Alertas para máquinas Linux
Este artigo lista os alertas de segurança que você pode receber para máquinas Linux do Microsoft Defender for Cloud e de qualquer plano do Microsoft Defender habilitado. Os alertas mostrados em seu ambiente dependem dos recursos e serviços que você está protegendo e da sua configuração personalizada.
Nota
Alguns dos alertas adicionados recentemente com o Microsoft Defender Threat Intelligence e o Microsoft Defender for Endpoint podem não estar documentados.
Saiba como responder a esses alertas.
Nota
Alertas de fontes diferentes podem levar diferentes quantidades de tempo para aparecer. Por exemplo, alertas que exigem análise do tráfego de rede podem levar mais tempo para aparecer do que alertas relacionados a processos suspeitos em execução em máquinas virtuais.
Alertas de máquinas Linux
O Microsoft Defender for Servers Plan 2 fornece deteções e alertas exclusivos, além dos fornecidos pelo Microsoft Defender for Endpoint. Os alertas fornecidos para máquinas Linux são:
Um arquivo de histórico foi limpo
Descrição: A análise dos dados do host indica que o arquivo de log do histórico de comandos foi limpo. Os atacantes podem fazer isso para cobrir seus vestígios. A operação foi executada pelo usuário: '%{nome de usuário}'.
Gravidade: Média
A violação da política de controle de aplicativos adaptáveis foi auditada
(VM_AdaptiveApplicationControlLinuxViolationAudited)
Descrição: Os usuários abaixo executaram aplicativos que estão violando a política de controle de aplicativos da sua organização nesta máquina. Ele pode possivelmente expor a máquina a malware ou vulnerabilidades de aplicativos.
Táticas MITRE: Execução
Gravidade: Informativo
Exclusão de arquivos amplos antimalware em sua máquina virtual
(VM_AmBroadFilesExclusion)
Descrição: A exclusão de arquivos da extensão antimalware com regra de exclusão ampla foi detetada em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Tal exclusão praticamente desativando a proteção Antimalware. Os invasores podem excluir arquivos da verificação antimalware em sua máquina virtual para evitar a deteção ao executar código arbitrário ou infetar a máquina com malware.
Gravidade: Média
Antimalware desativado e execução de código em sua máquina virtual
(VM_AmDisablementAndCodeExecution)
Descrição: Antimalware desativado ao mesmo tempo que a execução de código na sua máquina virtual. Isso foi detetado analisando as operações do Azure Resource Manager em sua assinatura. Os atacantes desativam os scanners antimalware para impedir a deteção ao executar ferramentas não autorizadas ou infetar a máquina com malware.
Gravidade: Alta
Antimalware desativado na sua máquina virtual
(VM_AmDisablement)
Descrição: Antimalware desativado na sua máquina virtual. Isso foi detetado analisando as operações do Azure Resource Manager em sua assinatura. Os invasores podem desativar o antimalware em sua máquina virtual para evitar a deteção.
Táticas MITRE: Evasão de Defesa
Gravidade: Média
Exclusão de arquivos antimalware e execução de código em sua máquina virtual
(VM_AmFileExclusionAndCodeExecution)
Descrição: Arquivo excluído do seu scanner antimalware ao mesmo tempo em que o código foi executado por meio de uma extensão de script personalizada em sua máquina virtual. Isso foi detetado analisando as operações do Azure Resource Manager em sua assinatura. Os invasores podem excluir arquivos da verificação antimalware em sua máquina virtual para impedir a deteção ao executar ferramentas não autorizadas ou infetar a máquina com malware.
Táticas MITRE: Evasão de Defesa, Execução
Gravidade: Alta
Exclusão de ficheiros antimalware e execução de código na sua máquina virtual (temporária)
(VM_AmTempFileExclusionAndCodeExecution)
Descrição: A exclusão temporária de arquivo da extensão antimalware em paralelo à execução de código por meio de extensão de script personalizada foi detetada em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Os invasores podem excluir arquivos da verificação antimalware em sua máquina virtual para evitar a deteção ao executar código arbitrário ou infetar a máquina com malware.
Táticas MITRE: Evasão de Defesa, Execução
Gravidade: Alta
Exclusão de ficheiros antimalware na sua máquina virtual
(VM_AmTempFileExclusion)
Descrição: Arquivo excluído do scanner antimalware em sua máquina virtual. Isso foi detetado analisando as operações do Azure Resource Manager em sua assinatura. Os invasores podem excluir arquivos da verificação antimalware em sua máquina virtual para impedir a deteção ao executar ferramentas não autorizadas ou infetar a máquina com malware.
Táticas MITRE: Evasão de Defesa
Gravidade: Média
A proteção antimalware em tempo real foi desativada na sua máquina virtual
(VM_AmRealtimeProtectionDisabled)
Descrição: A desativação da proteção em tempo real da extensão antimalware foi detetada na sua máquina virtual analisando as operações do Azure Resource Manager na sua subscrição. Os invasores podem desativar a proteção em tempo real da verificação antimalware em sua máquina virtual para evitar a deteção ao executar código arbitrário ou infetar a máquina com malware.
Táticas MITRE: Evasão de Defesa
Gravidade: Média
A proteção antimalware em tempo real foi desativada temporariamente na sua máquina virtual
(VM_AmTempRealtimeProtectionDisablement)
Descrição: A desativação temporária da extensão antimalware de proteção em tempo real foi detetada em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Os invasores podem desativar a proteção em tempo real da verificação antimalware em sua máquina virtual para evitar a deteção ao executar código arbitrário ou infetar a máquina com malware.
Táticas MITRE: Evasão de Defesa
Gravidade: Média
A proteção antimalware em tempo real foi desativada temporariamente enquanto o código era executado na sua máquina virtual
(VM_AmRealtimeProtectionDisablementAndCodeExec)
Descrição: A desativação temporária da extensão antimalware em tempo real em paralelo à execução de código por meio da extensão de script personalizada foi detetada em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Os invasores podem desativar a proteção em tempo real da verificação antimalware em sua máquina virtual para evitar a deteção ao executar código arbitrário ou infetar a máquina com malware.
Gravidade: Alta
Verificações antimalware bloqueadas em busca de arquivos potencialmente relacionados a campanhas de malware em sua máquina virtual (Visualização)
(VM_AmMalwareCampaignRelatedExclusion)
Descrição: foi detetada uma regra de exclusão na sua máquina virtual para impedir que a extensão antimalware analise determinados ficheiros suspeitos de estarem relacionados com uma campanha de malware. A regra foi detetada analisando as operações do Azure Resource Manager em sua assinatura. Os invasores podem excluir arquivos das verificações antimalware para evitar a deteção ao executar código arbitrário ou infetar a máquina com malware.
Táticas MITRE: Evasão de Defesa
Gravidade: Média
Antimalware temporariamente desativado na sua máquina virtual
(VM_AmTemporarilyDisablement)
Descrição: Antimalware temporariamente desativado na sua máquina virtual. Isso foi detetado analisando as operações do Azure Resource Manager em sua assinatura. Os invasores podem desativar o antimalware em sua máquina virtual para evitar a deteção.
Gravidade: Média
Exclusão de arquivo incomum antimalware em sua máquina virtual
(VM_UnusualAmFileExclusion)
Descrição: A exclusão de arquivo incomum da extensão antimalware foi detetada em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Os invasores podem excluir arquivos da verificação antimalware em sua máquina virtual para evitar a deteção ao executar código arbitrário ou infetar a máquina com malware.
Táticas MITRE: Evasão de Defesa
Gravidade: Média
Comportamento semelhante ao ransomware detetado [visto várias vezes]
Descrição: A análise dos dados do anfitrião em %{Compromised Host} detetou a execução de ficheiros que têm semelhanças com ransomware conhecido que pode impedir os utilizadores de aceder ao seu sistema ou ficheiros pessoais, e exige o pagamento de resgate para recuperar o acesso. Esse comportamento foi visto [x] vezes hoje nas seguintes máquinas: [Nomes de máquinas]
Gravidade: Alta
Comunicação com domínio suspeito identificado por informações sobre ameaças
(AzureDNS_ThreatIntelSuspectDomain)
Descrição: A comunicação com um domínio suspeito foi detetada analisando as transações DNS do seu recurso e comparando com domínios mal-intencionados conhecidos identificados por feeds de inteligência de ameaças. A comunicação com domínios maliciosos é frequentemente realizada por atacantes e pode implicar que o seu recurso está comprometido.
Táticas MITRE: Acesso Inicial, Persistência, Execução, Comando e Controle, Exploração
Gravidade: Média
Contêiner com uma imagem de minerador detetada
(VM_MinerInContainerImage)
Descrição: Os logs da máquina indicam a execução de um contêiner do Docker que executa uma imagem associada a uma mineração de moeda digital.
Táticas MITRE: Execução
Gravidade: Alta
Detetada mistura anômala de caracteres maiúsculos e minúsculos na linha de comando
Descrição: A análise dos dados do host em %{Compromised Host} detetou uma linha de comando com uma mistura anômala de caracteres maiúsculos e minúsculos. Este tipo de padrão, embora possivelmente benigno, também é típico de atacantes que tentam esconder-se da correspondência das regras baseadas em hash ou sensíveis às maiúsculas e minúsculas ao realizar tarefas administrativas num anfitrião comprometido.
Gravidade: Média
Download de arquivo detetado de uma fonte maliciosa conhecida
Descrição: A análise dos dados do host detetou o download de um arquivo de uma fonte de malware conhecida em %{Host comprometido}.
Gravidade: Média
Atividade de rede suspeita detetada
Descrição: A análise do tráfego de rede de %{Compromised Host} detetou atividade de rede suspeita. Esse tráfego, embora possivelmente benigno, é normalmente usado por um invasor para se comunicar com servidores mal-intencionados para download de ferramentas, comando e controle e exfiltração de dados. A atividade típica de invasores relacionados inclui copiar ferramentas de administração remota para um host comprometido e exfiltrar dados do usuário a partir dele.
Gravidade: Baixa
Comportamento relacionado à mineração de moeda digital detetado
Descrição: A análise dos dados do host em %{Compromised Host} detetou a execução de um processo ou comando normalmente associado à mineração de moeda digital.
Gravidade: Alta
Desativação do log auditado [visto várias vezes]
Descrição: O sistema Linux Audit fornece uma maneira de rastrear informações relevantes para a segurança no sistema. Ele registra o máximo possível de informações sobre os eventos que estão acontecendo em seu sistema. A desativação do log auditado pode dificultar a descoberta de violações das políticas de segurança usadas no sistema. Esse comportamento foi visto [x] vezes hoje nas seguintes máquinas: [Nomes de máquinas]
Gravidade: Baixa
Exploração da vulnerabilidade do Xorg [visto várias vezes]
Descrição: A análise dos dados do host em %{Compromised Host} detetou o usuário do Xorg com argumentos suspeitos. Os atacantes podem usar essa técnica em tentativas de escalonamento de privilégios. Esse comportamento foi visto [x] vezes hoje nas seguintes máquinas: [Nomes de máquinas]
Gravidade: Média
Falha no ataque de força bruta SSH
(VM_SshBruteForceFailed)
Descrição: Foram detetados ataques de força bruta com falha dos seguintes atacantes: %{Atacantes}. Os atacantes estavam a tentar aceder ao anfitrião com os seguintes nomes de utilizador: %{Contas utilizadas em tentativas falhadas de início de sessão para anfitrião}.
Táticas MITRE: Sondagem
Gravidade: Média
Comportamento de ataque sem arquivo detetado
(VM_FilelessAttackBehavior.Linux)
Descrição: A memória do processo especificado abaixo contém comportamentos comumente usados por ataques sem arquivo. Os comportamentos específicos incluem: {lista de comportamentos observados}
Táticas MITRE: Execução
Gravidade: Baixa
Técnica de ataque sem arquivo detetada
(VM_FilelessAttackTechnique.Linux)
Descrição: A memória do processo especificado abaixo contém evidências de uma técnica de ataque sem ficheiros. Os ataques sem ficheiros são utilizados pelos atacantes para executar código enquanto evitam a deteção por software de segurança. Os comportamentos específicos incluem: {lista de comportamentos observados}
Táticas MITRE: Execução
Gravidade: Alta
Kit de ferramentas de ataque sem arquivo detetado
(VM_FilelessAttackToolkit.Linux)
Descrição: A memória do processo especificado abaixo contém um kit de ferramentas de ataque sem arquivo: {ToolKitName}. Os kits de ferramentas de ataque sem arquivo normalmente não estão presentes no sistema de arquivos, dificultando a deteção por software antivírus tradicional. Os comportamentos específicos incluem: {lista de comportamentos observados}
Táticas MITRE: Evasão de Defesa, Execução
Gravidade: Alta
Execução de ficheiros ocultos detetada
Descrição: A análise dos dados do host indica que um arquivo oculto foi executado por %{nome de usuário}. Esta atividade pode ser uma atividade legítima ou uma indicação de um anfitrião comprometido.
Gravidade: Informativo
Nova chave SSH adicionada [visto várias vezes]
(VM_SshKeyAddition)
Descrição: Uma nova chave SSH foi adicionada ao arquivo de chaves autorizadas. Esse comportamento foi visto [x] vezes hoje nas seguintes máquinas: [Nomes de máquinas]
Táticas MITRE: Persistência
Gravidade: Baixa
Nova chave SSH adicionada
Descrição: Uma nova chave SSH foi adicionada ao arquivo de chaves autorizadas.
Gravidade: Baixa
Possível backdoor detetado [visto várias vezes]
Descrição: A análise dos dados do host detetou um arquivo suspeito sendo baixado e executado em %{Host comprometido} em sua assinatura. Esta atividade já foi associada à instalação de um backdoor. Esse comportamento foi visto [x] vezes hoje nas seguintes máquinas: [Nomes de máquinas]
Gravidade: Média
Possível exploração do servidor de correio detetado
(VM_MailserverExploitation )
Descrição: A análise dos dados do host em %{Compromised Host} detetou uma execução incomum na conta do servidor de email
Táticas MITRE: Exploração
Gravidade: Média
Possível shell da web malicioso detetado
Descrição: A análise dos dados do host em %{Compromised Host} detetou um possível shell da web. Os atacantes geralmente carregam um shell da web para uma máquina que comprometeram para ganhar persistência ou para exploração adicional.
Gravidade: Média
Possível alteração de senha usando o método crypt detetado [visto várias vezes]
Descrição: A análise dos dados do host em %{Compromised Host} detetou alteração de senha usando o método crypt. Os atacantes podem fazer essa alteração para continuar o acesso e ganhar persistência após o comprometimento. Esse comportamento foi visto [x] vezes hoje nas seguintes máquinas: [Nomes de máquinas]
Gravidade: Média
Processo associado à mineração de moeda digital detetado [visto várias vezes]
Descrição: A análise dos dados do host em %{Compromised Host} detetou a execução de um processo normalmente associado à mineração de moeda digital. Esse comportamento foi visto mais de 100 vezes hoje nas seguintes máquinas: [Nome da máquina]
Gravidade: Média
Processo associado à mineração de moeda digital detetado
Descrição: A análise de dados do host detetou a execução de um processo que normalmente está associado à mineração de moeda digital.
Táticas MITRE: Exploração, Execução
Gravidade: Média
Downloader codificado Python detetado [visto várias vezes]
Descrição: A análise dos dados do host em %{Compromised Host} detetou a execução de Python codificado que baixa e executa código de um local remoto. Isso pode ser uma indicação de atividade maliciosa. Esse comportamento foi visto [x] vezes hoje nas seguintes máquinas: [Nomes de máquinas]
Gravidade: Baixa
Captura de tela tirada no host [visto várias vezes]
Descrição: A análise dos dados do host em %{Host comprometido} detetou o usuário de uma ferramenta de captura de tela. Os atacantes podem usar essas ferramentas para acessar dados privados. Esse comportamento foi visto [x] vezes hoje nas seguintes máquinas: [Nomes de máquinas]
Gravidade: Baixa
Shellcode detetado [visto várias vezes]
Descrição: A análise dos dados do host em %{Compromised Host} detetou shellcode sendo gerado a partir da linha de comando. Este processo pode ser uma atividade legítima ou uma indicação de que uma das suas máquinas foi comprometida. Esse comportamento foi visto [x] vezes hoje nas seguintes máquinas: [Nomes de máquinas]
Gravidade: Média
Ataque de força bruta SSH bem-sucedido
(VM_SshBruteForceSuccess)
Descrição: A análise dos dados do host detetou um ataque de força bruta bem-sucedido. O IP %{IP de origem do invasor} foi visto fazendo várias tentativas de login. Foram feitos logins bem-sucedidos a partir desse IP com o(s) seguinte(s) utilizador(es): %{Contas utilizadas para iniciar sessão com êxito no anfitrião}. Isso significa que o host pode ser comprometido e controlado por um ator mal-intencionado.
Táticas MITRE: Exploração
Gravidade: Alta
Criação de conta suspeita detetada
Descrição: A análise dos dados do anfitrião em %{Compromised Host} detetou a criação ou utilização de uma conta local %{Nome de conta suspeito} : este nome de conta assemelha-se muito a uma conta padrão do Windows ou nome de grupo '%{Similar ao Nome da Conta}'. Esta é potencialmente uma conta fraudulenta criada por um atacante, assim chamada para evitar ser notada por um administrador humano.
Gravidade: Média
Módulo de kernel suspeito detetado [visto várias vezes]
Descrição: A análise dos dados do host em %{Compromised Host} detetou um arquivo de objeto compartilhado sendo carregado como um módulo do kernel. Esta pode ser uma atividade legítima ou uma indicação de que uma das suas máquinas foi comprometida. Esse comportamento foi visto [x] vezes hoje nas seguintes máquinas: [Nomes de máquinas]
Gravidade: Média
Acesso suspeito à palavra-passe [visto várias vezes]
Descrição: A análise dos dados do host detetou acesso suspeito a senhas de usuário criptografadas em %{Host comprometido}. Esse comportamento foi visto [x] vezes hoje nas seguintes máquinas: [Nomes de máquinas]
Gravidade: Informativo
Acesso suspeito à palavra-passe
Descrição: A análise dos dados do host detetou acesso suspeito a senhas de usuário criptografadas em %{Host comprometido}.
Gravidade: Informativo
Solicitação suspeita para o Painel do Kubernetes
(VM_KubernetesDashboard)
Descrição: Os logs da máquina indicam que uma solicitação suspeita foi feita ao Painel do Kubernetes. A solicitação foi enviada de um nó do Kubernetes, possivelmente de um dos contêineres em execução no nó. Embora esse comportamento possa ser intencional, ele pode indicar que o nó está executando um contêiner comprometido.
Táticas MITRE: LateralMovement
Gravidade: Média
Redefinição de configuração incomum em sua máquina virtual
(VM_VMAccessUnusualConfigReset)
Descrição: Uma redefinição de configuração incomum foi detetada em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Embora essa ação possa ser legítima, os invasores podem tentar utilizar a extensão VM Access para redefinir a configuração em sua máquina virtual e comprometê-la.
Táticas MITRE: Acesso a credenciais
Gravidade: Média
Redefinição de senha de usuário incomum em sua máquina virtual
(VM_VMAccessUnusualPasswordReset)
Descrição: Uma redefinição de senha de usuário incomum foi detetada em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Embora essa ação possa ser legítima, os invasores podem tentar utilizar a extensão VM Access para redefinir as credenciais de um usuário local em sua máquina virtual e comprometê-la.
Táticas MITRE: Acesso a credenciais
Gravidade: Média
Redefinição de chave SSH de usuário incomum em sua máquina virtual
(VM_VMAccessUnusualSSHReset)
Descrição: Uma redefinição de chave SSH de usuário incomum foi detetada em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Embora essa ação possa ser legítima, os invasores podem tentar utilizar a extensão VM Access para redefinir a chave SSH de uma conta de usuário em sua máquina virtual e comprometê-la.
Táticas MITRE: Acesso a credenciais
Gravidade: Média
Instalação suspeita da extensão GPU na sua máquina virtual (Pré-visualização)
(VM_GPUDriverExtensionUnusualExecution)
Descrição: A instalação suspeita de uma extensão de GPU foi detetada na sua máquina virtual analisando as operações do Azure Resource Manager na sua subscrição. Os invasores podem usar a extensão de driver de GPU para instalar drivers de GPU em sua máquina virtual por meio do Gerenciador de Recursos do Azure para executar o cryptojacking.
Táticas MITRE: Impacto
Gravidade: Baixa
Nota
Para alertas que estão em pré-visualização: Os Termos Suplementares do Azure Preview incluem termos legais adicionais que se aplicam a funcionalidades do Azure que estão em versão beta, pré-visualização ou que ainda não foram disponibilizadas para disponibilidade geral.