Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se enumeran las alertas de seguridad que puede obtener para las máquinas Linux de Microsoft Defender for Cloud y los planes de Microsoft Defender que ha habilitado. Las alertas que se muestran en el entorno dependen de los recursos y servicios que va a proteger, y de la configuración personalizada.
Nota:
Algunas de las alertas agregadas recientemente con tecnología de Inteligencia contra amenazas de Microsoft Defender y Microsoft Defender para punto de conexión podrían no estar documentadas.
Aprenda a responder a estas alertas.
Nota:
Las alertas de orígenes diferentes pueden tardar un tiempo distinto en aparecer. Por ejemplo, las alertas que requieren un análisis del tráfico de red pueden tardar más en aparecer que las alertas relacionadas con procesos sospechosos que se ejecutan en máquinas virtuales.
Nota:
Las alertas de atestación de arranque de cliente de máquina virtual expuestas en Microsoft Defender for Cloud son informativas y no se presentan actualmente en el portal de Defender.
Alertas de máquinas Linux
El plan 2 de Microsoft Defender para servidores proporciona detecciones y alertas únicas, además de las que proporciona Microsoft Defender para punto de conexión. Las alertas proporcionadas para las máquinas Linux son:
Se ha borrado un archivo de historial
Descripción: el análisis de datos de host indica que se ha borrado el archivo de registro del historial de comandos. Los atacantes podrían hacerlo para cubrir sus seguimientos. El usuario realizó la operación: "%{nombre de usuario}".
Tácticas de MITRE: -
Gravedad: media
Se auditó la infracción de la directiva de control de aplicaciones adaptable
(VM_AdaptiveApplicationControlLinuxViolationAudited)
Descripción: los siguientes usuarios ejecutaron aplicaciones que infringen la directiva de control de aplicaciones de su organización en esta máquina. Posiblemente puede exponer la máquina a malware o vulnerabilidades de aplicaciones.
Tácticas de MITRE: Ejecución
Gravedad: informativo
Exclusión amplia de archivos antimalware en la máquina virtual
(VM_AmBroadFilesExclusion)
Descripción: se detectó la exclusión de archivos de la extensión antimalware con una regla de exclusión amplia en la máquina virtual mediante el análisis de las operaciones de Azure Resource Manager en la suscripción. Esta exclusión deshabilita prácticamente la protección antimalware. Los atacantes podrían excluir archivos del análisis antimalware en la máquina virtual para evitar la detección mientras ejecutan código arbitrario o infectan la máquina con malware.
Tácticas de MITRE: -
Gravedad: media
Antimalware deshabilitado y ejecución de código en la máquina virtual
(VM_AmDisablementAndCodeExecution)
Descripción: Antimalware deshabilitado al mismo tiempo que la ejecución de código en la máquina virtual. Esto se ha detectado al analizar las operaciones de Azure Resource Manager de su suscripción. Los atacantes deshabilitan los escáneres antimalware para evitar la detección mientras ejecutan herramientas no autorizadas o infectan la máquina con malware.
Tácticas de MITRE: -
Gravedad: alta
Antimalware deshabilitado en la máquina virtual
(VM_AmDisablement)
Descripción: Antimalware deshabilitado en la máquina virtual. Esto se ha detectado al analizar las operaciones de Azure Resource Manager de su suscripción. Los atacantes podrían deshabilitar el antimalware en la máquina virtual para evitar la detección.
Tácticas de MITRE: Evasión de defensa
Gravedad: media
Exclusión de archivos antimalware y ejecución de código en la máquina virtual
(VM_AmFileExclusionAndCodeExecution)
Descripción: archivo excluido del analizador antimalware al mismo tiempo que el código se ejecutó a través de una extensión de script personalizado en la máquina virtual. Esto se ha detectado al analizar las operaciones de Azure Resource Manager de su suscripción. Los atacantes podrían excluir archivos del análisis antimalware en la máquina virtual para evitar la detección mientras ejecutan herramientas no autorizadas o infectan la máquina con malware.
Tácticas de MITRE: Evasión de defensa, Ejecución
Gravedad: alta
Exclusión de archivos antimalware y ejecución de código en la máquina virtual (temporal)
(VM_AmTempFileExclusionAndCodeExecution)
Descripción: se detectó la exclusión temporal de archivos de la extensión antimalware en paralelo a la ejecución del código a través de la extensión de script personalizada en la máquina virtual mediante el análisis de las operaciones de Azure Resource Manager en la suscripción. Los atacantes podrían excluir archivos del análisis antimalware en la máquina virtual para evitar la detección mientras ejecutan código arbitrario o infectan la máquina con malware.
Tácticas de MITRE: Evasión de defensa, Ejecución
Gravedad: alta
Exclusión de archivos antimalware en la máquina virtual
(VM_AmTempFileExclusion)
Descripción: archivo excluido del analizador antimalware en la máquina virtual. Esto se ha detectado al analizar las operaciones de Azure Resource Manager de su suscripción. Los atacantes podrían excluir archivos del análisis antimalware en la máquina virtual para evitar la detección mientras ejecutan herramientas no autorizadas o infectan la máquina con malware.
Tácticas de MITRE: Evasión de defensa
Gravedad: media
Protección antimalware en tiempo real deshabilitada en la máquina virtual
(VM_AmRealtimeProtectionDisabled)
Descripción: la deshabilitación de la protección en tiempo real de la extensión antimalware se detectó en la máquina virtual mediante el análisis de las operaciones de Azure Resource Manager en la suscripción. Los atacantes podrían deshabilitar la protección en tiempo real del análisis antimalware en la máquina virtual para evitar la detección mientras ejecutan código arbitrario o infectan la máquina con malware.
Tácticas de MITRE: Evasión de defensa
Gravedad: media
Protección antimalware en tiempo real deshabilitada temporalmente en la máquina virtual
(VM_AmTempRealtimeProtectionDisablement)
Descripción: la deshabilitación temporal de protección en tiempo real de la extensión antimalware se detectó en la máquina virtual mediante el análisis de las operaciones de Azure Resource Manager en la suscripción. Los atacantes podrían deshabilitar la protección en tiempo real del análisis antimalware en la máquina virtual para evitar la detección mientras ejecutan código arbitrario o infectan la máquina con malware.
Tácticas de MITRE: Evasión de defensa
Gravedad: media
Protección antimalware en tiempo real deshabilitada temporalmente mientras se ejecuta código en la máquina virtual
(VM_AmRealtimeProtectionDisablementAndCodeExec)
Descripción: la deshabilitación temporal de protección en tiempo real de la extensión antimalware en paralelo a la ejecución de código a través de la extensión de script personalizada se detectó en la máquina virtual mediante el análisis de las operaciones de Azure Resource Manager en la suscripción. Los atacantes podrían deshabilitar la protección en tiempo real del análisis antimalware en la máquina virtual para evitar la detección mientras ejecutan código arbitrario o infectan la máquina con malware.
Tácticas de MITRE: -
Gravedad: alta
Exámenes antimalware bloqueados en busca de archivos potencialmente relacionados con campañas de malware en la máquina virtual (versión preliminar)
(VM_AmMalwareCampaignRelatedExclusion)
Descripción: se detectó una regla de exclusión en la máquina virtual para evitar que la extensión antimalware examinara determinados archivos sospechosos de estar relacionados con una campaña de malware. La regla se ha detectado al analizar las operaciones de Azure Resource Manager de su suscripción. Los atacantes podrían excluir archivos de análisis antimalware para evitar la detección mientras ejecutan código arbitrario o infectan la máquina con malware.
Tácticas de MITRE: Evasión de defensa
Gravedad: media
Antimalware deshabilitado temporalmente en la máquina virtual
(VM_AmTemporarilyDisablement)
Descripción: Antimalware deshabilitado temporalmente en la máquina virtual. Esto se ha detectado al analizar las operaciones de Azure Resource Manager de su suscripción. Los atacantes podrían deshabilitar el antimalware en la máquina virtual para evitar la detección.
Tácticas de MITRE: -
Gravedad: media
Exclusión de archivos antimalware inusual en la máquina virtual
(VM_UnusualAmFileExclusion)
Descripción: se detectó una exclusión inusual de archivos de la extensión antimalware en la máquina virtual mediante el análisis de las operaciones de Azure Resource Manager en la suscripción. Los atacantes podrían excluir archivos del análisis antimalware en la máquina virtual para evitar la detección mientras ejecutan código arbitrario o infectan la máquina con malware.
Tácticas de MITRE: Evasión de defensa
Gravedad: media
Comportamiento similar al ransomware detectado [se ha detectado varias veces]
Descripción: El análisis de datos de host en %{Compromised Host} detectó la ejecución de archivos que tienen similitud con el ransomware conocido que puede impedir que los usuarios accedan a sus archivos personales o del sistema, y exigen el pago de rescate para recuperar el acceso. Este comportamiento se ha detectado [x] veces en la actualidad en las siguientes máquinas: [nombres de las máquinas].
Tácticas de MITRE: -
Gravedad: alta
Comunicación con un dominio sospechoso identificado por inteligencia sobre amenazas
(AzureDNS_ThreatIntelSuspectDomain)
Descripción: la comunicación con un dominio sospechoso se detectó mediante el análisis de transacciones DNS desde el recurso y la comparación con dominios malintencionados conocidos identificados por fuentes de inteligencia sobre amenazas. A menudo, los atacantes realizan comunicación con dominios malintencionados y pueden implicar que el recurso se ve comprometido.
Tácticas de MITRE: acceso inicial, persistencia, ejecución, comando y control, explotación
Gravedad: media
Contenedor con una imagen de minero detectada
(VM_MinerInContainerImage)
Descripción: los registros de la máquina indican la ejecución de un contenedor de Docker que ejecuta una imagen asociada a una minería de moneda digital.
Tácticas de MITRE: Ejecución
Gravedad: alta
Se detectó una combinación anómala de caracteres en mayúsculas y minúsculas en la línea de comandos.
Descripción: el análisis de datos de host en %{Compromised Host} detectó una línea de comandos con una combinación anómala de caracteres mayúsculas y minúsculas. Aunque posiblemente este tipo de patrón es benigno, también es típico de los atacantes que intentan ocultarse de la regla basada en hash o que distingue mayúsculas de minúsculas al realizar tareas administrativas en un host en peligro.
Tácticas de MITRE: -
Gravedad: media
Descarga de archivos detectada desde un origen malintencionado conocido
Descripción: el análisis de datos del host ha detectado la descarga de un archivo de un origen de malware conocido en %{Host en peligro}.
Tácticas de MITRE: -
Gravedad: media
Se detectó una actividad de red sospechosa.
Descripción: el análisis del tráfico de red de %{Compromised Host} detectó actividad de red sospechosa. Aunque posiblemente este tráfico es benigno, suele utilizarlo un atacante para comunicarse con servidores malintencionados para la descarga de herramientas, el comando y control y la filtración de datos. La actividad de atacante relacionada típica incluye la copia de herramientas de administración remota en un host en peligro y la extracción de los datos del usuario a partir de dicha copia.
Tácticas de MITRE: -
Gravedad: baja
Se detectó un comportamiento relacionado con la minería de datos de moneda digital.
Descripción: el análisis de datos de host en %{Compromised Host} detectó la ejecución de un proceso o comando normalmente asociado a la minería de monedas digitales.
Tácticas de MITRE: -
Gravedad: alta
Deshabilitación del registro auditado [se ha visto varias veces]
Descripción: el sistema de auditoría de Linux proporciona una manera de realizar un seguimiento de la información relevante para la seguridad en el sistema. Registra tanto información sobre los eventos que se producen en el sistema como sea posible. Deshabilitar el registro auditado podría dificultar la detección de infracciones de las directivas de seguridad usadas en el sistema. Este comportamiento se ha detectado [x] veces en la actualidad en las siguientes máquinas: [nombres de las máquinas].
Tácticas de MITRE: -
Gravedad: baja
Explotación de la vulnerabilidad de Xorg [se ha visto varias veces]
Descripción: el análisis de datos de host en %{Compromised Host} detectó el usuario de Xorg con argumentos sospechosos. Los atacantes pueden usar esta técnica en intentos de escalación de privilegios. Este comportamiento se ha detectado [x] veces en la actualidad en las siguientes máquinas: [nombres de las máquinas].
Tácticas de MITRE: -
Gravedad: media
Error de ataque por fuerza bruta SSH
(VM_SshBruteForceFailed)
Descripción: se detectaron ataques por fuerza bruta con errores de los siguientes atacantes: %{Atacantes}. Los atacantes intentaban acceder al host con los siguientes nombres de usuario: %{Cuentas usadas en el inicio de sesión con errores en los intentos de host}.
Tácticas de MITRE: sondeo
Gravedad: media
Comportamiento de ataque sin archivos detectado
(VM_FilelessAttackBehavior.Linux)
Descripción: la memoria del proceso especificado a continuación contiene comportamientos que suelen usar los ataques sin archivos. Entre los comportamientos específicos se incluyen: {lista de comportamientos observados}
Tácticas de MITRE: Ejecución
Gravedad: baja
Se detectó una técnica de ataque sin archivos
(VM_FilelessAttackTechnique.Linux)
Descripción: la memoria del proceso especificado a continuación contiene evidencias de una técnica de ataque sin archivos. Los atacantes usan los ataques sin archivos para ejecutar código y evitar ser detectados por el software de seguridad. Entre los comportamientos específicos se incluyen: {lista de comportamientos observados}
Tácticas de MITRE: Ejecución
Gravedad: alta
Kit de herramientas de ataques sin archivos detectado
(VM_FilelessAttackToolkit.Linux)
Descripción: la memoria del proceso especificado a continuación contiene un kit de herramientas de ataques sin archivos: {ToolKitName}. Los kits de herramientas de ataques sin archivos normalmente no tienen presencia en el sistema de archivos, lo que dificulta la detección por parte del software antivirus tradicional. Entre los comportamientos específicos se incluyen: {lista de comportamientos observados}
Tácticas de MITRE: Evasión de defensa, Ejecución
Gravedad: alta
Se detectó la ejecución de archivos ocultos
Descripción: el análisis de datos del host indica que %{nombre de usuario}ejecutó un archivo oculto. Esta actividad podría ser una actividad legítima o una indicación de un host en peligro.
Tácticas de MITRE: -
Gravedad: informativo
Nueva clave SSH agregada [se ha visto varias veces]
(VM_SshKeyAddition)
Descripción: se agregó una nueva clave SSH al archivo de claves autorizadas. Este comportamiento se ha detectado [x] veces en la actualidad en las siguientes máquinas: [nombres de las máquinas].
Tácticas de MITRE: Persistencia
Gravedad: baja
Nueva clave SSH agregada
Descripción: se agregó una nueva clave SSH al archivo de claves autorizadas.
Tácticas de MITRE: -
Gravedad: baja
Se detectó la posible puerta trasera [se ha detectado varias veces]
Descripción: el análisis de datos de host ha detectado que se descarga un archivo sospechoso y, a continuación, se ejecuta en %{Compromised Host} en la suscripción. Esta actividad se ha asociado anteriormente a la instalación de una puerta trasera. Este comportamiento se ha detectado [x] veces en la actualidad en las siguientes máquinas: [nombres de las máquinas].
Tácticas de MITRE: -
Gravedad: media
Se detectó una posible explotación del servidor de correo
(VM_MailserverExploitation )
Descripción: el análisis de datos de host en %{Compromised Host} detectó una ejecución inusual en la cuenta del servidor de correo.
Tácticas de MITRE: Explotación
Gravedad: media
Posible shell web malintencionado detectado
Descripción: el análisis de datos de host en %{Compromised Host} detectó un posible shell web. A menudo, los atacantes cargarán un shell web en una máquina en la que han puesto en peligro para obtener persistencia o para una mayor explotación.
Tácticas de MITRE: -
Gravedad: media
Se detectó un posible cambio de contraseña mediante el método crypt-method [se ha detectado varias veces]
Descripción: el análisis de los datos de host en %{Compromised Host} detectó el cambio de contraseña mediante el método crypt. Los atacantes pueden realizar este cambio para continuar con el acceso y obtener persistencia después de poner en peligro. Este comportamiento se ha detectado [x] veces en la actualidad en las siguientes máquinas: [nombres de las máquinas].
Tácticas de MITRE: -
Gravedad: media
Proceso asociado a la minería de moneda digital detectada [se ha detectado varias veces]
Descripción: el análisis de datos de host en %{Compromised Host} detectó la ejecución de un proceso asociado normalmente a la minería de monedas digitales. Este comportamiento se ha visto más de 100 veces hoy en las siguientes máquinas: [Nombre de la máquina]
Tácticas de MITRE: -
Gravedad: media
Se detectó un proceso asociado a la minería de monedas digitales
Descripción: el análisis de datos del host detectó la ejecución de un proceso que normalmente está asociado a la minería de moneda digital.
Tácticas de MITRE: Explotación, Ejecución
Gravedad: media
El descargador codificado de Python detectó [se ha detectado varias veces]
Descripción: el análisis de datos de host en %{Compromised Host} detectó la ejecución de Python codificado que descarga y ejecuta código desde una ubicación remota. Esto puede ser una indicación de actividad malintencionada. Este comportamiento se ha detectado [x] veces en la actualidad en las siguientes máquinas: [nombres de las máquinas].
Tácticas de MITRE: -
Gravedad: baja
Captura de pantalla tomada en el host [se ha visto varias veces]
Descripción: el análisis de datos de host en %{Compromised Host} detectó el usuario de una herramienta de captura de pantalla. Los atacantes pueden usar estas herramientas para acceder a datos privados. Este comportamiento se ha detectado [x] veces en la actualidad en las siguientes máquinas: [nombres de las máquinas].
Tácticas de MITRE: -
Gravedad: baja
Shellcode detectado [se ha detectado varias veces]
Descripción: el análisis de los datos del host en %{Compromised Host} detectó que el código de shell se genera desde la línea de comandos. Este proceso podría indicar una actividad legítima o que una de sus máquinas se ha puesto en peligro. Este comportamiento se ha detectado [x] veces en la actualidad en las siguientes máquinas: [nombres de las máquinas].
Tácticas de MITRE: -
Gravedad: media
Ataque de fuerza bruta SSH correcta
(VM_SshBruteForceSuccess)
Descripción: el análisis de los datos del host ha detectado un ataque de fuerza bruta correcta. La dirección IP %{IP de origen del atacante} se vio realizando varios intentos de inicio de sesión. Los inicios de sesión correctos se realizaron desde esa dirección IP con los siguientes usuarios: %{Cuentas usadas para iniciar sesión correctamente en host}. Esto significa que el host podría estar en peligro y controlado por un actor malintencionado.
Tácticas de MITRE: Explotación
Gravedad: alta
Se detectó la creación de una cuenta sospechosa.
Descripción: el análisis de datos de host en %{Compromised Host} detectó la creación o el uso de una cuenta local %{Nombre de cuenta sospechoso} : este nombre de cuenta se parece mucho a un nombre de grupo o cuenta de Windows estándar '%{Similar a nombre de cuenta}'. Esto significa que es posible que se trate de una cuenta no autorizada creada por un atacante, que la denomina de esta forma a fin de evitar que la detecte un administrador humano.
Tácticas de MITRE: -
Gravedad: media
Se detectó un módulo de kernel sospechoso [se ha detectado varias veces]
Descripción: el análisis de datos de host en %{Compromised Host} detectó que se cargaba un archivo de objeto compartido como módulo de kernel. Podría tratarse de una actividad legítima o de una señal de que una de las máquinas se ha puesto en peligro. Este comportamiento se ha detectado [x] veces en la actualidad en las siguientes máquinas: [nombres de las máquinas].
Tácticas de MITRE: -
Gravedad: media
Acceso sospechoso a contraseñas [se ha visto varias veces]
Descripción: el análisis de los datos del host ha detectado acceso sospechoso a contraseñas de usuario cifradas en %{Host en peligro}. Este comportamiento se ha detectado [x] veces en la actualidad en las siguientes máquinas: [nombres de las máquinas].
Tácticas de MITRE: -
Gravedad: informativo
Acceso sospechoso a contraseñas
Descripción: el análisis de los datos del host ha detectado acceso sospechoso a contraseñas de usuario cifradas en %{Host en peligro}.
Tácticas de MITRE: -
Gravedad: informativo
Solicitud sospechosa al panel de Kubernetes
(VM_KubernetesDashboard)
Descripción: los registros de la máquina indican que se realizó una solicitud sospechosa en el panel de Kubernetes. La solicitud se envió desde un nodo Kubernetes, posiblemente desde uno de los contenedores que se ejecutan en el nodo. Aunque este comportamiento puede ser intencionado, podría indicar que el nodo ejecuta un contenedor en peligro.
Tácticas de MITRE: LateralMovement
Gravedad: media
Restablecimiento de configuración inusual en la máquina virtual
(VM_VMAccessUnusualConfigReset)
Descripción: se detectó un restablecimiento de configuración inusual en la máquina virtual mediante el análisis de las operaciones de Azure Resource Manager en la suscripción. Aunque esta acción puede ser legítima, los atacantes pueden intentar usar la extensión de acceso a la máquina virtual para restablecer la configuración en la máquina virtual y ponerla en peligro.
Tácticas de MITRE: Acceso a credenciales
Gravedad: media
Restablecimiento de contraseña de usuario inusual en la máquina virtual
(VM_VMAccessUnusualPasswordReset)
Descripción: se detectó un restablecimiento de contraseña de usuario inusual en la máquina virtual mediante el análisis de las operaciones de Azure Resource Manager en la suscripción. Aunque esta acción puede ser legítima, los atacantes pueden intentar usar la extensión de acceso a la máquina virtual para restablecer las credenciales de un usuario local en la máquina virtual y ponerla en peligro.
Tácticas de MITRE: Acceso a credenciales
Gravedad: media
Restablecimiento de clave SSH de usuario inusual en la máquina virtual
(VM_VMAccessUnusualSSHReset)
Descripción: se detectó un restablecimiento de clave SSH de usuario inusual en la máquina virtual mediante el análisis de las operaciones de Azure Resource Manager en la suscripción. Aunque esta acción puede ser legítima, los atacantes pueden intentar usar la extensión de acceso a la máquina virtual para restablecer la clave SSH de una cuenta de usuario en la máquina virtual y ponerla en peligro.
Tácticas de MITRE: Acceso a credenciales
Gravedad: media
Instalación sospechosa de una extensión de GPU en su máquina virtual (versión preliminar)
(VM_GPUDriverExtensionUnusualExecution)
Descripción: se detectó una instalación sospechosa de una extensión de GPU en la máquina virtual mediante el análisis de las operaciones de Azure Resource Manager en la suscripción. Los atacantes podrían utilizar la extensión de controlador de GPU para instalar controladores de GPU en su máquina virtual a través del Azure Resource Manager para realizar cryptojacking.
Tácticas de MITRE: Impacto
Gravedad: baja
Nota:
En el caso de las alertas que están en versión preliminar: los Términos de uso complementarios para las versiones preliminares de Azure incluyen los términos legales adicionales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado con disponibilidad general.