Udostępnij za pośrednictwem


Alerty dotyczące usługi Resource Manager

W tym artykule wymieniono alerty zabezpieczeń, które można uzyskać dla usługi Resource Manager z Microsoft Defender dla Chmury i wszystkich planów usługi Microsoft Defender, które włączono. Alerty wyświetlane w środowisku zależą od chronionych zasobów i usług oraz dostosowanej konfiguracji.

Uwaga

Niektóre ostatnio dodane alerty obsługiwane przez usługę Microsoft Defender Threat Intelligence i Ochrona punktu końcowego w usłudze Microsoft Defender mogą być nieudokumentowane.

Dowiedz się, jak reagować na te alerty.

Dowiedz się, jak eksportować alerty.

Uwaga

Alerty z różnych źródeł mogą zająć różne czasy. Na przykład alerty wymagające analizy ruchu sieciowego mogą być wyświetlane dłużej niż alerty związane z podejrzanymi procesami uruchomionymi na maszynach wirtualnych.

Alerty usługi Resource Manager

Uwaga

Alerty ze wskazaniem dostępu delegowanego są wyzwalane z powodu aktywności dostawców usług innych firm. dowiedz się więcej na temat wskazówek dotyczących aktywności dostawców usług.

Dalsze szczegóły i uwagi

Operacja usługi Azure Resource Manager z podejrzanego adresu IP

(ARM_OperationFromSuspiciousIP)

Opis: Usługa Microsoft Defender dla usługi Resource Manager wykryła operację z adresu IP, który został oznaczony jako podejrzany w źródłach analizy zagrożeń.

Taktyka MITRE: Wykonywanie

Ważność: średni rozmiar

Operacja usługi Azure Resource Manager z podejrzanego adresu IP serwera proxy

(ARM_OperationFromSuspiciousProxyIP)

Opis: Usługa Microsoft Defender dla usługi Resource Manager wykryła operację zarządzania zasobami z adresu IP skojarzonego z usługami proxy, takimi jak TOR. Chociaż to zachowanie może być uzasadnione, często występuje w złośliwych działaniach, gdy aktorzy zagrożeń próbują ukryć źródłowy adres IP.

Taktyka MITRE: Uchylanie się od obrony

Ważność: średni rozmiar

Zestaw narzędzi do wykorzystywania mikroburst używany do wyliczania zasobów w subskrypcjach

(ARM_MicroBurst.AzDomainInfo)

Opis: Skrypt programu PowerShell został uruchomiony w ramach subskrypcji i wykonał podejrzany wzorzec wykonywania operacji zbierania informacji w celu odnajdywania zasobów, uprawnień i struktur sieciowych. Aktorzy zagrożeń używają zautomatyzowanych skryptów, takich jak MicroBurst, do zbierania informacji o złośliwych działaniach. Wykryto to przez analizowanie operacji usługi Azure Resource Manager w ramach subskrypcji. Ta operacja może wskazywać, że tożsamość w organizacji została naruszona i że aktor zagrożeń próbuje naruszyć bezpieczeństwo środowiska pod kątem złośliwych intencji.

Taktyka MITRE: -

Ważność: Niska

Zestaw narzędzi do wykorzystywania mikroburst używany do wyliczania zasobów w subskrypcjach

(ARM_MicroBurst.AzureDomainInfo)

Opis: Skrypt programu PowerShell został uruchomiony w ramach subskrypcji i wykonał podejrzany wzorzec wykonywania operacji zbierania informacji w celu odnajdywania zasobów, uprawnień i struktur sieciowych. Aktorzy zagrożeń używają zautomatyzowanych skryptów, takich jak MicroBurst, do zbierania informacji o złośliwych działaniach. Wykryto to przez analizowanie operacji usługi Azure Resource Manager w ramach subskrypcji. Ta operacja może wskazywać, że tożsamość w organizacji została naruszona i że aktor zagrożeń próbuje naruszyć bezpieczeństwo środowiska pod kątem złośliwych intencji.

Taktyka MITRE: -

Ważność: Niska

Zestaw narzędzi do wykorzystywania mikroburst używany do wykonywania kodu na maszynie wirtualnej

(ARM_MicroBurst.AzVMBulkCMD)

Opis: Skrypt programu PowerShell został uruchomiony w ramach subskrypcji i wykonał podejrzany wzorzec wykonywania kodu na maszynie wirtualnej lub na liście maszyn wirtualnych. Aktorzy zagrożeń używają zautomatyzowanych skryptów, takich jak MicroBurst, do uruchamiania skryptu na maszynie wirtualnej pod kątem złośliwych działań. Wykryto to przez analizowanie operacji usługi Azure Resource Manager w ramach subskrypcji. Ta operacja może wskazywać, że tożsamość w organizacji została naruszona i że aktor zagrożeń próbuje naruszyć bezpieczeństwo środowiska pod kątem złośliwych intencji.

Taktyka MITRE: Wykonywanie

Ważność: Wysoka

Zestaw narzędzi do wykorzystywania mikroburst używany do wykonywania kodu na maszynie wirtualnej

(RM_MicroBurst.AzureRmVMBulkCMD)

Opis: Zestaw narzędzi do wykorzystywania mikroburstu został użyty do wykonywania kodu na maszynach wirtualnych. Wykryto to przez analizowanie operacji usługi Azure Resource Manager w ramach subskrypcji.

Taktyka MITRE: -

Ważność: Wysoka

Zestaw narzędzi do wykorzystywania mikroburst używany do wyodrębniania kluczy z magazynów kluczy platformy Azure

(ARM_MicroBurst.AzKeyVaultKeysREST)

Opis: Skrypt programu PowerShell został uruchomiony w ramach subskrypcji i wykonał podejrzany wzorzec wyodrębniania kluczy z usługi Azure Key Vault. Aktorzy zagrożeń używają zautomatyzowanych skryptów, takich jak MicroBurst, do wyświetlania listy kluczy i używania ich do uzyskiwania dostępu do poufnych danych lub wykonywania przenoszenia bocznego. Wykryto to przez analizowanie operacji usługi Azure Resource Manager w ramach subskrypcji. Ta operacja może wskazywać, że tożsamość w organizacji została naruszona i że aktor zagrożeń próbuje naruszyć bezpieczeństwo środowiska pod kątem złośliwych intencji.

Taktyka MITRE: -

Ważność: Wysoka

Zestaw narzędzi do wykorzystywania mikroburst używany do wyodrębniania kluczy do kont magazynu

(ARM_MicroBurst.AZStorageKeysREST)

Opis: Skrypt programu PowerShell został uruchomiony w ramach subskrypcji i wykonał podejrzany wzorzec wyodrębniania kluczy do kont magazynu. Aktorzy zagrożeń używają zautomatyzowanych skryptów, takich jak MicroBurst, do wyświetlania listy kluczy i używania ich do uzyskiwania dostępu do poufnych danych na kontach magazynu. Wykryto to przez analizowanie operacji usługi Azure Resource Manager w ramach subskrypcji. Ta operacja może wskazywać, że tożsamość w organizacji została naruszona i że aktor zagrożeń próbuje naruszyć bezpieczeństwo środowiska pod kątem złośliwych intencji.

Taktyka MITRE: Kolekcja

Ważność: Niska

Zestaw narzędzi do wykorzystywania mikroburst używany do wyodrębniania wpisów tajnych z magazynów kluczy platformy Azure

(ARM_MicroBurst.AzKeyVaultSecretsREST)

Opis: Skrypt programu PowerShell został uruchomiony w ramach subskrypcji i wykonał podejrzany wzorzec wyodrębniania wpisów tajnych z usługi Azure Key Vault. Aktorzy zagrożeń używają zautomatyzowanych skryptów, takich jak MicroBurst, do wyświetlania listy wpisów tajnych i używania ich do uzyskiwania dostępu do poufnych danych lub wykonywania przenoszenia bocznego. Wykryto to przez analizowanie operacji usługi Azure Resource Manager w ramach subskrypcji. Ta operacja może wskazywać, że tożsamość w organizacji została naruszona i że aktor zagrożeń próbuje naruszyć bezpieczeństwo środowiska pod kątem złośliwych intencji.

Taktyka MITRE: -

Ważność: Wysoka

Zestaw narzędzi do wykorzystywania usługi PowerZure używany do podniesienia poziomu dostępu z usługi Azure AD do platformy Azure

(ARM_PowerZure.AzureElevatedPrivileges)

Opis: Zestaw narzędzi do wykorzystywania usługi PowerZure został użyty do podniesienia poziomu dostępu z usługi AzureAD do platformy Azure. Wykryto to przez analizowanie operacji usługi Azure Resource Manager w dzierżawie.

Taktyka MITRE: -

Ważność: Wysoka

Zestaw narzędzi do wykorzystywania usługi PowerZure używany do wyliczania zasobów

(ARM_PowerZure.GetAzureTargets)

Opis: Zestaw narzędzi do wykorzystywania usługi PowerZure został użyty do wyliczania zasobów w imieniu wiarygodnego konta użytkownika w organizacji. Wykryto to przez analizowanie operacji usługi Azure Resource Manager w ramach subskrypcji.

Taktyka MITRE: Kolekcja

Ważność: Wysoka

Zestaw narzędzi do wykorzystywania usługi PowerZure służący do wyliczania kontenerów magazynu, udziałów i tabel

(ARM_PowerZure.ShowStorageContent)

Opis: Do wyliczania udziałów magazynu, tabel i kontenerów użyto zestawu narzędzi do wykorzystywania pakietu PowerZure. Wykryto to przez analizowanie operacji usługi Azure Resource Manager w ramach subskrypcji.

Taktyka MITRE: -

Ważność: Wysoka

Zestaw narzędzi do wykorzystywania pakietu PowerZure używany do wykonywania elementu Runbook w ramach subskrypcji

(ARM_PowerZure.StartRunbook)

Opis: Do wykonania elementu Runbook użyto zestawu narzędzi do wykorzystywania pakietu PowerZure. Wykryto to przez analizowanie operacji usługi Azure Resource Manager w ramach subskrypcji.

Taktyka MITRE: -

Ważność: Wysoka

Zestaw narzędzi do wykorzystywania elementu PowerZure używany do wyodrębniania zawartości elementów Runbook

(ARM_PowerZure.AzureRunbookContent)

Opis: Do wyodrębniania zawartości elementu Runbook użyto zestawu narzędzi do wykorzystywania zestawu narzędzi PowerZure. Wykryto to przez analizowanie operacji usługi Azure Resource Manager w ramach subskrypcji.

Taktyka MITRE: Kolekcja

Ważność: Wysoka

WERSJA ZAPOZNAWCZA — wykryto uruchomienie zestawu narzędzi Azurite

(ARM_Azurite)

Opis: w twoim środowisku wykryto znany przebieg zestawu narzędzi do rozpoznawania środowiska w chmurze. Narzędzie Azurite może służyć atakującemu (lub testerowi penetracyjnemu) do mapowania zasobów subskrypcji i identyfikowania niezabezpieczonych konfiguracji.

Taktyka MITRE: Kolekcja

Ważność: Wysoka

WERSJA ZAPOZNAWCZA — wykryto podejrzane tworzenie zasobów obliczeniowych

(ARM_SuspiciousComputeCreation)

Opis: Usługa Microsoft Defender dla usługi Resource Manager zidentyfikowała podejrzane tworzenie zasobów obliczeniowych w ramach subskrypcji korzystającej z zestawu skalowania maszyn wirtualnych/platformy Azure. Zidentyfikowane operacje zostały zaprojektowane tak, aby umożliwić administratorom efektywne zarządzanie swoimi środowiskami przez wdrożenie nowych zasobów w razie potrzeby. Chociaż to działanie może być uzasadnione, aktor zagrożenia może wykorzystać takie operacje do prowadzenia wyszukiwania kryptograficznego. Działanie jest uznawane za podejrzane, ponieważ skala zasobów obliczeniowych jest wyższa niż wcześniej obserwowana w ramach subskrypcji. Może to oznaczać, że podmiot zabezpieczeń jest naruszony i jest używany ze złośliwymi intencjami.

Taktyka MITRE: wpływ

Ważność: średni rozmiar

WERSJA ZAPOZNAWCZA — wykryto podejrzane odzyskiwanie magazynu kluczy

(Arm_Suspicious_Vault_Recovering)

Opis: Usługa Microsoft Defender dla usługi Resource Manager wykryła podejrzaną operację odzyskiwania dla nietrwałego zasobu magazynu kluczy. Użytkownik odzyskujący zasób różni się od użytkownika, który go usunął. Jest to bardzo podejrzane, ponieważ użytkownik rzadko wywołuje taką operację. Ponadto użytkownik zalogował się bez uwierzytelniania wieloskładnikowego (MFA). Może to oznaczać, że bezpieczeństwo użytkownika zostało naruszone i próbuje odnaleźć wpisy tajne i klucze w celu uzyskania dostępu do poufnych zasobów lub przeprowadzić ruch poprzeczny w sieci.

Taktyka MITRE: ruch boczny

Ważność: średni/wysoki

WERSJA ZAPOZNAWCZA — wykryto podejrzaną sesję zarządzania przy użyciu nieaktywnego konta

(ARM_UnusedAccountPersistence)

Opis: Analiza dzienników aktywności subskrypcji wykryła podejrzane zachowanie. Podmiot zabezpieczeń, który nie jest używany przez długi czas, wykonuje teraz akcje, które mogą zabezpieczyć trwałość osoby atakującej.

Taktyka MITRE: Trwałość

Ważność: średni rozmiar

WERSJA ZAPOZNAWCZA — podejrzane wywołanie operacji "Dostęp poświadczeń" wysokiego ryzyka wykrytej przez jednostkę usługi

(ARM_AnomalousServiceOperation.CredentialAccess)

Opis: Usługa Microsoft Defender dla usługi Resource Manager zidentyfikowała podejrzane wywołanie operacji wysokiego ryzyka w ramach subskrypcji, co może wskazywać na próbę uzyskania dostępu do poświadczeń. Zidentyfikowane operacje zostały zaprojektowane tak, aby umożliwić administratorom efektywne zarządzanie swoimi środowiskami. Chociaż to działanie może być uzasadnione, aktor zagrożeń może wykorzystać takie operacje, aby uzyskać dostęp do ograniczonych poświadczeń i naruszyć bezpieczeństwo zasobów w środowisku. Może to oznaczać, że jednostka usługi została naruszona i jest używana ze złośliwymi intencjami.

Taktyka MITRE: dostęp do poświadczeń

Ważność: średni rozmiar

WERSJA ZAPOZNAWCZA — podejrzane wywołanie operacji "Zbieranie danych" wysokiego ryzyka wykrytej przez jednostkę usługi

(ARM_AnomalousServiceOperation.Collection)

Opis: Usługa Microsoft Defender dla usługi Resource Manager zidentyfikowała podejrzane wywołanie operacji wysokiego ryzyka w ramach subskrypcji, co może wskazywać na próbę zebrania danych. Zidentyfikowane operacje zostały zaprojektowane tak, aby umożliwić administratorom efektywne zarządzanie swoimi środowiskami. Chociaż to działanie może być uzasadnione, aktor zagrożeń może wykorzystać takie operacje do zbierania poufnych danych dotyczących zasobów w danym środowisku. Może to oznaczać, że jednostka usługi została naruszona i jest używana ze złośliwymi intencjami.

Taktyka MITRE: Kolekcja

Ważność: średni rozmiar

WERSJA ZAPOZNAWCZA — podejrzane wywołanie operacji "Uchylanie się od obrony" wykrytej przez jednostkę usługi

(ARM_AnomalousServiceOperation.DefenseEvasion)

Opis: Usługa Microsoft Defender dla usługi Resource Manager zidentyfikowała podejrzane wywołanie operacji wysokiego ryzyka w ramach subskrypcji, co może wskazywać na próbę uniknięcia obrony. Zidentyfikowane operacje zostały zaprojektowane tak, aby umożliwić administratorom efektywne zarządzanie stanem zabezpieczeń swoich środowisk. Chociaż to działanie może być uzasadnione, aktor zagrożeń może wykorzystać takie operacje, aby uniknąć wykrycia podczas kompromitowania zasobów w środowisku. Może to oznaczać, że jednostka usługi została naruszona i jest używana ze złośliwymi intencjami.

Taktyka MITRE: Uchylanie się od obrony

Ważność: średni rozmiar

WERSJA ZAPOZNAWCZA — podejrzane wywołanie operacji "Wykonanie" wysokiego ryzyka wykrytej przez jednostkę usługi

(ARM_AnomalousServiceOperation.Execution)

Opis: Usługa Microsoft Defender dla usługi Resource Manager zidentyfikowała podejrzane wywołanie operacji wysokiego ryzyka na maszynie w subskrypcji, co może wskazywać na próbę wykonania kodu. Zidentyfikowane operacje zostały zaprojektowane tak, aby umożliwić administratorom efektywne zarządzanie swoimi środowiskami. Chociaż to działanie może być uzasadnione, aktor zagrożeń może wykorzystać takie operacje, aby uzyskać dostęp do ograniczonych poświadczeń i naruszyć bezpieczeństwo zasobów w środowisku. Może to oznaczać, że jednostka usługi została naruszona i jest używana ze złośliwymi intencjami.

Taktyka MITRE: Wykonywanie obrony

Ważność: średni rozmiar

WERSJA ZAPOZNAWCZA — podejrzane wywołanie operacji "Impact" wysokiego ryzyka wykrytej przez jednostkę usługi

(ARM_AnomalousServiceOperation.Impact)

Opis: Usługa Microsoft Defender dla usługi Resource Manager zidentyfikowała podejrzane wywołanie operacji wysokiego ryzyka w ramach subskrypcji, co może wskazywać na próbę zmiany konfiguracji. Zidentyfikowane operacje zostały zaprojektowane tak, aby umożliwić administratorom efektywne zarządzanie swoimi środowiskami. Chociaż to działanie może być uzasadnione, aktor zagrożeń może wykorzystać takie operacje, aby uzyskać dostęp do ograniczonych poświadczeń i naruszyć bezpieczeństwo zasobów w środowisku. Może to oznaczać, że jednostka usługi została naruszona i jest używana ze złośliwymi intencjami.

Taktyka MITRE: wpływ

Ważność: średni rozmiar

WERSJA ZAPOZNAWCZA — podejrzane wywołanie operacji "Wstępny dostęp" wysokiego ryzyka wykrytej przez jednostkę usługi

(ARM_AnomalousServiceOperation.InitialAccess)

Opis: Usługa Microsoft Defender dla usługi Resource Manager zidentyfikowała podejrzane wywołanie operacji wysokiego ryzyka w ramach subskrypcji, co może wskazywać na próbę uzyskania dostępu do ograniczonych zasobów. Zidentyfikowane operacje zostały zaprojektowane tak, aby umożliwić administratorom efektywne uzyskiwanie dostępu do swoich środowisk. Chociaż to działanie może być uzasadnione, aktor zagrożeń może wykorzystać takie operacje, aby uzyskać początkowy dostęp do ograniczonych zasobów w danym środowisku. Może to oznaczać, że jednostka usługi została naruszona i jest używana ze złośliwymi intencjami.

Taktyka MITRE: Wstępny dostęp

Ważność: średni rozmiar

WERSJA ZAPOZNAWCZA — podejrzane wywołanie operacji "Dostęp do ruchu bocznego" wykrytej przez jednostkę usługi

(ARM_AnomalousServiceOperation.LateralMovement)

Opis: Usługa Microsoft Defender dla usługi Resource Manager zidentyfikowała podejrzane wywołanie operacji wysokiego ryzyka w ramach subskrypcji, co może wskazywać na próbę wykonania przenoszenia bocznego. Zidentyfikowane operacje zostały zaprojektowane tak, aby umożliwić administratorom efektywne zarządzanie swoimi środowiskami. Chociaż to działanie może być uzasadnione, aktor zagrożenia może wykorzystać takie operacje, aby naruszyć bezpieczeństwo większej ilości zasobów w danym środowisku. Może to oznaczać, że jednostka usługi została naruszona i jest używana ze złośliwymi intencjami.

Taktyka MITRE: ruch boczny

Ważność: średni rozmiar

WERSJA ZAPOZNAWCZA — podejrzane wywołanie operacji "trwałości" wysokiego ryzyka wykrytej przez jednostkę usługi

(ARM_AnomalousServiceOperation.Persistence)

Opis: Usługa Microsoft Defender dla usługi Resource Manager zidentyfikowała podejrzane wywołanie operacji wysokiego ryzyka w ramach subskrypcji, co może wskazywać na próbę ustanowienia trwałości. Zidentyfikowane operacje zostały zaprojektowane tak, aby umożliwić administratorom efektywne zarządzanie swoimi środowiskami. Chociaż to działanie może być uzasadnione, aktor zagrożeń może wykorzystać takie operacje do ustanowienia trwałości w środowisku. Może to oznaczać, że jednostka usługi została naruszona i jest używana ze złośliwymi intencjami.

Taktyka MITRE: Trwałość

Ważność: średni rozmiar

WERSJA ZAPOZNAWCZA — podejrzane wywołanie operacji "Eskalacja uprawnień" wysokiego ryzyka wykrytej przez jednostkę usługi

(ARM_AnomalousServiceOperation.PrivilegeEscalation)

Opis: Usługa Microsoft Defender dla usługi Resource Manager zidentyfikowała podejrzane wywołanie operacji wysokiego ryzyka w ramach subskrypcji, co może wskazywać na próbę eskalacji uprawnień. Zidentyfikowane operacje zostały zaprojektowane tak, aby umożliwić administratorom efektywne zarządzanie swoimi środowiskami. Chociaż to działanie może być uzasadnione, aktor zagrożeń może wykorzystać takie operacje do eskalacji uprawnień podczas naruszania zasobów w środowisku. Może to oznaczać, że jednostka usługi została naruszona i jest używana ze złośliwymi intencjami.

Taktyka MITRE: eskalacja uprawnień

Ważność: średni rozmiar

WERSJA ZAPOZNAWCZA — wykryto podejrzaną sesję zarządzania przy użyciu nieaktywnego konta

(ARM_UnusedAccountPersistence)

Opis: Analiza dzienników aktywności subskrypcji wykryła podejrzane zachowanie. Podmiot zabezpieczeń, który nie jest używany przez długi czas, wykonuje teraz akcje, które mogą zabezpieczyć trwałość osoby atakującej.

Taktyka MITRE: Trwałość

Ważność: średni rozmiar

WERSJA ZAPOZNAWCZA — wykryto podejrzaną sesję zarządzania przy użyciu programu PowerShell

(ARM_UnusedAppPowershellPersistence)

Opis: Analiza dzienników aktywności subskrypcji wykryła podejrzane zachowanie. Podmiot zabezpieczeń, który nie regularnie używa programu PowerShell do zarządzania środowiskiem subskrypcji, korzysta teraz z programu PowerShell i wykonuje akcje, które mogą zabezpieczyć trwałość osoby atakującej.

Taktyka MITRE: Trwałość

Ważność: średni rozmiar

WERSJA ZAPOZNAWCZA — wykryto podejrzaną sesję zarządzania przy użyciu witryny Azure Portal

(ARM_UnusedAppIbizaPersistence)

Opis: Analiza dzienników aktywności subskrypcji wykryła podejrzane zachowanie. Podmiot zabezpieczeń, który nie regularnie używa witryny Azure Portal (Ibiza) do zarządzania środowiskiem subskrypcji (nie używał witryny Azure Portal do zarządzania przez ostatnie 45 dni ani subskrypcji, którą aktywnie zarządza), korzysta teraz z witryny Azure Portal i wykonuje akcje, które mogą zabezpieczyć trwałość osoby atakującej.

Taktyka MITRE: Trwałość

Ważność: średni rozmiar

Rola niestandardowa uprzywilejowana utworzona dla subskrypcji w podejrzany sposób (wersja zapoznawcza)

(ARM_PrivilegedRoleDefinitionCreation)

Opis: Usługa Microsoft Defender dla usługi Resource Manager wykryła podejrzane tworzenie definicji roli niestandardowej uprzywilejowanej w ramach subskrypcji. Ta operacja mogła zostać wykonana przez uprawnionego użytkownika w organizacji. Alternatywnie może to wskazywać, że konto w organizacji zostało naruszone i że aktor zagrożeń próbuje utworzyć uprzywilejowaną rolę do użycia w przyszłości w celu uniknięcia wykrycia.

TAKTYKA MITRE: Eskalacja uprawnień, Uchylanie się od obrony

Ważność: informacyjna

Wykryto podejrzane przypisanie roli platformy Azure (wersja zapoznawcza)

(ARM_AnomalousRBACRoleAssignment)

Opis: Usługa Microsoft Defender dla usługi Resource Manager zidentyfikowała podejrzane przypisanie roli platformy Azure / wykonane przy użyciu usługi PIM (Privileged Identity Management) w dzierżawie, co może wskazywać, że bezpieczeństwo konta w organizacji zostało naruszone. Zidentyfikowane operacje zostały zaprojektowane tak, aby umożliwić administratorom udzielanie podmiotom zabezpieczeń dostępu do zasobów platformy Azure. Chociaż to działanie może być uzasadnione, aktor zagrożenia może wykorzystać przypisanie roli do eskalacji swoich uprawnień, co pozwoli im na postęp ataku.

Taktyka MITRE: Ruch poprzeczny, uchylanie się od obrony

Ważność: Niska (PIM) / Wysoka

Wykryto podejrzane wywołanie operacji "Dostęp poświadczeń" wysokiego ryzyka (wersja zapoznawcza)

(ARM_AnomalousOperation.CredentialAccess)

Opis: Usługa Microsoft Defender dla usługi Resource Manager zidentyfikowała podejrzane wywołanie operacji wysokiego ryzyka w ramach subskrypcji, co może wskazywać na próbę uzyskania dostępu do poświadczeń. Zidentyfikowane operacje zostały zaprojektowane tak, aby umożliwić administratorom efektywne uzyskiwanie dostępu do swoich środowisk. Chociaż to działanie może być uzasadnione, aktor zagrożeń może wykorzystać takie operacje, aby uzyskać dostęp do ograniczonych poświadczeń i naruszyć bezpieczeństwo zasobów w środowisku. Może to oznaczać, że konto zostało naruszone i jest używane ze złośliwym zamiarem.

Taktyka MITRE: dostęp do poświadczeń

Ważność: średni rozmiar

Wykryto podejrzane wywołanie operacji "Zbieranie danych" wysokiego ryzyka (wersja zapoznawcza)

(ARM_AnomalousOperation.Collection)

Opis: Usługa Microsoft Defender dla usługi Resource Manager zidentyfikowała podejrzane wywołanie operacji wysokiego ryzyka w ramach subskrypcji, co może wskazywać na próbę zebrania danych. Zidentyfikowane operacje zostały zaprojektowane tak, aby umożliwić administratorom efektywne zarządzanie swoimi środowiskami. Chociaż to działanie może być uzasadnione, aktor zagrożeń może wykorzystać takie operacje do zbierania poufnych danych dotyczących zasobów w danym środowisku. Może to oznaczać, że konto zostało naruszone i jest używane ze złośliwym zamiarem.

Taktyka MITRE: Kolekcja

Ważność: średni rozmiar

Wykryto podejrzane wywołanie operacji "Uchylanie się od obrony" (wersja zapoznawcza)

(ARM_AnomalousOperation.DefenseEvasion)

Opis: Usługa Microsoft Defender dla usługi Resource Manager zidentyfikowała podejrzane wywołanie operacji wysokiego ryzyka w ramach subskrypcji, co może wskazywać na próbę uniknięcia obrony. Zidentyfikowane operacje zostały zaprojektowane tak, aby umożliwić administratorom efektywne zarządzanie stanem zabezpieczeń swoich środowisk. Chociaż to działanie może być uzasadnione, aktor zagrożeń może wykorzystać takie operacje, aby uniknąć wykrycia podczas kompromitowania zasobów w środowisku. Może to oznaczać, że konto zostało naruszone i jest używane ze złośliwym zamiarem.

Taktyka MITRE: Uchylanie się od obrony

Ważność: średni rozmiar

Wykryto podejrzane wywołanie operacji "Wykonanie" wysokiego ryzyka (wersja zapoznawcza)

(ARM_AnomalousOperation.Execution)

Opis: Usługa Microsoft Defender dla usługi Resource Manager zidentyfikowała podejrzane wywołanie operacji wysokiego ryzyka na maszynie w subskrypcji, co może wskazywać na próbę wykonania kodu. Zidentyfikowane operacje zostały zaprojektowane tak, aby umożliwić administratorom efektywne zarządzanie swoimi środowiskami. Chociaż to działanie może być uzasadnione, aktor zagrożeń może wykorzystać takie operacje, aby uzyskać dostęp do ograniczonych poświadczeń i naruszyć bezpieczeństwo zasobów w środowisku. Może to oznaczać, że konto zostało naruszone i jest używane ze złośliwym zamiarem.

Taktyka MITRE: Wykonywanie

Ważność: średni rozmiar

Wykryto podejrzane wywołanie operacji "Impact" o wysokim ryzyku (wersja zapoznawcza)

(ARM_AnomalousOperation.Impact)

Opis: Usługa Microsoft Defender dla usługi Resource Manager zidentyfikowała podejrzane wywołanie operacji wysokiego ryzyka w ramach subskrypcji, co może wskazywać na próbę zmiany konfiguracji. Zidentyfikowane operacje zostały zaprojektowane tak, aby umożliwić administratorom efektywne zarządzanie swoimi środowiskami. Chociaż to działanie może być uzasadnione, aktor zagrożeń może wykorzystać takie operacje, aby uzyskać dostęp do ograniczonych poświadczeń i naruszyć bezpieczeństwo zasobów w środowisku. Może to oznaczać, że konto zostało naruszone i jest używane ze złośliwym zamiarem.

Taktyka MITRE: wpływ

Ważność: średni rozmiar

Wykryto podejrzane wywołanie operacji "Dostęp początkowy" wysokiego ryzyka (wersja zapoznawcza)

(ARM_AnomalousOperation.InitialAccess)

Opis: Usługa Microsoft Defender dla usługi Resource Manager zidentyfikowała podejrzane wywołanie operacji wysokiego ryzyka w ramach subskrypcji, co może wskazywać na próbę uzyskania dostępu do ograniczonych zasobów. Zidentyfikowane operacje zostały zaprojektowane tak, aby umożliwić administratorom efektywne uzyskiwanie dostępu do swoich środowisk. Chociaż to działanie może być uzasadnione, aktor zagrożeń może wykorzystać takie operacje, aby uzyskać początkowy dostęp do ograniczonych zasobów w danym środowisku. Może to oznaczać, że konto zostało naruszone i jest używane ze złośliwym zamiarem.

Taktyka MITRE: dostęp początkowy

Ważność: średni rozmiar

Wykryto podejrzane wywołanie operacji "Ruch poprzeczny" wysokiego ryzyka (wersja zapoznawcza)

(ARM_AnomalousOperation.LateralMovement)

Opis: Usługa Microsoft Defender dla usługi Resource Manager zidentyfikowała podejrzane wywołanie operacji wysokiego ryzyka w ramach subskrypcji, co może wskazywać na próbę wykonania przenoszenia bocznego. Zidentyfikowane operacje zostały zaprojektowane tak, aby umożliwić administratorom efektywne zarządzanie swoimi środowiskami. Chociaż to działanie może być uzasadnione, aktor zagrożenia może wykorzystać takie operacje, aby naruszyć bezpieczeństwo większej ilości zasobów w danym środowisku. Może to oznaczać, że konto zostało naruszone i jest używane ze złośliwym zamiarem.

Taktyka MITRE: Ruch boczny

Ważność: średni rozmiar

Podejrzana operacja podniesienia poziomu dostępu (wersja zapoznawcza)(ARM_AnomalousElevateAccess)

Opis: Usługa Microsoft Defender dla usługi Resource Manager zidentyfikowała podejrzaną operację "Podnieś poziom dostępu". Działanie jest uznawane za podejrzane, ponieważ ten podmiot zabezpieczeń rzadko wywołuje takie operacje. Chociaż to działanie może być uzasadnione, aktor zagrożenia może użyć operacji "Podnieś poziom dostępu", aby przeprowadzić eskalację uprawnień dla naruszonego użytkownika.

Taktyka MITRE: Eskalacja uprawnień

Ważność: średni rozmiar

Wykryto podejrzane wywołanie operacji "Trwałość" wysokiego ryzyka (wersja zapoznawcza)

(ARM_AnomalousOperation.Persistence)

Opis: Usługa Microsoft Defender dla usługi Resource Manager zidentyfikowała podejrzane wywołanie operacji wysokiego ryzyka w ramach subskrypcji, co może wskazywać na próbę ustanowienia trwałości. Zidentyfikowane operacje zostały zaprojektowane tak, aby umożliwić administratorom efektywne zarządzanie swoimi środowiskami. Chociaż to działanie może być uzasadnione, aktor zagrożeń może wykorzystać takie operacje do ustanowienia trwałości w środowisku. Może to oznaczać, że konto zostało naruszone i jest używane ze złośliwym zamiarem.

Taktyka MITRE: Trwałość

Ważność: średni rozmiar

Wykryto podejrzane wywołanie operacji wysokiego ryzyka "Eskalacja uprawnień" (wersja zapoznawcza)

(ARM_AnomalousOperation.PrivilegeEscalation)

Opis: Usługa Microsoft Defender dla usługi Resource Manager zidentyfikowała podejrzane wywołanie operacji wysokiego ryzyka w ramach subskrypcji, co może wskazywać na próbę eskalacji uprawnień. Zidentyfikowane operacje zostały zaprojektowane tak, aby umożliwić administratorom efektywne zarządzanie swoimi środowiskami. Chociaż to działanie może być uzasadnione, aktor zagrożeń może wykorzystać takie operacje do eskalacji uprawnień podczas naruszania zasobów w środowisku. Może to oznaczać, że konto zostało naruszone i jest używane ze złośliwym zamiarem.

Taktyka MITRE: Eskalacja uprawnień

Ważność: średni rozmiar

Użycie zestawu narzędzi do wykorzystywania mikroburst do uruchamiania dowolnego kodu lub eksfiltrowania poświadczeń konta usługi Azure Automation

(ARM_MicroBurst.RunCodeOnBehalf)

Opis: Skrypt programu PowerShell został uruchomiony w ramach subskrypcji i wykonał podejrzany wzorzec wykonywania dowolnego kodu lub eksfiltracji poświadczeń konta usługi Azure Automation. Aktorzy zagrożeń używają zautomatyzowanych skryptów, takich jak MicroBurst, do uruchamiania dowolnego kodu w poszukiwaniu złośliwych działań. Wykryto to przez analizowanie operacji usługi Azure Resource Manager w ramach subskrypcji. Ta operacja może wskazywać, że tożsamość w organizacji została naruszona i że aktor zagrożeń próbuje naruszyć bezpieczeństwo środowiska pod kątem złośliwych intencji.

Taktyka MITRE: trwałość, dostęp poświadczeń

Ważność: Wysoka

Użycie technik NetSPI w celu zachowania trwałości w środowisku platformy Azure

(ARM_NetSPI.MaintainPersistence)

Opis: Użycie techniki trwałości interfejsu NetSPI w celu utworzenia zaplecza elementu webhook i utrzymania trwałości w środowisku platformy Azure. Wykryto to przez analizowanie operacji usługi Azure Resource Manager w ramach subskrypcji.

Taktyka MITRE: -

Ważność: Wysoka

Użycie zestawu narzędzi do wykorzystywania usługi PowerZure do uruchamiania dowolnego kodu lub eksfiltrowania poświadczeń konta usługi Azure Automation

(ARM_PowerZure.RunCodeOnBehalf)

Opis: Zestaw narzędzi do wykorzystywania usługi PowerZure wykrył próbę uruchomienia kodu lub eksfiltracji poświadczeń konta usługi Azure Automation. Wykryto to przez analizowanie operacji usługi Azure Resource Manager w ramach subskrypcji.

Taktyka MITRE: -

Ważność: Wysoka

Użycie funkcji PowerZure w celu zachowania trwałości w środowisku platformy Azure

(ARM_PowerZure.MaintainPersistence)

Opis: Zestaw narzędzi do wykorzystywania usługi PowerZure wykrył utworzenie zaplecza elementu webhook w celu zachowania trwałości w środowisku platformy Azure. Wykryto to przez analizowanie operacji usługi Azure Resource Manager w ramach subskrypcji.

Taktyka MITRE: -

Ważność: Wysoka

Wykryto podejrzane przypisanie roli klasycznej (wersja zapoznawcza)

(ARM_AnomalousClassicRoleAssignment)

Opis: Usługa Microsoft Defender dla usługi Resource Manager zidentyfikowała podejrzane przypisanie roli klasycznej w dzierżawie, co może wskazywać, że bezpieczeństwo konta w organizacji zostało naruszone. Zidentyfikowane operacje zostały zaprojektowane w celu zapewnienia zgodności z poprzednimi wersjami z rolami klasycznymi, które nie są już powszechnie używane. Chociaż to działanie może być uzasadnione, aktor zagrożenia może wykorzystać takie przypisanie, aby udzielić uprawnień do innego konta użytkownika pod ich kontrolą.

Taktyka MITRE: Ruch poprzeczny, uchylanie się od obrony

Ważność: Wysoka

Uwaga

W przypadku alertów w wersji zapoznawczej: Dodatkowe postanowienia dotyczące wersji zapoznawczej platformy Azure obejmują dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.

Następne kroki