Waarschuwingen voor Linux-computers
In dit artikel vindt u een overzicht van de beveiligingswaarschuwingen die u mogelijk krijgt voor Linux-machines van Microsoft Defender voor Cloud en eventuele Microsoft Defender-abonnementen die u hebt ingeschakeld. De waarschuwingen die in uw omgeving worden weergegeven, zijn afhankelijk van de resources en services die u beveiligt en uw aangepaste configuratie.
Notitie
Sommige van de onlangs toegevoegde waarschuwingen mogelijk gemaakt door Microsoft Defender-bedreigingsinformatie en Microsoft Defender voor Eindpunt zijn mogelijk niet-gedocumenteerd.
Meer informatie over hoe u kunt reageren op deze waarschuwingen.
Meer informatie over het exporteren van waarschuwingen.
Notitie
Hoe snel een waarschuwing wordt weergegeven, hangt af van de bron van de waarschuwing. Waarschuwingen waarvoor analyse van netwerkverkeer is vereist, worden bijvoorbeeld later weergegeven dan waarschuwingen met betrekking tot verdachte processen op virtuele machines.
Waarschuwingen voor Linux-machines
Microsoft Defender voor Servers Plan 2 biedt unieke detecties en waarschuwingen, naast de detecties en waarschuwingen van Microsoft Defender voor Eindpunt. De waarschuwingen voor Linux-machines zijn:
Extra informatie en opmerkingen
Een geschiedenisbestand is gewist
Beschrijving: Analyse van hostgegevens geeft aan dat het logboekbestand voor de opdrachtgeschiedenis is gewist. Aanvallers kunnen dit doen om hun sporen te dekken. De bewerking is uitgevoerd door de gebruiker %{User name}.
Ernst: gemiddeld
Schending van beleid voor adaptief toepassingsbeheer is gecontroleerd
(VM_AdaptiveApplicationControlLinuxViolationAudited)
Beschrijving: De onderstaande gebruikers hebben toepassingen uitgevoerd die het toepassingsbeheerbeleid van uw organisatie op deze computer schenden. Het kan de machine mogelijk blootstellen aan malware of toepassingsproblemen.
MITRE-tactiek: uitvoering
Ernst: informatie
Uitsluiting van algemene antimalwarebestanden op uw virtuele machine
(VM_AmBroadFilesExclusion)
Beschrijving: Uitsluiting van bestanden van antimalwareextensie met brede uitsluitingsregel is gedetecteerd op uw virtuele machine door de Azure Resource Manager-bewerkingen in uw abonnement te analyseren. Een dergelijke uitsluiting sluit de antimalwarebeveiliging nagenoeg uit. Aanvallers kunnen bestanden van de antimalwarescan op uw virtuele machine uitsluiten om detectie te voorkomen bij het uitvoeren van willekeurige code of het infecteren van de computer met malware.
Ernst: gemiddeld
Antimalware uitgeschakeld en code-uitvoering op uw virtuele machine
(VM_AmDisablementAndCodeExecution)
Beschrijving: Antimalware is uitgeschakeld op hetzelfde moment als het uitvoeren van code op uw virtuele machine. Dit is gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement. Aanvallers schakelen antimalwarescanners uit om detectie te voorkomen bij het uitvoeren van niet-geverifieerde programma's of het infecteren van de computer met malware.
Ernst: Hoog
Antimalware uitgeschakeld op uw virtuele machine
(VM_AmDisablement)
Beschrijving: Antimalware uitgeschakeld op uw virtuele machine. Dit is gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement. Aanvallers kunnen de antimalware op uw virtuele machine uitschakelen om detectie te voorkomen.
MITRE-tactieken: Verdedigingsontduiking
Ernst: gemiddeld
Uitsluiting van antimalwarebestanden en het uitvoeren van code in uw virtuele machine
(VM_AmFileExclusionAndCodeExecution)
Beschrijving: Bestand dat is uitgesloten van uw antimalwarescanner op hetzelfde moment dat code is uitgevoerd via een aangepaste scriptextensie op uw virtuele machine. Dit is gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement. Aanvallers kunnen bestanden van de antimalwarescan op uw virtuele machine uitsluiten om detectie te voorkomen bij het uitvoeren van niet-geverifieerde programma's of het infecteren van de computer met malware.
MITRE tactiek: Defense Evasion, Execution
Ernst: Hoog
Uitsluiting van antimalwarebestanden en het uitvoeren van code in uw virtuele machine (tijdelijk)
(VM_AmTempFileExclusionAndCodeExecution)
Beschrijving: Tijdelijke bestandsuitsluiting van antimalwareextensie parallel aan het uitvoeren van code via aangepaste scriptextensie is gedetecteerd op uw virtuele machine door de Azure Resource Manager-bewerkingen in uw abonnement te analyseren. Aanvallers kunnen bestanden van de antimalwarescan op uw virtuele machine uitsluiten om detectie te voorkomen bij het uitvoeren van willekeurige code of het infecteren van de computer met malware.
MITRE tactiek: Defense Evasion, Execution
Ernst: Hoog
Uitsluiting van antimalwarebestanden in uw virtuele machine
(VM_AmTempFileExclusion)
Beschrijving: Bestand dat is uitgesloten van uw antimalwarescanner op uw virtuele machine. Dit is gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement. Aanvallers kunnen bestanden van de antimalwarescan op uw virtuele machine uitsluiten om detectie te voorkomen bij het uitvoeren van niet-geverifieerde programma's of het infecteren van de computer met malware.
MITRE-tactieken: Verdedigingsontduiking
Ernst: gemiddeld
Antimalware realtime-beveiliging is uitgeschakeld op uw virtuele machine
(VM_AmRealtimeProtectionDisabled)
Beschrijving: Het uitschakelen van realtime-beveiliging van de antimalware-extensie is gedetecteerd op uw virtuele machine door de Azure Resource Manager-bewerkingen in uw abonnement te analyseren. Aanvallers kunnen bescherming in realtime van de antimalwarescan op uw virtuele machine uitschakelen om detectie te voorkomen bij het uitvoeren van willekeurige code of het infecteren van de computer met malware.
MITRE-tactieken: Verdedigingsontduiking
Ernst: gemiddeld
Antimalware realtime-beveiliging is tijdelijk uitgeschakeld op uw virtuele machine
(VM_AmTempRealtimeProtectionDisablement)
Beschrijving: Tijdelijke uitschakeling van de antimalwareextensie in realtime is gedetecteerd op uw virtuele machine door de Azure Resource Manager-bewerkingen in uw abonnement te analyseren. Aanvallers kunnen bescherming in realtime van de antimalwarescan op uw virtuele machine uitschakelen om detectie te voorkomen bij het uitvoeren van willekeurige code of het infecteren van de computer met malware.
MITRE-tactieken: Verdedigingsontduiking
Ernst: gemiddeld
Antimalware realtime-beveiliging is tijdelijk uitgeschakeld tijdens het uitvoeren van code op uw virtuele machine
(VM_AmRealtimeProtectionDisablementAndCodeExec)
Beschrijving: Tijdelijke uitschakeling van de antimalware-extensie in realtime met code-uitvoering via aangepaste scriptextensie is gedetecteerd op uw virtuele machine door de Azure Resource Manager-bewerkingen in uw abonnement te analyseren. Aanvallers kunnen bescherming in realtime van de antimalwarescan op uw virtuele machine uitschakelen om detectie te voorkomen bij het uitvoeren van willekeurige code of het infecteren van de computer met malware.
Ernst: Hoog
Antimalwarescans geblokkeerd voor bestanden die mogelijk te maken hebben met malwarecampagnes op uw virtuele machine (preview)
(VM_AmMalwareCampaignRelatedExclusion)
Beschrijving: Er is een uitsluitingsregel gedetecteerd op uw virtuele machine om te voorkomen dat uw antimalwareextensie bepaalde bestanden scant die vermoedelijk te maken hebben met een malwarecampagne. De regel is gedetecteerd door de Bewerkingen van Azure Resource Manager in uw abonnement te analyseren. Aanvallers kunnen bestanden uitsluiten van antimalwarescans om detectie te voorkomen tijdens het uitvoeren van willekeurige code of het infecteren van de machine met malware.
MITRE-tactieken: Verdedigingsontduiking
Ernst: gemiddeld
Antimalware tijdelijk uitgeschakeld op uw virtuele machine
(VM_AmTemporarilyDisablement)
Beschrijving: Antimalware is tijdelijk uitgeschakeld op uw virtuele machine. Dit is gedetecteerd door analyse van Azure Resource Manager-bewerkingen in uw abonnement. Aanvallers kunnen de antimalware op uw virtuele machine uitschakelen om detectie te voorkomen.
Ernst: gemiddeld
Ongebruikelijke bestandsuitsluiting van antimalware op uw virtuele machine
(VM_UnusualAmFileExclusion)
Beschrijving: Ongebruikelijke bestandsuitsluiting van de antimalwareextensie is gedetecteerd op uw virtuele machine door de Azure Resource Manager-bewerkingen in uw abonnement te analyseren. Aanvallers kunnen bestanden van de antimalwarescan op uw virtuele machine uitsluiten om detectie te voorkomen bij het uitvoeren van willekeurige code of het infecteren van de computer met malware.
MITRE-tactieken: Verdedigingsontduiking
Ernst: gemiddeld
Behavior similar to ransomware detected [seen multiple times] (Gedrag vergelijkbaar met ransomware gedetecteerd [meerdere keren gezien])
Beschrijving: Analyse van hostgegevens op %{Compromised Host} heeft de uitvoering gedetecteerd van bestanden die lijken op bekende ransomware die kunnen verhinderen dat gebruikers toegang krijgen tot hun systeem of persoonlijke bestanden, en vragen losgeld betaling om weer toegang te krijgen. Dit gedrag is [x] keer gezien vandaag op de volgende computers: [computernamen]
Ernst: Hoog
Communicatie met verdacht domein geïdentificeerd door bedreigingsinformatie
(AzureDNS_ThreatIntelSuspectDomain)
Beschrijving: Communicatie met verdacht domein is gedetecteerd door DNS-transacties van uw resource te analyseren en te vergelijken met bekende schadelijke domeinen die worden geïdentificeerd door feeds voor bedreigingsinformatie. Communicatie met schadelijke domeinen wordt vaak uitgevoerd door aanvallers en kan betekenen dat uw resource wordt aangetast.
MITRE-tactieken: initiële toegang, persistentie, uitvoering, opdracht en beheer, exploitatie
Ernst: gemiddeld
Container with a miner image detected (Container met een miner-installatiekopie gedetecteerd)
(VM_MinerInContainerImage)
Beschrijving: Machinelogboeken geven de uitvoering aan van een Docker-container waarop een installatiekopieën worden uitgevoerd die zijn gekoppeld aan een digitale valutaanalyse.
MITRE-tactiek: uitvoering
Ernst: Hoog
Detected anomalous mix of upper and lower case characters in command-line (Ongebruikelijke combinatie van hoofdletters en kleine letters gedetecteerd op opdrachtregel)
Beschrijving: Bij analyse van hostgegevens op %{Compromised Host} is een opdrachtregel gedetecteerd met afwijkende combinatie van hoofdletters en kleine letters. Dit soort patroon is mogelijk onschadelijk, maar is tegelijk kenmerkend voor aanvallers die zich bij het uitvoeren van beheertaken op een aangetaste host proberen te beschermen tegen regels die kijken naar hoofdlettergebruik of het gebruik van hashes.
Ernst: gemiddeld
Detected file download from a known malicious source (Download van bestand gedetecteerd van een bekende bron van schadelijke software)
Beschrijving: Bij analyse van hostgegevens is het downloaden van een bestand van een bekende malwarebron op %{Compromised Host} gedetecteerd.
Ernst: gemiddeld
Detected suspicious network activity (Verdachte netwerkactiviteit gedetecteerd)
Beschrijving: Analyse van netwerkverkeer van %{Compromised Host} heeft verdachte netwerkactiviteit gedetecteerd. Hoewel dit verkeer onschadelijk kan zijn, wordt het ook vaak door aanvallers gebruikt om te communiceren met kwaadwillende servers voor het downloaden van tools, command-and-control en exfiltratie van gegevens. Veelvoorkomende gerelateerde activiteiten van aanvallers zijn het kopiëren van tools voor extern beheer naar een geïnfecteerde host en het exfiltreren van gebruikersgegevens van de host.
Ernst: Laag
Digital currency mining related behavior detected (Gedrag gedetecteerd dat is gerelateerd aan mining van digitale valuta)
Beschrijving: Bij analyse van hostgegevens op %{Compromised Host} is de uitvoering van een proces of opdracht gedetecteerd die normaal gesproken is gekoppeld aan digitale valutaanalyse.
Ernst: Hoog
Disabling of auditd logging [seen multiple times] (Registratie van auditlogboek uitschakelen [meerdere keren gezien])
Beschrijving: Het Linux-controlesysteem biedt een manier om beveiligingsgerelateerde informatie op het systeem bij te houden. Het systeem registreert zoveel mogelijk informatie over de gebeurtenissen die zich op uw systeem voordoen. Het uitschakelen van het auditlogboek kan tot gevolg hebben dat schendingen van het beveiligingsbeleid op het systeem niet worden gedetecteerd. Dit gedrag is [x] keer gezien vandaag op de volgende computers: [computernamen]
Ernst: Laag
Exploitation of Xorg vulnerability [seen multiple times] (Misbruik van Xorg-beveiligingsprobleem [meerdere keren gezien])
Beschrijving: Bij analyse van hostgegevens op %{Compromised Host} is de gebruiker van Xorg gedetecteerd met verdachte argumenten. Aanvallers kunnen deze techniek gebruiken bij pogingen tot escalatie van bevoegdheden. Dit gedrag is [x] keer gezien vandaag op de volgende computers: [computernamen]
Ernst: gemiddeld
Failed SSH brute force attack (Mislukte Brute Force-aanval via SSH)
(VM_SshBruteForceFailed)
Beschrijving: Mislukte beveiligingsaanvallen zijn gedetecteerd door de volgende aanvallers: %{Aanvallers}. Aanvallers hebben geprobeerd om met de volgende gebruikersnamen toegang te krijgen tot de host: %{Accounts used on failed sign in to host attempts}.
MITRE-tactieken: Testen
Ernst: gemiddeld
Fileless attack behavior detected (Gedrag gedetecteerd dat wijst op bestandsloze aanvallen)
(VM_FilelessAttackBehavior.Linux)
Beschrijving: Het geheugen van het hieronder opgegeven proces bevat gedrag dat vaak wordt gebruikt door bestandsloze aanvallen. Enkele voorbeelden van specifiek gedrag: {lijst van waargenomen gedrag}
MITRE-tactiek: uitvoering
Ernst: Laag
Fileless attack technique detected (Bestandsloze aanvallen gedetecteerd)
(VM_FilelessAttackTechnique.Linux)
Beschrijving: Het geheugen van het hieronder opgegeven proces bevat bewijs van een bestandsloze aanvalstechniek. Bestandsloze aanvallen worden gebruikt door aanvallers om code uit te voeren terwijl ze detectie door beveiligingssoftware omzeilen. Enkele voorbeelden van specifiek gedrag: {lijst van waargenomen gedrag}
MITRE-tactiek: uitvoering
Ernst: Hoog
Fileless attack toolkit detected (Toolkit voor bestandsloze aanvallen gedetecteerd)
(VM_FilelessAttackToolkit.Linux)
Beschrijving: Het geheugen van het hieronder opgegeven proces bevat een toolkit voor bestandsloze aanvallen: {ToolKitName}. Toolkits voor bestandsloze aanvallen hebben doorgaans geen aanwezigheid op het bestandssysteem, waardoor detectie door traditionele antivirussoftware moeilijk is. Enkele voorbeelden van specifiek gedrag: {lijst van waargenomen gedrag}
MITRE tactiek: Defense Evasion, Execution
Ernst: Hoog
Hidden file execution detected (Uitvoering van verborgen bestand gedetecteerd)
Beschrijving: Analyse van hostgegevens geeft aan dat een verborgen bestand is uitgevoerd door %{gebruikersnaam}. Dit kan een legitieme activiteit zijn, maar ook een indicatie van een geïnfecteerde host.
Ernst: informatie
New SSH key added [seen multiple times] (Nieuwe SSH-sleutel toegevoegd [meerdere keren gezien])
(VM_SshKeyAddition)
Beschrijving: Er is een nieuwe SSH-sleutel toegevoegd aan het bestand met geautoriseerde sleutels. Dit gedrag is [x] keer gezien vandaag op de volgende computers: [computernamen]
MITRE-tactieken: Persistentie
Ernst: Laag
New SSH key added (Nieuwe SSH-sleutel toegevoegd)
Beschrijving: Er is een nieuwe SSH-sleutel toegevoegd aan het bestand met geautoriseerde sleutels.
Ernst: Laag
Possible backdoor detected [seen multiple times] (Mogelijke achterdeur gedetecteerd [meerdere keren gezien])
Beschrijving: Bij analyse van hostgegevens is vastgesteld dat er een verdacht bestand wordt gedownload en vervolgens wordt uitgevoerd op %{Compromised Host} in uw abonnement. Deze activiteit is eerder gekoppeld aan de installatie van een achterdeur. Dit gedrag is [x] keer gezien vandaag op de volgende computers: [computernamen]
Ernst: gemiddeld
Possible exploitation of the mailserver detected (Mogelijke exploitatie van de mailserver gedetecteerd)
(VM_MailserverExploitation )
Beschrijving: Bij analyse van hostgegevens op %{Compromised Host} is een ongebruikelijke uitvoering gedetecteerd onder het e-mailserveraccount
MITRE-tactieken: Exploitatie
Ernst: gemiddeld
Possible malicious web shell detected (Mogelijk schadelijke webshell gedetecteerd)
Beschrijving: Bij analyse van hostgegevens op %{Compromised Host} is een mogelijke webshell gedetecteerd. Aanvallers uploaden vaak een webshell naar een computer die ze hebben gecompromitteerd om persistentie te krijgen of voor verdere exploitatie.
Ernst: gemiddeld
Possible password change using crypt-method detected [seen multiple times] (Mogelijke wachtwoordwijziging met behulp van crypt-methode gedetecteerd [meerdere keren gezien])
Beschrijving: Bij analyse van hostgegevens op %{Compromised Host} is wachtwoordwijziging gedetecteerd met behulp van de crypt-methode. Aanvallers kunnen deze wijziging aanbrengen om de toegang te behouden en persistent te maken na infectie. Dit gedrag is [x] keer gezien vandaag op de volgende computers: [computernamen]
Ernst: gemiddeld
Process associated with digital currency mining detected [seen multiple times] (Proces dat is gekoppeld aan mining van digitale valuta gedetecteerd [meerdere keren gezien])
Beschrijving: Bij analyse van hostgegevens op %{Compromised Host} is gedetecteerd dat een proces wordt uitgevoerd dat normaal gesproken is gekoppeld aan digitale valutaanalyse. Dit gedrag is meer dan 100 keer gezien vandaag op de volgende computers: [computernamen]
Ernst: gemiddeld
Process associated with digital currency mining detected (Proces dat is gekoppeld aan mining van digitale valuta gedetecteerd)
Beschrijving: Bij analyse van hostgegevens is gedetecteerd dat een proces wordt uitgevoerd dat normaal gesproken is gekoppeld aan digitale valutaanalyse.
MITRE-tactieken: Exploitatie, Uitvoering
Ernst: gemiddeld
Python encoded downloader detected [seen multiple times] (Door Python gecodeerde downloader gedetecteerd [meerdere keren gezien])
Beschrijving: Bij analyse van hostgegevens op %{Compromised Host} is de uitvoering gedetecteerd van gecodeerde Python die code downloadt en uitvoert vanaf een externe locatie. Dit kan een indicatie zijn van schadelijke activiteiten. Dit gedrag is [x] keer gezien vandaag op de volgende computers: [computernamen]
Ernst: Laag
Screenshot taken on host [seen multiple times] (Schermopname gemaakt op host meerdere keren gezien)
Beschrijving: Bij analyse van hostgegevens op %{Compromised Host} is de gebruiker van een hulpprogramma voor schermopname gedetecteerd. Aanvallers kunnen deze hulpprogramma's gebruiken om toegang te krijgen tot persoonlijke gegevens. Dit gedrag is [x] keer gezien vandaag op de volgende computers: [computernamen]
Ernst: Laag
Shellcode detected [seen multiple times] (Shellcode gedetecteerd [meerdere keren gezien])
Beschrijving: Bij analyse van hostgegevens op %{Compromised Host} is gedetecteerd dat shellcode wordt gegenereerd vanaf de opdrachtregel. Dit proces kan een legitieme activiteit zijn, maar ook een indicatie dat een van uw computers is geïnfecteerd. Dit gedrag is [x] keer gezien vandaag op de volgende computers: [computernamen]
Ernst: gemiddeld
Successful SSH brute force attack (Geslaagde Brute Force-aanval via SSH)
(VM_SshBruteForceSuccess)
Beschrijving: Bij analyse van hostgegevens is een geslaagde beveiligingsaanval gedetecteerd. Er is vastgesteld dat er met het IP-adres %{Attacker source IP} meerdere aanmeldingspogingen zijn gedaan. Er zijn geslaagde aanmeldingen vanaf dat IP-adres gedaan met de volgende gebruiker(s): %{Accounts used to successfully sign in to host}. Dit betekent dat de host mogelijk wordt aangetast en beheerd door een kwaadwillende actor.
MITRE-tactieken: Exploitatie
Ernst: Hoog
Suspicious Account Creation Detected (Nieuw verdacht account gedetecteerd)
Beschrijving: Bij analyse van hostgegevens op %{Compromised Host} is het maken of gebruiken van een lokaal account %{Suspicious account name} gedetecteerd: deze accountnaam lijkt sterk op een standaard Windows-account of groepsnaam %{Vergelijkbaar met accountnaam}. Dit is mogelijk een frauduleus account dat door een aanvaller is gemaakt en dat die naam heeft gekregen om te voorkomen dat het door een beheerder wordt opgemerkt.
Ernst: gemiddeld
Suspicious kernel module detected [seen multiple times] (Verdachte kernelmodule gedetecteerd [meerdere keren gezien])
Beschrijving: Bij analyse van hostgegevens op %{Compromised Host} is vastgesteld dat een gedeeld objectbestand wordt geladen als een kernelmodule. Dit kan een legitieme activiteit zijn, maar ook een indicatie dat een van uw computers is geïnfecteerd. Dit gedrag is [x] keer gezien vandaag op de volgende computers: [computernamen]
Ernst: gemiddeld
Suspicious password access [seen multiple times] (Verdachte wachtwoordtoegang [meerdere malen gezien])
Beschrijving: Bij analyse van hostgegevens is verdachte toegang gedetecteerd tot versleutelde gebruikerswachtwoorden op %{Compromised Host}. Dit gedrag is [x] keer gezien vandaag op de volgende computers: [computernamen]
Ernst: informatie
Suspicious password access (Verdachte wachtwoordtoegang)
Beschrijving: Bij analyse van hostgegevens is verdachte toegang gedetecteerd tot versleutelde gebruikerswachtwoorden op %{Compromised Host}.
Ernst: informatie
Suspicious request to the Kubernetes Dashboard (Verdachte aanvraag naar Kubernetes-dashboard)
(VM_KubernetesDashboard)
Beschrijving: Computerlogboeken geven aan dat er een verdachte aanvraag is ingediend bij het Kubernetes-dashboard. De aanvraag is verzonden vanaf een Kubernetes-knooppunt, mogelijk vanuit een van de containers die op het knooppunt worden uitgevoerd. Hoewel dit gedrag opzettelijk kan zijn, kan dit erop wijzen dat op het knooppunt een geïnfecteerde container wordt uitgevoerd.
MITRE-tactieken: LateralMovement
Ernst: gemiddeld
Ongebruikelijke configuratieherstel op uw virtuele machine
(VM_VMAccessUnusualConfigReset)
Beschrijving: Er is een ongebruikelijke configuratieherstel gedetecteerd op uw virtuele machine door de Azure Resource Manager-bewerkingen in uw abonnement te analyseren. Hoewel deze actie legitiem kan zijn, kunnen aanvallers proberen de VM-toegangsextensie te gebruiken om de configuratie in uw virtuele machine opnieuw in te stellen en deze te misbruiken.
MITRE-tactieken: Referentietoegang
Ernst: gemiddeld
Ongebruikelijk opnieuw instellen van gebruikerswachtwoorden op uw virtuele machine
(VM_VMAccessUnusualPasswordReset)
Beschrijving: Er is een ongebruikelijke wachtwoordherstel van gebruikers gedetecteerd op uw virtuele machine door de Bewerkingen van Azure Resource Manager in uw abonnement te analyseren. Hoewel deze actie legitiem kan zijn, kunnen aanvallers proberen de EXTENSIE voor VM-toegang te gebruiken om de referenties van een lokale gebruiker op uw virtuele machine opnieuw in te stellen en deze te misbruiken.
MITRE-tactieken: Referentietoegang
Ernst: gemiddeld
Ongebruikelijke SSH-sleutel van gebruiker opnieuw instellen op uw virtuele machine
(VM_VMAccessUnusualSSHReset)
Beschrijving: Er is een ongebruikelijke SSH-sleutelherstel van gebruikers gedetecteerd op uw virtuele machine door de Azure Resource Manager-bewerkingen in uw abonnement te analyseren. Hoewel deze actie legitiem kan zijn, kunnen aanvallers proberen de VM-toegangsextensie te gebruiken om de SSH-sleutel van een gebruikersaccount op uw virtuele machine opnieuw in te stellen en deze in gevaar te krijgen.
MITRE-tactieken: Referentietoegang
Ernst: gemiddeld
Verdachte installatie van GPU-extensie op uw virtuele machine (preview)
(VM_GPUDriverExtensionUnusualExecution)
Beschrijving: Er is een verdachte installatie van een GPU-extensie gedetecteerd op uw virtuele machine door de Azure Resource Manager-bewerkingen in uw abonnement te analyseren. Aanvallers kunnen de GPU-stuurprogramma-extensie gebruiken om GPU-stuurprogramma's op uw virtuele machine te installeren via Azure Resource Manager om cryptojacking uit te voeren.
MITRE-tactieken: Impact
Ernst: Laag
Notitie
Voor waarschuwingen die in preview zijn: de aanvullende voorwaarden van Azure Preview bevatten aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die beschikbaar zijn in bèta, preview of anderszins nog niet beschikbaar zijn in algemene beschikbaarheid.