Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel werden die Sicherheitswarnungen aufgeführt, die Sie möglicherweise für Azure-Netzwerkebene von Microsoft Defender für Cloud und alle von Ihnen aktivierten Microsoft Defender-Pläne erhalten. Welche Warnungen in Ihrer Umgebung angezeigt werden, hängt von den Ressourcen und Diensten, die Sie schützen, sowie von Ihrer angepassten Konfiguration ab.
Hinweis
Einige der kürzlich hinzugefügten Warnungen, die von Microsoft Defender Threat Intelligence und Microsoft Defender für Endpunkt unterstützt werden, sind möglicherweise nicht dokumentiert.
Informationen zur Reaktion auf diese Warnungen
Informationen zum Exportieren von Warnungen
Hinweis
Warnungen aus unterschiedlichen Quellen erfordern möglicherweise unterschiedlich lange Zeit, bis sie angezeigt werden. Beispielsweise kann es länger dauern, bis Warnungen, die eine Analyse des Netzwerkdatenverkehrs erfordern, angezeigt werden, als das Anzeigen von Warnungen im Zusammenhang mit verdächtigen Prozessen auf virtuellen Computern.
Warnungen über Azure-Netzwerkebene
Netzwerkkommunikation mit einem bösartigen Computer erkannt
(Network_CommunicationWithC2)
Beschreibung: Die Netzwerkdatenverkehranalyse gibt an, dass Ihr Computer (IP-%{Opfer-IP}) mit dem kommuniziert hat, was möglicherweise ein Befehls- und Kontrollcenter ist. Wenn es sich bei der kompromittierten Ressource um einen Lastenausgleich oder ein Anwendungsgateway handelt, kann die vermutete Aktivität darauf hinweisen, dass mindestens eine der Ressourcen im Back-End-Pool (des Lastenausgleichsgeräts oder Anwendungsgateways) mit dem kommuniziert hat, was möglicherweise ein Befehls- und Kontrollcenter ist.
MITRE-Taktiken: Befehl und Kontrolle
Schweregrad: Mittel
Mögliche kompromittierte Computer erkannt
(Network_ResourceIpIndicatedAsMalicious)
Beschreibung: Die Bedrohungserkennung gibt an, dass Ihr Computer (bei IP-%{Machine IP}) möglicherweise von einer Schadsoftware vom Typ Conficker kompromittiert wurde. Conficker war ein Computerwurm, der auf das Microsoft Windows-Betriebssystem abzielt und im November 2008 erstmals erkannt wurde. Konficker infiziert Millionen von Computern, darunter Regierungs-, Geschäfts- und Heimcomputer in über 200 Ländern/Regionen und macht sie seit dem 2003 Welchia Wurmwurm zur größten bekannten Computerwurminfektion.
MITRE-Taktiken: Befehl und Kontrolle
Schweregrad: Mittel
Mögliche eingehende %{Service Name}-Brute-Force-Versuche erkannt
(Generic_Incoming_BF_OneToOne)
Beschreibung: Die Netzwerkdatenverkehrsanalyse hat eingehende %{Dienstname}-Kommunikation an %{Opfer-IP} erkannt, die Ihrer Ressource zugeordnet %{Kompromittierter Host} von %{Angreifer-IP}. Wenn es sich bei der kompromittierten Ressource um einen Lastenausgleich oder ein Anwendungsgateway handelt, wurde der vermutete eingehende Datenverkehr an eine oder mehrere Ressourcen im Back-End-Pool (des Lastenausgleichs oder Anwendungsgateways) weitergeleitet. Insbesondere werden verdächtige Aktivitäten zwischen %{Startzeit} und %{Endzeit} am Port %{Opferport} angezeigt. Diese Aktivität ist mit Brute-Force-Versuchen gegen %{Service Name}-Server konsistent.
MITRE-Taktiken: PreAttack
Schweregrad: Informational
Mögliche eingehende SQL-Brute-Force-Versuche erkannt
(SQL_Incoming_BF_OneToOne)
Beschreibung: Die Analyse des Netzwerkdatenverkehrs hat eingehende SQL-Kommunikation erkannt, um {Opfer-IP}, die Ihrer Ressource zugeordnet ist, %{Kompromittierten Host} von %{Angreifer-IP} zu %. Wenn es sich bei der kompromittierten Ressource um einen Lastenausgleich oder ein Anwendungsgateway handelt, wurde der vermutete eingehende Datenverkehr an eine oder mehrere Ressourcen im Back-End-Pool (des Lastenausgleichs oder Anwendungsgateways) weitergeleitet. Insbesondere werden verdächtige Aktivitäten zwischen %{Startzeit} und %{Endzeit} am Port %{Portnummer} (%{SQL-Diensttyp}) angezeigt. Diese Aktivität ist mit Brute-Force-Versuchen für SQL-Server konsistent.
MITRE-Taktiken: PreAttack
Schweregrad: Mittel
Möglicher ausgehender Denial-of-Service-Angriff erkannt
(DDOS)
Beschreibung: Die Netzwerkdatenverkehrsanalyse hat anomale ausgehende Aktivitäten erkannt, die von %{Kompromittierter Host} stammen, einer Ressource in Ihrer Bereitstellung. Diese Aktivität kann darauf hinweisen, dass Ihre Ressource kompromittiert wurde und jetzt an Denial-of-Service-Angriffen auf externe Endpunkte beteiligt ist. Wenn es sich bei der kompromittierten Ressource um einen Lastenausgleich oder ein Anwendungsgateway handelt, kann die vermutete Aktivität darauf hinweisen, dass mindestens eine der Ressourcen im Back-End-Pool (des Lastenausgleichs oder anwendungsgateways) kompromittiert wurde. Basierend auf dem Volumen der Verbindungen glauben wir, dass die folgenden IPs möglicherweise die Ziele des DOS-Angriffs sind: %{Mögliche Opfer}. Beachten Sie, dass es möglich ist, dass die Mitteilung an einige dieser IPs legitim ist.
MITRE-Taktiken: Auswirkung
Schweregrad: Mittel
Verdächtige eingehende RDP-Netzwerkaktivität aus mehreren Quellen
(RDP_Incoming_BF_ManyToOne)
Beschreibung: Die Netzwerkdatenverkehrsanalyse hat anomale eingehende Remotedesktopprotokoll-Kommunikation (RDP) an %{Opfer-IP} erkannt, die Ihrer Ressource %{Kompromittierten Host} aus mehreren Quellen zugeordnet ist. Wenn es sich bei der kompromittierten Ressource um einen Lastenausgleich oder ein Anwendungsgateway handelt, wurde der vermutete eingehende Datenverkehr an eine oder mehrere Ressourcen im Back-End-Pool (des Lastenausgleichs oder Anwendungsgateways) weitergeleitet. Insbesondere werden in beispielierten Netzwerkdaten %{Anzahl der angriffs-IPs} eindeutige IPs angezeigt, die eine Verbindung mit Ihrer Ressource herstellen, die für diese Umgebung als ungewöhnlich angesehen wird. Diese Aktivität kann auf einen Versuch hinweisen, den RDP-Endpunkt von mehreren Hosts (Botnet) zu erzwingen.
MITRE-Taktiken: PreAttack
Schweregrad: Mittel
Verdächtige eingehende RDP-Netzwerkaktivität
(RDP_Incoming_BF_OneToOne)
Beschreibung: Die Netzwerkdatenverkehrsanalyse hat anomale eingehende Remotedesktopprotokoll-Kommunikation (RDP) an %{Opfer-IP} erkannt, die Ihrer Ressource zugeordnet %{Kompromittierter Host}, von %{Angreifer IP}. Wenn es sich bei der kompromittierten Ressource um einen Lastenausgleich oder ein Anwendungsgateway handelt, wurde der vermutete eingehende Datenverkehr an eine oder mehrere Ressourcen im Back-End-Pool (des Lastenausgleichs oder Anwendungsgateways) weitergeleitet. Insbesondere werden in beispielierten Netzwerkdaten %{Anzahl der Connections}-eingehenden Verbindungen mit Ihrer Ressource angezeigt, die für diese Umgebung als ungewöhnlich angesehen werden. Diese Aktivität kann auf einen Versuch hinweisen, den RDP-Endpunkt zu erzwingen
MITRE-Taktiken: PreAttack
Schweregrad: Mittel
Verdächtige eingehende SSH-Netzwerkaktivität aus mehreren Quellen
(SSH_Incoming_BF_ManyToOne)
Beschreibung: Die Netzwerkdatenverkehrsanalyse hat anomale eingehende SSH-Kommunikation erkannt, um {Opfer-IP}, die Ihrer Ressource zugeordnet %{Kompromittierten Host} aus mehreren Quellen zu %. Wenn es sich bei der kompromittierten Ressource um einen Lastenausgleich oder ein Anwendungsgateway handelt, wurde der vermutete eingehende Datenverkehr an eine oder mehrere Ressourcen im Back-End-Pool (des Lastenausgleichs oder Anwendungsgateways) weitergeleitet. Insbesondere werden in beispielierten Netzwerkdaten %{Anzahl der angriffs-IPs} eindeutige IPs angezeigt, die eine Verbindung mit Ihrer Ressource herstellen, die für diese Umgebung als ungewöhnlich angesehen wird. Diese Aktivität kann auf einen Versuch hinweisen, ihren SSH-Endpunkt von mehreren Hosts (Botnet) zu erzwingen.
MITRE-Taktiken: PreAttack
Schweregrad: Mittel
Verdächtige eingehende SSH-Netzwerkaktivität
(SSH_Incoming_BF_OneToOne)
Beschreibung: Die Netzwerkdatenverkehrsanalyse hat anomale eingehende SSH-Kommunikation zu %{Opfer-IP} erkannt, die Ihrer Ressource zugeordnet %{Kompromittierter Host}, von %{Angreifer IP}. Wenn es sich bei der kompromittierten Ressource um einen Lastenausgleich oder ein Anwendungsgateway handelt, wurde der vermutete eingehende Datenverkehr an eine oder mehrere Ressourcen im Back-End-Pool (des Lastenausgleichs oder Anwendungsgateways) weitergeleitet. Insbesondere werden in beispielierten Netzwerkdaten %{Anzahl der Connections}-eingehenden Verbindungen mit Ihrer Ressource angezeigt, die für diese Umgebung als ungewöhnlich angesehen werden. Diese Aktivität kann auf einen Versuch hinweisen, ihren SSH-Endpunkt brute zu erzwingen
MITRE-Taktiken: PreAttack
Schweregrad: Mittel
Verdächtige ausgehende %{Attacked Protocol}-Datenverkehr erkannt
(PortScanning)
Beschreibung: Die Netzwerkdatenverkehranalyse hat verdächtige ausgehenden Datenverkehr von %{Kompromittierter Host} zum Zielport %{Häufigster Port} erkannt. Wenn es sich bei der kompromittierten Ressource um einen Lastenausgleich oder ein Anwendungsgateway handelt, stammt der vermutete ausgehende Datenverkehr von einer oder mehreren Ressourcen im Back-End-Pool (des Lastenausgleichs oder des Anwendungsgateways). Dieses Verhalten kann darauf hinweisen, dass Ihre Ressource an %{Attacked Protocol}-Brute-Force-Versuchen oder Portierungsangriffen teilnimmt.
MITRE-Taktiken: Ermittlung
Schweregrad: Mittel
Verdächtige ausgehende RDP-Netzwerkaktivität an mehrere Ziele
(RDP_Outgoing_BF_OneToMany)
Beschreibung: Die Netzwerkdatenverkehrsanalyse hat anomale ausgehende Remotedesktopprotokoll-Kommunikation (RDP) an mehrere Ziele erkannt, die von %{Compromised Host} (%{Angreifer IP}) stammen, eine Ressource in Ihrer Bereitstellung. Wenn es sich bei der kompromittierten Ressource um einen Lastenausgleich oder ein Anwendungsgateway handelt, stammt der vermutete ausgehende Datenverkehr von einer oder mehreren Ressourcen im Back-End-Pool (des Lastenausgleichs oder des Anwendungsgateways). Genauer gesagt, zeigt die beispielierten Netzwerkdaten, dass Ihr Computer eine Verbindung mit %{Anzahl der eindeutigen IPs für angriffete IPs} herstellt, die für diese Umgebung als ungewöhnlich angesehen wird. Diese Aktivität kann darauf hinweisen, dass Ihre Ressource kompromittiert wurde und jetzt verwendet wird, um externe RDP-Endpunkte zu brute erzwingen. Beachten Sie, dass diese Art von Aktivität möglicherweise dazu führen kann, dass Ihre IP von externen Entitäten als böswillig gekennzeichnet wird.
MITRE-Taktiken: Ermittlung
Schweregrad: hoch
Verdächtige ausgehende RDP-Netzwerkaktivität
(RDP_Outgoing_BF_OneToOne)
Beschreibung: Die Netzwerkdatenverkehrsanalyse hat anomale ausgehende Remotedesktopprotokoll-Kommunikation (RDP) erkannt, die von %%{Kompromittierten Host} (%{Angreifer IP}) stammt, eine Ressource in Ihrer Bereitstellung. Wenn es sich bei der kompromittierten Ressource um einen Lastenausgleich oder ein Anwendungsgateway handelt, stammt der vermutete ausgehende Datenverkehr von einer oder mehreren Ressourcen im Back-End-Pool (des Lastenausgleichs oder des Anwendungsgateways). Insbesondere werden in beispielierten Netzwerkdaten %{Anzahl der ausgehenden Verbindungen} von Ihrer Ressource angezeigt, die für diese Umgebung als ungewöhnlich angesehen werden. Diese Aktivität kann darauf hinweisen, dass Ihr Computer kompromittiert wurde und jetzt verwendet wird, um externe RDP-Endpunkte zu brute force. Beachten Sie, dass diese Art von Aktivität möglicherweise dazu führen kann, dass Ihre IP von externen Entitäten als böswillig gekennzeichnet wird.
MITRE-Taktiken: Lateral Movement
Schweregrad: hoch
Verdächtige ausgehende SSH-Netzwerkaktivität an mehrere Ziele
(SSH_Outgoing_BF_OneToMany)
Beschreibung: Die Netzwerkdatenverkehrsanalyse hat anomale ausgehende SSH-Kommunikation mit mehreren Zielen erkannt, die von %{Compromised Host} (%{Angreifer IP}) stammen, eine Ressource in Ihrer Bereitstellung. Wenn es sich bei der kompromittierten Ressource um einen Lastenausgleich oder ein Anwendungsgateway handelt, stammt der vermutete ausgehende Datenverkehr von einer oder mehreren Ressourcen im Back-End-Pool (des Lastenausgleichs oder des Anwendungsgateways). Genauer gesagt, zeigen die beispielierten Netzwerkdaten ihre Ressource an, die eine Verbindung mit %{Anzahl der eindeutigen IPs für attacked IPs} herstellt, die für diese Umgebung als ungewöhnlich angesehen wird. Diese Aktivität kann darauf hinweisen, dass Ihre Ressource kompromittiert wurde und jetzt verwendet wird, um externe SSH-Endpunkte zu brute erzwingen. Beachten Sie, dass diese Art von Aktivität möglicherweise dazu führen kann, dass Ihre IP von externen Entitäten als böswillig gekennzeichnet wird.
MITRE-Taktiken: Ermittlung
Schweregrad: Mittel
Verdächtige ausgehende SSH-Netzwerkaktivität
(SSH_Outgoing_BF_OneToOne)
Beschreibung: Die Netzwerkdatenverkehrsanalyse hat anomale ausgehende SSH-Kommunikation erkannt, um {Opfer-IP} von %{Kompromittierten Host} (%{Angreifer IP}) eine Ressource in Ihrer Bereitstellung zu %. Wenn es sich bei der kompromittierten Ressource um einen Lastenausgleich oder ein Anwendungsgateway handelt, stammt der vermutete ausgehende Datenverkehr von einer oder mehreren Ressourcen im Back-End-Pool (des Lastenausgleichs oder des Anwendungsgateways). Insbesondere werden in beispielierten Netzwerkdaten %{Anzahl der ausgehenden Verbindungen} von Ihrer Ressource angezeigt, die für diese Umgebung als ungewöhnlich angesehen werden. Diese Aktivität kann darauf hinweisen, dass Ihre Ressource kompromittiert wurde und jetzt verwendet wird, um externe SSH-Endpunkte zu brute erzwingen. Beachten Sie, dass diese Art von Aktivität möglicherweise dazu führen kann, dass Ihre IP von externen Entitäten als böswillig gekennzeichnet wird.
MITRE-Taktiken: Lateral Movement
Schweregrad: Mittel
Datenverkehr, der von IP-Adressen erkannt wurde, die zum Blockieren empfohlen werden
(Network_TrafficFromUnrecommendedIP)
Beschreibung: Microsoft Defender für Cloud hat eingehenden Datenverkehr von IP-Adressen erkannt, die blockiert werden sollen. Dies tritt in der Regel auf, wenn diese IP-Adresse nicht regelmäßig mit dieser Ressource kommuniziert. Alternativ wurde die IP-Adresse von Defender für cloud-Bedrohungserkennungsquellen als böswillig gekennzeichnet.
MITRE-Taktiken: Probing
Schweregrad: Informational
Hinweis
Für Warnungen, die sich in der Vorschau befinden: Die ergänzenden Bestimmungen für Azure-Vorschauen enthalten zusätzliche rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden bzw. anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.