Alerty dotyczące maszyn z systemem Linux
W tym artykule wymieniono alerty zabezpieczeń, które można uzyskać dla maszyn z systemem Linux z Microsoft Defender dla Chmury i wszystkich planów usługi Microsoft Defender, które włączono. Alerty wyświetlane w środowisku zależą od chronionych zasobów i usług oraz dostosowanej konfiguracji.
Uwaga
Niektóre ostatnio dodane alerty obsługiwane przez usługę Microsoft Defender Threat Intelligence i Ochrona punktu końcowego w usłudze Microsoft Defender mogą być nieudokumentowane.
Dowiedz się, jak reagować na te alerty.
Dowiedz się, jak eksportować alerty.
Uwaga
Alerty z różnych źródeł mogą zająć różne czasy. Na przykład alerty wymagające analizy ruchu sieciowego mogą być wyświetlane dłużej niż alerty związane z podejrzanymi procesami uruchomionymi na maszynach wirtualnych.
Alerty dotyczące maszyn z systemem Linux
Usługa Microsoft Defender dla serwerów (plan 2) udostępnia unikatowe wykrycia i alerty oprócz tych udostępnianych przez Ochrona punktu końcowego w usłudze Microsoft Defender. Alerty udostępniane dla maszyn z systemem Linux to:
Plik historii został wyczyszczone
Opis: Analiza danych hosta wskazuje, że plik dziennika historii poleceń został wyczyszczone. Osoby atakujące mogą to zrobić, aby zakryć ślady. Operacja została wykonana przez użytkownika: "%{nazwa użytkownika}".
Taktyka MITRE: -
Ważność: średni rozmiar
Naruszenie zasad adaptacyjnego sterowania aplikacjami zostało poddane inspekcji
(VM_AdaptiveApplicationControlLinuxViolationAudited)
Opis: Poniżej użytkownicy uruchamiali aplikacje naruszające zasady kontroli aplikacji organizacji na tym komputerze. Może on potencjalnie uwidocznić maszynę w poszukiwaniu złośliwego oprogramowania lub luk w zabezpieczeniach aplikacji.
Taktyka MITRE: Wykonywanie
Ważność: informacyjna
Wykluczenie szerokiego oprogramowania chroniącego przed złośliwym kodem na maszynie wirtualnej
(VM_AmBroadFilesExclusion)
Opis: Na maszynie wirtualnej wykryto wykluczenie plików z rozszerzenia ochrony przed złośliwym kodem z szeroką regułą wykluczania, analizując operacje usługi Azure Resource Manager w ramach subskrypcji. Takie wykluczenie praktycznie wyłącza ochronę przed złośliwym kodem. Osoby atakujące mogą wykluczyć pliki ze skanowania przed złośliwym kodem na maszynie wirtualnej, aby zapobiec wykryciu podczas uruchamiania dowolnego kodu lub infekowania maszyny za pomocą złośliwego oprogramowania.
Taktyka MITRE: -
Ważność: średni rozmiar
Oprogramowanie chroniące przed złośliwym kodem jest wyłączone i wykonywanie kodu na maszynie wirtualnej
(VM_AmDisablementAndCodeExecution)
Opis: Oprogramowanie chroniące przed złośliwym kodem jest wyłączone w tym samym czasie co wykonywanie kodu na maszynie wirtualnej. Wykryto to przez analizowanie operacji usługi Azure Resource Manager w ramach subskrypcji. Osoby atakujące wyłączają skanery ochrony przed złośliwym kodem, aby zapobiec wykrywaniu podczas uruchamiania nieautoryzowanych narzędzi lub infekowania maszyny za pomocą złośliwego oprogramowania.
Taktyka MITRE: -
Ważność: Wysoka
Oprogramowanie chroniące przed złośliwym kodem jest wyłączone na maszynie wirtualnej
(VM_AmDisablement)
Opis: Ochrona przed złośliwym kodem jest wyłączona na maszynie wirtualnej. Wykryto to przez analizowanie operacji usługi Azure Resource Manager w ramach subskrypcji. Osoby atakujące mogą wyłączyć oprogramowanie chroniące przed złośliwym kodem na maszynie wirtualnej, aby zapobiec wykrywaniu.
Taktyka MITRE: Uchylanie się od obrony
Ważność: średni rozmiar
Wykluczanie plików i wykonywanie kodu ochrony przed złośliwym kodem na maszynie wirtualnej
(VM_AmFileExclusionAndCodeExecution)
Opis: Plik wykluczony ze skanera ochrony przed złośliwym kodem w tym samym czasie co kod został wykonany za pośrednictwem niestandardowego rozszerzenia skryptu na maszynie wirtualnej. Wykryto to przez analizowanie operacji usługi Azure Resource Manager w ramach subskrypcji. Osoby atakujące mogą wykluczyć pliki ze skanowania oprogramowania chroniącego przed złośliwym kodem na maszynie wirtualnej, aby zapobiec wykrywaniu podczas uruchamiania nieautoryzowanych narzędzi lub infekowania maszyny za pomocą złośliwego oprogramowania.
Taktyka MITRE: Uchylanie się od obrony, egzekucja
Ważność: Wysoka
Wykluczanie i wykonywanie kodu ochrony przed złośliwym kodem na maszynie wirtualnej (tymczasowe)
(VM_AmTempFileExclusionAndCodeExecution)
Opis: Tymczasowe wykluczenie pliku z rozszerzenia ochrony przed złośliwym kodem równolegle do wykonywania kodu za pośrednictwem rozszerzenia niestandardowego skryptu zostało wykryte na maszynie wirtualnej przez przeanalizowanie operacji usługi Azure Resource Manager w ramach subskrypcji. Osoby atakujące mogą wykluczyć pliki ze skanowania przed złośliwym kodem na maszynie wirtualnej, aby zapobiec wykryciu podczas uruchamiania dowolnego kodu lub infekowania maszyny za pomocą złośliwego oprogramowania.
Taktyka MITRE: Uchylanie się od obrony, egzekucja
Ważność: Wysoka
Wykluczenie pliku ochrony przed złośliwym kodem na maszynie wirtualnej
(VM_AmTempFileExclusion)
Opis: Plik wykluczony ze skanera ochrony przed złośliwym kodem na maszynie wirtualnej. Wykryto to przez analizowanie operacji usługi Azure Resource Manager w ramach subskrypcji. Osoby atakujące mogą wykluczyć pliki ze skanowania oprogramowania chroniącego przed złośliwym kodem na maszynie wirtualnej, aby zapobiec wykrywaniu podczas uruchamiania nieautoryzowanych narzędzi lub infekowania maszyny za pomocą złośliwego oprogramowania.
Taktyka MITRE: Uchylanie się od obrony
Ważność: średni rozmiar
Ochrona przed złośliwym kodem w czasie rzeczywistym została wyłączona na maszynie wirtualnej
(VM_AmRealtimeProtectionDisabled)
Opis: Wyłączenie ochrony w czasie rzeczywistym rozszerzenia ochrony przed złośliwym kodem zostało wykryte na maszynie wirtualnej przez przeanalizowanie operacji usługi Azure Resource Manager w ramach subskrypcji. Osoby atakujące mogą wyłączyć ochronę w czasie rzeczywistym przed skanowaniem przed złośliwym kodem na maszynie wirtualnej, aby uniknąć wykrywania podczas uruchamiania dowolnego kodu lub infekowania maszyny za pomocą złośliwego oprogramowania.
Taktyka MITRE: Uchylanie się od obrony
Ważność: średni rozmiar
Ochrona przed złośliwym kodem w czasie rzeczywistym została tymczasowo wyłączona na maszynie wirtualnej
(VM_AmTempRealtimeProtectionDisablement)
Opis: Tymczasowe wyłączenie ochrony w czasie rzeczywistym rozszerzenia ochrony przed złośliwym kodem zostało wykryte na maszynie wirtualnej przez przeanalizowanie operacji usługi Azure Resource Manager w ramach subskrypcji. Osoby atakujące mogą wyłączyć ochronę w czasie rzeczywistym przed skanowaniem przed złośliwym kodem na maszynie wirtualnej, aby uniknąć wykrywania podczas uruchamiania dowolnego kodu lub infekowania maszyny za pomocą złośliwego oprogramowania.
Taktyka MITRE: Uchylanie się od obrony
Ważność: średni rozmiar
Ochrona przed złośliwym kodem w czasie rzeczywistym została tymczasowo wyłączona podczas wykonywania kodu na maszynie wirtualnej
(VM_AmRealtimeProtectionDisablementAndCodeExec)
Opis: Tymczasowe wyłączenie rozszerzenia ochrony przed złośliwym kodem w czasie rzeczywistym równolegle do wykonywania kodu za pomocą niestandardowego rozszerzenia skryptu zostało wykryte na maszynie wirtualnej przez przeanalizowanie operacji usługi Azure Resource Manager w ramach subskrypcji. Osoby atakujące mogą wyłączyć ochronę w czasie rzeczywistym przed skanowaniem przed złośliwym kodem na maszynie wirtualnej, aby uniknąć wykrywania podczas uruchamiania dowolnego kodu lub infekowania maszyny za pomocą złośliwego oprogramowania.
Taktyka MITRE: -
Ważność: Wysoka
Skanowanie chroniące przed złośliwym kodem zablokowane dla plików potencjalnie związanych z kampaniami złośliwego oprogramowania na maszynie wirtualnej (wersja zapoznawcza)
(VM_AmMalwareCampaignRelatedExclusion)
Opis: Na maszynie wirtualnej wykryto regułę wykluczania, aby zapobiec skanowaniu niektórych plików, które są podejrzane o związek z kampanią złośliwego oprogramowania. Reguła została wykryta przez przeanalizowanie operacji usługi Azure Resource Manager w ramach subskrypcji. Osoby atakujące mogą wykluczyć pliki ze skanowania oprogramowania chroniącego przed złośliwym kodem, aby zapobiec wykrywaniu podczas uruchamiania dowolnego kodu lub infekowania maszyny za pomocą złośliwego oprogramowania.
Taktyka MITRE: Uchylanie się od obrony
Ważność: średni rozmiar
Oprogramowanie chroniące przed złośliwym kodem tymczasowo wyłączone na maszynie wirtualnej
(VM_AmTemporarilyDisablement)
Opis: Oprogramowanie chroniące przed złośliwym kodem tymczasowo wyłączone na maszynie wirtualnej. Wykryto to przez analizowanie operacji usługi Azure Resource Manager w ramach subskrypcji. Osoby atakujące mogą wyłączyć oprogramowanie chroniące przed złośliwym kodem na maszynie wirtualnej, aby zapobiec wykrywaniu.
Taktyka MITRE: -
Ważność: średni rozmiar
Nietypowe wykluczenie pliku ochrony przed złośliwym kodem na maszynie wirtualnej
(VM_UnusualAmFileExclusion)
Opis: Wykryto nietypowe wykluczenie pliku z rozszerzenia ochrony przed złośliwym kodem na maszynie wirtualnej, analizując operacje usługi Azure Resource Manager w ramach subskrypcji. Osoby atakujące mogą wykluczyć pliki ze skanowania przed złośliwym kodem na maszynie wirtualnej, aby zapobiec wykryciu podczas uruchamiania dowolnego kodu lub infekowania maszyny za pomocą złośliwego oprogramowania.
Taktyka MITRE: Uchylanie się od obrony
Ważność: średni rozmiar
Zachowanie podobne do wykrytego przez oprogramowanie wymuszające okup [postrzegane wielokrotnie]
Opis: Analiza danych hosta na serwerze %{Host z naruszonymi zabezpieczeniami} wykryła wykonywanie plików, które mają podobieństwo do znanego oprogramowania wymuszającego okup, które może uniemożliwić użytkownikom uzyskiwanie dostępu do swoich plików systemowych lub osobistych oraz żąda płatności okupu w celu odzyskania dostępu. To zachowanie było widoczne [x] razy dzisiaj na następujących maszynach: [Nazwy maszyn]
Taktyka MITRE: -
Ważność: Wysoka
Komunikacja z podejrzaną domeną zidentyfikowaną przez analizę zagrożeń
(AzureDNS_ThreatIntelSuspectDomain)
Opis: Wykryto komunikację z podejrzaną domeną przez analizowanie transakcji DNS z zasobu i porównywanie ze znanymi złośliwymi domenami zidentyfikowanymi przez źródła danych analizy zagrożeń. Komunikacja ze złośliwymi domenami jest często wykonywana przez osoby atakujące i może oznaczać, że zasób został naruszony.
Taktyka MITRE: wstępny dostęp, trwałość, wykonywanie, sterowanie i kontrola, wykorzystywanie
Ważność: średni rozmiar
Kontener z wykrytym obrazem górnika
(VM_MinerInContainerImage)
Opis: Dzienniki maszyn wskazują wykonywanie kontenera platformy Docker, który uruchamia obraz skojarzony z funkcją wyszukiwania waluty cyfrowej.
Taktyka MITRE: Wykonywanie
Ważność: Wysoka
Wykryto nietypową kombinację znaków wyższej i małej litery w wierszu polecenia
Opis: Analiza danych hosta na serwerze %{Host z naruszeniem zabezpieczeń} wykryła wiersz polecenia z nietypową kombinacją wyższej i małej litery. Ten rodzaj wzorca, choć prawdopodobnie łagodny, jest również typowy dla osób atakujących próbujących ukryć się przed dopasowaniem reguł opartych na wielkości liter lub skrótu podczas wykonywania zadań administracyjnych na naruszonym hoście.
Taktyka MITRE: -
Ważność: średni rozmiar
Wykryto pobieranie pliku ze znanego złośliwego źródła
Opis: Analiza danych hosta wykryła pobieranie pliku ze znanego źródła złośliwego oprogramowania na hoście %{Naruszone bezpieczeństwo}.
Taktyka MITRE: -
Ważność: średni rozmiar
Wykryto podejrzane działanie sieci
Opis: Analiza ruchu sieciowego z hosta %{Naruszone zabezpieczenia} wykryła podejrzane działanie sieci. Taki ruch, choć prawdopodobnie łagodny, jest zwykle używany przez osobę atakującą do komunikowania się ze złośliwymi serwerami do pobierania narzędzi, kontroli i kontroli i eksfiltracji danych. Typowe powiązane działania osoby atakujące obejmują kopiowanie narzędzi administracji zdalnej do hosta z naruszonym dostępem i eksfiltrowanie z niego danych użytkownika.
Taktyka MITRE: -
Ważność: Niska
Wykryto zachowanie związane z wyszukiwania walutami cyfrowymi
Opis: Analiza danych hosta na serwerze %{Host z naruszeniem zabezpieczeń} wykryła wykonanie procesu lub polecenia zwykle skojarzonego z wyszukiwaniem walut cyfrowych.
Taktyka MITRE: -
Ważność: Wysoka
Wyłączanie rejestrowania poddanego inspekcji [widziane wiele razy]
Opis: System inspekcji systemu Linux umożliwia śledzenie informacji dotyczących zabezpieczeń w systemie. Rejestruje jak najwięcej informacji o zdarzeniach występujących w systemie. Wyłączenie rejestrowania poddanego inspekcji może utrudnić wykrywanie naruszeń zasad zabezpieczeń używanych w systemie. To zachowanie było widoczne [x] razy dzisiaj na następujących maszynach: [Nazwy maszyn]
Taktyka MITRE: -
Ważność: Niska
Wykorzystanie luki w zabezpieczeniach Xorg [widocznej wiele razy]
Opis: Analiza danych hosta na serwerze %{Host z naruszonymi naruszeniami} wykryła użytkownika Xorg z podejrzanymi argumentami. Osoby atakujące mogą używać tej techniki w próbach eskalacji uprawnień. To zachowanie było widoczne [x] razy dzisiaj na następujących maszynach: [Nazwy maszyn]
Taktyka MITRE: -
Ważność: średni rozmiar
Niepowodzenie ataku siłowego protokołu SSH
(VM_SshBruteForceFailed)
Opis: Wykryto nieudane ataki siłowe z następujących osób atakujących: %{Osoby atakujące}. Osoby atakujące próbowały uzyskać dostęp do hosta przy użyciu następujących nazw użytkowników: %{Konta używane podczas nieudanego logowania do hostowania prób}.
Taktyka MITRE: Sondowanie
Ważność: średni rozmiar
Wykryto zachowanie ataków bez plików
(VM_FilelessAttackBehavior.Linux)
Opis: pamięć procesu określonego poniżej zawiera zachowania często używane przez ataki bez plików. Konkretne zachowania obejmują: {lista obserwowanych zachowań}
Taktyka MITRE: Wykonywanie
Ważność: Niska
Wykryto technikę ataku bez plików
(VM_FilelessAttackTechnique.Linux)
Opis: Pamięć procesu określonego poniżej zawiera dowody na technikę ataku bez plików. Ataki bez plików są używane przez osoby atakujące do wykonywania kodu podczas unikania wykrywania przez oprogramowanie zabezpieczające. Konkretne zachowania obejmują: {lista obserwowanych zachowań}
Taktyka MITRE: Wykonywanie
Ważność: Wysoka
Wykryto zestaw narzędzi do ataków bez plików
(VM_FilelessAttackToolkit.Linux)
Opis: Pamięć procesu określonego poniżej zawiera zestaw narzędzi do ataków bez plików: {ToolKitName}. Zestawy narzędzi do ataków bez plików zwykle nie mają obecności w systemie plików, co utrudnia wykrywanie tradycyjnego oprogramowania antywirusowego. Konkretne zachowania obejmują: {lista obserwowanych zachowań}
Taktyka MITRE: Uchylanie się od obrony, egzekucja
Ważność: Wysoka
Wykryto wykonywanie ukrytego pliku
Opis: Analiza danych hosta wskazuje, że ukryty plik został wykonany przez użytkownika %{nazwa użytkownika}. To działanie może być legalnym działaniem lub wskazaniem naruszonego hosta.
Taktyka MITRE: -
Ważność: informacyjna
Dodano nowy klucz SSH [widziany wiele razy]
(VM_SshKeyAddition)
Opis: Nowy klucz SSH został dodany do pliku autoryzowanych kluczy. To zachowanie było widoczne [x] razy dzisiaj na następujących maszynach: [Nazwy maszyn]
Taktyka MITRE: Trwałość
Ważność: Niska
Dodano nowy klucz SSH
Opis: Nowy klucz SSH został dodany do pliku autoryzowanych kluczy.
Taktyka MITRE: -
Ważność: Niska
Wykryto możliwe backdoor [widziane wiele razy]
Opis: Analiza danych hosta wykryła, że pobierany jest podejrzany plik, a następnie uruchamiany na serwerze %{Host z naruszeniem zabezpieczeń} w ramach subskrypcji. To działanie zostało wcześniej skojarzone z instalacją backdoor. To zachowanie było widoczne [x] razy dzisiaj na następujących maszynach: [Nazwy maszyn]
Taktyka MITRE: -
Ważność: średni rozmiar
Wykryto możliwe wykorzystanie serwera poczty
(VM_MailserverExploitation )
Opis: Analiza danych hosta na serwerze %{Naruszone bezpieczeństwo hosta} wykryła nietypowe wykonanie na koncie serwera poczty
Taktyka MITRE: Wyzysk
Ważność: średni rozmiar
Wykryto możliwą złośliwą powłokę sieci Web
Opis: Analiza danych hosta na serwerze %{Host z naruszonym naruszeniem} wykryła możliwą powłokę sieci Web. Osoby atakujące często przekazują powłokę internetową na maszynę, której bezpieczeństwo zostało naruszone w celu uzyskania trwałości lub dalszego wykorzystania.
Taktyka MITRE: -
Ważność: średni rozmiar
Możliwa zmiana hasła przy użyciu metody crypt wykryta [widziana wielokrotnie]
Opis: Analiza danych hosta na serwerze %{Host z naruszonym naruszeniem} wykryła zmianę hasła przy użyciu metody crypt. Osoby atakujące mogą wprowadzić tę zmianę, aby kontynuować dostęp i uzyskać trwałość po naruszeniu zabezpieczeń. To zachowanie było widoczne [x] razy dzisiaj na następujących maszynach: [Nazwy maszyn]
Taktyka MITRE: -
Ważność: średni rozmiar
Wykryto proces związany z wyszukiwaniem walut cyfrowych [widziany wielokrotnie]
Opis: Analiza danych hosta na serwerze %{Host naruszony} wykryła wykonanie procesu, który jest zwykle skojarzony z wyszukiwaniem walut cyfrowych. To zachowanie było widoczne ponad 100 razy dzisiaj na następujących maszynach: [Nazwa maszyny]
Taktyka MITRE: -
Ważność: średni rozmiar
Wykryto proces związany z wyszukiwaniem walut cyfrowych
Opis: Analiza danych hosta wykryła wykonanie procesu, który jest zwykle skojarzony z wyszukiwaniem walut cyfrowych.
Taktyka MITRE: wykorzystywanie, wykonywanie
Ważność: średni rozmiar
Wykryto program pobierania zakodowany w języku Python [widziany wielokrotnie]
Opis: Analiza danych hosta na serwerze %{Host zagrożony} wykryła wykonanie zakodowanego języka Python, który pobiera i uruchamia kod z lokalizacji zdalnej. Może to wskazywać na złośliwe działanie. To zachowanie było widoczne [x] razy dzisiaj na następujących maszynach: [Nazwy maszyn]
Taktyka MITRE: -
Ważność: Niska
Zrzut ekranu wykonany na hoście [widoczny wiele razy]
Opis: Analiza danych hosta na serwerze %{Host z naruszeniem zabezpieczeń} wykryła użytkownika narzędzia przechwytywania ekranu. Osoby atakujące mogą używać tych narzędzi do uzyskiwania dostępu do danych prywatnych. To zachowanie było widoczne [x] razy dzisiaj na następujących maszynach: [Nazwy maszyn]
Taktyka MITRE: -
Ważność: Niska
Wykryto kod powłoki [widziany wiele razy]
Opis: Analiza danych hosta w elemencie %{Host naruszony} wykryła generowanie kodu powłoki z wiersza polecenia. Ten proces może być uzasadnionym działaniem lub wskazaniem, że jeden z Twoich maszyn został naruszony. To zachowanie było widoczne [x] razy dzisiaj na następujących maszynach: [Nazwy maszyn]
Taktyka MITRE: -
Ważność: średni rozmiar
Udany atak siłowy SSH
(VM_SshBruteForceSuccess)
Opis: Analiza danych hosta wykryła udany atak siłowy. Adres IP %{Źródłowy adres IP osoby atakującej} był widoczny podczas podejmowania wielu prób logowania. Pomyślnie zalogowano się z tego adresu IP z następującymi użytkownikami: %{Konta użyte do pomyślnego zalogowania się na hoście}. Oznacza to, że host może zostać naruszony i kontrolowany przez złośliwego aktora.
Taktyka MITRE: Wyzysk
Ważność: Wysoka
Wykryto podejrzane tworzenie konta
Opis: Analiza danych hosta na serwerze %{Host z naruszonymi naruszeniami} wykryła utworzenie lub użycie konta lokalnego %{Nazwa podejrzanego konta}: ta nazwa konta jest ściśle podobna do standardowej nazwy konta systemu Windows lub grupy %{Podobne do nazwy konta}. Jest to potencjalnie nieautoryzowane konto utworzone przez osobę atakującą, tak nazwane w celu uniknięcia zauważenia przez administratora ludzkiego.
Taktyka MITRE: -
Ważność: średni rozmiar
Wykryto podejrzany moduł jądra [widziany wiele razy]
Opis: Analiza danych hosta na serwerze %{Host z naruszonym naruszeniem} wykryła, że plik obiektu udostępnionego jest ładowany jako moduł jądra. Może to być uzasadnione działanie lub wskazanie, że jeden z Twoich maszyn został naruszony. To zachowanie było widoczne [x] razy dzisiaj na następujących maszynach: [Nazwy maszyn]
Taktyka MITRE: -
Ważność: średni rozmiar
Podejrzany dostęp do hasła [widoczny wiele razy]
Opis: Analiza danych hosta wykryła podejrzany dostęp do zaszyfrowanych haseł użytkowników na serwerze %{Host naruszony}. To zachowanie było widoczne [x] razy dzisiaj na następujących maszynach: [Nazwy maszyn]
Taktyka MITRE: -
Ważność: informacyjna
Podejrzany dostęp do hasła
Opis: Analiza danych hosta wykryła podejrzany dostęp do zaszyfrowanych haseł użytkowników na serwerze %{Host naruszony}.
Taktyka MITRE: -
Ważność: informacyjna
Podejrzane żądanie do pulpitu nawigacyjnego platformy Kubernetes
(VM_KubernetesDashboard)
Opis: Dzienniki maszyn wskazują, że na pulpicie nawigacyjnym Kubernetes zostało wykonane podejrzane żądanie. Żądanie zostało wysłane z węzła Kubernetes, prawdopodobnie z jednego z kontenerów uruchomionych w węźle. Mimo że takie zachowanie może być zamierzone, może to oznaczać, że węzeł uruchamia kontener, którego bezpieczeństwo zostało naruszone.
Taktyka MITRE: LateralMovement
Ważność: średni rozmiar
Nietypowe resetowanie konfiguracji na maszynie wirtualnej
(VM_VMAccessUnusualConfigReset)
Opis: Wykryto nietypowe resetowanie konfiguracji na maszynie wirtualnej, analizując operacje usługi Azure Resource Manager w ramach subskrypcji. Mimo że ta akcja może być uzasadniona, osoby atakujące mogą spróbować zresetować konfigurację na maszynie wirtualnej i naruszyć jej bezpieczeństwo.
Taktyka MITRE: dostęp do poświadczeń
Ważność: średni rozmiar
Nietypowe resetowanie hasła użytkownika na maszynie wirtualnej
(VM_VMAccessUnusualPasswordReset)
Opis: Wykryto nietypowe resetowanie hasła użytkownika na maszynie wirtualnej przez przeanalizowanie operacji usługi Azure Resource Manager w ramach subskrypcji. Mimo że ta akcja może być uzasadniona, osoby atakujące mogą spróbować użyć rozszerzenia dostępu do maszyny wirtualnej, aby zresetować poświadczenia użytkownika lokalnego na maszynie wirtualnej i naruszyć jego bezpieczeństwo.
Taktyka MITRE: dostęp do poświadczeń
Ważność: średni rozmiar
Nietypowe resetowanie klucza SSH użytkownika na maszynie wirtualnej
(VM_VMAccessUnusualSSHReset)
Opis: Wykryto nietypowe resetowanie klucza SSH użytkownika na maszynie wirtualnej przez przeanalizowanie operacji usługi Azure Resource Manager w ramach subskrypcji. Mimo że ta akcja może być uzasadniona, osoby atakujące mogą spróbować zresetować klucz SSH konta użytkownika na maszynie wirtualnej i naruszyć jego bezpieczeństwo.
Taktyka MITRE: dostęp do poświadczeń
Ważność: średni rozmiar
Podejrzana instalacja rozszerzenia procesora GPU na maszynie wirtualnej (wersja zapoznawcza)
(VM_GPUDriverExtensionUnusualExecution)
Opis: Wykryto podejrzaną instalację rozszerzenia procesora GPU na maszynie wirtualnej, analizując operacje usługi Azure Resource Manager w ramach subskrypcji. Osoby atakujące mogą użyć rozszerzenia sterownika procesora GPU do zainstalowania sterowników procesora GPU na maszynie wirtualnej za pośrednictwem usługi Azure Resource Manager w celu przeprowadzenia przejęcia kryptograficznego.
Taktyka MITRE: wpływ
Ważność: Niska
Uwaga
W przypadku alertów w wersji zapoznawczej: Dodatkowe postanowienia dotyczące wersji zapoznawczej platformy Azure obejmują dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.