Alertas para extensões de VM do Azure
Este artigo lista os alertas de segurança que você pode receber para extensões de VM do Azure do Microsoft Defender para Nuvem e todos os planos do Microsoft Defender habilitados. Os alertas mostrados em seu ambiente dependem dos recursos e serviços que você está protegendo, bem como a configuração personalizada.
Observação
Alguns dos alertas adicionados recentemente com a plataforma Microsoft Defender Threat Intelligence e Microsoft Defender para Ponto de Extremidade podem não estar documentados.
Saiba como responder a esses alertas.
Observação
Alertas de fontes diferentes podem levar diferentes quantidades de tempo para serem exibidos. Por exemplo, alertas que exigem análise de tráfego de rede podem levar mais tempo para aparecer do que alertas relacionados a processos suspeitos em execução em máquinas virtuais.
Alertas de extensões de VM do Azure
Esses alertas se concentram na detecção de atividades suspeitas de extensões de máquina virtual do Azure e fornecem insights sobre as tentativas dos invasores de comprometer e executar atividades mal-intencionadas em suas máquinas virtuais.
As extensões de máquina virtual do Azure são pequenos aplicativos que executam pós-implantação em máquinas virtuais e fornecem recursos como configuração, automação, monitoramento, segurança e muito mais. Embora as extensões sejam uma ferramenta poderosa, elas podem ser usadas por atores de ameaça para várias intenções mal-intencionadas, por exemplo:
Coleta e monitoramento de dados
Execução de código e implantação de configuração com privilégios elevados
Redefinição de credenciais e criação de usuários administrativos
Criptografia de discos
Saiba mais sobre as proteções mais recentes do Defender para Nuvem contra o abuso de extensões de VM do Azure.
Falha suspeita ao instalar a extensão de GPU em sua assinatura (versão prévia)
(VM_GPUExtensionSuspiciousFailure)
Descrição: intenção suspeita de instalar uma extensão de GPU em VMs sem suporte. Essa extensão deve ser instalada em máquinas virtuais equipadas com um processador gráfico e, nesse caso, as máquinas virtuais não estão equipadas com isso. Essas falhas podem ser vistas quando adversários mal-intencionados executam várias instalações dessa extensão para fins de mineração de criptografia.
Táticas do MITRE: Impacto
Gravidade: Média
Uma instalação suspeita de uma extensão de GPU foi detectada em sua máquina virtual (versão prévia)
(VM_GPUDriverExtensionUnusualExecution)
Descrição: a instalação suspeita de uma extensão de GPU foi detectada em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Os invasores podem usar a extensão de driver de GPU para instalar drivers de GPU em sua máquina virtual por meio do Azure Resource Manager para executar o cryptojacking. Essa atividade é considerada suspeita, pois o comportamento da entidade de segurança se afasta de seus padrões usuais.
Táticas do MITRE: Impacto
Gravidade: Baixa
Um recurso Executar Comando com script suspeito foi detectado em sua máquina virtual (versão prévia)
(VM_RunCommandSuspiciousScript)
Descrição: um Executar Comando com um script suspeito foi detectado em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Os invasores podem usar o Run Command para executar código mal-intencionado com altos privilégios em sua máquina virtual por meio do Azure Resource Manager. O script é considerado suspeito, pois algumas partes foram identificadas como potencialmente mal-intencionadas.
Táticas do MITRE: Execução
Gravidade: Alta
Um uso suspeito e não autorizado do recurso Executar Comando foi detectado em sua máquina virtual (versão prévia)
(VM_RunCommandSuspiciousFailure)
Descrição: o uso não autorizado suspeito do Run Command falhou e foi detectado em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Os invasores podem tentar usar o Run Command para executar código mal-intencionado com altos privilégios em suas máquinas virtuais por meio do Azure Resource Manager. Essa atividade é considerada suspeita, pois nunca foi vista antes.
Táticas do MITRE: Execução
Gravidade: Média
Um uso suspeito do recurso Executar Comando foi detectado em sua máquina virtual (versão prévia)
(VM_RunCommandSuspiciousUsage)
Descrição: o uso suspeito do Run Command foi detectado em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Os invasores podem usar o Run Command para executar código mal-intencionado com altos privilégios em suas máquinas virtuais por meio do Azure Resource Manager. Essa atividade é considerada suspeita, pois nunca foi vista antes.
Táticas do MITRE: Execução
Gravidade: Baixa
O uso suspeito de várias extensões de monitoramento ou coleta de dados foi detectado em suas máquinas virtuais (versão prévia)
(VM_SuspiciousMultiExtensionUsage)
Descrição: o uso suspeito de várias extensões de monitoramento ou coleta de dados foi detectado em suas máquinas virtuais analisando as operações do Azure Resource Manager em sua assinatura. Os invasores podem abusar dessas extensões para coleta de dados, monitoramento de tráfego de rede e muito mais em sua assinatura. Esse uso é considerado suspeito, pois nunca foi visto anteriormente.
Táticas do MITRE: Reconhecimento
Gravidade: Média
A instalação suspeita de extensões de criptografia de disco foi detectada em suas máquinas virtuais (versão prévia)
(VM_DiskEncryptionSuspiciousUsage)
Descrição: a instalação suspeita de extensões de criptografia de disco foi detectada em suas máquinas virtuais analisando as operações do Azure Resource Manager em sua assinatura. Os invasores podem abusar da extensão de criptografia de disco para implantar criptografias de disco completas em suas máquinas virtuais por meio do Azure Resource Manager em uma tentativa de executar atividades de ransomware. Essa atividade é considerada suspeita, pois nunca foi vista antes e devido ao alto número de instalações de extensões.
Táticas do MITRE: Impacto
Gravidade: Média
Um uso suspeito da extensão VMAccess foi detectado em suas máquinas virtuais (versão prévia)
(VM_VMAccessSuspiciousUsage)
Descrição: foi detectado um uso suspeito da extensão VMAccess em suas máquinas virtuais. Os invasores podem abusar da extensão VMAccess para obter acesso e comprometer suas máquinas virtuais com altos privilégios, redefinindo o acesso ou gerenciando usuários administrativos. Essa atividade é considerada suspeita, pois o comportamento da entidade de segurança se afasta de seus padrões habituais e devido ao alto número de instalações de extensão.
Táticas do MITRE: Persistência
Gravidade: Média
A extensão DSC (Desired State Configuration) com um script suspeito foi detectada em sua máquina virtual (versão prévia)
(VM_DSCExtensionSuspiciousScript)
Descrição: a extensão DSC (Configuração de Estado Desejado) com um script suspeito foi detectada em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Os invasores podem usar a extensão DSC (Desired State Configuration) para implantar configurações mal-intencionadas, como mecanismos de persistência, scripts mal-intencionados e muito mais, com altos privilégios, em suas máquinas virtuais. O script é considerado suspeito, pois algumas partes foram identificadas como potencialmente mal-intencionadas.
Táticas do MITRE: Execução
Gravidade: Alta
O uso suspeito de uma extensão de DSC (Desired State Configuration) foi detectado em suas máquinas virtuais (versão prévia)
(VM_DSCExtensionSuspiciousUsage)
Descrição: o uso suspeito de uma extensão DSC (Configuração de Estado Desejado) foi detectado em suas máquinas virtuais analisando as operações do Azure Resource Manager em sua assinatura. Os invasores podem usar a extensão DSC (Desired State Configuration) para implantar configurações mal-intencionadas, como mecanismos de persistência, scripts mal-intencionados e muito mais, com altos privilégios, em suas máquinas virtuais. Essa atividade é considerada suspeita, pois o comportamento da entidade de segurança se afasta de seus padrões habituais e devido ao alto número de instalações de extensão.
Táticas do MITRE: Execução
Gravidade: Baixa
Uma extensão de script personalizado com um script suspeito foi detectada em sua máquina virtual (versão prévia)
(VM_CustomScriptExtensionSuspiciousCmd)
Descrição: a extensão de script personalizado com um script suspeito foi detectada em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Os invasores podem usar a extensão de script personalizada para executar código mal-intencionado com altos privilégios em sua máquina virtual por meio do Azure Resource Manager. O script é considerado suspeito, pois algumas partes foram identificadas como potencialmente mal-intencionadas.
Táticas do MITRE: Execução
Gravidade: Alta
Falha na execução suspeita da extensão de script personalizado na sua máquina virtual
(VM_CustomScriptExtensionSuspiciousFailure)
Descrição: uma falha suspeita de uma extensão de script personalizada foi detectada em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Essas falhas podem estar associadas a scripts maliciosos executados por essa extensão.
Táticas do MITRE: Execução
Gravidade: Média
Exclusão incomum da extensão de script personalizado na sua máquina virtual
(VM_CustomScriptExtensionUnusualDeletion)
Descrição: a exclusão incomum de uma extensão de script personalizada foi detectada em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Os invasores podem usar extensões de script personalizadas para executar código mal-intencionado em suas máquinas virtuais por meio do Azure Resource Manager.
Táticas do MITRE: Execução
Gravidade: Média
Execução incomum da extensão de script personalizado na sua máquina virtual
(VM_CustomScriptExtensionUnusualExecution)
Descrição: a execução incomum de uma extensão de script personalizado foi detectada em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Os invasores podem usar extensões de script personalizadas para executar código mal-intencionado em suas máquinas virtuais por meio do Azure Resource Manager.
Táticas do MITRE: Execução
Gravidade: Média
Extensão de script personalizado com um ponto de entrada suspeito na sua máquina virtual
(VM_CustomScriptExtensionSuspiciousEntryPoint)
Descrição: a extensão de script personalizado com um ponto de entrada suspeito foi detectada em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. O ponto de entrada refere-se a um repositório GitHub suspeito. Os invasores podem usar extensões de script personalizadas para executar código mal-intencionado em suas máquinas virtuais por meio do Azure Resource Manager.
Táticas do MITRE: Execução
Gravidade: Média
Extensão de script personalizado com um conteúdo suspeito na sua máquina virtual
(VM_CustomScriptExtensionSuspiciousPayload)
Descrição: a extensão de script personalizado com uma carga de um repositório GitHub suspeito foi detectada em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Os invasores podem usar extensões de script personalizadas para executar código mal-intencionado em suas máquinas virtuais por meio do Azure Resource Manager.
Táticas do MITRE: Execução
Gravidade: Média
Observação
Para obter alertas que estão em versão prévia: os termos suplementares de versão prévia do Azure incluem termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.