Resource Manager 的警示
本文列出您可以從 適用於雲端的 Microsoft Defender 取得 Resource Manager 的安全性警示,以及您啟用的任何Microsoft Defender 方案。 您環境中顯示的警示取決於您要保護的資源和服務,以及您的自定義組態。
注意
Microsoft Defender 威脅情報 和 適用於端點的 Microsoft Defender 提供電源的一些最近新增的警示可能未記載。
注意
來自不同來源的警示可能需要不同時間才會出現。 例如,需要分析網路流量的警示,可能會比與虛擬機上執行的可疑進程相關的警示出現的時間更長。
Resource Manager 警示
注意
由於第三方服務提供者的活動,會觸發具有 委派存取 指示的警示。 深入瞭解 服務提供者活動指示。
來自可疑IP位址的 Azure Resource Manager 作業
(ARM_OperationFromSuspiciousIP)
描述:Microsoft適用於 Resource Manager 的 Defender 偵測到 IP 位址中的作業,該 IP 位址在威脅情報摘要中標示為可疑。
MITRE 策略:執行
嚴重性:中
來自可疑 Proxy IP 位址的 Azure Resource Manager 作業
(ARM_OperationFromSuspiciousProxyIP)
描述:Microsoft適用於 Resource Manager 的 Defender 偵測到與 Proxy 服務相關聯的 IP 位址的資源管理作業,例如 TOR。 雖然此行為可能是合法的,但當威脅執行者嘗試隱藏其來源IP時,通常會出現在惡意活動中。
MITRE 戰術:防禦逃避
嚴重性:中
用來列舉訂用帳戶中資源的 MicroBurst 惡意探索工具組
(ARM_MicroBurst.AzDomainInfo)
描述:您的訂用帳戶中執行PowerShell腳本,並執行了執行資訊收集作業的可疑模式,以探索資源、許可權和網路結構。 威脅執行者會使用 MicroBurst 等自動化腳本來收集惡意活動的資訊。 這是藉由分析訂用帳戶中的 Azure Resource Manager 作業來偵測到的。 這項作業可能表示貴組織中的身分識別遭到入侵,而且威脅執行者正嘗試危害您的環境,以取得惡意意圖。
MITRE 策略: -
嚴重性:低
用來列舉訂用帳戶中資源的 MicroBurst 惡意探索工具組
(ARM_MicroBurst.AzureDomainInfo)
描述:您的訂用帳戶中執行PowerShell腳本,並執行了執行資訊收集作業的可疑模式,以探索資源、許可權和網路結構。 威脅執行者會使用 MicroBurst 等自動化腳本來收集惡意活動的資訊。 這是藉由分析訂用帳戶中的 Azure Resource Manager 作業來偵測到的。 這項作業可能表示貴組織中的身分識別遭到入侵,而且威脅執行者正嘗試危害您的環境,以取得惡意意圖。
MITRE 策略: -
嚴重性:低
用來在虛擬機上執行程序代碼的 MicroBurst 惡意探索工具組
(ARM_MicroBurst.AzVMBulkCMD)
描述:您的訂用帳戶中執行 PowerShell 腳本,並執行了在 VM 或 VM 清單上執行程式碼的可疑模式。 威脅執行者會使用 MicroBurst 等自動化腳本,在 VM 上執行惡意活動的腳本。 這是藉由分析訂用帳戶中的 Azure Resource Manager 作業來偵測到的。 這項作業可能表示貴組織中的身分識別遭到入侵,而且威脅執行者正嘗試危害您的環境,以取得惡意意圖。
MITRE 策略:執行
嚴重性:高
用來在虛擬機上執行程序代碼的 MicroBurst 惡意探索工具組
(RM_MicroBurst.AzureRmVMBulkCMD)
描述:MicroBurst 的惡意探索工具組用來在虛擬機上執行程序代碼。 這是藉由分析訂用帳戶中的 Azure Resource Manager 作業來偵測到的。
MITRE 策略: -
嚴重性:高
用來從 Azure 金鑰保存庫擷取金鑰的 MicroBurst 惡意探索工具組
(ARM_MicroBurst.AzKeyVaultKeysREST)
描述:您的訂用帳戶中執行 PowerShell 腳本,並執行了從 Azure 金鑰保存庫(s) 擷取密鑰的可疑模式。 威脅執行者會使用 MicroBurst 等自動化腳本來列出密鑰,並使用它們來存取敏感數據或執行橫向移動。 這是藉由分析訂用帳戶中的 Azure Resource Manager 作業來偵測到的。 這項作業可能表示貴組織中的身分識別遭到入侵,而且威脅執行者正嘗試危害您的環境,以取得惡意意圖。
MITRE 策略: -
嚴重性:高
用來擷取記憶體帳戶密鑰的 MicroBurst 惡意探索工具組
(ARM_MicroBurst.AZStorageKeysREST)
描述:您的訂用帳戶中執行 PowerShell 腳本,並執行了將密鑰擷取至記憶體帳戶的可疑模式。 威脅執行者會使用 MicroBurst 等自動化腳本來列出密鑰,並使用它們來存取記憶體帳戶中的敏感數據。 這是藉由分析訂用帳戶中的 Azure Resource Manager 作業來偵測到的。 這項作業可能表示貴組織中的身分識別遭到入侵,而且威脅執行者正嘗試危害您的環境,以取得惡意意圖。
MITRE 策略:集合
嚴重性:低
用來從 Azure 金鑰保存庫擷取秘密的 MicroBurst 惡意探索工具組
(ARM_MicroBurst.AzKeyVaultSecretsREST)
描述:您的訂用帳戶中執行 PowerShell 腳本,並執行了從 Azure 金鑰保存庫(s) 擷取秘密的可疑模式。 威脅執行者會使用 MicroBurst 等自動化腳本來列出秘密,並使用它們來存取敏感數據或執行橫向移動。 這是藉由分析訂用帳戶中的 Azure Resource Manager 作業來偵測到的。 這項作業可能表示貴組織中的身分識別遭到入侵,而且威脅執行者正嘗試危害您的環境,以取得惡意意圖。
MITRE 策略: -
嚴重性:高
用來將 Azure AD 的存取權提升至 Azure 的 PowerZure 惡意探索工具組
(ARM_PowerZure.AzureElevatedPrivileges)
描述:P owerZure 惡意探索工具組可用來將 AzureAD 的存取權提升至 Azure。 這是藉由分析租使用者中的 Azure Resource Manager 作業來偵測到的。
MITRE 策略: -
嚴重性:高
用來列舉資源的PowerZure惡意探索工具組
(ARM_PowerZure.GetAzureTargets)
描述:P owerZure 惡意探索工具組用來代表您組織中的合法用戶帳戶列舉資源。 這是藉由分析訂用帳戶中的 Azure Resource Manager 作業來偵測到的。
MITRE 策略:集合
嚴重性:高
用來列舉記憶體容器、共用和數據表的PowerZure惡意探索工具組
(ARM_PowerZure.ShowStorageContent)
描述:P owerZure 惡意探索工具組可用來列舉記憶體共用、數據表和容器。 這是藉由分析訂用帳戶中的 Azure Resource Manager 作業來偵測到的。
MITRE 策略: -
嚴重性:高
用來在您的訂用帳戶中執行 Runbook 的 PowerZure 惡意探索工具組
(ARM_PowerZure.StartRunbook)
描述:P owerZure 惡意探索工具組用來執行 Runbook。 這是藉由分析訂用帳戶中的 Azure Resource Manager 作業來偵測到的。
MITRE 策略: -
嚴重性:高
用來擷取 Runbook 內容的 PowerZure 惡意探索工具組
(ARM_PowerZure.AzureRunbookContent)
描述:P owerZure 惡意探索工具組用來擷取 Runbook 內容。 這是藉由分析訂用帳戶中的 Azure Resource Manager 作業來偵測到的。
MITRE 策略:集合
嚴重性:高
預覽 - 偵測到 Azurite 工具組執行
(ARM_Azurite)
描述:在您的環境中偵測到已知的雲端環境偵察工具組執行。 攻擊者可以使用 Azurite 工具(或滲透測試人員)來對應訂用帳戶的資源,並識別不安全的組態。
MITRE 策略:集合
嚴重性:高
預覽 - 偵測到可疑的計算資源建立
(ARM_SuspiciousComputeCreation)
描述:Microsoft適用於 Resource Manager 的 Defender 發現使用 虛擬機器/Azure 擴展集在訂用帳戶中建立計算資源的可疑。 識別的作業是設計來允許系統管理員在需要時部署新的資源,以有效率地管理其環境。 雖然此活動可能是合法的,但威脅執行者可能會利用這類作業來執行密碼編譯採礦。 活動被視為可疑,因為計算資源規模高於先前在訂用帳戶中觀察到的。 這表示主體遭到入侵,且正與惡意意圖搭配使用。
MITRE 策略:影響
嚴重性:中
預覽 - 偵測到可疑的金鑰保存庫復原
(Arm_Suspicious_Vault_Recovering)
描述:Microsoft適用於 Resource Manager 的 Defender 偵測到虛刪除密鑰保存庫資源的可疑復原作業。 復原資源的用戶與刪除資源的使用者不同。 這非常可疑,因為使用者很少叫用這類作業。 此外,使用者登入時沒有多重要素驗證 (MFA)。 這可能表示使用者遭到入侵,並嘗試探索秘密和密鑰以取得敏感性資源的存取權,或跨網路執行橫向移動。
MITRE 策略:橫向移動
嚴重性:中/高
預覽 - 使用偵測到非使用中帳戶的可疑管理會話
(ARM_UnusedAccountPersistence)
描述:訂用帳戶活動記錄分析偵測到可疑的行為。 長時間未使用的主體現在正在執行可保護攻擊者持續性的動作。
MITRE 策略:持續性
嚴重性:中
預覽 - 偵測到服務主體對高風險「認證存取」作業的可疑叫用
(ARM_AnomalousServiceOperation.CredentialAccess)
描述:Microsoft適用於 Resource Manager 的 Defender 識別出訂用帳戶中高風險作業的可疑調用,這可能表示嘗試存取認證。 識別的作業是設計來允許系統管理員有效率地管理其環境。 雖然此活動可能是合法的,但威脅執行者可能會利用這類作業來存取受限制的認證,並危害您環境中的資源。 這表示服務主體遭到入侵,且正與惡意意圖搭配使用。
MITRE 策略:認證存取
嚴重性:中
預覽 - 偵測到服務主體對高風險「數據收集」作業的可疑調用
(ARM_AnomalousServiceOperation.Collection)
描述:Microsoft適用於 Resource Manager 的 Defender 識別出訂用帳戶中高風險作業的可疑調用,這可能表示嘗試收集數據。 識別的作業是設計來允許系統管理員有效率地管理其環境。 雖然此活動可能是合法的,但威脅執行者可能會利用這類作業來收集環境中資源的敏感數據。 這表示服務主體遭到入侵,且正與惡意意圖搭配使用。
MITRE 策略:集合
嚴重性:中
預覽 - 偵測到服務主體對高風險「防禦逃避」作業的可疑調用
(ARM_AnomalousServiceOperation.DefenseEvasion)
描述:Microsoft適用於 Resource Manager 的 Defender 識別出訂用帳戶中高風險作業的可疑調用,這可能表示嘗試逃避防禦。 識別的作業是設計來讓系統管理員有效率地管理其環境的安全性狀態。 雖然此活動可能是合法的,但威脅執行者可能會利用這類作業,以避免在危害您環境中的資源時偵測到。 這表示服務主體遭到入侵,且正與惡意意圖搭配使用。
MITRE 戰術:防禦逃避
嚴重性:中
預覽 - 偵測到服務主體對高風險「執行」作業的可疑調用
(ARM_AnomalousServiceOperation.Execution)
描述:Microsoft適用於 Resource Manager 的 Defender 識別出訂用帳戶中機器上高風險作業的可疑調用,這可能表示嘗試執行程序代碼。 識別的作業是設計來允許系統管理員有效率地管理其環境。 雖然此活動可能是合法的,但威脅執行者可能會利用這類作業來存取受限制的認證,並危害您環境中的資源。 這表示服務主體遭到入侵,且正與惡意意圖搭配使用。
MITRE 策略:防禦執行
嚴重性:中
預覽 - 偵測到服務主體對高風險「影響」作業的可疑調用
(ARM_AnomalousServiceOperation.Impact)
描述:Microsoft適用於 Resource Manager 的 Defender 識別出訂用帳戶中高風險作業的可疑調用,這可能表示嘗試的設定變更。 識別的作業是設計來允許系統管理員有效率地管理其環境。 雖然此活動可能是合法的,但威脅執行者可能會利用這類作業來存取受限制的認證,並危害您環境中的資源。 這表示服務主體遭到入侵,且正與惡意意圖搭配使用。
MITRE 策略:影響
嚴重性:中
預覽 - 偵測到服務主體對高風險「初始存取」作業的可疑調用
(ARM_AnomalousServiceOperation.InitialAccess)
描述:Microsoft適用於 Resource Manager 的 Defender 識別出訂用帳戶中高風險作業的可疑調用,這可能表示嘗試存取受限制的資源。 識別的作業是設計來允許系統管理員有效率地存取其環境。 雖然此活動可能是合法的,但威脅執行者可能會利用這類作業來取得環境中受限制資源的初始存取權。 這表示服務主體遭到入侵,且正與惡意意圖搭配使用。
MITRE 策略:初始存取
嚴重性:中
預覽 - 偵測到服務主體偵測到高風險「橫向動作存取」作業的可疑調用
(ARM_AnomalousServiceOperation.LateralMovement)
描述:Microsoft適用於 Resource Manager 的 Defender 識別出訂用帳戶中高風險作業的可疑調用,這可能表示嘗試執行橫向移動。 識別的作業是設計來允許系統管理員有效率地管理其環境。 雖然此活動可能是合法的,但威脅執行者可能會利用這類作業來危害您環境中的更多資源。 這表示服務主體遭到入侵,且正與惡意意圖搭配使用。
MITRE 策略:橫向移動
嚴重性:中
預覽 - 偵測到服務主體對高風險「持續性」作業的可疑調用
(ARM_AnomalousServiceOperation.Persistence)
描述:Microsoft適用於 Resource Manager 的 Defender 識別出訂用帳戶中高風險作業的可疑調用,這可能表示嘗試建立持續性。 識別的作業是設計來允許系統管理員有效率地管理其環境。 雖然此活動可能是合法的,但威脅執行者可能會利用這類作業在您的環境中建立持續性。 這表示服務主體遭到入侵,且正與惡意意圖搭配使用。
MITRE 策略:持續性
嚴重性:中
預覽 - 偵測到服務主體對高風險「許可權提升」作業的可疑叫用
(ARM_AnomalousServiceOperation.PrivilegeEscalation)
描述:Microsoft適用於 Resource Manager 的 Defender 識別出訂用帳戶中高風險作業的可疑調用,這可能表示嘗試提升許可權。 識別的作業是設計來允許系統管理員有效率地管理其環境。 雖然此活動可能是合法的,但威脅執行者可能會利用這類作業來提升許可權,同時危害您環境中的資源。 這表示服務主體遭到入侵,且正與惡意意圖搭配使用。
MITRE 策略:許可權提升
嚴重性:中
預覽 - 使用偵測到非使用中帳戶的可疑管理會話
(ARM_UnusedAccountPersistence)
描述:訂用帳戶活動記錄分析偵測到可疑的行為。 長時間未使用的主體現在正在執行可保護攻擊者持續性的動作。
MITRE 策略:持續性
嚴重性:中
預覽 - 偵測到使用 PowerShell 的可疑管理會話
(ARM_UnusedAppPowershellPersistence)
描述:訂用帳戶活動記錄分析偵測到可疑的行為。 不定期使用PowerShell來管理訂用帳戶環境的主體現在使用PowerShell,並執行可保護攻擊者持續性的動作。
MITRE 策略:持續性
嚴重性:中
預覽 - 使用偵測到的可疑管理會話 Azure 入口網站
(ARM_UnusedAppIbizaPersistence)
描述:分析您的訂用帳戶活動記錄偵測到可疑的行為。 未定期使用 Azure 入口網站 (Ibiza) 來管理訂用帳戶環境的主體(過去 45 天未使用 Azure 入口網站 管理,或正在主動管理的訂用帳戶),現在會使用 Azure 入口網站 並執行可保護攻擊者持續性的動作。
MITRE 策略:持續性
嚴重性:中
以可疑的方式為訂用帳戶建立的特殊許可權自訂角色 (預覽)
(ARM_PrivilegedRoleDefinitionCreation)
描述:Microsoft適用於 Resource Manager 的 Defender 偵測到訂用帳戶中可疑的自定義角色定義建立。 此作業可能是由組織中的合法使用者所執行。 或者,它可能表示貴組織中的帳戶遭到入侵,而且威脅執行者正嘗試建立特殊許可權角色,以在未來用來逃避偵測。
MITRE 策略:許可權提升、防禦逃避
嚴重性:資訊
偵測到可疑的 Azure 角色指派 (預覽)
(ARM_AnomalousRBACRoleAssignment)
描述:Microsoft適用於 Resource Manager 的 Defender 識別出租使用者中使用 PIM (Privileged Identity Management) 執行的可疑 Azure 角色指派/執行,這可能表示貴組織中的帳戶遭到入侵。 識別的作業是設計來允許系統管理員授與主體對 Azure 資源的存取權。 雖然此活動可能是合法的,但威脅執行者可能會利用角色指派來提升其許可權,讓他們能夠推進攻擊。
MITRE 戰術: 橫向運動, 防禦逃避
嚴重性:低 (PIM) / 高
偵測到高風險「認證存取」作業的可疑調用(預覽)
(ARM_AnomalousOperation.CredentialAccess)
描述:Microsoft適用於 Resource Manager 的 Defender 識別出訂用帳戶中高風險作業的可疑調用,這可能表示嘗試存取認證。 識別的作業是設計來允許系統管理員有效率地存取其環境。 雖然此活動可能是合法的,但威脅執行者可能會利用這類作業來存取受限制的認證,並危害您環境中的資源。 這表示帳戶遭到入侵,且正與惡意意圖搭配使用。
MITRE 策略:認證存取
嚴重性:中
偵測到高風險「數據收集」作業的可疑調用(預覽)
(ARM_AnomalousOperation.Collection)
描述:Microsoft適用於 Resource Manager 的 Defender 識別出訂用帳戶中高風險作業的可疑調用,這可能表示嘗試收集數據。 識別的作業是設計來允許系統管理員有效率地管理其環境。 雖然此活動可能是合法的,但威脅執行者可能會利用這類作業來收集環境中資源的敏感數據。 這表示帳戶遭到入侵,且正與惡意意圖搭配使用。
MITRE 策略:集合
嚴重性:中
偵測到高風險「防禦逃逸」作業的可疑調用(預覽)
(ARM_AnomalousOperation.DefenseEvasion)
描述:Microsoft適用於 Resource Manager 的 Defender 識別出訂用帳戶中高風險作業的可疑調用,這可能表示嘗試逃避防禦。 識別的作業是設計來讓系統管理員有效率地管理其環境的安全性狀態。 雖然此活動可能是合法的,但威脅執行者可能會利用這類作業,以避免在危害您環境中的資源時偵測到。 這表示帳戶遭到入侵,且正與惡意意圖搭配使用。
MITRE 戰術:防禦逃避
嚴重性:中
偵測到高風險「執行」作業的可疑調用(預覽)
(ARM_AnomalousOperation.Execution)
描述:Microsoft適用於 Resource Manager 的 Defender 識別出訂用帳戶中機器上高風險作業的可疑調用,這可能表示嘗試執行程序代碼。 識別的作業是設計來允許系統管理員有效率地管理其環境。 雖然此活動可能是合法的,但威脅執行者可能會利用這類作業來存取受限制的認證,並危害您環境中的資源。 這表示帳戶遭到入侵,且正與惡意意圖搭配使用。
MITRE 策略:執行
嚴重性:中
偵測到高風險「影響」作業的可疑調用(預覽)
(ARM_AnomalousOperation.Impact)
描述:Microsoft適用於 Resource Manager 的 Defender 識別出訂用帳戶中高風險作業的可疑調用,這可能表示嘗試的設定變更。 識別的作業是設計來允許系統管理員有效率地管理其環境。 雖然此活動可能是合法的,但威脅執行者可能會利用這類作業來存取受限制的認證,並危害您環境中的資源。 這表示帳戶遭到入侵,且正與惡意意圖搭配使用。
MITRE 策略:影響
嚴重性:中
偵測到高風險「初始存取」作業的可疑調用(預覽)
(ARM_AnomalousOperation.InitialAccess)
描述:Microsoft適用於 Resource Manager 的 Defender 識別出訂用帳戶中高風險作業的可疑調用,這可能表示嘗試存取受限制的資源。 識別的作業是設計來允許系統管理員有效率地存取其環境。 雖然此活動可能是合法的,但威脅執行者可能會利用這類作業來取得環境中受限制資源的初始存取權。 這表示帳戶遭到入侵,且正與惡意意圖搭配使用。
MITRE 策略:初始存取
嚴重性:中
偵測到高風險「橫向移動」作業的可疑調用(預覽)
(ARM_AnomalousOperation.LateralMovement)
描述:Microsoft適用於 Resource Manager 的 Defender 識別出訂用帳戶中高風險作業的可疑調用,這可能表示嘗試執行橫向移動。 識別的作業是設計來允許系統管理員有效率地管理其環境。 雖然此活動可能是合法的,但威脅執行者可能會利用這類作業來危害您環境中的更多資源。 這表示帳戶遭到入侵,且正與惡意意圖搭配使用。
MITRE 策略:橫向移動
嚴重性:中
可疑提高存取權作業(預覽)(ARM_AnomalousElevateAccess)
描述:Microsoft適用於 Resource Manager 的 Defender 識別出可疑的「提高存取權」作業。 活動被視為可疑,因為此主體很少叫用這類作業。 雖然此活動可能是合法的,但威脅執行者可能會利用「提高存取權」作業,為遭入侵的使用者執行許可權提升。
MITRE 策略:許可權提升
嚴重性:中
偵測到高風險「持續性」作業的可疑調用(預覽)
(ARM_AnomalousOperation.Persistence)
描述:Microsoft適用於 Resource Manager 的 Defender 識別出訂用帳戶中高風險作業的可疑調用,這可能表示嘗試建立持續性。 識別的作業是設計來允許系統管理員有效率地管理其環境。 雖然此活動可能是合法的,但威脅執行者可能會利用這類作業在您的環境中建立持續性。 這表示帳戶遭到入侵,且正與惡意意圖搭配使用。
MITRE 策略:持續性
嚴重性:中
偵測到高風險「許可權提升」作業的可疑調用(預覽)
(ARM_AnomalousOperation.PrivilegeEscalation)
描述:Microsoft適用於 Resource Manager 的 Defender 識別出訂用帳戶中高風險作業的可疑調用,這可能表示嘗試提升許可權。 識別的作業是設計來允許系統管理員有效率地管理其環境。 雖然此活動可能是合法的,但威脅執行者可能會利用這類作業來提升許可權,同時危害您環境中的資源。 這表示帳戶遭到入侵,且正與惡意意圖搭配使用。
MITRE 策略:許可權提升
嚴重性:中
使用 MicroBurst 惡意探索工具組來執行任意程式代碼或外洩 Azure 自動化 帳戶認證
(ARM_MicroBurst.RunCodeOnBehalf)
描述:您的訂用帳戶中執行 PowerShell 腳本,並執行了執行任意程式代碼或外流 Azure 自動化 帳戶認證的可疑模式。 威脅執行者會使用 MicroBurst 等自動化腳本來執行惡意活動的任意程序代碼。 這是藉由分析訂用帳戶中的 Azure Resource Manager 作業來偵測到的。 這項作業可能表示貴組織中的身分識別遭到入侵,而且威脅執行者正嘗試危害您的環境,以取得惡意意圖。
MITRE 策略:持續性、認證存取
嚴重性:高
使用 NetSPI 技術來維護 Azure 環境中的持續性
(ARM_NetSPI.MaintainPersistence)
描述:使用 NetSPI 持續性技術來建立 Webhook 後門,並在 Azure 環境中維護持續性。 這是藉由分析訂用帳戶中的 Azure Resource Manager 作業來偵測到的。
MITRE 策略: -
嚴重性:高
使用 PowerZure 惡意探索工具組來執行任意程式代碼或外洩 Azure 自動化 帳戶認證
(ARM_PowerZure.RunCodeOnBehalf)
描述:P owerZure 惡意探索工具組偵測到嘗試執行程式碼或外流 Azure 自動化 帳戶認證。 這是藉由分析訂用帳戶中的 Azure Resource Manager 作業來偵測到的。
MITRE 策略: -
嚴重性:高
使用 PowerZure 函式來維護 Azure 環境中的持續性
(ARM_PowerZure.MaintainPersistence)
描述:P owerZure 惡意探索工具組偵測到建立Webhook後門,以維護 Azure 環境中的持續性。 這是藉由分析訂用帳戶中的 Azure Resource Manager 作業來偵測到的。
MITRE 策略: -
嚴重性:高
偵測到可疑的傳統角色指派 (預覽)
(ARM_AnomalousClassicRoleAssignment)
描述:Microsoft適用於 Resource Manager 的 Defender 在租用戶中識別出可疑的傳統角色指派,這可能表示貴組織中的帳戶遭到入侵。 識別的作業是設計來提供與不再常用之傳統角色的回溯相容性。 雖然此活動可能合法,但威脅執行者可能會利用這類指派,將許可權授與在其控制下的另一個用戶帳戶。
MITRE 戰術: 橫向運動, 防禦逃避
嚴重性:高
注意
針對處於預覽狀態的警示: Azure 預覽補充條款 包含適用於 Beta 版、預覽版或尚未發行至正式運作之 Azure 功能的其他法律條款。