Partilhar via


Incidentes - um guia de referência

Nota

Para incidentes que estão em pré-visualização: Os Termos Suplementares do Azure Preview incluem termos legais adicionais que se aplicam a funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não disponibilizadas para disponibilidade geral.

Este artigo lista os incidentes que você pode obter do Microsoft Defender for Cloud e de quaisquer planos do Microsoft Defender que você tenha habilitado. Os incidentes mostrados em seu ambiente dependem dos recursos e serviços que você está protegendo e da sua configuração personalizada.

Um incidente de segurança é uma correlação de alertas com uma história de ataque que compartilha uma entidade. Por exemplo, Recurso, Endereço IP, Usuário ou compartilhar um padrão de cadeia de eliminação.

Você pode selecionar um incidente para exibir todos os alertas relacionados ao incidente e obter mais informações.

Saiba como gerir incidentes de segurança.

Nota

O mesmo alerta pode existir como parte de um incidente, bem como ser visível como um alerta autônomo.

Incidente de segurança

Mais detalhes e notas

Alerta Description Gravidade
Incidente de segurança detetado atividade suspeita do utilizador (Pré-visualização) Esse incidente indica operações suspeitas do usuário em seu ambiente. Vários alertas de diferentes planos do Defender for Cloud foram acionados por esse usuário, o que aumenta a fidelidade de atividades maliciosas em seu ambiente. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar essas operações para comprometer recursos em seu ambiente. Isso pode indicar que a conta está comprometida e está sendo usada com intenção maliciosa. Alto
Incidente de segurança detetado atividade principal de serviço suspeita (Pré-visualização) Esse incidente indica operações suspeitas da entidade de serviço em seu ambiente. Vários alertas de diferentes planos do Defender for Cloud foram acionados por essa entidade de serviço, o que aumenta a fidelidade de atividades maliciosas em seu ambiente. Embora essa atividade possa ser legítima, um agente de ameaça pode utilizar essas operações para comprometer recursos em seu ambiente. Isso pode indicar que a entidade de serviço está comprometida e está sendo usada com intenção maliciosa. Alto
Incidente de segurança detetado atividade suspeita de mineração de criptografia (Visualização) Cenário 1: Este incidente indica que a atividade suspeita de mineração de criptografia foi detetada após a atividade suspeita do usuário ou da entidade principal do serviço. Vários alertas de diferentes planos do Defender for Cloud foram acionados no mesmo recurso, o que aumenta a fidelidade de atividades maliciosas em seu ambiente. A atividade suspeita da conta pode indicar que um agente de ameaça obteve acesso não autorizado ao seu ambiente, e a atividade de mineração de criptografia subsequente pode sugerir que eles comprometeram com sucesso seu recurso e estão usando-o para minerar criptomoedas, o que pode levar a um aumento dos custos para sua organização.

Cenário 2: Este incidente indica que a atividade suspeita de mineração de criptografia foi detetada após um ataque de força bruta no mesmo recurso de máquina virtual. Vários alertas de diferentes planos do Defender for Cloud foram acionados no mesmo recurso, o que aumenta a fidelidade de atividades maliciosas em seu ambiente. O ataque de força bruta à máquina virtual pode indicar que um agente de ameaça está tentando obter acesso não autorizado ao seu ambiente, e a atividade de mineração de criptografia subsequente pode sugerir que eles comprometeram com sucesso seu recurso e o usaram para minerar criptomoedas, o que pode levar a um aumento dos custos para sua organização.
Alto
Incidente de segurança detetado atividade suspeita do Cofre da Chave (Visualização) Cenário 1: Este incidente indica que foi detetada atividade suspeita no seu ambiente relacionada com a utilização do Cofre de Chaves. Vários alertas de diferentes planos do Defender for Cloud foram acionados por esse usuário ou entidade de serviço, o que aumenta a fidelidade de atividades maliciosas em seu ambiente. A atividade suspeita do Cofre de Chaves pode indicar que um agente de ameaça está tentando obter acesso aos seus dados confidenciais, como chaves, segredos e certificados, e a conta está comprometida e está sendo usada com intenção maliciosa.

Cenário 2: Este incidente indica que foi detetada atividade suspeita no seu ambiente relacionada com a utilização do Cofre de Chaves. Vários alertas de diferentes planos do Defender for Cloud foram acionados a partir do mesmo endereço IP, o que aumenta a fidelidade de atividades maliciosas em seu ambiente. A atividade suspeita do Cofre de Chaves pode indicar que um agente de ameaça está tentando obter acesso aos seus dados confidenciais, como chaves, segredos e certificados, e a conta está comprometida e está sendo usada com intenção maliciosa.

Cenário 3: Este incidente indica que foi detetada atividade suspeita no seu ambiente relacionada com a utilização do Cofre de Chaves. Vários alertas de diferentes planos do Defender for Cloud foram acionados no mesmo recurso, o que aumenta a fidelidade de atividades maliciosas em seu ambiente. A atividade suspeita do Cofre de Chaves pode indicar que um agente de ameaça está tentando obter acesso aos seus dados confidenciais, como chaves, segredos e certificados, e a conta está comprometida e está sendo usada com intenção maliciosa.
Alto
Incidente de segurança detetado atividade SAS suspeita (Pré-visualização) Esse incidente indica que atividades suspeitas foram detetadas após o potencial uso indevido de um token SAS. Vários alertas de diferentes planos do Defender for Cloud foram acionados no mesmo recurso, o que aumenta a fidelidade de atividades maliciosas em seu ambiente. O uso de um token SAS pode indicar que um agente de ameaça obteve acesso não autorizado à sua conta de armazenamento e está tentando acessar ou exfiltrar dados confidenciais. Alto
Incidente de segurança detetado atividade de localização geográfica anómala (Pré-visualização) Cenário 1: Este incidente indica que a atividade de localização geográfica anômala foi detetada em seu ambiente. Vários alertas de diferentes planos do Defender for Cloud foram acionados no mesmo recurso, o que aumenta a fidelidade de atividades maliciosas em seu ambiente. Atividades suspeitas originadas de locais anômalos podem indicar que um agente de ameaças obteve acesso não autorizado ao seu ambiente e está tentando comprometê-lo.

Cenário 2: Este incidente indica que a atividade de localização geográfica anômala foi detetada em seu ambiente. Vários alertas de diferentes planos do Defender for Cloud foram acionados a partir do mesmo endereço IP, o que aumenta a fidelidade de atividades maliciosas em seu ambiente. Atividades suspeitas originadas de locais anômalos podem indicar que um agente de ameaças obteve acesso não autorizado ao seu ambiente e está tentando comprometê-lo.
Alto
Incidente de segurança detetado atividade IP suspeita (Visualização) Cenário 1: Este incidente indica que foi detetada atividade suspeita proveniente de um endereço IP suspeito. Vários alertas de diferentes planos do Defender for Cloud foram acionados a partir do mesmo endereço IP, o que aumenta a fidelidade de atividades maliciosas em seu ambiente. A atividade suspeita originada de um endereço IP suspeito pode indicar que um invasor obteve acesso não autorizado ao seu ambiente e está tentando comprometê-lo.

Cenário 2: Este incidente indica que foi detetada atividade suspeita proveniente de um endereço IP suspeito. Vários alertas de diferentes planos do Defender for Cloud foram acionados no mesmo usuário ou entidade de serviço, o que aumenta a fidelidade de atividades maliciosas em seu ambiente. A atividade suspeita originada de um endereço IP suspeito pode indicar que um invasor obteve acesso não autorizado ao seu ambiente e está tentando comprometê-lo.
Alto
Incidente de segurança detetou atividade suspeita de ataque sem ficheiros (Pré-visualização) Esse incidente indica que um kit de ferramentas de ataque sem arquivo foi detetado em uma máquina virtual após uma possível tentativa de exploração no mesmo recurso. Vários alertas de diferentes planos do Defender for Cloud foram acionados na mesma máquina virtual, o que aumenta a fidelidade de atividades maliciosas em seu ambiente. A presença de um kit de ferramentas de ataque sem arquivos na máquina virtual pode indicar que um agente de ameaça obteve acesso não autorizado ao seu ambiente e está tentando escapar da deteção enquanto realiza outras atividades maliciosas. Alto
Incidente de segurança detetado atividade DDOS suspeita (Visualização) Esse incidente indica que a atividade suspeita de negação de serviço distribuída (DDOS) foi detetada em seu ambiente. Os ataques DDOS são projetados para sobrecarregar sua rede ou aplicativo com um alto volume de tráfego, fazendo com que ele fique indisponível para usuários legítimos. Vários alertas de diferentes planos do Defender for Cloud foram acionados no mesmo endereço IP, o que aumenta a fidelidade de atividades maliciosas em seu ambiente. Alto
Incidente de segurança detetado atividade suspeita de exfiltração de dados (Visualização) Cenário 1: Este incidente indica que a atividade suspeita de exfiltração de dados foi detetada após uma atividade suspeita do usuário ou da entidade de serviço. Vários alertas de diferentes planos do Defender for Cloud foram acionados no mesmo recurso, o que aumenta a fidelidade de atividades maliciosas em seu ambiente. A atividade suspeita da conta pode indicar que um agente de ameaça obteve acesso não autorizado ao seu ambiente, e a atividade de exfiltração de dados subsequente pode sugerir que ele está tentando roubar informações confidenciais.

Cenário 2: Este incidente indica que a atividade suspeita de exfiltração de dados foi detetada após uma atividade suspeita do usuário ou da entidade de serviço. Vários alertas de diferentes planos do Defender for Cloud foram acionados a partir do mesmo endereço IP, o que aumenta a fidelidade de atividades maliciosas em seu ambiente. A atividade suspeita da conta pode indicar que um agente de ameaça obteve acesso não autorizado ao seu ambiente, e a atividade de exfiltração de dados subsequente pode sugerir que ele está tentando roubar informações confidenciais.

Cenário 3: Este incidente indica que a atividade suspeita de exfiltração de dados foi detetada após uma redefinição de senha incomum em uma máquina virtual. Vários alertas de diferentes planos do Defender for Cloud foram acionados a partir do mesmo endereço IP, o que aumenta a fidelidade de atividades maliciosas em seu ambiente. A atividade suspeita da conta pode indicar que um agente de ameaça obteve acesso não autorizado ao seu ambiente, e a atividade de exfiltração de dados subsequente pode sugerir que ele está tentando roubar informações confidenciais.
Alto
Incidente de segurança detetado atividade suspeita da API (Visualização) Esse incidente indica que a atividade suspeita da API foi detetada. Vários alertas do Defender for Cloud foram acionados no mesmo recurso, o que aumenta a fidelidade de atividades maliciosas em seu ambiente. O uso suspeito da API pode indicar que um agente de ameaça está tentando acessar informações confidenciais ou executar ações não autorizadas. Alto
Incidente de segurança detetado atividade suspeita do cluster Kubernetes (Visualização) Esse incidente indica que atividades suspeitas foram detetadas em seu cluster Kubernetes após atividades suspeitas de usuários. Vários alertas de diferentes planos do Defender for Cloud foram acionados no mesmo cluster, o que aumenta a fidelidade de atividades maliciosas em seu ambiente. A atividade suspeita no cluster do Kubernetes pode indicar que um agente de ameaça obteve acesso não autorizado ao seu ambiente e está tentando comprometê-lo. Alto
Incidente de segurança detetado atividade de armazenamento suspeita (Pré-visualização) Cenário 1: Este incidente indica que foi detetada atividade de armazenamento suspeita na sequência de uma atividade suspeita do utilizador ou da entidade de serviço. Vários alertas de diferentes planos do Defender for Cloud foram acionados no mesmo recurso, o que aumenta a fidelidade de atividades maliciosas em seu ambiente. A atividade suspeita da conta pode indicar que um agente de ameaças obteve acesso não autorizado ao seu ambiente, e a atividade de armazenamento suspeita subsequente pode sugerir que ele está tentando acessar dados potencialmente confidenciais.

Cenário 2: Este incidente indica que foi detetada atividade de armazenamento suspeita na sequência de uma atividade suspeita do utilizador ou da entidade de serviço. Vários alertas de diferentes planos do Defender for Cloud foram acionados a partir do mesmo endereço IP, o que aumenta a fidelidade de atividades maliciosas em seu ambiente. A atividade suspeita da conta pode indicar que um agente de ameaças obteve acesso não autorizado ao seu ambiente, e a atividade de armazenamento suspeita subsequente pode sugerir que ele está tentando acessar dados potencialmente confidenciais.
Alto
Incidente de segurança detetou atividade suspeita do kit de ferramentas do Azure (Pré-visualização) Esse incidente indica que atividades suspeitas foram detetadas após o uso potencial de um kit de ferramentas do Azure. Vários alertas de diferentes planos do Defender for Cloud foram acionados no mesmo usuário ou entidade de serviço, o que aumenta a fidelidade de atividades maliciosas em seu ambiente. O uso de um kit de ferramentas do Azure pode indicar que um invasor obteve acesso não autorizado ao seu ambiente e está tentando comprometê-lo. Alto
Incidente de segurança detetado atividade DNS suspeita (Pré-visualização) Cenário 1: Este incidente indica que foi detetada atividade DNS suspeita. Vários alertas de diferentes planos do Defender for Cloud foram acionados no mesmo recurso, o que aumenta a fidelidade de atividades maliciosas em seu ambiente. A atividade suspeita de DNS pode indicar que um agente de ameaças obteve acesso não autorizado ao seu ambiente e está tentando comprometê-lo.

Cenário 2: Este incidente indica que foi detetada atividade DNS suspeita. Vários alertas de diferentes planos do Defender for Cloud foram acionados a partir do mesmo endereço IP, o que aumenta a fidelidade de atividades maliciosas em seu ambiente. A atividade suspeita de DNS pode indicar que um agente de ameaças obteve acesso não autorizado ao seu ambiente e está tentando comprometê-lo.
Médio
Incidente de segurança detetado atividade SQL suspeita (Visualização) Cenário 1: Este incidente indica que foi detetada atividade SQL suspeita. Vários alertas de diferentes planos do Defender for Cloud foram acionados a partir do mesmo endereço IP, o que aumenta a fidelidade de atividades maliciosas em seu ambiente. A atividade suspeita do SQL pode indicar que um agente de ameaça está visando seu servidor SQL e está tentando comprometê-lo.

Cenário 2: Este incidente indica que foi detetada atividade SQL suspeita. Vários alertas de diferentes planos do Defender for Cloud foram acionados no mesmo recurso, o que aumenta a fidelidade de atividades maliciosas em seu ambiente. A atividade suspeita do SQL pode indicar que um agente de ameaça está visando seu servidor SQL e está tentando comprometê-lo.
Alto
Incidente de segurança detetado atividade suspeita do serviço da aplicação (Pré-visualização) Cenário 1: esse incidente indica que atividades suspeitas foram detetadas em seu ambiente de serviço de aplicativo. Vários alertas de diferentes planos do Defender for Cloud foram acionados no mesmo recurso, o que aumenta a fidelidade de atividades maliciosas em seu ambiente. A atividade suspeita do serviço de aplicativo pode indicar que um agente de ameaça está visando seu aplicativo e pode estar tentando comprometê-lo.

Cenário 2: esse incidente indica que atividades suspeitas foram detetadas em seu ambiente de serviço de aplicativo. Vários alertas de diferentes planos do Defender for Cloud foram acionados a partir do mesmo endereço IP, o que aumenta a fidelidade de atividades maliciosas em seu ambiente. A atividade suspeita do serviço de aplicativo pode indicar que um agente de ameaça está visando seu aplicativo e pode estar tentando comprometê-lo.
Alto
Incidente de segurança detetado máquina comprometida com comunicação botnet Esse incidente indica atividade suspeita de botnet em sua máquina virtual. Vários alertas de diferentes planos do Defender for Cloud foram acionados em ordem cronológica no mesmo recurso, seguindo a estrutura MITRE ATT&CK. Isso pode indicar que um agente de ameaça obteve acesso não autorizado ao seu ambiente e está tentando comprometê-lo. Médio/Alto
Incidente de segurança detetado máquinas comprometidas com comunicação botnet Esse incidente indica atividade suspeita de botnet em suas máquinas virtuais. Vários alertas de diferentes planos do Defender for Cloud foram acionados em ordem cronológica no mesmo recurso, seguindo a estrutura MITRE ATT&CK. Isso pode indicar que um agente de ameaça obteve acesso não autorizado ao seu ambiente e está tentando comprometê-lo. Médio/Alto
Incidente de segurança detetado máquina comprometida com atividade de saída maliciosa Esse incidente indica atividade de saída suspeita em sua máquina virtual. Vários alertas de diferentes planos do Defender for Cloud foram acionados em ordem cronológica no mesmo recurso, seguindo a estrutura MITRE ATT&CK. Isso pode indicar que um agente de ameaça obteve acesso não autorizado ao seu ambiente e está tentando comprometê-lo. Médio/Alto
Incidente de segurança detetou máquinas comprometidas Esse incidente indica atividade suspeita em uma ou mais de suas máquinas virtuais. Vários alertas de diferentes planos do Defender for Cloud foram acionados em ordem cronológica nos mesmos recursos, seguindo a estrutura MITRE ATT&CK. Isso pode indicar que um agente de ameaça obteve acesso não autorizado ao seu ambiente e comprometeu com êxito essas máquinas. Médio/Alto
Incidente de segurança detetou máquinas comprometidas com atividades de saída maliciosas Esse incidente indica atividade de saída suspeita de suas máquinas virtuais. Vários alertas de diferentes planos do Defender for Cloud foram acionados em ordem cronológica nos mesmos recursos, seguindo a estrutura MITRE ATT&CK. Isso pode indicar que um agente de ameaça obteve acesso não autorizado ao seu ambiente e está tentando comprometê-lo. Médio/Alto
Incidente de segurança detetado em várias máquinas Esse incidente indica atividade suspeita em uma ou mais de suas máquinas virtuais. Vários alertas de diferentes planos do Defender for Cloud foram acionados em ordem cronológica no mesmo recurso, seguindo a estrutura MITRE ATT&CK. Isso pode indicar que um agente de ameaça obteve acesso não autorizado ao seu ambiente e está tentando comprometê-lo. Médio/Alto
Incidente de segurança com processo compartilhado detetado Cenário 1: Este incidente indica atividade suspeita na sua máquina virtual. Vários alertas de diferentes planos do Defender for Cloud foram acionados compartilhando o mesmo processo. Isso pode indicar que um agente de ameaça obteve acesso não autorizado ao seu ambiente e está tentando comprometê-lo.

Cenário 2: Este incidente indica atividade suspeita nas suas máquinas virtuais. Vários alertas de diferentes planos do Defender for Cloud foram acionados compartilhando o mesmo processo. Isso pode indicar que um agente de ameaça obteve acesso não autorizado ao seu ambiente e está tentando comprometê-lo.
Médio/Alto

Próximos passos

Gerir incidentes de segurança no Microsoft Defender para a Cloud