Partager via


Alertes pour les extensions de machine virtuelle Azure

Cet article répertorie les alertes de sécurité que vous pouvez obtenir pour les extensions de machine virtuelle Azure à partir de Microsoft Defender pour le cloud et les plans Microsoft Defender que vous avez activés. Les alertes présentées dans votre environnement dépendent des ressources et services que vous protégez et de votre configuration personnalisée.

Remarque

Certaines des alertes récemment ajoutées alimentées par Veille des menaces Microsoft Defender et Microsoft Defender pour point de terminaison peuvent être non documentées.

Découvrez comment répondre à ces alertes.

Découvrez comment exporter des alertes.

Notes

Les alertes provenant de différentes sources peuvent prendre différentes durées d’affichage. Par exemple, l’affichage des alertes qui nécessitent une analyse du trafic réseau peut prendre plus de temps que pour les alertes liées à des processus suspects s’exécutant sur des machines virtuelles.

Alertes d’extensions de machine virtuelle Azure

Ces alertes se concentrent sur la détection des activités suspectes des extensions de machine virtuelle Azure et fournissent des insights sur les tentatives des attaquants de compromettre et d’effectuer des activités malveillantes sur vos machines virtuelles.

Les extensions de machine virtuelle Azure sont de petites applications qui exécutent un post-déploiement sur des machines virtuelles et fournissent des fonctionnalités telles que la configuration, l’automatisation, la surveillance, la sécurité, etc. Bien que les extensions soient un outil puissant, elles peuvent être utilisées par les acteurs des menaces pour diverses intentions malveillantes, par exemple :

  • Collecte et surveillance des données

  • Déploiement de l’exécution et de la configuration du code avec des privilèges élevés

  • Réinitialisation des informations d’identification et création d’utilisateurs administratifs

  • Chiffrement des disques

En savoir plus sur Defender pour le cloud dernières protections contre l’abus d’extensions de machine virtuelle Azure.

Échec suspect lors de l’installation de l’extension GPU dans votre abonnement (préversion)

(VM_GPUExtensionSuspiciousFailure)

Description : intention suspecte d’installer une extension GPU sur des machines virtuelles non prises en charge. Cette extension doit être installée sur les machines virtuelles équipées d’un processeur graphique et, dans ce cas, les machines virtuelles ne sont pas équipées de ce type. Ces échecs peuvent être vus lorsque des adversaires malveillants exécutent plusieurs installations de cette extension à des fins de crypto-exploration.

Tactiques MITRE : Impact

Gravité : moyenne

Une installation suspecte d’une extension GPU a été détectée sur votre machine virtuelle (préversion)

(VM_GPUDriverExtensionUnusualExecution)

Description : Une installation suspecte d’une extension GPU a été détectée sur votre machine virtuelle en analysant les opérations Azure Resource Manager dans votre abonnement. Les attaquants peuvent utiliser l’extension de pilote GPU pour installer des pilotes GPU sur votre machine virtuelle via Azure Resource Manager pour effectuer le cryptojacking. Cette activité est considérée comme suspecte, car le comportement du principal s’écarte de ses modèles habituels.

Tactiques MITRE : Impact

Gravité : faible

Run Command avec un script suspect a été détecté sur votre machine virtuelle (préversion)

(VM_RunCommandSuspiciousScript)

Description : Une commande d’exécution avec un script suspect a été détectée sur votre machine virtuelle en analysant les opérations Azure Resource Manager dans votre abonnement. Des attaquants peuvent utiliser une Run Command pour exécuter un code malveillant sur votre machine virtuelle via Azure Resource Manager. Le script est considéré comme suspect, car certaines parties ont été identifiées comme potentiellement malveillantes.

Tactiques MITRE : Exécution

Gravité : élevée

Une utilisation suspecte non autorisée de Run Command a été détectée sur votre machine virtuelle (préversion)

(VM_RunCommandSuspiciousFailure)

Description : L’utilisation suspecte non autorisée de la commande d’exécution a échoué et a été détectée sur votre machine virtuelle en analysant les opérations Azure Resource Manager dans votre abonnement. Les attaquants peuvent tenter d’utiliser Run Command pour exécuter du code malveillant avec des privilèges élevés sur vos machines virtuelles via le Resource Manager Azure. Cette activité est considérée comme suspecte, car elle n’a pas été couramment observée auparavant.

Tactiques MITRE : Exécution

Gravité : moyenne

Une utilisation suspecte de Run Command a été détectée sur votre machine virtuelle (préversion)

(VM_RunCommandSuspiciousUsage)

Description : L’utilisation suspecte de la commande d’exécution a été détectée sur votre machine virtuelle en analysant les opérations Azure Resource Manager dans votre abonnement. Des attaquants peuvent utiliser une Run Command pour exécuter un code malveillant sur vos machines virtuelles via Azure Resource Manager. Cette activité est considérée comme suspecte, car elle n’a pas été couramment observée auparavant.

Tactiques MITRE : Exécution

Gravité : faible

Une utilisation suspecte de plusieurs extensions de surveillance ou de collecte de données a été détectée sur vos machines virtuelles (préversion)

(VM_SuspiciousMultiExtensionUsage)

Description : L’utilisation suspecte de plusieurs extensions de surveillance ou de collecte de données a été détectée sur vos machines virtuelles en analysant les opérations Azure Resource Manager dans votre abonnement. Les attaquants peuvent abuser de ces extensions pour la collecte de données, la surveillance du trafic réseau, etc. dans votre abonnement. Cet usage est considéré comme suspect, car il n’a pas été couramment observé auparavant.

Tactiques MITRE : Reconnaissance

Gravité : moyenne

Une installation suspecte d’extensions de chiffrement de disque a été détectée sur vos machines virtuelles (préversion)

(VM_DiskEncryptionSuspiciousUsage)

Description : Une installation suspecte des extensions de chiffrement de disque a été détectée sur vos machines virtuelles en analysant les opérations Azure Resource Manager dans votre abonnement. Les attaquants peuvent abuser de l’extension de chiffrement de disque pour déployer des chiffrements de disque complets sur vos machines virtuelles via le Resource Manager Azure dans le but d’effectuer une activité de ransomware. Cette activité est considérée comme suspecte, car elle n’a pas été couramment observée auparavant et en raison du nombre élevé d’installations d’extension.

Tactiques MITRE : Impact

Gravité : moyenne

Une utilisation suspecte de l’extension VMAccess a été détectée sur vos machines virtuelles (préversion)

(VM_VMAccessSuspiciousUsage)

Description : Une utilisation suspecte de l’extension VMAccess a été détectée sur vos machines virtuelles. Les attaquants peuvent abuser de l’extension VMAccess pour obtenir l’accès et compromettre vos machines virtuelles avec des privilèges élevés en réinitialisant l’accès ou en gérant les utilisateurs administratifs. Cette activité est considérée comme suspecte, car le comportement du principal s’écarte de ses modèles habituels et en raison du nombre élevé d’installations d’extension.

Tactiques MITRE : Persistance

Gravité : moyenne

Desired State Configuration extension (DSC) avec un script suspect a été détecté sur votre machine virtuelle (préversion)

(VM_DSCExtensionSuspiciousScript)

Description : L’extension DSC (Desired State Configuration) avec un script suspect a été détectée sur votre machine virtuelle en analysant les opérations Azure Resource Manager dans votre abonnement. Les attaquants peuvent utiliser l’extension Desired State Configuration (DSC) pour déployer des configurations malveillantes, telles que des mécanismes de persistance, des scripts malveillants, etc., avec des privilèges élevés, sur vos machines virtuelles. Le script est considéré comme suspect, car certaines parties ont été identifiées comme potentiellement malveillantes.

Tactiques MITRE : Exécution

Gravité : élevée

Une utilisation suspecte d’une extension Desired State Configuration (DSC) a été détectée sur vos machines virtuelles (préversion)

(VM_DSCExtensionSuspiciousUsage)

Description : Une utilisation suspecte d’une extension DSC (Desired State Configuration) a été détectée sur vos machines virtuelles en analysant les opérations Azure Resource Manager dans votre abonnement. Les attaquants peuvent utiliser l’extension Desired State Configuration (DSC) pour déployer des configurations malveillantes, telles que des mécanismes de persistance, des scripts malveillants, etc., avec des privilèges élevés, sur vos machines virtuelles. Cette activité est considérée comme suspecte, car le comportement du principal s’écarte de ses modèles habituels et en raison du nombre élevé d’installations d’extension.

Tactiques MITRE : Exécution

Gravité : faible

L’extension de script personnalisé avec un script suspect a été détectée sur votre machine virtuelle (préversion)

(VM_CustomScriptExtensionSuspiciousCmd)

Description : l’extension de script personnalisé avec un script suspect a été détectée sur votre machine virtuelle en analysant les opérations Azure Resource Manager dans votre abonnement. Les attaquants peuvent utiliser l'extension de script personnalisé pour exécuter un code malveillant avec des privilèges élevés sur votre machine virtuelle via Azure Resource Manager. Le script est considéré comme suspect, car certaines parties ont été identifiées comme potentiellement malveillantes.

Tactiques MITRE : Exécution

Gravité : élevée

Échec d’exécution suspect d’une extension de script personnalisé dans votre machine virtuelle

(VM_CustomScriptExtensionSuspiciousFailure)

Description : Une défaillance suspecte d’une extension de script personnalisé a été détectée dans votre machine virtuelle en analysant les opérations Azure Resource Manager dans votre abonnement. Ces défaillances peuvent être associées à des scripts malveillants exécutés par cette extension.

Tactiques MITRE : Exécution

Gravité : moyenne

Suppression inhabituelle d’une extension de script personnalisé dans votre machine virtuelle

(VM_CustomScriptExtensionUnusualDeletion)

Description : La suppression inhabituelle d’une extension de script personnalisé a été détectée dans votre machine virtuelle en analysant les opérations Azure Resource Manager dans votre abonnement. Les attaquants peuvent utiliser des extensions de script personnalisées pour exécuter du code malveillant sur vos machines virtuelles via Azure Resource Manager.

Tactiques MITRE : Exécution

Gravité : moyenne

Exécution inhabituelle d’une extension de script personnalisé dans votre machine virtuelle

(VM_CustomScriptExtensionUnusualExecution)

Description : Une exécution inhabituelle d’une extension de script personnalisé a été détectée dans votre machine virtuelle en analysant les opérations Azure Resource Manager dans votre abonnement. Les attaquants peuvent utiliser des extensions de script personnalisées pour exécuter du code malveillant sur vos machines virtuelles via Azure Resource Manager.

Tactiques MITRE : Exécution

Gravité : moyenne

Extension de script personnalisé avec point d’entrée suspect dans votre machine virtuelle

(VM_CustomScriptExtensionSuspiciousEntryPoint)

Description : l’extension de script personnalisé avec un point d’entrée suspect a été détectée dans votre machine virtuelle en analysant les opérations Azure Resource Manager dans votre abonnement. Le point d’entrée fait référence à un dépôt GitHub suspect. Les attaquants peuvent utiliser des extensions de script personnalisées pour exécuter du code malveillant sur vos machines virtuelles via Azure Resource Manager.

Tactiques MITRE : Exécution

Gravité : moyenne

Extension de script personnalisé avec une charge utile suspecte dans votre machine virtuelle

(VM_CustomScriptExtensionSuspiciousPayload)

Description : l’extension de script personnalisé avec une charge utile provenant d’un dépôt GitHub suspect a été détectée dans votre machine virtuelle en analysant les opérations Azure Resource Manager dans votre abonnement. Les attaquants peuvent utiliser des extensions de script personnalisées pour exécuter du code malveillant sur vos machines virtuelles via Azure Resource Manager.

Tactiques MITRE : Exécution

Gravité : moyenne

Remarque

Pour les alertes en préversion : Les Conditions supplémentaires pour les préversions Azure comprennent des conditions juridiques supplémentaires s’appliquant aux fonctionnalités Azure qui sont en version bêta, en préversion ou qui ne sont pas encore en disponibilité générale.

Étapes suivantes