die Azure Resource Manager-Vorgänge in Ihrem Abonnement analysiert werden. Durch einen solchen Ausschluss wird der Antischadsoftware-Schutz praktisch deaktiviert. Angreifer können Dateien von der Antischadsoftwareüberprüfung auf Ihrer VM ausschließen, um die Erkennung zu verhindern, während sie beliebigen Code ausführen oder den Computer mit Schadsoftware infizieren.
Schweregrad: Mittel
Deaktivierung der Antischadsoftware und Codeausführung auf Ihrer VM
(VM_AmDisablementAndCodeExecution)
Beschreibung: Antischadsoftware ist gleichzeitig mit der Codeausführung auf Ihrem virtuellen Computer deaktiviert. Dieses Problem wurde bei der Analyse der Azure Resource Manager-Vorgänge in Ihrem Abonnement erkannt. Angreifer deaktivieren Antischadsoftwarescanner, um die Erkennung zu verhindern, während sie nicht autorisierte Tools ausführen oder den Computer mit Schadsoftware infizieren.
Schweregrad: hoch
Die Antischadsoftware auf Ihrer VM wurde deaktiviert
(VM_AmDisablement)
Beschreibung: Antischadsoftware in Ihrem virtuellen Computer deaktiviert. Dieses Problem wurde bei der Analyse der Azure Resource Manager-Vorgänge in Ihrem Abonnement erkannt. Angreifer können die Antischadsoftware auf Ihrer VM deaktivieren, um die Erkennung ihrer Aktivitäten zu verhindern.
MITRE-Taktiken: Verteidigungshinterziehung
Schweregrad: Mittel
Ausschluss von Dateien von der Antischadsoftwareüberprüfung und Codeausführung auf Ihrer VM
(VM_AmFileExclusionAndCodeExecution)
Beschreibung: Datei, die vom Antischadsoftwarescanner zur gleichen Zeit wie Code über eine benutzerdefinierte Skripterweiterung auf Ihrem virtuellen Computer ausgeführt wurde. Dieses Problem wurde bei der Analyse der Azure Resource Manager-Vorgänge in Ihrem Abonnement erkannt. Angreifer können Dateien von der Antischadsoftwareüberprüfung auf Ihrer VM ausschließen, um die Erkennung zu verhindern, während sie nicht autorisierte Tools ausführen oder den Computer mit Schadsoftware infizieren.
MITRE-Taktik: Verteidigungshinterziehung, Ausführung
Schweregrad: hoch
Antischadsoftwaredateiausschluss und Codeausführung auf Ihrem virtuellen Computer (temporär)
(VM_AmTempFileExclusionAndCodeExecution)
Beschreibung: Der temporäre Dateiausschluss von der Antischadsoftwareerweiterung parallel zur Ausführung von Code über die benutzerdefinierte Skripterweiterung wurde auf Ihrem virtuellen Computer erkannt, indem die Azure Resource Manager-Vorgänge in Ihrem Abonnement analysiert werden. Angreifer können Dateien von der Antischadsoftwareüberprüfung auf Ihrer VM ausschließen, um die Erkennung zu verhindern, während sie beliebigen Code ausführen oder den Computer mit Schadsoftware infizieren.
MITRE-Taktik: Verteidigungshinterziehung, Ausführung
Schweregrad: hoch
Ausschluss von Dateien von der Antischadsoftwareüberprüfung auf Ihrer VM
(VM_AmTempFileExclusion)
Beschreibung: Datei, die vom Antischadsoftwarescanner auf Ihrem virtuellen Computer ausgeschlossen ist. Dieses Problem wurde bei der Analyse der Azure Resource Manager-Vorgänge in Ihrem Abonnement erkannt. Angreifer können Dateien von der Antischadsoftwareüberprüfung auf Ihrer VM ausschließen, um die Erkennung zu verhindern, während sie nicht autorisierte Tools ausführen oder den Computer mit Schadsoftware infizieren.
MITRE-Taktiken: Verteidigungshinterziehung
Schweregrad: Mittel
Deaktivierung des Echtzeitschutzes der Antischadsoftware auf Ihrer VM
(VM_AmRealtimeProtectionDisabled)
Beschreibung: Die Deaktivierung der Antischadsoftwareerweiterung in Echtzeit wurde auf Ihrem virtuellen Computer erkannt, indem die Azure Resource Manager-Vorgänge in Ihrem Abonnement analysiert werden. Angreifer können den Echtzeitschutz der Antischadsoftwareüberprüfung auf Ihrer VM deaktivieren, um die Erkennung zu verhindern, während sie beliebigen Code ausführen oder den Computer mit Schadsoftware infizieren.
MITRE-Taktiken: Verteidigungshinterziehung
Schweregrad: Mittel
Vorübergehende Deaktivierung des Echtzeitschutzes der Antischadsoftware auf Ihrer VM
(VM_AmTempRealtimeProtectionDisablement)
Beschreibung: Temporäre Deaktivierung der Antischadsoftwareerweiterung in Echtzeit wurde auf Ihrem virtuellen Computer erkannt, indem die Azure Resource Manager-Vorgänge in Ihrem Abonnement analysiert werden. Angreifer können den Echtzeitschutz der Antischadsoftwareüberprüfung auf Ihrer VM deaktivieren, um die Erkennung zu verhindern, während sie beliebigen Code ausführen oder den Computer mit Schadsoftware infizieren.
MITRE-Taktiken: Verteidigungshinterziehung
Schweregrad: Mittel
Vorübergehende Deaktivierung des Echtzeitschutzes der Antischadsoftware während der Ausführung von Code auf Ihrer VM
(VM_AmRealtimeProtectionDisablementAndCodeExec)
Beschreibung: Temporäre Deaktivierung der Antischadsoftwareerweiterung in Echtzeit parallel zur Codeausführung über die benutzerdefinierte Skripterweiterung wurde auf Ihrem virtuellen Computer erkannt, indem die Azure Resource Manager-Vorgänge in Ihrem Abonnement analysiert werden. Angreifer können den Echtzeitschutz der Antischadsoftwareüberprüfung auf Ihrer VM deaktivieren, um die Erkennung zu verhindern, während sie beliebigen Code ausführen oder den Computer mit Schadsoftware infizieren.
Schweregrad: hoch
Antischadsoftwareüberprüfungen für Dateien auf Ihrem virtuellen Computer blockiert, für die eine potenzielle Verbindung mit Schadsoftwarekampagnen besteht (Vorschau)
(VM_AmMalwareCampaignRelatedExclusion)
Beschreibung: Eine Ausschlussregel wurde auf Ihrem virtuellen Computer erkannt, um zu verhindern, dass ihre Antischadsoftwareerweiterung bestimmte Dateien überprüft, die vermutet werden, dass sie mit einer Schadsoftwarekampagne in Zusammenhang stehen. Die Regel wurde erkannt, indem die Azure Resource Manager-Vorgänge Ihres Abonnements analysiert wurden. Angreifer können Dateien von Antischadsoftwareüberprüfungen ausschließen, um die Erkennung zu verhindern, während sie beliebigen Code ausführen oder den Computer mit Schadsoftware infizieren.
MITRE-Taktiken: Verteidigungshinterziehung
Schweregrad: Mittel
Die Antischadsoftware auf Ihrer VM wurde vorübergehend deaktiviert
(VM_AmTemporarilyDisablement)
Beschreibung: Antischadsoftware vorübergehend in Ihrem virtuellen Computer deaktiviert. Dieses Problem wurde bei der Analyse der Azure Resource Manager-Vorgänge in Ihrem Abonnement erkannt. Angreifer können die Antischadsoftware auf Ihrer VM deaktivieren, um die Erkennung ihrer Aktivitäten zu verhindern.
Schweregrad: Mittel
Ungewöhnlicher Ausschluss von Dateien von der Antischadsoftwareüberprüfung auf Ihrer VM
(VM_UnusualAmFileExclusion)
Beschreibung: Ein ungewöhnlicher Dateiausschluss von der Antischadsoftwareerweiterung wurde auf Ihrem virtuellen Computer erkannt, indem die Azure Resource Manager-Vorgänge in Ihrem Abonnement analysiert werden. Angreifer können Dateien von der Antischadsoftwareüberprüfung auf Ihrer VM ausschließen, um die Erkennung zu verhindern, während sie beliebigen Code ausführen oder den Computer mit Schadsoftware infizieren.
MITRE-Taktiken: Verteidigungshinterziehung
Schweregrad: Mittel
Verhalten ähnlich dem von Ransomware erkannt [mehrfach aufgetreten]
Beschreibung: Die Analyse von Hostdaten auf %{Compromised Host} hat die Ausführung von Dateien erkannt, die eine Ähnlichkeit mit bekannten Ransomware haben, die benutzer daran hindern kann, auf ihr System oder ihre persönlichen Dateien zuzugreifen, und fordert Lösegeldzahlung, um wieder Zugriff zu erhalten. Dieses Verhalten wurde heute [x] mal auf den folgenden Computern erkannt: [Computernamen]
Schweregrad: hoch
Kommunikation mit verdächtiger Domäne identifiziert durch Threat Intelligence
(AzureDNS_ThreatIntelSuspectDomain)
Beschreibung: Die Kommunikation mit verdächtiger Domäne wurde erkannt, indem DNS-Transaktionen aus Ihrer Ressource analysiert und mit bekannten schädlichen Domänen verglichen werden, die durch Bedrohungserkennungsfeeds identifiziert wurden. Die Kommunikation mit bösartigen Domänen wird häufig von Angreifern durchgeführt und könnte bedeuten, dass Ihre Ressource gefährdet ist.
MITRE-Taktiken: Anfänglicher Zugriff, Persistenz, Ausführung, Befehl und Kontrolle, Ausbeutung
Schweregrad: Mittel
Container with a miner image detected (Container mit Mining-Image erkannt)
(VM_MinerInContainerImage)
Beschreibung: Computerprotokolle geben die Ausführung eines Docker-Containers an, der ein Image ausführt, das einem digitalen Währungsmining zugeordnet ist.
MITRE-Taktiken: Ausführung
Schweregrad: hoch
Ungewöhnliche Mischung aus Groß- und Kleinbuchstaben in der Befehlszeile erkannt
Beschreibung: Die Analyse von Hostdaten auf %{Kompromittierten Host} hat eine Befehlszeile mit einer anomalien Mischung aus Groß- und Kleinbuchstaben erkannt. Diese Art von Muster, obwohl möglicherweise harmlos, ist auch typisch für Angreifer, die versuchen, sich vor dem Abgleich von Groß- und Kleinschreibung oder hashbasierten Regeln zu schützen, wenn sie administrative Aufgaben auf einem kompromittierten Host ausführen.
Schweregrad: Mittel
Erkannter Dateidownload von einer bekannten schädlichen Quelle
Beschreibung: Die Analyse von Hostdaten hat den Download einer Datei aus einer bekannten Schadsoftwarequelle auf %{Kompromittiertes Host} erkannt.
Schweregrad: Mittel
Erkannte verdächtige Netzwerkaktivität
Beschreibung: Die Analyse des Netzwerkdatenverkehrs von %{Kompromittierten Host} hat verdächtige Netzwerkaktivitäten erkannt. Ein solcher Datenverkehr ist möglicherweise gutartig, wird aber in der Regel von einem Angreifer zur Kommunikation mit schädlichen Servern zum Herunterladen von Tools, in Befehl-und-Steuerung-Szenarien und zur Exfiltration von Daten verwendet. Zu den typischen verwandten Angreiferaktivitäten zählt das Kopieren von Remoteverwaltungstools auf einen kompromittierten Host und das Exfiltrieren von Benutzerdaten von diesem Host.
Schweregrad: Niedrig
Erkanntes Verhalten hinsichtlich des digitalen Currency Mining
Beschreibung: Die Analyse von Hostdaten auf %{Kompromittierten Host} hat die Ausführung eines Prozesses oder Befehls erkannt, der normalerweise mit dem Digitalen Währungsmining verknüpft ist.
Schweregrad: hoch
Deaktivierung der auditd-Protokollierung [mehrfach aufgetreten]
Beschreibung: Das Linux Audit System bietet eine Möglichkeit, sicherheitsrelevante Informationen auf dem System nachzuverfolgen. Es zeichnet so viele Informationen wie möglich über die in Ihrem System auftretenden Ereignisse auf. Die Deaktivierung der auditd-Protokollierung könnte die Ermittlung von Verstößen gegen die auf dem System verwendeten Sicherheitsrichtlinien erschweren. Dieses Verhalten wurde heute [x] mal auf den folgenden Computern erkannt: [Computernamen]
Schweregrad: Niedrig
Ausnutzung des Xorg-Sicherheitsrisikos [mehrfach aufgetreten]
Beschreibung: Die Analyse von Hostdaten auf %{Kompromittierten Host} hat den Benutzer von Xorg mit verdächtigen Argumenten erkannt. Angreifer verwenden diese Technik möglicherweise bei Berechtigungseskalationsversuchen. Dieses Verhalten wurde heute [x] mal auf den folgenden Computern erkannt: [Computernamen]
Schweregrad: Mittel
Erfolgloser SSH-Brute-Force-Angriff
(VM_SshBruteForceFailed)
Beschreibung: Fehlgeschlagene Brute-Force-Angriffe wurden von den folgenden Angreifern erkannt: %{Angreifer}. Die Angreifer haben versucht, auf den Host mit den folgenden Benutzernamen zuzugreifen: %{Accounts used on failed sign in to host attempts}.
MITRE-Taktiken: Probing
Schweregrad: Mittel
Verhaltensweise eines dateilosen Angriffs erkannt
(VM_FilelessAttackBehavior.Linux)
Beschreibung: Der Speicher des unten angegebenen Prozesses enthält Verhaltensweisen, die häufig von dateilosen Angriffen verwendet werden. Beispiele für spezifisches Verhalten: {Liste der beobachteten Verhaltensweisen}
MITRE-Taktiken: Ausführung
Schweregrad: Niedrig
Fileless attack technique detected (Dateilose Angriffstechnik erkannt)
(VM_FilelessAttackTechnique.Linux)
Beschreibung: Der Speicher des unten angegebenen Prozesses enthält Nachweise für eine dateilose Angriffstechnik. Dateilose Angriffe werden von Angreifern genutzt, um Code auszuführen, ohne dass dies von Sicherheitssoftware erkannt wird. Beispiele für spezifisches Verhalten: {Liste der beobachteten Verhaltensweisen}
MITRE-Taktiken: Ausführung
Schweregrad: hoch
Toolkit für dateilosen Angriff erkannt
(VM_FilelessAttackToolkit.Linux)
Beschreibung: Der speicher des unten angegebenen Prozesses enthält ein dateiloses Angriffs-Toolkit: {ToolKitName}. Toolkits für dateilose Angriffe sind in der Regel nicht im Dateisystem vorhanden und somit für herkömmliche Antivirensoftware nur schwer zu erkennen. Beispiele für spezifisches Verhalten: {Liste der beobachteten Verhaltensweisen}
MITRE-Taktik: Verteidigungshinterziehung, Ausführung
Schweregrad: hoch
Verborgene Dateiausführung erkannt
Beschreibung: Die Analyse von Hostdaten gibt an, dass eine ausgeblendete Datei von %{Benutzername} ausgeführt wurde. Diese Aktivität könnte entweder eine legitime Aktivität oder ein Hinweis auf einen kompromittierten Host sein.
Schweregrad: Informational
Neuer SSH-Schlüssel hinzugefügt [mehrfach aufgetreten]
(VM_SshKeyAddition)
Beschreibung: Der Datei mit autorisierten Schlüsseln wurde ein neuer SSH-Schlüssel hinzugefügt. Dieses Verhalten wurde heute [x] mal auf den folgenden Computern erkannt: [Computernamen]
Schweregrad: Niedrig
Neuer SSH-Schlüssel hinzugefügt
Beschreibung: Der Datei mit autorisierten Schlüsseln wurde ein neuer SSH-Schlüssel hinzugefügt.
Schweregrad: Niedrig
Mögliche Hintertür erkannt [mehrfach aufgetreten]
Beschreibung: Die Analyse von Hostdaten hat festgestellt, dass eine verdächtige Datei heruntergeladen wird, und führen Sie dann in Ihrem Abonnement auf %{Kompromittierte Host} aus. Diese Aktivität war in der Vergangenheit mit der Installation einer Hintertür verbunden. Dieses Verhalten wurde heute [x] mal auf den folgenden Computern erkannt: [Computernamen]
Schweregrad: Mittel
Mögliche Ausnutzung des erkannten Mailservers
(VM_MailserverExploitation)
Beschreibung: Die Analyse von Hostdaten auf %{Kompromittierten Host} hat eine ungewöhnliche Ausführung unter dem E-Mail-Serverkonto erkannt.
MITRE-Taktiken: Ausbeutung
Schweregrad: Mittel
Mögliche schädliche Webshell erkannt
Beschreibung: Die Analyse von Hostdaten auf %{Kompromittierten Host} hat eine mögliche Webshell erkannt. Angreifer laden häufig eine Webshell auf einen Computer hoch, den sie kompromittiert haben, um Persistenz zu erreichen oder ihn weiter auszunutzen.
Schweregrad: Mittel
Mögliche Kennwortänderung durch crypt-Methode erkannt [mehrfach aufgetreten]
Beschreibung: Die Analyse von Hostdaten auf %{Kompromittierten Host} hat die Kennwortänderung mithilfe der Verschlüsselungsmethode erkannt. Angreifer können diese Änderung vornehmen, um auch nach einer Kompromittierung weiterhin Zugang und Persistenz zu erreichen. Dieses Verhalten wurde heute [x] mal auf den folgenden Computern erkannt: [Computernamen]
Schweregrad: Mittel
Mit dem Mining von Digitalwährungen assoziierter Prozess erkannt [mehrfach aufgetreten]
Beschreibung: Die Analyse von Hostdaten auf %{Kompromittierten Host} hat die Ausführung eines Prozesses festgestellt, der normalerweise mit dem Digitalen Währungsmining verknüpft ist. Dieses Verhalten wurde heute mehr als 100 mal auf den folgenden Computern erkannt: [Computernamen]
Schweregrad: Mittel
Process associated with digital currency mining detected (Prozess erkannt, der mit digitalem Währungs-Mining assoziiert wird)
Beschreibung: Die Hostdatenanalyse hat die Ausführung eines Prozesses erkannt, der normalerweise mit dem Digitalen Währungsmining verbunden ist.
MITRE-Taktiken: Ausbeutung, Ausführung
Schweregrad: Mittel
Mit Python codiertes Downloadprogramm erkannt [mehrfach aufgetreten]
Beschreibung: Die Analyse von Hostdaten auf %{Compromised Host} hat die Ausführung codierter Python erkannt, die Code von einem Remotestandort herunterlädt und ausführt. Dies kann ein Hinweis auf böswillige Aktivitäten sein. Dieses Verhalten wurde heute [x] mal auf den folgenden Computern erkannt: [Computernamen]
Schweregrad: Niedrig
Auf dem Host aufgenommener Screenshot [mehrfach aufgetreten]
Beschreibung: Die Analyse von Hostdaten auf %{Kompromittierten Host} hat den Benutzer eines Bildschirmaufnahmetools erkannt. Angreifer können diese Tools verwenden, um auf private Daten zuzugreifen. Dieses Verhalten wurde heute [x] mal auf den folgenden Computern erkannt: [Computernamen]
Schweregrad: Niedrig
Shellcode erkannt [mehrfach aufgetreten]
Beschreibung: Die Analyse von Hostdaten auf %{Kompromittierten Host} hat festgestellt, dass shellcode aus der Befehlszeile generiert wurde. Bei diesem Prozess kann es sich um eine legitime Aktivität handeln. Der Vorgang kann aber auch darauf hindeuten, dass einer Ihrer Computer kompromittiert wurde. Dieses Verhalten wurde heute [x] mal auf den folgenden Computern erkannt: [Computernamen]
Schweregrad: Mittel
Erfolgreicher SSH-Brute-Force-Angriff
(VM_SshBruteForceSuccess)
Beschreibung: Die Analyse von Hostdaten hat einen erfolgreichen Brute-Force-Angriff erkannt. Die IP-Adresse %{Attacker source IP} wurde bei mehreren Anmeldeversuchen beobachtet. Erfolgreiche Anmeldungen wurden von dieser IP-Adresse aus mit dem/den folgenden Benutzer(n) vorgenommen: %{Accounts used to successfully sign in to host}. Dies bedeutet, dass der Host kompromittiert und von einem böswilligen Akteur gesteuert wird.
MITRE-Taktiken: Ausbeutung
Schweregrad: hoch
Verdächtige Kontoerstellung erkannt
Beschreibung: Die Analyse von Hostdaten auf '%{Kompromittierter Host}' hat die Erstellung oder Verwendung eines lokalen Kontos '%{Verdächtiger Kontoname}' erkannt: Dieser Kontoname ähnelt einem Standardmäßigen Windows-Konto oder Gruppennamen '%{Ähnlich dem Kontonamen}'. Es handelt sich hierbei möglicherweise um ein nicht autorisiertes Konto, das von einem Angreifer erstellt wurde und das so benannt wurde, um zu vermeiden, dass es von einem Administrator bemerkt wird.
Schweregrad: Mittel
Verdächtiges Kernelmodul erkannt [mehrfach aufgetreten]
Beschreibung: Die Analyse von Hostdaten auf %{Kompromittierten Host} hat festgestellt, dass eine freigegebene Objektdatei als Kernelmodul geladen wird. Hierbei kann es sich um eine legitime Aktivität handeln. Der Vorgang kann aber auch darauf hindeuten, dass einer Ihrer Computer kompromittiert wurde. Dieses Verhalten wurde heute [x] mal auf den folgenden Computern erkannt: [Computernamen]
Schweregrad: Mittel
Verdächtiger Kennwortzugriff [mehrfach aufgetreten]
Beschreibung: Die Analyse von Hostdaten hat verdächtigen Zugriff auf verschlüsselte Benutzerpasswörter auf %{Kompromittierter Host} erkannt. Dieses Verhalten wurde heute [x] mal auf den folgenden Computern erkannt: [Computernamen]
Schweregrad: Informational
Verdächtiger Kennwortzugriff
Beschreibung: Die Analyse von Hostdaten hat verdächtigen Zugriff auf verschlüsselte Benutzerpasswörter auf %{Kompromittierter Host} erkannt.
Schweregrad: Informational
Suspicious request to the Kubernetes Dashboard (Verdächtige Anforderung an Kubernetes-Dashboard)
(VM_KubernetesDashboard)
Beschreibung: Computerprotokolle deuten darauf hin, dass eine verdächtige Anforderung an das Kubernetes-Dashboard gestellt wurde. Die Anforderung wurde von einem Kubernetes-Knoten gesendet – unter Umständen von einem der Container, die auf dem Knoten ausgeführt werden. Dieses Verhalten kann zwar beabsichtigt sein, aber es ist ggf. auch ein Hinweis darauf, dass auf dem Knoten ein kompromittierter Container ausgeführt wird.
MITRE-Taktiken: LateralMovement
Schweregrad: Mittel
Ungewöhnliche Konfigurationszurücksetzung auf Ihrer VM
(VM_VMAccessUnusualConfigReset)
Beschreibung: Eine ungewöhnliche Konfigurationszurücksetzung wurde auf Ihrem virtuellen Computer erkannt, indem die Azure Resource Manager-Vorgänge in Ihrem Abonnement analysiert werden. Während diese Aktion möglicherweise legitim ist, können Angreifer versuchen, die VM-Zugriffserweiterung zu verwenden, um die Konfiguration auf Ihrem virtuellen Computer zurückzusetzen und sie zu kompromittieren.
MITRE-Taktiken: Zugriff auf Anmeldeinformationen
Schweregrad: Mittel
Ungewöhnliche Kennwortzurücksetzung auf Ihrer VM
(VM_VMAccessUnusualPasswordReset)
Beschreibung: Eine ungewöhnliche Benutzerkennwortzurücksetzung wurde auf Ihrem virtuellen Computer erkannt, indem die Azure Resource Manager-Vorgänge in Ihrem Abonnement analysiert werden. Obwohl diese Aktion möglicherweise legitim ist, können Angreifer versuchen, die VM-Zugriffserweiterung zu verwenden, um die Anmeldeinformationen eines lokalen Benutzers auf Ihrem virtuellen Computer zurückzusetzen und sie zu kompromittieren.
MITRE-Taktiken: Zugriff auf Anmeldeinformationen
Schweregrad: Mittel
Ungewöhnliche SSH-Schlüsselzurücksetzung auf Ihrer VM
(VM_VMAccessUnusualSSHReset)
Beschreibung: Ein ungewöhnliches Zurücksetzen von SSH-Schlüsseln wurde auf Ihrem virtuellen Computer erkannt, indem die Azure Resource Manager-Vorgänge in Ihrem Abonnement analysiert werden. Obwohl diese Aktion möglicherweise legitim ist, können Angreifer versuchen, vm Access-Erweiterung zum Zurücksetzen des SSH-Schlüssels eines Benutzerkontos auf Ihrem virtuellen Computer zu verwenden und sie zu kompromittieren.
MITRE-Taktiken: Zugriff auf Anmeldeinformationen
Schweregrad: Mittel
Verdächtige Installation der GPU-Erweiterung auf Ihrem virtuellen Computer (Vorschau)
(VM_GPUDriverExtensionUnusualExecution)
Beschreibung: Verdächtige Installation einer GPU-Erweiterung wurde auf Ihrem virtuellen Computer erkannt, indem die Azure Resource Manager-Vorgänge in Ihrem Abonnement analysiert werden. Angreifer könnten die GPU-Treibererweiterung verwenden, um GPU-Treiber über den Azure-Resource Manager auf Ihrer VM zu installieren, um Cryptojacking durchzuführen.
MITRE-Taktiken: Auswirkung
Schweregrad: Niedrig
Hinweis
Für Warnungen, die sich in der Vorschau befinden: Die ergänzenden Bestimmungen für Azure-Vorschauen enthalten zusätzliche rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden bzw. anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.