Linux マシンのアラート
この記事では、Microsoft Defender for Cloud から Linux マシンに対して取得できるセキュリティ アラートと、有効にしたすべての Microsoft Defender プランの一覧を示します。 お使いの環境で示されるアラートは、保護対象のリソースとサービスおよびカスタマイズした構成によって異なります。
Note
Microsoft Defender 脅威インテリジェンスと Microsoft Defender for Endpoint を利用して最近追加されたアラートの一部は、文書化されていない可能性があります。
これらのアラートに対応する方法については、こちらを参照してください。
アラートをエクスポートする方法については、こちらを参照してください。
注意
アラートの出力元によって、表示されるまでの時間が変わる場合があります。 たとえば、ネットワーク トラフィックの分析を必要とするアラートは、仮想マシンで実行されている不審なプロセスに関連するアラートよりも、表示されるまでより長い時間がかかる可能性があります。
Linux マシンのアラート
Microsoft Defender for Servers プラン 2 では、Microsoft Defender for Endpoint によって提供されるものに加えて、固有の検出とアラートが提供されます。 Linux マシンに対して提供されるアラートは次のとおりです。
A history file has been cleared (履歴ファイルが消去されました)
説明: ホスト データの分析は、コマンド履歴ログ ファイルがクリアされたことを示します。 攻撃者は、トレースをカバーするためにこれを行う可能性があります。 操作は次のユーザーによって実行されました: '%{user name}'。
MITRE の戦術: -
重大度: 中
適応型アプリケーション制御ポリシー違反が監査されました
(VM_AdaptiveApplicationControlLinuxViolationAudited)
説明: 次のユーザーは、このコンピューターで組織のアプリケーション制御ポリシーに違反しているアプリケーションを実行しました。 コンピューターがマルウェアやアプリケーションの脆弱性にさらされる可能性があります。
MITRE の戦術: 実行
重大度: 情報
Antimalware broad files exclusion in your virtual machine (仮想マシンでのマルウェア対策の広範なファイル除外)
(VM_AmBroadFilesExclusion)
説明: 広範な除外ルールを持つマルウェア対策拡張機能からのファイルの除外は、サブスクリプション内の Azure Resource Manager 操作を分析することによって、仮想マシンで検出されました。 このような除外により、実質的にマルウェア対策保護が無効になります。 攻撃者は、任意のコードを実行している間やマシンをマルウェアに感染させている間に検出されないように、仮想マシンでのマルウェア対策スキャンからファイルを除外する可能性があります。
MITRE の戦術: -
重大度: 中
Antimalware disabled and code execution in your virtual machine (仮想マシンでのマルウェア対策の無効化とコードの実行)
(VM_AmDisablementAndCodeExecution)
説明: 仮想マシンでのコード実行と同時にマルウェア対策が無効になりました。 これは、サブスクリプションでの Azure Resource Manager の操作を分析することによって検出されました。 攻撃者は、承認されていないツールを実行している間やマシンをマルウェアに感染させている間に検出されないようにマルウェア対策スキャナーを無効にします。
MITRE の戦術: -
重大度: 高
Antimalware disabled in your virtual machine (仮想マシンでのマルウェア対策の無効化)
(VM_AmDisablement)
説明: 仮想マシンでマルウェア対策が無効になっています。 これは、サブスクリプションでの Azure Resource Manager の操作を分析することによって検出されました。 攻撃者は、検出されないように仮想マシンのマルウェア対策を無効にする可能性があります。
MITRE 戦術: 防御回避
重大度: 中
Antimalware file exclusion and code execution in your virtual machine (仮想マシンでのマルウェア対策のファイル除外とコードの実行)
(VM_AmFileExclusionAndCodeExecution)
説明: 仮想マシン上のカスタム スクリプト拡張機能を使用してコードが実行されたのと同時に、マルウェア対策スキャナーから除外されたファイル。 これは、サブスクリプションでの Azure Resource Manager の操作を分析することによって検出されました。 攻撃者は、承認されていないツールを実行している間やマシンをマルウェアに感染させている間に検出されないように、仮想マシンでのマルウェア対策スキャンからファイルを除外する可能性があります。
MITRE 戦術: 防御回避、実行
重大度: 高
仮想マシンでのマルウェア対策ファイルの除外とコードの実行 (一時的)
(VM_AmTempFileExclusionAndCodeExecution)
説明: カスタム スクリプト拡張機能を使用したコードの実行と並行してマルウェア対策拡張機能からの一時ファイルの除外が、サブスクリプション内の Azure Resource Manager 操作を分析することによって仮想マシンで検出されました。 攻撃者は、任意のコードを実行している間やマシンをマルウェアに感染させている間に検出されないように、仮想マシンでのマルウェア対策スキャンからファイルを除外する可能性があります。
MITRE 戦術: 防御回避、実行
重大度: 高
Antimalware file exclusion in your virtual machine (仮想マシンでのマルウェア対策のファイル除外)
(VM_AmTempFileExclusion)
説明: 仮想マシン上のマルウェア対策スキャナーから除外されたファイル。 これは、サブスクリプションでの Azure Resource Manager の操作を分析することによって検出されました。 攻撃者は、承認されていないツールを実行している間やマシンをマルウェアに感染させている間に検出されないように、仮想マシンでのマルウェア対策スキャンからファイルを除外する可能性があります。
MITRE 戦術: 防御回避
重大度: 中
Antimalware real-time protection was disabled in your virtual machine (仮想マシンでマルウェア対策のリアルタイム保護が無効になりました)
(VM_AmRealtimeProtectionDisabled)
説明: サブスクリプション内の Azure Resource Manager 操作を分析することで、仮想マシンでマルウェア対策拡張機能のリアルタイム保護無効化が検出されました。 攻撃者は、任意のコードを実行している間やマシンをマルウェアに感染させている間に検出されないように、仮想マシンでマルウェア対策スキャンによるリアルタイム保護を無効にする可能性があります。
MITRE 戦術: 防御回避
重大度: 中
Antimalware real-time protection was disabled temporarily in your virtual machine (仮想マシンでマルウェア対策のリアルタイム保護が一時的に無効になりました)
(VM_AmTempRealtimeProtectionDisablement)
説明: サブスクリプションの Azure Resource Manager 操作を分析することで、仮想マシンでマルウェア対策拡張機能のリアルタイム保護の一時的な無効化が検出されました。 攻撃者は、任意のコードを実行している間やマシンをマルウェアに感染させている間に検出されないように、仮想マシンでマルウェア対策スキャンによるリアルタイム保護を無効にする可能性があります。
MITRE 戦術: 防御回避
重大度: 中
Antimalware real-time protection was disabled temporarily while code was executed in your virtual machine (仮想マシンでコードが実行されている間、マルウェア対策のリアルタイム保護が一時的に無効になりました)
(VM_AmRealtimeProtectionDisablementAndCodeExec)
説明: カスタム スクリプト拡張機能を使用したコード実行と並行して、マルウェア対策拡張機能のリアルタイム保護の一時的な無効化が、サブスクリプションの Azure Resource Manager 操作を分析することによって仮想マシンで検出されました。 攻撃者は、任意のコードを実行している間やマシンをマルウェアに感染させている間に検出されないように、仮想マシンでマルウェア対策スキャンによるリアルタイム保護を無効にする可能性があります。
MITRE の戦術: -
重大度: 高
Antimalware scans blocked for files potentially related to malware campaigns on your virtual machine (仮想マシンで、マルウェア活動に関連している疑いのあるファイルのマルウェア対策スキャンがブロックされました)
(VM_AmMalwareCampaignRelatedExclusion)
説明: マルウェアキャンペーンに関連していると疑われる特定のファイルをマルウェア対策拡張機能がスキャンするのを防ぐために、仮想マシンで除外ルールが検出されました。 このルールは、サブスクリプション内の Azure Resource Manager を分析することによって検出されました。 攻撃者は、任意のコードを実行している間やマシンをマルウェアに感染させている間に検出されないように、マルウェア対策スキャンからファイルを除外する場合があります。
MITRE 戦術: 防御回避
重大度: 中
Antimalware temporarily disabled in your virtual machine (仮想マシンでマルウェア対策が一時的に無効になっています)
(VM_AmTemporarilyDisablement)
説明: 仮想マシンでマルウェア対策が一時的に無効になっています。 これは、サブスクリプションでの Azure Resource Manager の操作を分析することによって検出されました。 攻撃者は、検出されないように仮想マシンのマルウェア対策を無効にする可能性があります。
MITRE の戦術: -
重大度: 中
Antimalware unusual file exclusion in your virtual machine (仮想マシンでのマルウェア対策の通常とは異なるファイル除外)
(VM_UnusualAmFileExclusion)
説明: サブスクリプションの Azure Resource Manager 操作を分析することで、仮想マシンでマルウェア対策拡張機能からの異常なファイル除外が検出されました。 攻撃者は、任意のコードを実行している間やマシンをマルウェアに感染させている間に検出されないように、仮想マシンでのマルウェア対策スキャンからファイルを除外する可能性があります。
MITRE 戦術: 防御回避
重大度: 中
Behavior similar to ransomware detected [seen multiple times] (ランサムウェアに似た動作が検出されました [複数回表示])
説明: %{Compromised Host} 上のホスト データの分析により、ユーザーがシステムまたは個人のファイルにアクセスできないようにする既知のランサムウェアと類似したファイルの実行が検出され、アクセスを回復するために身代金の支払いが要求されました。 この動作は、次のマシンで今日 [x] 回見られました: [マシン名]
MITRE の戦術: -
重大度: 高
Communication with suspicious domain identified by threat intelligence (脅威インテリジェンスによって識別された疑わしいドメインとの通信)
(AzureDNS_ThreatIntelSuspectDomain)
説明: 疑わしいドメインとの通信は、リソースからの DNS トランザクションを分析し、脅威インテリジェンス フィードによって識別された既知の悪意のあるドメインと比較することで検出されました。 悪意のあるドメインへの通信が攻撃者によって頻繁に実行されており、リソースが侵害されている可能性があります。
MITRE の戦術: 初期アクセス、永続化、実行、コマンドと制御、悪用
重大度: 中
Container with a miner image detected (マイナー イメージを持つコンテナーが検出されました)
(VM_MinerInContainerImage)
説明: コンピューター ログは、デジタル通貨マイニングに関連付けられたイメージを実行する Docker コンテナーの実行を示します。
MITRE の戦術: 実行
重大度: 高
Detected anomalous mix of upper and lower case characters in command line (コマンド ラインで通常とは異なる大文字と小文字の混在が検出されました)
説明: %{Compromised Host} のホスト データの分析で、大文字と小文字が異常に混在するコマンド ラインが検出されました。 この種のパターンは、無害な可能性もありますが、侵害されたホストで攻撃者が管理タスクを実行するときに、大文字と小文字の区別やハッシュベースの規則の照合を行わないようにする場合にもよく見られます。
MITRE の戦術: -
重大度: 中
Detected file download from a known malicious source (既知の悪意のあるソースからファイルのダウンロードが検出されました)
説明: ホスト データの分析により、%{Compromised Host} 上の既知のマルウェア ソースからのファイルのダウンロードが検出されました。
MITRE の戦術: -
重大度: 中
Detected suspicious network activity (不審なネットワーク アクティビティが検出されました)
説明: %{Compromised Host} からのネットワーク トラフィックの分析で、疑わしいネットワーク アクティビティが検出されました。 このようなトラフィックは、無害である可能性もありますが、一般的に攻撃者がツールのダウンロードや、コマンド アンド コントロール、データの窃盗のために悪意のあるサーバーと通信するために使用されます。 関連する一般的な攻撃者のアクティビティには、侵害されたホストにリモート管理ツールをコピーすることや、そこからユーザー データを盗み出すことが含まれます。
MITRE の戦術: -
重大度: 低
Digital currency mining related behavior detected (デジタル通貨マイニング関連の動作が検出されました)
説明: %{Compromised Host} でのホスト データの分析により、通常はデジタル通貨マイニングに関連付けられているプロセスまたはコマンドの実行が検出されました。
MITRE の戦術: -
重大度: 高
Disabling of auditd logging [seen multiple times] (auditd ログ記録の無効化 [複数回表示])
説明: Linux 監査システムは、システムのセキュリティ関連の情報を追跡する方法を提供します。 これにより、ご使用のシステムで発生しているイベントについて、可能な限り多くの情報が記録されます。 auditd ログ記録を無効にすると、システムで使用されるセキュリティ ポリシーの違反の検出を妨げる可能性があります。 この動作は、次のマシンで今日 [x] 回見られました: [マシン名]
MITRE の戦術: -
重大度: 低
Exploitation of Xorg vulnerability [seen multiple times] (Xorg の脆弱性の悪用 [複数回表示])
説明: %{Compromised Host} でのホスト データの分析により、疑わしい引数を持つ Xorg のユーザーが検出されました。 攻撃者は、特権エスカレーションの試行でこの手法を使用する可能性があります。 この動作は、次のマシンで今日 [x] 回見られました: [マシン名]
MITRE の戦術: -
重大度: 中
Failed SSH brute force attack (失敗した SSH ブルート フォース攻撃)
(VM_SshBruteForceFailed)
説明: 失敗したブルート フォース攻撃は、次の攻撃者から検出されました: %{Attackers}。 攻撃者は次のユーザー名を使用してホストにアクセスしようとしました: %{Accounts used on failed sign in to host attempts}。
MITRE の戦術: プローブ
重大度: 中
Fileless attack behavior detected (ファイルレス攻撃動作が検出されました)
(VM_FilelessAttackBehavior.Linux)
説明: 以下に示すプロセスのメモリには、ファイルレス攻撃でよく使用される動作が含まれています。 具体的な動作は次のとおりです: {観察された動作の一覧}
MITRE の戦術: 実行
重大度: 低
Fileless attack technique detected (ファイルレス攻撃手法が検出されました)
(VM_FilelessAttackTechnique.Linux)
説明: 以下に示すプロセスのメモリには、ファイルレス攻撃手法の証拠が含まれています。 ファイルレス攻撃は、攻撃者がセキュリティ ソフトウェアによる検出を回避しながらコードを実行するために使用されます。 具体的な動作は次のとおりです: {観察された動作の一覧}
MITRE の戦術: 実行
重大度: 高
Fileless attack toolkit detected (ファイルレス攻撃ツールキットが検出されました)
(VM_FilelessAttackToolkit.Linux)
説明: 以下に示すプロセスのメモリには、ファイルレス攻撃ツールキット {ToolKitName} が含まれています。 ファイルレス攻撃ツールキットは通常、ファイル システムに存在せず、従来のウイルス対策ソフトウェアによる検出を困難にします。 具体的な動作は次のとおりです: {観察された動作の一覧}
MITRE 戦術: 防御回避、実行
重大度: 高
Hidden file execution detected (隠しファイルの実行が検出されました)
説明: ホスト データの分析は、%{ユーザー名} によって隠しファイルが実行されたことを示します。 このアクティビティは、正当なアクティビティ、または侵害されたホストの兆候のいずれかである可能性があります。
MITRE の戦術: -
重大度: 情報
New SSH key added [seen multiple times] (新しい SSH キーが追加されました [複数回表示])
(VM_SshKeyAddition)
説明: 承認されたキー ファイルに新しい SSH キーが追加されました。 この動作は、次のマシンで今日 [x] 回見られました: [マシン名]
MITRE の戦術: 永続化
重大度: 低
New SSH key added (新しい SSH キーが追加されました)
説明: 承認されたキー ファイルに新しい SSH キーが追加されました。
MITRE の戦術: -
重大度: 低
Possible backdoor detected [seen multiple times] (バックドアの可能性が検出されました [複数回表示])
説明: ホスト データの分析により、疑わしいファイルがダウンロードされ、サブスクリプションの %{Compromised Host} で実行されていることが検出されました。 このアクティビティは、以前はバックドアのインストールに関連付けられていました。 この動作は、次のマシンで今日 [x] 回見られました: [マシン名]
MITRE の戦術: -
重大度: 中
Possible exploitation of the mailserver detected (メール サーバーの悪用の可能性が検出されました)
(VM_MailserverExploitation )
説明: %{Compromised Host} 上のホスト データの分析で、メール サーバー アカウントで異常な実行が検出されました
MITRE の戦術: 悪用
重大度: 中
Possible malicious web shell detected (悪意のある Web シェルの可能性が検出されました)
説明: %{Compromised Host} 上のホスト データの分析で、Web シェルの可能性が検出されました。 攻撃者は、持続性を獲得したり、さらに悪用したりするために、侵害したマシンに Web シェルをアップロードすることがよくあります。
MITRE の戦術: -
重大度: 中
Possible password change using crypt-method detected [seen multiple times] (crypt メソッドを使用してパスワードが変更された可能性があることが検出されました [複数回表示])
説明: %{Compromised Host} のホスト データの分析で、crypt メソッドを使用してパスワードの変更が検出されました。 攻撃者は、アクセスを継続し、侵害後に永続化するために、この変更を行うことがあります。 この動作は、次のマシンで今日 [x] 回見られました: [マシン名]
MITRE の戦術: -
重大度: 中
Process associated with digital currency mining detected [seen multiple times] (デジタル通貨マイニングに関連するプロセスが検出されました [複数回表示])
説明: %{Compromised Host} 上のホスト データの分析で、通常はデジタル通貨マイニングに関連付けられているプロセスの実行が検出されました。 この動作は、次のマシンで今日 100 回以上見られました: [マシン名]
MITRE の戦術: -
重大度: 中
Process associated with digital currency mining detected (デジタル通貨マイニングに関連するプロセスが検出されました)
説明: ホスト データ分析で、通常はデジタル通貨マイニングに関連付けられているプロセスの実行が検出されました。
MITRE の戦術: 悪用、実行
重大度: 中
Python encoded downloader detected [seen multiple times] (Python エンコード ダウンローダーが検出されました [複数回表示])
説明: %{Compromised Host} 上のホスト データの分析により、リモートの場所からコードをダウンロードして実行するエンコードされた Python の実行が検出されました。 これは、悪意のあるアクティビティを示している可能性があります。 この動作は、次のマシンで今日 [x] 回見られました: [マシン名]
MITRE の戦術: -
重大度: 低
Screenshot taken on host [seen multiple times] (ホストでスクリーンショットが作成されました [複数回表示])
説明: %{Compromised Host} 上のホスト データの分析で、画面キャプチャ ツールのユーザーが検出されました。 攻撃者は、これらのツールを使用してプライベート データにアクセスする可能性があります。 この動作は、次のマシンで今日 [x] 回見られました: [マシン名]
MITRE の戦術: -
重大度: 低
Shellcode detected [seen multiple times] (Shellcode が検出されました [複数回表示])
説明: %{Compromised Host} 上のホスト データの分析で、コマンド ラインからシェルコードが生成されていることが検出されました。 このプロセスは、正当なアクティビティである場合もあれば、マシンのいずれかが侵害されたことを示している可能性もあります。 この動作は、次のマシンで今日 [x] 回見られました: [マシン名]
MITRE の戦術: -
重大度: 中
Successful SSH brute force attack (SSH ブルート フォース攻撃の成功)
(VM_SshBruteForceSuccess)
説明: ホスト データの分析により、ブルート フォース攻撃が成功したことが検出されました。 IP %{Attacker source IP} が、複数のログイン試行を行っていたことが確認されました。 成功したログインは、次のユーザーを使用してその IP から行われました: %{Accounts used to successfully sign in to host}。 これは、ホストが悪意のあるアクターによって侵害され、制御される可能性があることを意味します。
MITRE の戦術: 悪用
重大度: 高
Suspicious Account Creation Detected (不審なアカウント作成が検出されました)
説明: %{Compromised Host} でのホスト データの分析で、ローカル アカウント %{Suspicious account name} の作成または使用が検出されました。このアカウント名は、標準の Windows アカウントまたはグループ名 '%{アカウント名に似ています}' によく似ています。 これは、攻撃者によって作成された偽のアカウントである可能性があるため、人間の管理者に気付かれないように名前が付けられています。
MITRE の戦術: -
重大度: 中
Suspicious kernel module detected [seen multiple times] (不審なカーネル モジュールが検出されました [複数回表示])
説明: %{Compromised Host} 上のホスト データの分析で、カーネル モジュールとして読み込まれている共有オブジェクト ファイルが検出されました。 これは、正当なアクティビティであるか、マシンのいずれかが侵害されたことを示している可能性があります。 この動作は、次のマシンで今日 [x] 回見られました: [マシン名]
MITRE の戦術: -
重大度: 中
Suspicious password accesss [seen multiple times] (不審なパスワード アクセス [複数回表示])
説明: ホスト データの分析で、%{Compromised Host} の暗号化されたユーザー パスワードへの疑わしいアクセスが検出されました。 この動作は、次のマシンで今日 [x] 回見られました: [マシン名]
MITRE の戦術: -
重大度: 情報
Suspicious password access (不審なパスワード アクセス)
説明: ホスト データの分析で、%{Compromised Host} の暗号化されたユーザー パスワードへの疑わしいアクセスが検出されました。
MITRE の戦術: -
重大度: 情報
Suspicious request to the Kubernetes Dashboard (Kubernetes ダッシュボードへの不審な要求)
(VM_KubernetesDashboard)
説明: マシン ログは、Kubernetes ダッシュボードに対して疑わしい要求が行われたことを示します。 要求は、Kubernetes ノードから送信されました。ノードで実行されているいずれかのコンテナーからのものである可能性があります。 この動作が意図的である場合もありますが、侵害されたコンテナーをノードが実行していることを示している可能性があります。
MITRE の戦術: LateralMovement
重大度: 中
Unusual config reset in your virtual machine (仮想マシンでの通常とは異なる構成のリセット)
(VM_VMAccessUnusualConfigReset)
説明: サブスクリプションの Azure Resource Manager 操作を分析することで、仮想マシンで異常な構成のリセットが検出されました。 このアクションは正当である可能性はありますが、攻撃者は VM アクセス拡張機能を利用して仮想マシンの構成をリセットし、侵害しようとする可能性があります。
MITRE の戦術: 資格情報アクセス
重大度: 中
Unusual user password reset in your virtual machine (仮想マシンでの通常とは異なるユーザー パスワードのリセット)
(VM_VMAccessUnusualPasswordReset)
説明: サブスクリプションの Azure Resource Manager 操作を分析することで、仮想マシンで異常なユーザー パスワードリセットが検出されました。 このアクションは正当である可能性はありますが、攻撃者は VM アクセス拡張機能を利用して、仮想マシン内のローカル ユーザーの資格情報をリセットし、侵害を試みることができます。
MITRE の戦術: 資格情報アクセス
重大度: 中
Unusual user SSH key reset in your virtual machine (仮想マシンでの通常とは異なるユーザー SSH キーのリセット)
(VM_VMAccessUnusualSSHReset)
説明: サブスクリプションの Azure Resource Manager 操作を分析することで、仮想マシンで通常とは異なるユーザー SSH キーのリセットが検出されました。 このアクションは正当なものである可能性があります。攻撃者は VM アクセス拡張機能を利用して、仮想マシン内のユーザー アカウントの SSH キーをリセットし、侵害を試みることができます。
MITRE の戦術: 資格情報アクセス
重大度: 中
仮想マシンへの GPU 拡張機能の疑わしいインストール (プレビュー)
(VM_GPUDriverExtensionUnusualExecution)
説明: サブスクリプション内の Azure Resource Manager 操作を分析することで、仮想マシンで GPU 拡張機能の疑わしいインストールが検出されました。 攻撃者はクリプトジャッキングを実行するために、GPU ドライバー拡張機能を使用して、Azure Resource Manager 経由で仮想マシンに GPU ドライバーをインストールする可能性があります。
MITRE 戦術: 影響
重大度: 低
Note
プレビュー段階のアラートの場合: Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはその他のまだ一般提供されていない Azure 機能に適用される追加の法律条項が含まれています。