Avvisi per macchine Linux
Questo articolo elenca gli avvisi di sicurezza che è possibile ottenere per i computer Linux da Microsoft Defender per il cloud ed eventuali piani di Microsoft Defender abilitati. Gli avvisi visualizzati nell'ambiente dipendono dalle risorse e dai servizi protetti e dalla configurazione personalizzata.
Nota
Alcuni degli avvisi aggiunti di recente basati su Microsoft Defender Threat Intelligence e Microsoft Defender per endpoint potrebbero non essere documentati.
Informazioni su come rispondere a questi avvisi.
Informazioni su come esportare gli avvisi.
Nota
Gli avvisi provenienti da origini diverse potrebbero comparire in tempi diversi. Ad esempio, la visualizzazione degli avvisi che richiedono l'analisi del traffico di rete potrebbe richiedere più tempo rispetto agli avvisi correlati a processi sospetti in esecuzione sulle macchine virtuali.
Avvisi dei computer Linux
Microsoft Defender per server piano 2 fornisce rilevamenti e avvisi univoci, oltre a quelli forniti da Microsoft Defender per endpoint. Gli avvisi forniti per i computer Linux sono:
Un file di cronologia è stato cancellato
Descrizione: l'analisi dei dati host indica che il file di log della cronologia dei comandi è stato cancellato. Gli utenti malintenzionati potrebbero eseguire questa operazione per coprire le loro tracce. L'operazione è stata eseguita dall'utente: '%{nome utente}'.
Tattiche MITRE: -
Gravità: medio
Violazione dei criteri di controllo delle applicazioni adattivi è stata controllato
(VM_AdaptiveApplicationControlLinuxViolationAudited)
Descrizione: gli utenti seguenti hanno eseguito applicazioni che violano i criteri di controllo delle applicazioni dell'organizzazione in questo computer. Può esporre il computer a vulnerabilità malware o dell'applicazione.
Tattiche MITRE: Esecuzione
Gravità: informativo
Esclusione di file generali antimalware nella macchina virtuale
(VM_AmBroadFilesExclusion)
Descrizione: l'esclusione di file dall'estensione antimalware con una regola di esclusione generale è stata rilevata nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Tale esclusione disabilita essenzialmente la protezione antimalware. È possibile che gli utenti malintenzionati escludano file dall'analisi antimalware nella macchina virtuale per evitare il rilevamento durante l'esecuzione di codice arbitrario o l'infezione del computer con malware.
Tattiche MITRE: -
Gravità: medio
Antimalware disabilitato ed esecuzione del codice nella macchina virtuale
(VM_AmDisablementAndCodeExecution)
Descrizione: Antimalware disabilitato contemporaneamente all'esecuzione del codice nella macchina virtuale. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati disabilitano gli scanner antimalware per evitare il rilevamento durante l'esecuzione di strumenti non autorizzati o l'infezione del computer con malware.
Tattiche MITRE: -
Gravità: alta
Antimalware disabilitato nella macchina virtuale
(VM_AmDisablement)
Descrizione: Antimalware disabilitato nella macchina virtuale. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati potrebbero disabilitare l'antimalware nella macchina virtuale per impedire il rilevamento.
Tattiche MITRE: Evasione della difesa
Gravità: medio
Esclusione di file antimalware ed esecuzione del codice nella macchina virtuale
(VM_AmFileExclusionAndCodeExecution)
Descrizione: il file escluso dallo scanner antimalware contemporaneamente al codice è stato eseguito tramite un'estensione di script personalizzata nella macchina virtuale. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione. È possibile che gli utenti malintenzionati escludano file dall'analisi antimalware nella macchina virtuale per evitare il rilevamento durante l'esecuzione di strumenti non autorizzati o l'infezione del computer con malware.
Tattiche MITRE: Evasione della difesa, esecuzione
Gravità: alta
Esclusione di file antimalware ed esecuzione del codice nella macchina virtuale (temporanea)
(VM_AmTempFileExclusionAndCodeExecution)
Descrizione: l'esclusione temporanea di file dall'estensione antimalware in parallelo all'esecuzione del codice tramite l'estensione script personalizzata è stata rilevata nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. È possibile che gli utenti malintenzionati escludano file dall'analisi antimalware nella macchina virtuale per evitare il rilevamento durante l'esecuzione di codice arbitrario o l'infezione del computer con malware.
Tattiche MITRE: Evasione della difesa, esecuzione
Gravità: alta
Esclusione di file antimalware nella macchina virtuale
(VM_AmTempFileExclusion)
Descrizione: file escluso dallo scanner antimalware nella macchina virtuale. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione. È possibile che gli utenti malintenzionati escludano file dall'analisi antimalware nella macchina virtuale per evitare il rilevamento durante l'esecuzione di strumenti non autorizzati o l'infezione del computer con malware.
Tattiche MITRE: Evasione della difesa
Gravità: medio
La protezione antimalware in tempo reale è stata disabilitata nella macchina virtuale
(VM_AmRealtimeProtectionDisabled)
Descrizione: la disabilitazione della protezione in tempo reale dell'estensione antimalware è stata rilevata nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. È possibile che gli utenti malintenzionati disabilitino la protezione in tempo reale dall'analisi antimalware nella macchina virtuale per evitare il rilevamento durante l'esecuzione di codice arbitrario o l'infezione del computer con malware.
Tattiche MITRE: Evasione della difesa
Gravità: medio
La protezione antimalware in tempo reale è stata disabilitata temporaneamente nella macchina virtuale
(VM_AmTempRealtimeProtectionDisablement)
Descrizione: la disabilitazione temporanea della protezione in tempo reale dell'estensione antimalware è stata rilevata nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. È possibile che gli utenti malintenzionati disabilitino la protezione in tempo reale dall'analisi antimalware nella macchina virtuale per evitare il rilevamento durante l'esecuzione di codice arbitrario o l'infezione del computer con malware.
Tattiche MITRE: Evasione della difesa
Gravità: medio
La protezione antimalware in tempo reale è stata disabilitata temporaneamente mentre il codice è stato eseguito nella macchina virtuale
(VM_AmRealtimeProtectionDisablementAndCodeExec)
Descrizione: la disabilitazione temporanea della protezione in tempo reale dell'estensione antimalware in parallelo all'esecuzione del codice tramite l'estensione script personalizzata è stata rilevata nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. È possibile che gli utenti malintenzionati disabilitino la protezione in tempo reale dall'analisi antimalware nella macchina virtuale per evitare il rilevamento durante l'esecuzione di codice arbitrario o l'infezione del computer con malware.
Tattiche MITRE: -
Gravità: alta
Analisi antimalware bloccate per i file potenzialmente correlati alle campagne malware nella macchina virtuale (anteprima)
(VM_AmMalwareCampaignRelatedExclusion)
Descrizione: è stata rilevata una regola di esclusione nella macchina virtuale per impedire che l'estensione antimalware analizza determinati file sospetti di essere correlati a una campagna malware. La regola è stata rilevata analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati potrebbero escludere i file dalle analisi antimalware per impedire il rilevamento durante l'esecuzione di codice arbitrario o l'infezione del computer con malware.
Tattiche MITRE: Evasione della difesa
Gravità: medio
Antimalware temporaneamente disabilitato nella macchina virtuale
(VM_AmTemporarilyDisablement)
Descrizione: Antimalware temporaneamente disabilitato nella macchina virtuale. Il rilevamento è stato eseguito mediante l'analisi delle operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati potrebbero disabilitare l'antimalware nella macchina virtuale per impedire il rilevamento.
Tattiche MITRE: -
Gravità: medio
Esclusione insolita di file antimalware nella macchina virtuale
(VM_UnusualAmFileExclusion)
Descrizione: l'esclusione insolita di file dall'estensione antimalware è stata rilevata nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. È possibile che gli utenti malintenzionati escludano file dall'analisi antimalware nella macchina virtuale per evitare il rilevamento durante l'esecuzione di codice arbitrario o l'infezione del computer con malware.
Tattiche MITRE: Evasione della difesa
Gravità: medio
Rilevato comportamento simile al ransomware [visto più volte]
Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato l'esecuzione di file che hanno somiglianza di ransomware noti che possono impedire agli utenti di accedere al sistema o ai file personali e richiede un pagamento di riscatto per ottenere nuovamente l'accesso. Questo comportamento è stato rilevato [x] volte nella giornata odierna nei computer seguenti: [nomi computer]
Tattiche MITRE: -
Gravità: alta
Comunicazione con un dominio sospetto identificato dall'intelligence sulle minacce
(AzureDNS_ThreatIntelSuspectDomain)
Descrizione: la comunicazione con un dominio sospetto è stata rilevata analizzando le transazioni DNS dalla risorsa e confrontando i domini dannosi noti identificati dai feed di intelligence per le minacce. La comunicazione con domini dannosi viene spesso eseguita da utenti malintenzionati e potrebbe implicare che la risorsa sia compromessa.
Tattiche MITRE: accesso iniziale, persistenza, esecuzione, comando e controllo, sfruttamento
Gravità: medio
Rilevato contenitore con un'immagine di mining
(VM_MinerInContainerImage)
Descrizione: i log del computer indicano l'esecuzione di un contenitore Docker che esegue un'immagine associata a un data mining di valuta digitale.
Tattiche MITRE: Esecuzione
Gravità: alta
Rilevata combinazione anomala di caratteri maiuscoli e minuscoli nella riga di comando
Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato una riga di comando con combinazione anomala di caratteri maiuscoli e minuscoli. Questo tipo di modello, benché probabilmente non dannoso, è anche tipico di utenti malintenzionati che tentano di nascondersi dalla corrispondenza di regole basata su hash o distinzione tra maiuscole e minuscole durante l'esecuzione di attività amministrative in un host compromesso.
Tattiche MITRE: -
Gravità: medio
Rilevato download di un file da un'origine dannosa nota
Descrizione: l'analisi dei dati host ha rilevato il download di un file da un'origine malware nota in %{host compromesso}.
Tattiche MITRE: -
Gravità: medio
Rilevata attività di rete sospetta
Descrizione: l'analisi del traffico di rete da %{host compromesso} ha rilevato attività di rete sospette. Questo tipo di traffico, benché probabilmente non dannoso, viene in genere usato da un utente malintenzionato per comunicare con server dannosi per il download di strumenti, il comando e il controllo e l'esfiltrazione dei dati. La tipica attività correlata dell'utente malintenzionato include la copia di strumenti di amministrazione remota in un host compromesso e l'esfiltrazione di dati utente.
Tattiche MITRE: -
Gravità: Bassa
Rilevato comportamento correlato al mining della valuta digitale
Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato l'esecuzione di un processo o di un comando normalmente associato al data mining di valuta digitale.
Tattiche MITRE: -
Gravità: alta
Disabilitazione della registrazione auditd [visto più volte]
Descrizione: il sistema di controllo Linux consente di tenere traccia delle informazioni rilevanti per la sicurezza nel sistema. Registra quante più informazioni possibili sugli eventi che si verificano nel sistema. La disabilitazione della registrazione auditd potrebbe ostacolare l'individuazione delle violazioni dei criteri di sicurezza usati nel sistema. Questo comportamento è stato rilevato [x] volte nella giornata odierna nei computer seguenti: [nomi computer]
Tattiche MITRE: -
Gravità: Bassa
Sfruttamento della vulnerabilità Xorg [visto più volte]
Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato l'utente di Xorg con argomenti sospetti. Gli utenti malintenzionati potrebbero usare questa tecnica nei tentativi di escalation dei privilegi. Questo comportamento è stato rilevato [x] volte nella giornata odierna nei computer seguenti: [nomi computer]
Tattiche MITRE: -
Gravità: medio
Attacco di forza bruta SSH non riuscito
(VM_SshBruteForceFailed)
Descrizione: sono stati rilevati attacchi di forza bruta non riusciti dagli utenti malintenzionati seguenti: %{Utenti malintenzionati}. Gli utenti malintenzionati hanno tentato di accedere all'host con i nomi utente seguenti: %{account usati per i tentativi di accesso non riuscito all'host}.
Tattiche MITRE: Probing
Gravità: medio
Rilevato comportamento di attacco senza file
(VM_FilelessAttackBehavior.Linux)
Descrizione: la memoria del processo specificato di seguito contiene comportamenti comunemente usati dagli attacchi senza file. I comportamenti specifici includono: {elenco di comportamenti osservati}
Tattiche MITRE: Esecuzione
Gravità: Bassa
Rilevata tecnica di attacco senza file
(VM_FilelessAttackTechnique.Linux)
Descrizione: la memoria del processo specificato di seguito contiene l'evidenza di una tecnica di attacco senza file. Gli attacchi senza file vengono usati dagli utenti malintenzionati per eseguire codice, eludendo il rilevamento da parte del software di sicurezza. I comportamenti specifici includono: {elenco di comportamenti osservati}
Tattiche MITRE: Esecuzione
Gravità: alta
Rilevato toolkit di attacco senza file
(VM_FilelessAttackToolkit.Linux)
Descrizione: la memoria del processo specificato di seguito contiene un toolkit di attacco senza file: {ToolKitName}. I toolkit di attacco senza file in genere non hanno una presenza nel file system, rendendo difficile il rilevamento da parte del software antivirus tradizionale. I comportamenti specifici includono: {elenco di comportamenti osservati}
Tattiche MITRE: Evasione della difesa, esecuzione
Gravità: alta
Rilevata esecuzione di file nascosto
Descrizione: l'analisi dei dati host indica che un file nascosto è stato eseguito da %{nome utente}. Questa attività potrebbe indicare un'attività legittima o un host compromesso.
Tattiche MITRE: -
Gravità: informativo
Nuova chiave SSH aggiunta [vista più volte]
(VM_SshKeyAddition)
Descrizione: è stata aggiunta una nuova chiave SSH al file delle chiavi autorizzate. Questo comportamento è stato rilevato [x] volte nella giornata odierna nei computer seguenti: [nomi computer]
Tattiche MITRE: Persistenza
Gravità: Bassa
Nuova chiave SSH aggiunta
Descrizione: è stata aggiunta una nuova chiave SSH al file delle chiavi autorizzate.
Tattiche MITRE: -
Gravità: Bassa
Rilevata possibile backdoor [visto più volte]
Descrizione: l'analisi dei dati dell'host ha rilevato un file sospetto scaricato e quindi eseguito in %{host compromesso} nella sottoscrizione. Questa attività è stata precedentemente associata all'installazione di una backdoor. Questo comportamento è stato rilevato [x] volte nella giornata odierna nei computer seguenti: [nomi computer]
Tattiche MITRE: -
Gravità: medio
Rilevato possibile sfruttamento del server di posta
(VM_MailserverExploitation)
Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato un'esecuzione insolita nell'account del server di posta elettronica
Tattiche MITRE: Sfruttamento
Gravità: medio
Rilevata possibile web shell dannosa
Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato una possibile shell Web. Gli utenti malintenzionati spesso caricheranno una shell Web in un computer compromesso per ottenere la persistenza o per un ulteriore sfruttamento.
Tattiche MITRE: -
Gravità: medio
Rilevata possibile modifica della password tramite un metodo di crittografia [visto più volte]
Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato la modifica della password usando il metodo crypt. Gli utenti malintenzionati possono apportare questa modifica per continuare ad accedere e ottenere persistenza dopo la compromissione del computer. Questo comportamento è stato rilevato [x] volte nella giornata odierna nei computer seguenti: [nomi computer]
Tattiche MITRE: -
Gravità: medio
Rilevato processo associato al mining della valuta digitale [visto più volte]
Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato l'esecuzione di un processo normalmente associato al data mining di valuta digitale. Questo comportamento è stato rilevato oltre 100 volte nella giornata odierna nei computer seguenti: [nome computer]
Tattiche MITRE: -
Gravità: medio
Rilevato processo associato al mining della valuta digitale
Descrizione: l'analisi dei dati host ha rilevato l'esecuzione di un processo normalmente associato al data mining digitale.
Tattiche MITRE: Sfruttamento, Esecuzione
Gravità: medio
Rilevato downloader con codifica Python [visto più volte]
Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato l'esecuzione di Python codificato che scarica ed esegue codice da una posizione remota. Potrebbe trattarsi di un'indicazione di attività dannose. Questo comportamento è stato rilevato [x] volte nella giornata odierna nei computer seguenti: [nomi computer]
Tattiche MITRE: -
Gravità: Bassa
Acquisito screenshot sull'host [visto più volte]
Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato l'utente di uno strumento di acquisizione dello schermo. Gli utenti malintenzionati potrebbero usare questi strumenti per accedere ai dati privati. Questo comportamento è stato rilevato [x] volte nella giornata odierna nei computer seguenti: [nomi computer]
Tattiche MITRE: -
Gravità: Bassa
Rilevato shellcode [visto più volte]
Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato che il codice della shell viene generato dalla riga di comando. Questo processo potrebbe indicare un'attività legittima o che uno dei computer è stato compromesso. Questo comportamento è stato rilevato [x] volte nella giornata odierna nei computer seguenti: [nomi computer]
Tattiche MITRE: -
Gravità: medio
Attacco di forza bruta SSH riuscito
(VM_SshBruteForceSuccess)
Descrizione: l'analisi dei dati dell'host ha rilevato un attacco di forza bruta riuscito. Sono stati osservati più tentativi di accesso dall'IP %{IP di origine utente malintenzionato}. Sono stati eseguiti accessi riusciti dall'IP con i seguenti utenti: %{account usati per accedere correttamente all'host}. Ciò significa che l'host potrebbe essere compromesso e controllato da un attore malintenzionato.
Tattiche MITRE: Sfruttamento
Gravità: alta
Rilevata creazione sospetta di account
Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato la creazione o l'uso di un account locale %{Nome account sospetto}: questo nome account è simile a un account di Windows standard o un nome di gruppo '%{Simile al nome dell'account}'. Si tratta potenzialmente di un account non autorizzato creato da un utente malintenzionato, così denominato per evitare che venga notato da un amministratore umano.
Tattiche MITRE: -
Gravità: medio
Rilevato modulo kernel sospetto [visto più volte]
Descrizione: l'analisi dei dati dell'host in %{host compromesso} ha rilevato il caricamento di un file oggetto condiviso come modulo kernel. Potrebbe trattarsi di un'attività legittima o indicare che uno dei computer è stato compromesso. Questo comportamento è stato rilevato [x] volte nella giornata odierna nei computer seguenti: [nomi computer]
Tattiche MITRE: -
Gravità: medio
Accesso sospetto alle password [visto più volte]
Descrizione: l'analisi dei dati host ha rilevato un accesso sospetto alle password utente crittografate in %{host compromesso}. Questo comportamento è stato rilevato [x] volte nella giornata odierna nei computer seguenti: [nomi computer]
Tattiche MITRE: -
Gravità: informativo
Accesso sospetto alle password
Descrizione: l'analisi dei dati host ha rilevato un accesso sospetto alle password utente crittografate in %{host compromesso}.
Tattiche MITRE: -
Gravità: informativo
Richiesta sospetta al dashboard di Kubernetes
(VM_KubernetesDashboard)
Descrizione: i log del computer indicano che è stata effettuata una richiesta sospetta al dashboard di Kubernetes. La richiesta è stata inviata da un nodo Kubernetes, probabilmente da uno dei contenitori in esecuzione nel nodo. Benché questo comportamento possa essere intenzionale, potrebbe indicare che il nodo esegue un contenitore compromesso.
Tattiche MITRE: LateralMovement
Gravità: medio
Reimpostazione insolita della configurazione nella macchina virtuale
(VM_VMAccessUnusualConfigReset)
Descrizione: è stata rilevata una configurazione insolita nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Anche se questa azione potrebbe essere legittima, gli utenti malintenzionati possono provare a usare l'estensione accesso alla macchina virtuale per reimpostare la configurazione nella macchina virtuale e comprometterla.
Tattiche MITRE: Accesso alle credenziali
Gravità: medio
Reimpostazione insolita della password utente nella macchina virtuale
(VM_VMAccessUnusualPasswordReset)
Descrizione: è stata rilevata una reimpostazione insolita della password utente nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Anche se questa azione potrebbe essere legittima, gli utenti malintenzionati possono provare a usare l'estensione accesso alla macchina virtuale per reimpostare le credenziali di un utente locale nella macchina virtuale e comprometterla.
Tattiche MITRE: Accesso alle credenziali
Gravità: medio
Reimpostazione insolita della chiave SSH utente nella macchina virtuale
(VM_VMAccessUnusualSSHReset)
Descrizione: è stata rilevata una reimpostazione insolita della chiave SSH utente nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Anche se questa azione potrebbe essere legittima, gli utenti malintenzionati possono provare a usare l'estensione accesso alla macchina virtuale per reimpostare la chiave SSH di un account utente nella macchina virtuale e comprometterla.
Tattiche MITRE: Accesso alle credenziali
Gravità: medio
Installazione sospetta dell'estensione GPU nella macchina virtuale (anteprima)
(VM_GPUDriverExtensionUnusualExecution)
Descrizione: è stata rilevata un'installazione sospetta di un'estensione GPU nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati potrebbero usare l'estensione del driver GPU per installare i driver GPU nella macchina virtuale tramite Azure Resource Manager per eseguire il cryptojacking.
Tattiche MITRE: Impatto
Gravità: Bassa
Nota
Per gli avvisi in anteprima: le condizioni supplementari di anteprima di Azure includono condizioni legali aggiuntive applicabili alle funzionalità di Azure in versione beta, in anteprima o non ancora rilasciate nella disponibilità generale.