Windows マシンのアラート
この記事では、Microsoft Defender for Cloud の Windows マシンと、有効にしたすべての Microsoft Defender プランに対して発生する可能性があるセキュリティ アラートの一覧を示します。 お使いの環境で示されるアラートは、保護対象のリソースとサービスおよびカスタマイズした構成によって異なります。
これらのアラートに対応する方法については、こちらを参照してください。
アラートをエクスポートする方法については、こちらを参照してください。
Windows マシンのアラート
Microsoft Defender for Servers プラン 2 では、Microsoft Defender for Endpoint によって提供されるものに加えて、固有の検出とアラートが提供されます。 Windows マシンに対して提供されるアラートは次のとおりです。
A logon from a malicious IP has been detected (悪意のある IP からのログオンが検出されました)。 [複数回表示]
説明: アカウント [アカウント] とプロセス [プロセス] のリモート認証が正常に行われましたが、ログオン IP アドレス (x.x.x.x) は以前に悪意のある、または非常に珍しいと報告されていました。 攻撃が成功した可能性があります。 .scr 拡張子を持つファイルはスクリーンセーバー ファイルで、通常は Windows システム ディレクトリに常駐しており、そこから実行されます。
MITRE の戦術: -
重大度: 高
適応型アプリケーション制御ポリシー違反が監査されました
VM_AdaptiveApplicationControlWindowsViolationAudited
説明: 次のユーザーは、このコンピューターで組織のアプリケーション制御ポリシーに違反しているアプリケーションを実行しました。 コンピューターがマルウェアやアプリケーションの脆弱性にさらされる可能性があります。
MITRE の戦術: 実行
重大度: 情報
Addition of Guest account to Local Administrators group (Local Administrators グループへの Guest アカウントの追加)
説明: ホスト データの分析により、攻撃者のアクティビティに強く関連する %{Compromised Host} のローカル管理者グループに組み込みのゲスト アカウントが追加されたことが検出されました。
MITRE の戦術: -
重大度: 中
An event log was cleared (イベント ログが消去されました)
説明: マシン ログは、ユーザーによる疑わしいイベント ログのクリア操作を示します。マシンの '%{user name}' : '%{CompromisedEntity}'。 %{log channel} ログが消去されました。
MITRE の戦術: -
重大度: 情報
Antimalware Action Failed (マルウェア対策アクションが失敗しました)
説明: マルウェアやその他の望ましくない可能性のあるソフトウェアに対してアクションを実行するときに、Microsoft マルウェア対策でエラーが発生しました。
MITRE の戦術: -
重大度: 中
Antimalware Action Taken (マルウェア対策アクションが実行されました)
説明: Microsoft Antimalware for Azure は、このマシンをマルウェアやその他の望ましくない可能性のあるソフトウェアから保護するためのアクションを実行しました。
MITRE の戦術: -
重大度: 中
Antimalware broad files exclusion in your virtual machine (仮想マシンでのマルウェア対策の広範なファイル除外)
(VM_AmBroadFilesExclusion)
説明: 広範な除外ルールを持つマルウェア対策拡張機能からのファイルの除外は、サブスクリプション内の Azure Resource Manager 操作を分析することによって、仮想マシンで検出されました。 このような除外により、実質的にマルウェア対策保護が無効になります。 攻撃者は、任意のコードを実行している間やマシンをマルウェアに感染させている間に検出されないように、仮想マシンでのマルウェア対策スキャンからファイルを除外する可能性があります。
MITRE の戦術: -
重大度: 中
Antimalware disabled and code execution in your virtual machine (仮想マシンでのマルウェア対策の無効化とコードの実行)
(VM_AmDisablementAndCodeExecution)
説明: 仮想マシンでのコード実行と同時にマルウェア対策が無効になりました。 これは、サブスクリプションでの Azure Resource Manager の操作を分析することによって検出されました。 攻撃者は、承認されていないツールを実行している間やマシンをマルウェアに感染させている間に検出されないようにマルウェア対策スキャナーを無効にします。
MITRE の戦術: -
重大度: 高
Antimalware disabled in your virtual machine (仮想マシンでのマルウェア対策の無効化)
(VM_AmDisablement)
説明: 仮想マシンでマルウェア対策が無効になっています。 これは、サブスクリプションでの Azure Resource Manager の操作を分析することによって検出されました。 攻撃者は、検出されないように仮想マシンのマルウェア対策を無効にする可能性があります。
MITRE 戦術: 防御回避
重大度: 中
Antimalware file exclusion and code execution in your virtual machine (仮想マシンでのマルウェア対策のファイル除外とコードの実行)
(VM_AmFileExclusionAndCodeExecution)
説明: 仮想マシン上のカスタム スクリプト拡張機能を使用してコードが実行されたのと同時に、マルウェア対策スキャナーから除外されたファイル。 これは、サブスクリプションでの Azure Resource Manager の操作を分析することによって検出されました。 攻撃者は、承認されていないツールを実行している間やマシンをマルウェアに感染させている間に検出されないように、仮想マシンでのマルウェア対策スキャンからファイルを除外する可能性があります。
MITRE 戦術: 防御回避、実行
重大度: 高
仮想マシンでのマルウェア対策ファイルの除外とコードの実行 (一時的)
(VM_AmTempFileExclusionAndCodeExecution)
説明: カスタム スクリプト拡張機能を使用したコードの実行と並行してマルウェア対策拡張機能からの一時ファイルの除外が、サブスクリプション内の Azure Resource Manager 操作を分析することによって仮想マシンで検出されました。 攻撃者は、任意のコードを実行している間やマシンをマルウェアに感染させている間に検出されないように、仮想マシンでのマルウェア対策スキャンからファイルを除外する可能性があります。
MITRE 戦術: 防御回避、実行
重大度: 高
Antimalware file exclusion in your virtual machine (仮想マシンでのマルウェア対策のファイル除外)
(VM_AmTempFileExclusion)
説明: 仮想マシン上のマルウェア対策スキャナーから除外されたファイル。 これは、サブスクリプションでの Azure Resource Manager の操作を分析することによって検出されました。 攻撃者は、承認されていないツールを実行している間やマシンをマルウェアに感染させている間に検出されないように、仮想マシンでのマルウェア対策スキャンからファイルを除外する可能性があります。
MITRE 戦術: 防御回避
重大度: 中
Antimalware real-time protection was disabled in your virtual machine (仮想マシンでマルウェア対策のリアルタイム保護が無効になりました)
(VM_AmRealtimeProtectionDisabled)
説明: サブスクリプション内の Azure Resource Manager 操作を分析することで、仮想マシンでマルウェア対策拡張機能のリアルタイム保護無効化が検出されました。 攻撃者は、任意のコードを実行している間やマシンをマルウェアに感染させている間に検出されないように、仮想マシンでマルウェア対策スキャンによるリアルタイム保護を無効にする可能性があります。
MITRE 戦術: 防御回避
重大度: 中
Antimalware real-time protection was disabled temporarily in your virtual machine (仮想マシンでマルウェア対策のリアルタイム保護が一時的に無効になりました)
(VM_AmTempRealtimeProtectionDisablement)
説明: サブスクリプションの Azure Resource Manager 操作を分析することで、仮想マシンでマルウェア対策拡張機能のリアルタイム保護の一時的な無効化が検出されました。 攻撃者は、任意のコードを実行している間やマシンをマルウェアに感染させている間に検出されないように、仮想マシンでマルウェア対策スキャンによるリアルタイム保護を無効にする可能性があります。
MITRE 戦術: 防御回避
重大度: 中
Antimalware real-time protection was disabled temporarily while code was executed in your virtual machine (仮想マシンでコードが実行されている間、マルウェア対策のリアルタイム保護が一時的に無効になりました)
(VM_AmRealtimeProtectionDisablementAndCodeExec)
説明: カスタム スクリプト拡張機能を使用したコード実行と並行して、マルウェア対策拡張機能のリアルタイム保護の一時的な無効化が、サブスクリプションの Azure Resource Manager 操作を分析することによって仮想マシンで検出されました。 攻撃者は、任意のコードを実行している間やマシンをマルウェアに感染させている間に検出されないように、仮想マシンでマルウェア対策スキャンによるリアルタイム保護を無効にする可能性があります。
MITRE の戦術: -
重大度: 高
Antimalware scans blocked for files potentially related to malware campaigns on your virtual machine (仮想マシンで、マルウェア活動に関連している疑いのあるファイルのマルウェア対策スキャンがブロックされました)
(VM_AmMalwareCampaignRelatedExclusion)
説明: マルウェアキャンペーンに関連していると疑われる特定のファイルをマルウェア対策拡張機能がスキャンするのを防ぐために、仮想マシンで除外ルールが検出されました。 このルールは、サブスクリプション内の Azure Resource Manager を分析することによって検出されました。 攻撃者は、任意のコードを実行している間やマシンをマルウェアに感染させている間に検出されないように、マルウェア対策スキャンからファイルを除外する場合があります。
MITRE 戦術: 防御回避
重大度: 中
Antimalware temporarily disabled in your virtual machine (仮想マシンでマルウェア対策が一時的に無効になっています)
(VM_AmTemporarilyDisablement)
説明: 仮想マシンでマルウェア対策が一時的に無効になっています。 これは、サブスクリプションでの Azure Resource Manager の操作を分析することによって検出されました。 攻撃者は、検出されないように仮想マシンのマルウェア対策を無効にする可能性があります。
MITRE の戦術: -
重大度: 中
Antimalware unusual file exclusion in your virtual machine (仮想マシンでのマルウェア対策の通常とは異なるファイル除外)
(VM_UnusualAmFileExclusion)
説明: サブスクリプションの Azure Resource Manager 操作を分析することで、仮想マシンでマルウェア対策拡張機能からの異常なファイル除外が検出されました。 攻撃者は、任意のコードを実行している間やマシンをマルウェアに感染させている間に検出されないように、仮想マシンでのマルウェア対策スキャンからファイルを除外する可能性があります。
MITRE 戦術: 防御回避
重大度: 中
Communication with suspicious domain identified by threat intelligence (脅威インテリジェンスによって識別された疑わしいドメインとの通信)
(AzureDNS_ThreatIntelSuspectDomain)
説明: 疑わしいドメインとの通信は、リソースからの DNS トランザクションを分析し、脅威インテリジェンス フィードによって識別された既知の悪意のあるドメインと比較することで検出されました。 悪意のあるドメインへの通信が攻撃者によって頻繁に実行されており、リソースが侵害されている可能性があります。
MITRE の戦術: 初期アクセス、永続化、実行、コマンドと制御、悪用
重大度: 中
Detected actions indicative of disabling and deleting IIS log files (IIS ログ ファイルの無効化および削除を示すアクションが検出されました)
説明: IIS ログ ファイルが無効または削除されていることを示すホスト データ検出アクションの分析。
MITRE の戦術: -
重大度: 中
Detected anomalous mix of upper and lower case characters in command-line (コマンドラインで通常とは異なる大文字と小文字の混在が検出されました)
説明: %{Compromised Host} のホスト データの分析で、大文字と小文字が異常に混在するコマンド ラインが検出されました。 この種のパターンは、無害な可能性もありますが、侵害されたホストで攻撃者が管理タスクを実行するときに、大文字と小文字の区別やハッシュベースの規則の照合を行わないようにする場合にもよく見られます。
MITRE の戦術: -
重大度: 中
Detected change to a registry key that can be abused to bypass UAC (UAC のバイパスに悪用される可能性があるレジストリ キーが検出されました)
説明: %{Compromised Host} 上のホスト データの分析で、UAC (ユーザー アカウント制御) をバイパスするために悪用される可能性のあるレジストリ キーが変更されたことが検出されました。 この種類の構成は、無害な場合もありますが、侵害されたホストで特権なし (標準ユーザー) から特権 (管理者など) アクセスに移行しようとする場合の攻撃者の典型的なアクティビティでもあります。
MITRE の戦術: -
重大度: 中
Detected decoding of an executable using built-in certutil.exe tool (組み込みの certutil.exe ツールを使用した実行可能ファイルのデコードが検出されました)
説明: %{Compromised Host} 上のホスト データの分析では、証明書と証明書データの操作に関連するメインストリームの目的ではなく、組み込みの管理者ユーティリティである certutil.exeが実行可能ファイルのデコードに使用されていることが検出されました。 攻撃者は、正規の管理者ツールの機能を悪用して悪意のある操作を実行することがわかっています。たとえば、悪意のある実行ファイルのデコードに certutil.exe などのツールが使用され、デコード後のファイルが実行されることがあります。
MITRE の戦術: -
重大度: 高
Detected enabling of the WDigest UseLogonCredential registry key (WDigest UseLogonCredential レジストリ キーの有効化が検出されました)
説明: ホスト データの分析で、レジストリ キー HKLM\SYSTEM\ CurrentControlSet\Control\SecurityProviders\WDigest\ "UseLogonCredential" の変更が検出されました。 具体的には、このキーが、ログオン資格情報をクリア テキストで LSA メモリに格納できるように更新されています。 有効化されると、攻撃者は、Mimikatz などの資格情報収集ツールを使用して、LSA メモリからクリア テキスト パスワードをダンプできます。
MITRE の戦術: -
重大度: 中
Detected encoded executable in command line data (コマンド ライン データでエンコードされた実行可能ファイルが検出されました)
説明: %{Compromised Host} 上のホスト データの分析で、base-64 でエンコードされた実行可能ファイルが検出されました。 これは以前に、攻撃者が一連のコマンドで実行可能ファイルを即座に構築しようとし、個々のコマンドがアラートをトリガーしないようにすることで、侵入検出システムを回避しようとしたりすることに関連していました。 これは、正当なアクティビティ、または侵害されたホストの兆候である可能性があります。
MITRE の戦術: -
重大度: 高
Detected obfuscated command line (難読化されたコマンド ラインが検出されました)
説明: 攻撃者は、ますます複雑な難読化手法を使用して、基になるデータに対して実行される検出を回避します。 %{Compromised Host} 上のホスト データの分析により、コマンドラインで不審な難読化のインジケーターが検出されました。
MITRE の戦術: -
重大度: 情報
Detected possible execution of keygen executable (keygen 実行可能ファイルが実行された可能性が検出されました)
説明: %{Compromised Host} 上のホスト データの分析により、keygen ツールを示す名前のプロセスの実行が検出されました。このようなツールは通常、ソフトウェア ライセンス メカニズムを打ち負かすために使用されますが、ダウンロードは多くの場合、他の悪意のあるソフトウェアにバンドルされています。 アクティビティ グループ GOLD は、このような keygen を利用して、侵害したホストへのバック ドア アクセスを極秘に獲得することで知られています。
MITRE の戦術: -
重大度: 中
Detected possible execution of malware dropper (マルウェア ドロッパーが実行された可能性が検出されました)
説明: %{Compromised Host} 上のホスト データの分析で、以前にアクティビティ グループ GOLD のマルウェアを対象ホストにインストールする方法のいずれかに関連付けられているファイル名が検出されました。
MITRE の戦術: -
重大度: 高
Detected possible local reconnaissance activity (ローカル偵察アクティビティの可能性が検出されました)
説明: %{Compromised Host} でのホスト データの分析により、以前にアクティビティ グループ GOLD の偵察アクティビティを実行する方法の 1 つに関連付けられた systeminfo コマンドの組み合わせが検出されました。 'systeminfo.exe' は正規の Windows ツールですが、ここで行われたように、2 回連続して実行されることはめったにありません。
MITRE の戦術: -
重大度: 低
Detected potentially suspicious use of Telegram tool (Telegram ツールの不審な可能性がある使用方法が検出されました)
説明: ホスト データの分析では、モバイルシステムとデスクトップシステムの両方に存在する無料のクラウドベースのインスタント メッセージング サービスである Telegram のインストールが示されます。 攻撃者がこのサービスを悪用して、悪意のあるバイナリを他のコンピューター、電話、またはタブレットに転送することがわかっています。
MITRE の戦術: -
重大度: 中
Detected suppression of legal notice displayed to users at logon (ログオン時にユーザーに表示される法的通知の抑制が検出されました)
説明: %{Compromised Host} でのホスト データの分析により、ログオン時に法的通知をユーザーに表示するかどうかを制御するレジストリ キーの変更が検出されました。 Microsoft のセキュリティ分析では、これは攻撃者がホストを侵害した後に行われる一般的なアクティビティであると特定されています。
MITRE の戦術: -
重大度: 低
Detected suspicious combination of HTA and PowerShell (HTA と PowerShell の不審な組み合わせが検出されました)
説明: 署名された Microsoft バイナリであるmshta.exe (Microsoft HTML アプリケーション ホスト) は、攻撃者が悪意のある PowerShell コマンドを起動するために使用されています。 攻撃者は、インライン VBScript が含まれた HTA ファイルをよく使用します。 被害者がその HTA ファイルを参照して実行することを選択すると、そこに含まれている PowerShell コマンドとスクリプトが実行されます。 %{Compromised Host} 上のホスト データの分析により、PowerShell コマンドを起動する mshta.exe が検出されました。
MITRE の戦術: -
重大度: 中
Detected suspicious commandline arguments (不審なコマンドライン引数が検出されました)
説明: %{Compromised Host} 上のホスト データの分析で、アクティビティ グループ HYDROGEN によって使用される逆シェルと組み合わせて使用されている疑わしいコマンドライン引数が検出されました。
MITRE の戦術: -
重大度: 高
Detected suspicious commandline used to start all executables in a directory (ディレクトリ内のすべての実行可能ファイルを起動するために使用される不審なコマンドラインが検出されました)
説明: ホスト データの分析で、%{Compromised Host} で実行されている疑わしいプロセスが検出されました。 コマンド ラインは、ディレクトリに存在する可能性があるすべての実行可能ファイル (*.exe) を開始しようとしたことを示します。 これは、侵害されたホストの兆候である可能性があります。
MITRE の戦術: -
重大度: 中
Detected suspicious credentials in commandline (コマンドラインで不審な資格情報が検出されました)
説明: %{Compromised Host} でのホスト データの分析で、アクティビティ グループのボロンによるファイルの実行に使用されている疑わしいパスワードが検出されました。 このアクティビティ グループは、このパスワードを使用して、犠牲ホストで Pirpi マルウェアを実行することが知られています。
MITRE の戦術: -
重大度: 高
Detected suspicious document credentials (不審なドキュメントの資格情報が検出されました)
説明: %{Compromised Host} 上のホスト データの分析で、マルウェアがファイルの実行に使用する疑わしい、一般的な事前計算済みパスワード ハッシュが検出されました。 アクティビティ グループ HYDROGEN は、このパスワードを使用して、犠牲ホストでマルウェアを実行することが知られています。
MITRE の戦術: -
重大度: 高
Detected suspicious execution of VBScript.Encode command (VBScript.Encode コマンドの不審な実行が検出されました)
説明: %{Compromised Host} 上のホスト データの分析で、VBScript.Encode コマンドの実行が検出されました。 これは、スクリプトを読み取り不可能なテキストにエンコードして、ユーザーがコードを調べることを難しくします。 Microsoft の脅威の研究では、攻撃者は検出システムを回避するため、攻撃の一部としてエンコードされた VBscript ファイルをよく使用することがわかっています。 これは、正当なアクティビティ、または侵害されたホストの兆候である可能性があります。
MITRE の戦術: -
重大度: 中
Detected suspicious execution via rundll32.exe (rundll32.exe による不審な実行が検出されました)
説明: %{Compromised Host} でのホスト データの分析により、一般的でない名前のプロセスの実行に使用rundll32.exeが検出されました。これは、侵害されたホストに第 1 段階のインプラントをインストールするときにアクティビティ グループ GOLD によって以前に使用されていたプロセスの名前付けスキームと一致しています。
MITRE の戦術: -
重大度: 高
Detected suspicious file cleanup commands (不審なファイルのクリーンアップ コマンドが検出されました)
説明: %{Compromised Host} 上のホスト データの分析により、以前にアクティビティ グループ GOLD の 1 つの方法に関連付けられていた systeminfo コマンドの組み合わせが検出され、侵害後の自己クリーンアップ アクティビティが実行されました。 'systeminfo.exe' は正規の Windows ツールですが、このように 2 回連続して実行され、その後に削除コマンドが実行されることはめったにありません。
MITRE の戦術: -
重大度: 高
Detected suspicious file creation (不審なファイルの作成が検出されました)
説明: %{Compromised Host} 上のホスト データの分析により、アクティビティ グループ BARIUM によって被害者ホストに対して実行された侵害後のアクションが以前に示されたプロセスの作成または実行が検出されました。 このアクティビティ グループは、この手法を使用して、フィッシング ドキュメントの添付ファイルを開くと、侵害したホストにさらに多くのマルウェアをダウンロードすることで知られています。
MITRE の戦術: -
重大度: 高
Detected suspicious named pipe communications (不審な名前付きパイプ通信が検出されました)
説明: %{Compromised Host} 上のホスト データの分析で、Windows コンソール コマンドからローカルの名前付きパイプに書き込まれているデータが検出されました。 名前付きパイプは、攻撃者が悪意のあるインプラントを使用し、通信するために使用されるチャンネルであることがわかっています。 これは、正当なアクティビティ、または侵害されたホストの兆候である可能性があります。
MITRE の戦術: -
重大度: 高
Detected suspicious network activity (不審なネットワーク アクティビティが検出されました)
説明: %{Compromised Host} からのネットワーク トラフィックの分析で、疑わしいネットワーク アクティビティが検出されました。 このようなトラフィックは、無害である可能性もありますが、一般的に攻撃者がツールのダウンロードや、コマンド アンド コントロール、データの窃盗のために悪意のあるサーバーと通信するために使用されます。 関連する一般的な攻撃者のアクティビティには、侵害されたホストにリモート管理ツールをコピーすることや、そこからユーザー データを盗み出すことが含まれます。
MITRE の戦術: -
重大度: 低
Detected suspicious new firewall rule (不審な新しいファイアウォール規則が検出されました)
説明: ホスト データの分析により、疑わしい場所にある実行可能ファイルからのトラフィックを許可するために、netsh.exe経由で新しいファイアウォール規則が追加されたことが検出されました。
MITRE の戦術: -
重大度: 中
Detected suspicious use of Cacls to lower the security state of the system (システムのセキュリティ状態を低下させる Cacls の不審な使用が検出されました)
説明: 攻撃者はブルート フォース、スピア フィッシングなどの無数の方法を使用して、初期の侵害を達成し、ネットワーク上の足がかりを得ます。 彼らは最初の侵害を達成すると、多くの場合、システムのセキュリティ設定を低くするための手順を実行します。 Caclsâ€"アクセス制御リストの変更の略は、フォルダーとファイルのセキュリティアクセス許可を変更するためによく使用される Microsoft Windows ネイティブコマンドラインユーティリティです。 システムのセキュリティ設定を低くするために、バイナリが攻撃者によって長時間使用されます。 これは、Everyone に、ftp.exe、net.exe、wscript.exe などの一部のシステム バイナリへのフル アクセスを付与することで行われます。%{Compromised Host} 上のホスト データの分析により、システムのセキュリティを低下させるために、Cacls の不審な使用が検出されました。
MITRE の戦術: -
重大度: 中
Detected suspicious use of FTP -s Switch (FTP -s スイッチの不審な使用が検出されました)
説明: %{Compromised Host} からのプロセス作成データの分析で、FTP "-s:filename" スイッチの使用が検出されました。 このスイッチは、クライアントが実行する FTP スクリプト ファイルを指定するために使用されます。 マルウェアまたは悪意のあるプロセスによって、この FTP スイッチ (-s:filename) を使用して、リモート FTP サーバーに接続してさらに多くの悪意のあるバイナリをダウンロードするように構成されているスクリプト ファイルが指定されることが知られています。
MITRE の戦術: -
重大度: 中
Detected suspicious use of Pcalua.exe to launch executable code (実行可能コードを起動する Pcalua.exe の不審な使用が検出されました)
説明: %{Compromised Host} 上のホスト データの分析で、実行可能コードを起動するためのpcalua.exeの使用が検出されました。 pcalua.exe は、Microsoft Windows の "プログラム互換性アシスタント" のコンポーネントで、プログラムのインストール時または実行時の互換性の問題を検出します。 攻撃者は、正当な Windows システム ツールの機能を悪用して、悪意のあるアクションを実行することが知られています。たとえば、pcalua.exe とともに -a スイッチを使用して、ローカルでまたはリモート共有から悪意のある実行可能ファイルを起動したりします。
MITRE の戦術: -
重大度: 中
Detected the disabling of critical services (重要なサービスの無効化が検出されました)
説明: %{Compromised Host} 上のホスト データの分析で、SharedAccess や Windows セキュリティ アプリなどの重要なサービスを停止するために使用されている "net.exe停止" コマンドの実行が検出されました。 これらのいずれかのサービスの停止は、悪質な動作の兆候である場合があります。
MITRE の戦術: -
重大度: 中
Digital currency mining related behavior detected (デジタル通貨マイニング関連の動作が検出されました)
説明: %{Compromised Host} でのホスト データの分析により、通常はデジタル通貨マイニングに関連付けられているプロセスまたはコマンドの実行が検出されました。
MITRE の戦術: -
重大度: 高
Dynamic PS script construction (動的 PS スクリプトの構築)
説明: %{Compromised Host} でのホスト データの分析により、PowerShell スクリプトが動的に構築されていることが検出されました。 攻撃者は、IDS システムを回避するため、スクリプトを段階的に構築するこの方法を使用する場合があります。 これは、正当なアクティビティであるか、マシンのいずれかが侵害されたことを示している可能性があります。
MITRE の戦術: -
重大度: 中
Executable found running from a suspicious location (不審な場所から実行されている実行可能ファイルが見つかりました)
説明: ホスト データの分析により、既知の疑わしいファイルと共通の場所から実行されている %{Compromised Host} 上の実行可能ファイルが検出されました。 この実行可能ファイルは、正当なアクティビティ、または侵害されたホストの兆候のいずれかである可能性があります。
MITRE の戦術: -
重大度: 高
Fileless attack behavior detected (ファイルレス攻撃動作が検出されました)
(VM_FilelessAttackBehavior.Windows)
説明: 指定されたプロセスのメモリには、ファイルレス攻撃でよく使用される動作が含まれています。 具体的な動作は次のとおりです。
- シェルコード。通常、ソフトウェアの脆弱性の悪用でペイロードとして使用される小さなコードです。
- アクティブなネットワーク接続。 詳細については、下記の NetworkConnections を参照してください。
- セキュリティの機密性の高いオペレーティング システム インターフェイスへの関数呼び出し。 参照される OS 機能については、後述する機能を参照してください。
- 動的に割り当てられたコード セグメントで開始されたスレッドを格納します。 これは、プロセス インジェクション攻撃の一般的なパターンです。
MITRE 戦術: 防御回避
重大度: 低
Fileless attack technique detected (ファイルレス攻撃手法が検出されました)
(VM_FilelessAttackTechnique.Windows)
説明: 以下に示すプロセスのメモリには、ファイルレス攻撃手法の証拠が含まれています。 ファイルレス攻撃は、攻撃者がセキュリティ ソフトウェアによる検出を回避しながらコードを実行するために使用されます。 具体的な動作は次のとおりです。
- シェルコード。通常、ソフトウェアの脆弱性の悪用でペイロードとして使用される小さなコードです。
- コードインジェクション攻撃など、プロセスに挿入された実行可能イメージ。
- アクティブなネットワーク接続。 詳細については、下記の NetworkConnections を参照してください。
- セキュリティの機密性の高いオペレーティング システム インターフェイスへの関数呼び出し。 参照される OS 機能については、後述する機能を参照してください。
- プロセスの中空化は、悪意のあるコードのコンテナーとして機能するために正当なプロセスがシステムに読み込まれるマルウェアによって使用される手法です。
- 動的に割り当てられたコード セグメントで開始されたスレッドを格納します。 これは、プロセス インジェクション攻撃の一般的なパターンです。
MITRE 戦術: 防御回避、実行
重大度: 高
Fileless attack toolkit detected (ファイルレス攻撃ツールキットが検出されました)
(VM_FilelessAttackToolkit.Windows)
説明: 指定されたプロセスのメモリには、ファイルレス攻撃ツールキット [ツールキット名] が含まれています。 ファイルレス攻撃ツールキットには、ディスク上のマルウェアの痕跡を最小化または排除し、ディスクベースのマルウェア スキャン ソリューションによって検出される可能性を大幅に減らす手法が使用されています。 具体的な動作は次のとおりです。
- よく知られているツールキットと暗号化マイニング ソフトウェア。
- シェルコード。通常、ソフトウェアの脆弱性の悪用でペイロードとして使用される小さなコードです。
- プロセス メモリに悪意のある実行可能ファイルが挿入されました。
MITRE 戦術: 防御回避、実行
重大度: 中
High risk software detected (危険度の高いソフトウェアが検出されました)
説明: %{Compromised Host} からのホスト データの分析により、過去にマルウェアのインストールに関連付けられたソフトウェアの使用が検出されました。 悪意のあるソフトウェアの配布に使用される一般的な手法として、このアラートに示されているように、無害なツール内にそれをパッケージ化することが挙げられます。 これらのツールを使用すると、バックグラウンドでマルウェアが気付かないうちにインストールされる可能性があります。
MITRE の戦術: -
重大度: 中
Local Administrators group members were enumerated (Local Administrators グループのメンバーが列挙されました)
説明: マシン ログは、グループ %{列挙グループ ドメイン名}%{列挙グループ名} の列挙が成功したことを示します。 具体的には、%{Enumerating User Domain Name}%{Enumerating User Name} が、%{Enumerated Group Domain Name}%{Enumerated Group Name} グループのメンバーをリモートで列挙しました。 このアクティビティは、正当なアクティビティである場合もあれば、組織内のマシンが侵害され、%{vmname} の偵察に使用されたことを示している場合もあります。
MITRE の戦術: -
重大度: 情報
Malicious firewall rule created by ZINC server implant [seen multiple times] (ZINC サーバー インプラントによって作成された悪意のあるファイアウォール規則 [複数回表示])
説明: 既知のアクター (ZINC) に一致する手法を使用してファイアウォール規則が作成されました。 この規則は、コマンド アンド コントロール通信を許可するために、%{Compromised Host} でポートを開くために使用された可能性があります。 この動作は、次のマシンで今日 [x] 回見られました: [マシン名]
MITRE の戦術: -
重大度: 高
Malicious SQL activity (悪意のある SQL アクティビティ)
説明: マシン ログは、'%{process name}' がアカウント %{user name} によって実行されたことを示します。 このアクティビティは悪意のあるものと見なされます。
MITRE の戦術: -
重大度: 高
Multiple Domain Accounts Queried (複数のドメイン アカウントが照会されました)
説明: ホスト データの分析により、%{Compromised Host} から短時間で異なる数の個別のドメイン アカウントが照会されていることが確認されました。 この種のアクティビティは正当である可能性がありますが、侵害を示している場合もあります。
MITRE の戦術: -
重大度: 中
Possible credential dumping detected [seen multiple times] (資格情報のダンプの可能性が検出されました [複数回表示])
説明: ホスト データの分析では、メモリから資格情報を抽出できる方法でネイティブ Windows ツール (sqldumper.exe など) の使用が検出されました。 多くの場合、攻撃者はこれらの手法を使用して資格情報を抽出し、それを横移動や特権エスカレーションに使用します。 この動作は、次のマシンで今日 [x] 回見られました: [マシン名]
MITRE の戦術: -
重大度: 中
Potential attempt to bypass AppLocker detected (AppLocker をバイパスする可能性のある試行が検出されました)
説明: %{Compromised Host} 上のホスト データの分析で、AppLocker 制限をバイパスしようとする可能性が検出されました。 AppLocker は、Windows システムで実行できる実行可能ファイルを制限するポリシーを実装するように構成できます。 このアラートで識別されたものと同様のコマンド ライン パターンは、以前に攻撃者が、信頼できる実行可能ファイル (AppLocker ポリシーによって許可) を使用して信頼されていないコードを実行することで、AppLocker ポリシーを回避する試行に関連付けられていました。 これは、正当なアクティビティ、または侵害されたホストの兆候である可能性があります。
MITRE の戦術: -
重大度: 高
Rare SVCHOST service group executed (まれな SVCHOST サービス グループが実行されました)
(VM_SvcHostRunInRareServiceGroup)
説明: まれなサービス グループが実行されているシステム プロセス SVCHOST が観察されました。 マルウェアは、悪意のあるアクティビティをマスカレードするために SVCHOST を使用することがよくあります。
MITRE 戦術: 防御回避、実行
重大度: 情報
Sticky keys attack detected (固定キー攻撃が検出されました)
説明: ホスト データの分析は、攻撃者がホスト %{Compromised Host} へのバックドア アクセスを提供するために、アクセシビリティ バイナリ (固定キー、スクリーン キーボード、ナレーターなど) を転覆している可能性があることを示します。
MITRE の戦術: -
重大度: 中
Successful brute force attack (ブルート フォース攻撃の成功)
(VM_LoginBruteForceSuccess)
説明: 同じソースから複数のサインイン試行が検出されました。 一部がホストに対して正常に認証されました。 これは、攻撃者が有効なアカウント資格情報を見つけるために多数の認証試行を実行する、バースト攻撃に似ています。
MITRE の戦術: 悪用
重大度: 中/高
Suspect integrity level indicative of RDP hijacking (RDP ハイジャックを示す不審な整合性レベル)
説明: ホスト データの分析によって、SYSTEM 特権で実行されているtscon.exeが検出されました。これは、攻撃者がこのホスト上のログオンしている他のユーザーにコンテキストを切り替えるために、このバイナリを悪用したことを示している可能性があります。これは、より多くのユーザー アカウントを侵害し、ネットワークを横方向に移動する既知の攻撃者の手法です。
MITRE の戦術: -
重大度: 中
Suspect service installation (不審なサービスのインストール)
説明: ホスト データの分析により、サービスとしてのtscon.exeのインストールが検出されました。このバイナリがサービスとして開始されると、攻撃者は RDP 接続をハイジャックすることで、このホスト上のログオンしている他のユーザーに簡単に切り替えることができます。これは、より多くのユーザー アカウントを侵害し、ネットワークを横方向に移動する既知の攻撃者の手法です。
MITRE の戦術: -
重大度: 中
Suspected Kerberos Golden Ticket attack parameters observed (不審な Kerberos ゴールデン チケット攻撃パラメーターが確認されました)
説明: Kerberos ゴールデン チケット攻撃と一致するコマンド ライン パラメーターが検出されたホスト データの分析。
MITRE の戦術: -
重大度: 中
Suspicious Account Creation Detected (不審なアカウント作成が検出されました)
説明: %{Compromised Host} でのホスト データの分析で、ローカル アカウント %{Suspicious account name} の作成または使用が検出されました。このアカウント名は、標準の Windows アカウントまたはグループ名 '%{アカウント名に似ています}' によく似ています。 これは、攻撃者によって作成された偽のアカウントである可能性があるため、人間の管理者に気付かれないように名前が付けられています。
MITRE の戦術: -
重大度: 中
Suspicious Activity Detected (不審なアクティビティが検出されました)
(VM_SuspiciousActivity)
説明: ホスト データの分析により、悪意のあるアクティビティに過去に関連付けられた %{machine name} で実行されている 1 つ以上のプロセスのシーケンスが検出されました。 個々のコマンドは無害に見えるかもしれませんが、これらのコマンドの集計に基づいてアラートがスコア付けされます。 これは、正当なアクティビティ、または侵害されたホストの兆候のいずれかである可能性があります。
MITRE の戦術: 実行
重大度: 中
Suspicious authentication activity (不審な認証エラー アクティビティ)
(VM_LoginBruteForceValidUserFailed)
説明: いずれも成功しなかったものの、一部の使用アカウントはホストによって認識されました。 これは、ホストにアクセスするための有効な資格情報を見つけるために、定義済みのアカウント名とパスワードの辞書を使用して、攻撃者が多数の認証試行を実行する辞書攻撃に似ています。 これは、既知のアカウント名辞書にホスト アカウント名の一部が存在している可能性があることを示しています。
MITRE の戦術: プローブ
重大度: 中
Suspicious code segment detected (不審なコード セグメントが検出されました)
説明: コード セグメントが、反射注入やプロセス中空などの標準以外の方法を使用して割り当てられていることを示します。 このアラートは、処理されたコード セグメントのさらに多くの特性を提供して、報告されるコード セグメントの能力と動作に関するコンテキストを提供します。
MITRE の戦術: -
重大度: 中
Suspicious double extension file executed (拡張子が 2 つある不審なファイルが実行されました)
説明: ホスト データの分析は、疑わしい二重拡張を含むプロセスの実行を示します。 この拡張機能は、ファイルを開いても安全であると考え、システム上にマルウェアが存在することを示す可能性があります。
MITRE の戦術: -
重大度: 高
Suspicious download using Certutil detected [seen multiple times] (Certutil を使用した不審なダウンロード [複数回表示])
説明: %{Compromised Host} 上のホスト データの分析では、証明書と証明書データの操作に関連するメインストリームの目的ではなく、バイナリのダウンロードに組み込みの管理者ユーティリティであるcertutil.exeが使用されたことが検出されました。 攻撃者は、正規の管理者ツールの機能を悪用して悪意のある操作を実行することがわかっています。たとえば、certutil.exe を使用して、後で実行される悪意のある実行ファイルをダウンロードしてデコードしたりします。 この動作は、次のマシンで今日 [x] 回見られました: [マシン名]
MITRE の戦術: -
重大度: 中
Suspicious download using Certutil detected (Certutil を使用した不審なダウンロード)
説明: %{Compromised Host} 上のホスト データの分析では、証明書と証明書データの操作に関連するメインストリームの目的ではなく、バイナリのダウンロードに組み込みの管理者ユーティリティであるcertutil.exeが使用されたことが検出されました。 攻撃者は、正規の管理者ツールの機能を悪用して悪意のある操作を実行することがわかっています。たとえば、certutil.exe を使用して、後で実行される悪意のある実行ファイルをダウンロードしてデコードしたりします。
MITRE の戦術: -
重大度: 中
Suspicious PowerShell Activity Detected (不審な PowerShell アクティビティが検出されました)
説明: ホスト データの分析で、既知の疑わしいスクリプトと共通の機能を持つ %{Compromised Host} で実行されている PowerShell スクリプトが検出されました。 このスクリプトは、正当なアクティビティ、または侵害されたホストの兆候のいずれかである可能性があります。
MITRE の戦術: -
重大度: 高
Suspicious PowerShell cmdlets executed (不審な PowerShell コマンドレットが実行されました)
説明: ホスト データの分析は、既知の悪意のある PowerShell PowerSploit コマンドレットの実行を示します。
MITRE の戦術: -
重大度: 中
Suspicious process executed [seen multiple times] (不審なプロセスが実行されました [複数回表示])
説明: コンピューター ログは、疑わしいプロセス '%{Suspicious Process}' がコンピューター上で実行されていることを示します。これは、多くの場合、攻撃者が資格情報にアクセスしようとしたときに関連付けられています。 この動作は、次のマシンで今日 [x] 回見られました: [マシン名]
MITRE の戦術: -
重大度: 高
Suspicious process executed (不審なプロセスが実行されました)
説明: コンピューター ログは、疑わしいプロセス '%{Suspicious Process}' がコンピューター上で実行されていることを示します。これは、多くの場合、攻撃者が資格情報にアクセスしようとしたときに関連付けられています。
MITRE の戦術: -
重大度: 高
Suspicious process name detected [seen multiple times] (不審なプロセス名が検出されました [複数回表示])
説明: %{Compromised Host} 上のホスト データの分析では、名前が疑わしいプロセスが検出されました。たとえば、既知の攻撃者ツールに対応したり、攻撃者のツールを示唆する方法で名前が付けられたりして、明白に隠そうとします。 このプロセスは、正当なアクティビティである場合もあれば、マシンのいずれかが侵害されたことを示している可能性もあります。 この動作は、次のマシンで今日 [x] 回見られました: [マシン名]
MITRE の戦術: -
重大度: 中
Suspicious process name detected (不審なプロセス名が検出されました)
説明: %{Compromised Host} 上のホスト データの分析では、名前が疑わしいプロセスが検出されました。たとえば、既知の攻撃者ツールに対応したり、攻撃者のツールを示唆する方法で名前が付けられたりして、明白に隠そうとします。 このプロセスは、正当なアクティビティである場合もあれば、マシンのいずれかが侵害されたことを示している可能性もあります。
MITRE の戦術: -
重大度: 中
Suspicious SQL activity (不審な SQL アクティビティ)
説明: マシン ログは、'%{process name}' がアカウント %{user name} によって実行されたことを示します。 このアカウントでは、このアクティビティは一般的ではありません。
MITRE の戦術: -
重大度: 中
Suspicious SVCHOST process executed (不審な SVCHOST プロセスが実行されました)
説明: システム プロセス SVCHOST が異常なコンテキストで実行されていることを確認しました。 マルウェアは、悪意のあるアクティビティをマスカレードするために SVCHOST を使用することがよくあります。
MITRE の戦術: -
重大度: 高
Suspicious system process executed (不審なシステム プロセスが実行されました)
(VM_SystemProcessInAbnormalContext)
説明: システム プロセス %{プロセス名} が異常なコンテキストで実行されています。 マルウェアは、悪意のあるアクティビティをマスカレードするためにこのプロセス名を使用することがよくあります。
MITRE 戦術: 防御回避、実行
重大度: 高
Suspicious Volume Shadow Copy Activity (不審なボリューム シャドウ コピー アクティビティ)
説明: ホスト データの分析で、リソースに対するシャドウ コピー削除アクティビティが検出されました。 ボリューム シャドウ コピー (VSC) は、データ スナップショットを保存する重要なアーティファクトです。 一部のマルウェア (具体的にはランサムウェア) は、バックアップ戦略を妨害するために VSC をターゲットにします。
MITRE の戦術: -
重大度: 高
Suspicious WindowPosition registry value detected (不審な WindowPosition レジストリ値が検出されました)
説明: %{Compromised Host} 上のホスト データの分析で、デスクトップの非表示のセクションでアプリケーション ウィンドウを非表示にすることを示す可能性がある WindowPosition レジストリ構成の変更が試行されたことが検出されました。 これは、正当なアクティビティである可能性も、または侵害されたマシンの兆候である可能性もあります。この種のアクティビティは、以前は Win32/OneSystemCare や Win32/SystemHealer などの既知のアドウェア (または望ましくないソフトウェア) および Win32/Creprote などのマルウェアに関連付けられていました。 WindowPosition 値が 201329664 に設定されている場合 (16 進数:0x0c00 0c00、X 軸 = 0c00 と Y 軸 = 0c00 に対応します)、これにより、コンソール アプリのウィンドウが、ユーザーの画面の非表示セクション (表示されている [スタート] メニューとタスクバーの下に隠れて見えない領域) に配置されます。 既知の疑わしい 16 進値には、c000c000 が含まれますが、これらに限定されません。
MITRE の戦術: -
重大度: 低
Suspiciously named process detected (不審な名前が付けられたプロセスが検出されました)
説明: %{Compromised Host} でのホスト データの分析では、名前が非常に似ていますが、一般的に実行されるプロセス (%{プロセス名に似ています}) とは異なるプロセスが検出されました。 このプロセスは無害の可能性もありますが、攻撃者が悪意のあるツールを隠すために正当なプロセス名に似た名前を付けることがあることが知られています。
MITRE の戦術: -
重大度: 中
Unusual config reset in your virtual machine (仮想マシンでの通常とは異なる構成のリセット)
(VM_VMAccessUnusualConfigReset)
説明: サブスクリプションの Azure Resource Manager 操作を分析することで、仮想マシンで異常な構成のリセットが検出されました。 このアクションは正当である可能性はありますが、攻撃者は VM アクセス拡張機能を利用して仮想マシンの構成をリセットし、侵害しようとする可能性があります。
MITRE の戦術: 資格情報アクセス
重大度: 中
Unusual process execution detected (通常とは異なるプロセスの実行が検出されました)
説明: %{Compromised Host} 上のホスト データの分析で、通常とは異なる %{User Name} によるプロセスの実行が検出されました。 %{User Name} などのアカウントは限られた操作セットを実行する傾向があり、この実行は文字外れであると判断され、疑わしい可能性があります。
MITRE の戦術: -
重大度: 高
Unusual user password reset in your virtual machine (仮想マシンでの通常とは異なるユーザー パスワードのリセット)
(VM_VMAccessUnusualPasswordReset)
説明: サブスクリプションの Azure Resource Manager 操作を分析することで、仮想マシンで異常なユーザー パスワードリセットが検出されました。 このアクションは正当である可能性はありますが、攻撃者は VM アクセス拡張機能を利用して、仮想マシン内のローカル ユーザーの資格情報をリセットし、侵害を試みることができます。
MITRE の戦術: 資格情報アクセス
重大度: 中
Unusual user SSH key reset in your virtual machine (仮想マシンでの通常とは異なるユーザー SSH キーのリセット)
(VM_VMAccessUnusualSSHReset)
説明: サブスクリプションの Azure Resource Manager 操作を分析することで、仮想マシンで通常とは異なるユーザー SSH キーのリセットが検出されました。 このアクションは正当なものである可能性があります。攻撃者は VM アクセス拡張機能を利用して、仮想マシン内のユーザー アカウントの SSH キーをリセットし、侵害を試みることができます。
MITRE の戦術: 資格情報アクセス
重大度: 中
VBScript HTTP object allocation detected (VBScript HTTP オブジェクトの割り当てが検出されました)
説明: コマンド プロンプトを使用した VBScript ファイルの作成が検出されました。 次のスクリプトには、HTTP オブジェクト割り当てコマンドが含まれています。 このアクションは、悪意のあるファイルをダウンロードするために使用される可能性があります。
仮想マシンへの GPU 拡張機能の疑わしいインストール (プレビュー)
(VM_GPUDriverExtensionUnusualExecution)
説明: サブスクリプション内の Azure Resource Manager 操作を分析することで、仮想マシンで GPU 拡張機能の疑わしいインストールが検出されました。 攻撃者はクリプトジャッキングを実行するために、GPU ドライバー拡張機能を使用して、Azure Resource Manager 経由で仮想マシンに GPU ドライバーをインストールする可能性があります。
MITRE 戦術: 影響
重大度: 低
Azure 一時ツールの呼び出しが検出されました
(ARM_AzureHound)
説明: Azure 一時操作はサブスクリプションで実行され、リソースを列挙するための情報収集操作が実行されました。 脅威アクターは、Azure・ ハウンドなどの自動化されたツールを使用してリソースを列挙し、それらを使用して機密データにアクセスしたり、横移動を実行したりします。 これは、サブスクリプションでの Azure Resource Manager の操作を分析することによって検出されました。 この操作は、組織内の ID が侵害され、脅威アクターが環境を侵害しようとしていることを示している可能性があります。
MITRE の戦術: 検出
重大度: 中
Note
プレビュー段階のアラートの場合: Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはその他のまだ一般提供されていない Azure 機能に適用される追加の法律条項が含まれています。