Azure VM 확장에 대한 경고
이 문서에서는 클라우드용 Microsoft Defender Azure VM 확장에 대해 얻을 수 있는 보안 경고와 사용하도록 설정한 모든 Microsoft Defender 계획을 나열합니다. 사용자 환경에 표시되는 경고는 보호하는 리소스 및 서비스와 사용자 지정된 구성에 따라 다릅니다.
참고 항목
Microsoft Defender 위협 인텔리전스 및 엔드포인트용 Microsoft Defender 의해 구동되는 최근에 추가된 경고 중 일부는 문서화되지 않았을 수 있습니다.
참고 항목
다른 원본의 경고가 표시되려면 시간이 다를 수 있습니다. 예를 들어 네트워크 트래픽을 분석해야 하는 경고는 가상 머신에서 실행되는 의심스러운 프로세스와 관련된 경고보다 더 오래 걸릴 수 있습니다.
Azure VM 확장 경고
이러한 경고는 Azure 가상 머신 확장의 의심스러운 활동을 검색하는 데 초점을 맞추고 가상 머신에서 악의적인 활동을 손상시키고 수행하려는 공격자의 시도에 대한 인사이트를 제공합니다.
Azure 가상 머신 확장은 가상 머신에서 배포 후 실행되고 구성, 자동화, 모니터링, 보안 등의 기능을 제공하는 소규모 애플리케이션입니다. 확장은 강력한 도구이지만 위협 행위자가 다음과 같은 다양한 악의적인 의도에 사용할 수 있습니다.
데이터 수집 및 모니터링
높은 권한으로 코드 실행 및 구성 배포
자격 증명 재설정 및 관리자 만들기
디스크 암호화
Azure VM 확장의 남용에 대한 최신 보호 클라우드용 Defender 대해 자세히 알아봅니다.
구독에 GPU 확장을 설치하는 데 의심스러운 오류 발생(미리 보기)
(VM_GPUExtensionSuspiciousFailure)
설명: 지원되지 않는 VM에 GPU 확장을 설치하려는 의심스러운 의도입니다. 이 확장은 그래픽 프로세서가 장착된 가상 머신에 설치해야 하며, 이 경우 가상 머신에는 이러한 기능이 장착되어 있지 않습니다. 이러한 실패는 악의적인 공격자가 암호화 마이닝 목적으로 해당 확장을 여러 번 설치할 때 나타날 수 있습니다.
MITRE 전술: 영향
심각도: 보통
가상 머신에서 의심스러운 GPU 확장 설치가 탐지됨(미리 보기)
(VM_GPUDriverExtensionUnusualExecution)
설명: 구독에서 Azure Resource Manager 작업을 분석하여 가상 머신에서 GPU 확장의 의심스러운 설치가 검색되었습니다. 공격자는 GPU 드라이버 확장을 사용하여 Azure Resource Manager를 통해 가상 머신에 GPU 드라이버를 설치하고 크립토재킹을 수행할 수 있습니다. 이 활동은 보안 주체의 동작이 일반적인 패턴에서 벗어나므로 의심스러운 것으로 간주됩니다.
MITRE 전술: 영향
심각도: 낮음
가상 머신에서 의심스러운 스크립트가 포함된 실행 명령이 탐지됨(미리 보기)
(VM_RunCommandSuspiciousScript)
설명: 구독에서 Azure Resource Manager 작업을 분석하여 가상 머신에서 의심스러운 스크립트가 있는 실행 명령이 검색되었습니다. 공격자는 실행 명령을 사용하여 Azure Resource Manager를 통해 가상 머신에서 높은 권한으로 악성 코드를 실행할 수 있습니다. 해당 스크립트는 특정 부분이 잠재적으로 악성인 것으로 식별되어 의심스러운 것으로 간주됩니다.
MITRE 전술: 실행
심각도: 높음
가상 머신에서 의심스러운 무단 실행 명령 사용이 탐지됨(미리 보기)
(VM_RunCommandSuspiciousFailure)
설명: 실행 명령의 의심스러운 무단 사용이 실패했으며 구독에서 Azure Resource Manager 작업을 분석하여 가상 머신에서 검색되었습니다. 공격자는 실행 명령을 사용하여 Azure Resource Manager를 통해 가상 머신에서 높은 권한으로 악성 코드를 실행하려고 시도할 수 있습니다. 해당 작업은 이전에 흔히 볼 수 없었으므로 의심스러운 것으로 간주됩니다.
MITRE 전술: 실행
심각도: 보통
가상 머신에서 의심스러운 실행 명령 사용이 탐지됨(미리 보기)
(VM_RunCommandSuspiciousUsage)
설명: 구독에서 Azure Resource Manager 작업을 분석하여 가상 머신에서 실행 명령의 의심스러운 사용이 감지되었습니다. 공격자는 실행 명령을 사용하여 Azure Resource Manager를 통해 가상 머신에서 높은 권한으로 악성 코드를 실행할 수 있습니다. 해당 작업은 이전에 흔히 볼 수 없었으므로 의심스러운 것으로 간주됩니다.
MITRE 전술: 실행
심각도: 낮음
가상 머신에서 여러 모니터링 또는 데이터 수집 확장의 의심스러운 사용이 탐지됨(미리 보기)
(VM_SuspiciousMultiExtensionUsage)
설명: 구독에서 Azure Resource Manager 작업을 분석하여 가상 머신에서 여러 모니터링 또는 데이터 수집 확장의 의심스러운 사용이 감지되었습니다. 공격자는 구독에서 데이터 수집, 네트워크 트래픽 모니터링 등에 대해 이러한 확장을 악용할 수 있습니다. 해당 사용은 이전에 흔히 볼 수 없었으므로 의심스러운 것으로 간주됩니다.
MITRE 전술: 정찰
심각도: 보통
가상 머신에서 의심스러운 디스크 암호화 확장 설치가 탐지됨(미리 보기)
(VM_DiskEncryptionSuspiciousUsage)
설명: 구독의 Azure Resource Manager 작업을 분석하여 가상 머신에서 디스크 암호화 확장의 의심스러운 설치가 검색되었습니다. 공격자는 랜섬웨어 활동을 수행하기 위해 디스크 암호화 확장을 악용하여 Azure Resource Manager를 통해 가상 머신에 전체 디스크 암호화를 배포할 수 있습니다. 해당 작업은 이전에 일반적으로 볼 수 없었고 확장 설치 수가 많으므로 의심스러운 것으로 간주됩니다.
MITRE 전술: 영향
심각도: 보통
가상 머신에서 VMAccess 확장의 의심스러운 사용이 감지됨(미리 보기)
(VM_VMAccessSuspiciousUsage)
설명: 가상 머신에서 VMAccess 확장의 의심스러운 사용이 감지되었습니다. 공격자는 액세스 권한을 다시 설정하거나 관리 사용자를 관리하여 높은 권한으로 가상 머신에 액세스하고 손상하기 위해 VMAccess 확장을 악용할 수 있습니다. 이 작업은 보안 주체의 행동이 일반적인 패턴에서 벗어나고 확장 설치 수가 많으므로 의심스러운 것으로 간주됩니다.
MITRE 전술: 지속성
심각도: 보통
가상 머신에서 의심스러운 스크립트가 포함된 DSC(Desired State Configuration) 확장이 탐지됨(미리 보기)
(VM_DSCExtensionSuspiciousScript)
설명: 구독의 Azure Resource Manager 작업을 분석하여 가상 머신에서 의심스러운 스크립트를 사용하는 DSC(필요한 상태 구성) 확장이 검색되었습니다. 공격자는 DSC(Desired State Configuration) 확장을 사용하여 가상 머신에서 높은 권한으로 지속성 메커니즘, 악성 스크립트 등과 같은 악의적인 구성을 배포할 수 있습니다. 해당 스크립트는 특정 부분이 잠재적으로 악성인 것으로 식별되어 의심스러운 것으로 간주됩니다.
MITRE 전술: 실행
심각도: 높음
가상 머신에서 DSC(Desired State Configuration) 확장의 의심스러운 사용이 탐지됨(미리 보기)
(VM_DSCExtensionSuspiciousUsage)
설명: 구독의 Azure Resource Manager 작업을 분석하여 가상 머신에서 DSC(필요한 상태 구성) 확장의 의심스러운 사용이 감지되었습니다. 공격자는 DSC(Desired State Configuration) 확장을 사용하여 가상 머신에서 높은 권한으로 지속성 메커니즘, 악성 스크립트 등과 같은 악의적인 구성을 배포할 수 있습니다. 이 작업은 보안 주체의 행동이 일반적인 패턴에서 벗어나고 확장 설치 수가 많으므로 의심스러운 것으로 간주됩니다.
MITRE 전술: 실행
심각도: 낮음
가상 머신에서 의심스러운 스크립트가 포함된 사용자 지정 스크립트 확장이 탐지됨(미리 보기)
(VM_CustomScriptExtensionSuspiciousCmd)
설명: 구독에서 Azure Resource Manager 작업을 분석하여 가상 머신에서 의심스러운 스크립트가 있는 사용자 지정 스크립트 확장이 검색되었습니다. 공격자는 사용자 지정 스크립트 확장을 사용하여 Azure Resource Manager를 통해 가상 머신에서 높은 권한으로 악성 코드를 실행할 수 있습니다. 해당 스크립트는 특정 부분이 잠재적으로 악성인 것으로 식별되어 의심스러운 것으로 간주됩니다.
MITRE 전술: 실행
심각도: 높음
가상 머신에서 사용자 지정 스크립트 확장의 의심스러운 실행 실패
(VM_CustomScriptExtensionSuspiciousFailure)
설명: 구독의 Azure Resource Manager 작업을 분석하여 가상 머신에서 사용자 지정 스크립트 확장의 의심스러운 오류가 감지되었습니다. 이러한 오류는 이 확장에서 실행하는 악의적인 스크립트와 연결될 수 있습니다.
MITRE 전술: 실행
심각도: 보통
가상 머신에서 사용자 지정 스크립트 확장의 비정상적인 삭제
(VM_CustomScriptExtensionUnusualDeletion)
설명: 구독의 Azure Resource Manager 작업을 분석하여 가상 머신에서 사용자 지정 스크립트 확장의 비정상적인 삭제가 검색되었습니다. 공격자는 사용자 지정 스크립트 확장을 사용하여 Azure Resource Manager를 통해 가상 머신에서 악성 코드를 실행할 수 있습니다.
MITRE 전술: 실행
심각도: 보통
가상 머신에서 사용자 지정 스크립트 확장의 비정상적인 실행
(VM_CustomScriptExtensionUnusualExecution)
설명: 구독의 Azure Resource Manager 작업을 분석하여 가상 머신에서 사용자 지정 스크립트 확장의 비정상적인 실행이 감지되었습니다. 공격자는 사용자 지정 스크립트 확장을 사용하여 Azure Resource Manager를 통해 가상 머신에서 악성 코드를 실행할 수 있습니다.
MITRE 전술: 실행
심각도: 보통
가상 머신에서 의심스러운 진입점이 있는 사용자 지정 스크립트 확장
(VM_CustomScriptExtensionSuspiciousEntryPoint)
설명: 구독의 Azure Resource Manager 작업을 분석하여 가상 머신에서 의심스러운 진입점이 있는 사용자 지정 스크립트 확장이 검색되었습니다. 진입점은 의심스러운 GitHub 리포지토리를 나타냅니다. 공격자는 사용자 지정 스크립트 확장을 사용하여 Azure Resource Manager를 통해 가상 머신에서 악성 코드를 실행할 수 있습니다.
MITRE 전술: 실행
심각도: 보통
가상 머신에서 의심스러운 페이로드가 있는 사용자 지정 스크립트 확장
(VM_CustomScriptExtensionSuspiciousPayload)
설명: 의심스러운 GitHub 리포지토리의 페이로드가 있는 사용자 지정 스크립트 확장은 구독의 Azure Resource Manager 작업을 분석하여 가상 머신에서 검색되었습니다. 공격자는 사용자 지정 스크립트 확장을 사용하여 Azure Resource Manager를 통해 가상 머신에서 악성 코드를 실행할 수 있습니다.
MITRE 전술: 실행
심각도: 보통
참고 항목
미리 보기에 있는 알림의 경우 Azure 미리 보기 추가 약관에는 베타, 미리 보기 또는 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 법률 용어가 포함되어 있습니다.