Alertas de segurança preteridos
Este artigo lista alertas de segurança preteridos no Microsoft Defender for Cloud.
Alertas do Defender for Containers preterido
As listas a seguir incluem os alertas de segurança do Defender for Containers que foram preteridos.
Manipulação do firewall do host detetada
(K8S. NODE_FirewallDisabled)
Descrição: A análise de processos em execução dentro de um contêiner ou diretamente em um nó do Kubernetes, detetou uma possível manipulação do firewall no host. Os atacantes geralmente desativam isso para exfiltrar dados.
Táticas MITRE: DefesaEvasão, Exfiltração
Gravidade: Média
Uso suspeito de DNS sobre HTTPS
(K8S. NODE_SuspiciousDNSOverHttps)
Descrição: A análise de processos em execução dentro de um contêiner ou diretamente em um nó do Kubernetes, detetou o uso de uma chamada DNS sobre HTTPS de forma incomum. Esta técnica é usada por atacantes para ocultar chamadas para sites suspeitos ou maliciosos.
Táticas MITRE: DefesaEvasão, Exfiltração
Gravidade: Média
Foi detetada uma possível ligação a uma localização maliciosa
(K8S. NODE_ThreatIntelCommandLineSuspectDomain)
Descrição: A análise de processos em execução dentro de um contêiner ou diretamente em um nó do Kubernetes detetou uma conexão com um local que foi relatado como mal-intencionado ou incomum. Este é um indicador de que pode ter ocorrido um compromisso.
Táticas MITRE: InitialAccess
Gravidade: Média
Atividade de mineração de moeda digital
(K8S. NODE_CurrencyMining)
Descrição: A análise das transações DNS detetou a atividade de mineração de moeda digital. Tal atividade, embora possivelmente comportamento legítimo do usuário, é frequentemente realizada por atacantes após o comprometimento de recursos. É provável que a atividade típica de invasores relacionados inclua o download e a execução de ferramentas comuns de mineração.
Táticas MITRE: Exfiltração
Gravidade: Baixa
Alertas do Defender for Servers Linux preteridos
VM_AbnormalDaemonTermination
Nome de exibição do alerta: terminação anormal
Gravidade: Baixa
VM_BinaryGeneratedFromCommandLine
Nome de exibição do alerta: binário suspeito detetado
Gravidade: Média
VM_CommandlineSuspectDomain Suspeito
Nome de exibição do alerta: referência de nome de domínio
Gravidade: Baixa
VM_CommonBot
Nome de exibição do alerta: comportamento semelhante aos bots comuns do Linux detetados
Gravidade: Média
VM_CompCommonBots
Nome de exibição do alerta: comandos semelhantes aos bots comuns do Linux detetados
Gravidade: Média
VM_CompSuspiciousScript
Nome de exibição do alerta: Shell Script detetado
Gravidade: Média
VM_CompTestRule
Nome de exibição do alerta: Alerta de teste analítico composto
Gravidade: Baixa
VM_CronJobAccess
Nome de exibição do alerta: manipulação de tarefas agendadas detetada
Gravidade: Informativo
VM_CryptoCoinMinerArtifacts
Nome de exibição do alerta: Processo associado à mineração de moeda digital detetado
Gravidade: Média
VM_CryptoCoinMinerDownload
Nome de exibição do alerta: Possível download do Cryptocoinminer detetado
Gravidade: Média
VM_CryptoCoinMinerExecution
Nome de exibição do alerta: Potencial minerador de moedas criptográficas iniciado
Gravidade: Média
VM_DataEgressArtifacts
Nome de exibição do alerta: Possível exfiltração de dados detetada
Gravidade: Média
VM_DigitalCurrencyMining
Nome de exibição do alerta: comportamento relacionado à mineração de moeda digital detetado
Gravidade: Alta
VM_DownloadAndRunCombo
Nome de exibição do alerta: Download suspeito e executar atividade
Gravidade: Média
VM_EICAR
Nome de exibição do alerta: alerta de teste do Microsoft Defender for Cloud (não é uma ameaça)
Gravidade: Alta
VM_ExecuteHiddenFile
Nome de exibição do alerta: Execução de arquivo oculto
Gravidade: Informativo
VM_ExploitAttempt
Nome de exibição do alerta: Possível tentativa de exploração da linha de comando
Gravidade: Média
VM_ExposedDocker
Nome de exibição do alerta: daemon do Docker exposto no soquete TCP
Gravidade: Média
VM_FairwareMalware
Nome de exibição do alerta: Comportamento semelhante ao ransomware Fairware detetado
Gravidade: Média
VM_FirewallDisabled
Nome de exibição do alerta: Manipulação do firewall do host detetada
Gravidade: Média
VM_HadoopYarnExploit
Nome de exibição do alerta: possível exploração do Hadoop Yarn
Gravidade: Média
VM_HistoryFileCleared
Nome para exibição do alerta: um arquivo de histórico foi limpo
Gravidade: Média
VM_KnownLinuxAttackTool
Nome de exibição do alerta: Possível ferramenta de ataque detetada
Gravidade: Média
VM_KnownLinuxCredentialAccessTool
Nome para exibição do alerta: Possível ferramenta de acesso a credenciais detetada
Gravidade: Média
VM_KnownLinuxDDoSToolkit
Nome de exibição do alerta: Indicadores associados ao kit de ferramentas DDOS detetados
Gravidade: Média
VM_KnownLinuxScreenshotTool
Nome de exibição do alerta: captura de tela tirada no host
Gravidade: Baixa
VM_LinuxBackdoorArtifact
Nome de exibição do alerta: Possível backdoor detetado
Gravidade: Média
VM_LinuxReconnaissance
Nome de exibição do alerta: reconhecimento do host local detetado
Gravidade: Média
VM_MismatchedScriptFeatures
Nome de exibição do alerta: incompatibilidade de extensão de script detetada
Gravidade: Média
VM_MitreCalderaTools
Nome de exibição do alerta: Agente MITRE Caldera detetado
Gravidade: Média
VM_NewSingleUserModeStartupScript
Nome de exibição do alerta: tentativa de persistência detetada
Gravidade: Média
VM_NewSudoerAccount
Nome de exibição do alerta: Conta adicionada ao grupo sudo
Gravidade: Baixa
VM_OverridingCommonFiles
Nome de exibição do alerta: Substituição potencial de arquivos comuns
Gravidade: Média
VM_PrivilegedContainerArtifacts
Nome de exibição do alerta: contêiner em execução no modo privilegiado
Gravidade: Baixa
VM_PrivilegedExecutionInContainer
Nome de exibição do alerta: comando dentro de um contêiner em execução com altos privilégios
Gravidade: Baixa
VM_ReadingHistoryFile
Nome de exibição do alerta: acesso incomum ao arquivo de histórico bash
Gravidade: Informativo
VM_ReverseShell
Nome de exibição do alerta: Potencial shell reverso detetado
Gravidade: Média
VM_SshKeyAccess
Nome de exibição do alerta: Processo visto acessando o arquivo de chaves autorizadas SSH de uma maneira incomum
Gravidade: Baixa
VM_SshKeyAddition
Nome de exibição do alerta: Nova chave SSH adicionada
Gravidade: Baixa
VM_SuspectCompilation
Nome de exibição do alerta: compilação suspeita detetada
Gravidade: Média
VM_SuspectConnection
Nome de exibição do alerta: uma tentativa de conexão incomum detetada
Gravidade: Média
VM_SuspectDownload
Nome de exibição do alerta: download de arquivo detetado de uma fonte maliciosa conhecida
Gravidade: Média
VM_SuspectDownloadArtifacts
Nome de exibição do alerta: Detetado o download de arquivos suspeitos
Gravidade: Baixa
VM_SuspectExecutablePath
Nome de exibição do alerta: executável encontrado em execução a partir de um local suspeito
Gravidade: Média
VM_SuspectHtaccessFileAccess
Nome de exibição do alerta: Acesso do arquivo htaccess detetado
Gravidade: Média
VM_SuspectInitialShellCommand
Nome de exibição do alerta: primeiro comando suspeito no shell
Gravidade: Baixa
VM_SuspectMixedCaseText
Nome de exibição do alerta: Detetada mistura anômala de caracteres maiúsculos e minúsculos na linha de comando
Gravidade: Média
VM_SuspectNetworkConnection
Nome de exibição do alerta: conexão de rede suspeita
Gravidade: Informativo
VM_SuspectNohup
Nome de exibição do alerta: Detetado o uso suspeito do comando nohup
Gravidade: Média
VM_SuspectPasswordChange
Nome de exibição do alerta: Possível alteração de senha usando o método crypt detetado
Gravidade: Média
VM_SuspectPasswordFileAccess
Nome de exibição do alerta: acesso suspeito à senha
Gravidade: Informativo
VM_SuspectPhp
Nome de exibição do alerta: execução suspeita do PHP detetada
Gravidade: Média
VM_SuspectPortForwarding
Nome de exibição do alerta: Potencial encaminhamento de porta para endereço IP externo
Gravidade: Média
VM_SuspectProcessAccountPrivilegeCombo
Nome de exibição do alerta: o processo em execução em uma conta de serviço tornou-se root inesperadamente
Gravidade: Média
VM_SuspectProcessTermination
Nome de exibição do alerta: Encerramento do processo relacionado à segurança detetado
Gravidade: Baixa
VM_SuspectUserAddition
Nome de exibição do alerta: Detetado o uso suspeito do comando useradd
Gravidade: Média
VM_SuspiciousCommandLineExecution
Nome de exibição do alerta: execução de comando suspeito
Gravidade: Alta
VM_SuspiciousDNSOverHttps
Nome de exibição do alerta: uso suspeito de DNS sobre HTTPS
Gravidade: Média
VM_SystemLogRemoval
Nome de exibição do alerta: possível atividade de violação de log detetada
Gravidade: Média
VM_ThreatIntelCommandLineSuspectDomain
Nome de exibição do alerta: uma possível conexão com um local mal-intencionado foi detetada
Gravidade: Média
VM_ThreatIntelSuspectLogon
Nome de exibição do alerta: um logon de um IP mal-intencionado foi detetado
Gravidade: Alta
VM_TimerServiceDisabled
Nome de exibição do alerta: Tentativa de parar o serviço apt-daily-upgrade.timer detetado
Gravidade: Informativo
VM_TimestampTampering
Nome de exibição do alerta: modificação suspeita do carimbo de data/hora do arquivo
Gravidade: Baixa
VM_Webshell
Nome de exibição do alerta: Possível shell da Web mal-intencionado detetado
Gravidade: Média
Alertas do Windows do Defender for Servers preterido
SCUBA_MULTIPLEACCOUNTCREATE
Nome de exibição de alerta: criação suspeita de contas em vários hosts
Gravidade: Média
SCUBA_PSINSIGHT_CONTEXT
Nome de exibição do alerta: uso suspeito do PowerShell detetado
Gravidade: Informativo
SCUBA_RULE_AddGuestToAdministrators
Nome de Exibição do Alerta: Adição da conta de convidado ao grupo Administradores Locais
Gravidade: Média
SCUBA_RULE_Apache_Tomcat_executing_suspicious_commands
Nome de exibição do alerta: Apache_Tomcat_executing_suspicious_commands
Gravidade: Média
SCUBA_RULE_KnownBruteForcingTools
Nome de exibição do alerta: Processo suspeito executado
Gravidade: Alta
SCUBA_RULE_KnownCollectionTools
Nome de exibição do alerta: Processo suspeito executado
Gravidade: Alta
SCUBA_RULE_KnownDefenseEvasionTools
Nome de exibição do alerta: Processo suspeito executado
Gravidade: Alta
SCUBA_RULE_KnownExecutionTools
Nome de exibição do alerta: Processo suspeito executado
Gravidade: Alta
SCUBA_RULE_KnownPassTheHashTools
Nome de exibição do alerta: Processo suspeito executado
Gravidade: Alta
SCUBA_RULE_KnownSpammingTools
Nome de exibição do alerta: Processo suspeito executado
Gravidade: Média
SCUBA_RULE_Lowering_Security_Settings
Nome de exibição do alerta: detetada a desativação de serviços críticos
Gravidade: Média
SCUBA_RULE_OtherKnownHackerTools
Nome de exibição do alerta: Processo suspeito executado
Gravidade: Alta
SCUBA_RULE_RDP_session_hijacking_via_tscon
Nome de exibição do alerta: nível de integridade suspeito indicativo de sequestro de RDP
Gravidade: Média
SCUBA_RULE_RDP_session_hijacking_via_tscon_service
Nome de exibição do alerta: instalação de serviço suspeito
Gravidade: Média
SCUBA_RULE_Suppress_pesky_unauthorized_use_prohibited_notices
Nome de exibição do alerta: Supressão detetada do aviso legal exibido aos usuários no logon
Gravidade: Baixa
SCUBA_RULE_WDigest_Enabling
Nome de Exibição do Alerta: Detetada a ativação da chave do Registro WDigest UseLogonCredential
Gravidade: Média
VM.Windows_ApplockerBypass
Nome de exibição do alerta: Tentativa potencial de ignorar o AppLocker detetada
Gravidade: Alta
VM.Windows_BariumKnownSuspiciousProcessExecution
Nome de exibição do alerta: criação de arquivos suspeitos detetados
Gravidade: Alta
VM.Windows_Base64EncodedExecutableInCommandLineParams
Nome de exibição do alerta: executável codificado detetado nos dados da linha de comando
Gravidade: Alta
VM.Windows_CalcsCommandLineUse
Nome de exibição do alerta: Detetado o uso suspeito de Cacls para reduzir o estado de segurança do sistema
Gravidade: Média
VM.Windows_CommandLineStartingAllExe
Nome de exibição do alerta: linha de comando suspeita detetada usada para iniciar todos os executáveis em um diretório
Gravidade: Média
VM.Windows_DisablingAndDeletingIISLogFiles
Nome de exibição do alerta: ações detetadas indicativas de desabilitar e excluir arquivos de log do IIS
Gravidade: Média
VM.Windows_DownloadUsingCertutil
Nome de exibição do alerta: Download suspeito usando Certutil detetado
Gravidade: Média
VM.Windows_EchoOverPipeOnLocalhost
Nome de exibição do alerta: Comunicações suspeitas de pipe nomeado detetadas
Gravidade: Alta
VM.Windows_EchoToConstructPowerShellScript
Nome para exibição do alerta: construção de script do PowerShell dinâmico
Gravidade: Média
VM.Windows_ExecutableDecodedUsingCertutil
Nome de exibição do alerta: decodificação detetada de um executável usando a ferramenta certutil.exe integrada
Gravidade: Média
VM.Windows_FileDeletionIsSospisiousLocation
Nome de exibição do alerta: exclusão de arquivo suspeito detetada
Gravidade: Média
VM.Windows_KerberosGoldenTicketAttack
Nome de exibição do alerta: parâmetros suspeitos de ataque Kerberos Golden Ticket observados
Gravidade: Média
VM.Windows_KeygenToolKnownProcessName
Nome de exibição do alerta: Detetada possível execução do executável keygen Processo suspeito executado
Gravidade: Média
VM.Windows_KnownCredentialAccessTools
Nome de exibição do alerta: Processo suspeito executado
Gravidade: Alta
VM.Windows_KnownSuspiciousPowerShellScript
Nome de exibição do alerta: uso suspeito do PowerShell detetado
Gravidade: Alta
VM.Windows_KnownSuspiciousSoftwareInstallation
Nome de exibição do alerta: software de alto risco detetado
Gravidade: Média
VM.Windows_MsHtaAndPowerShellCombination
Nome de exibição do alerta: Detetada combinação suspeita de HTA e PowerShell
Gravidade: Média
VM.Windows_MultipleAccountsQuery
Nome de exibição do alerta: várias contas de domínio consultadas
Gravidade: Média
VM.Windows_NewAccountCreation
Nome de exibição do alerta: criação de conta detetada
Gravidade: Informativo
VM.Windows_ObfuscatedCommandLine
Nome de exibição do alerta: linha de comando ofuscada detetada.
Gravidade: Alta
VM.Windows_PcaluaUseToLaunchExecutable
Nome de exibição do alerta: Detetado o uso suspeito de Pcalua.exe para iniciar o código executável
Gravidade: Média
VM.Windows_PetyaRansomware
Nome de exibição do alerta: Indicadores do ransomware Petya detetados
Gravidade: Alta
VM.Windows_PowerShellPowerSploitScriptExecution
Nome de exibição do alerta: cmdlets suspeitos do PowerShell executados
Gravidade: Média
VM.Windows_RansomwareIndication
Nome de exibição do alerta: Indicadores de ransomware detetados
Gravidade: Alta
VM.Windows_SqlDumperUsedSuspiciously
Nome de exibição do alerta: Possível dumping de credenciais detetado [visto várias vezes]
Gravidade: Média
VM.Windows_StopCriticalServices
Nome de exibição do alerta: detetada a desativação de serviços críticos
Gravidade: Média
VM.Windows_SubvertingAccessibilityBinary
Nome de exibição do alerta: Ataque de chaves adesivas detetado Criação de conta suspeita detetada Médio
VM.Windows_SuspiciousAccountCreation
Nome de exibição do alerta: criação de conta suspeita detetada
Gravidade: Média
VM.Windows_SuspiciousFirewallRuleAdded
Nome de exibição do alerta: nova regra de firewall suspeita detetada
Gravidade: Média
VM.Windows_SuspiciousFTPSSwitchUsage
Nome de exibição do alerta: Detetado o uso suspeito do switch FTP -s
Gravidade: Média
VM.Windows_SuspiciousSQLActivity
Nome de exibição do alerta: atividade SQL suspeita
Gravidade: Média
VM.Windows_SVCHostFromInvalidPath
Nome de exibição do alerta: Processo suspeito executado
Gravidade: Alta
VM.Windows_SystemEventLogCleared
Nome para Exibição do Alerta: O log de Segurança do Windows foi limpo
Gravidade: Informativo
VM.Windows_TelegramInstallation
Nome de exibição de alerta: Detetado uso potencialmente suspeito da ferramenta Telegram
Gravidade: Média
VM.Windows_UndercoverProcess
Nome de exibição do alerta: processo com nome suspeito detetado
Gravidade: Alta
VM.Windows_UserAccountControlBypass
Nome de Exibição do Alerta: Alteração detetada em uma chave do Registro que pode ser abusada para ignorar o UAC
Gravidade: Média
VM.Windows_VBScriptEncoding
Nome de exibição do alerta: Execução suspeita detetada do comando VBScript.Encode
Gravidade: Média
VM.Windows_WindowPositionRegisteryChange
Nome de exibição do alerta: valor do Registro WindowPosition suspeito detetado
Gravidade: Baixa
VM.Windows_ZincPortOpenningUsingFirewallRule
Nome de exibição do alerta: Regra de firewall maliciosa criada pelo implante do servidor ZINC
Gravidade: Alta
VM_DigitalCurrencyMining
Nome de exibição do alerta: comportamento relacionado à mineração de moeda digital detetado
Gravidade: Alta
VM_MaliciousSQLActivity
Nome de exibição do alerta: atividade maliciosa do SQL
Gravidade: Alta
VM_ProcessWithDoubleExtensionExecution
Nome de exibição do alerta: Arquivo de extensão dupla suspeito executado
Gravidade: Alta
VM_RegistryPersistencyKey
Nome de exibição do alerta: método de persistência do registro do Windows detetado
Gravidade: Baixa
VM_ShadowCopyDeletion
Nome de exibição do alerta: Executável suspeito da atividade de cópia de sombra de volume encontrado em execução a partir de um local suspeito
Gravidade: Alta
VM_SuspectExecutablePath
Nome de exibição do alerta: Executável encontrado em execução a partir de um local suspeito Detetada mistura anômala de caracteres maiúsculos e minúsculos na linha de comando
Gravidade: Informativo
Médio
VM_SuspectPhp
Nome de exibição do alerta: execução suspeita do PHP detetada
Gravidade: Média
VM_SuspiciousCommandLineExecution
Nome de exibição do alerta: execução de comando suspeito
Gravidade: Alta
VM_SuspiciousScreenSaverExecution
Nome de exibição do alerta: processo suspeito do protetor de tela executado
Gravidade: Média
VM_SvcHostRunInRareServiceGroup
Nome de exibição do alerta: grupo de serviço SVCHOST raro executado
Gravidade: Informativo
VM_SystemProcessInAbnormalContext
Nome de exibição do alerta: Processo suspeito do sistema executado
Gravidade: Média
VM_ThreatIntelCommandLineSuspectDomain
Nome de exibição do alerta: uma possível conexão com um local mal-intencionado foi detetada
Gravidade: Média
VM_ThreatIntelSuspectLogon
Nome de exibição do alerta: um logon de um IP mal-intencionado foi detetado
Gravidade: Alta
VM_VbScriptHttpObjectAllocation
Nome de exibição do alerta: alocação de objeto HTTP VBScript detetada
Gravidade: Alta
VM_TaskkillBurst
Nome de exibição do alerta: Interrupção suspeita de encerramento do processo
Gravidade: Baixa
VM_RunByPsExec
Nome de exibição do alerta: execução PsExec detetada
Gravidade: Informativo
Nota
Para alertas que estão em pré-visualização: Os Termos Suplementares do Azure Preview incluem termos legais adicionais que se aplicam a funcionalidades do Azure que estão em versão beta, pré-visualização ou que ainda não foram disponibilizadas para disponibilidade geral.