Alertes pour les machines Linux

Cet article répertorie les alertes de sécurité que vous pouvez obtenir pour les machines Linux à partir de Microsoft Defender pour cloud et les plans Microsoft Defender que vous avez activés. Les alertes présentées dans votre environnement dépendent des ressources et services que vous protégez et de votre configuration personnalisée.

Découvrez comment répondre à ces alertes.

Découvrez comment exporter des alertes.

Alertes sur les machines Linux

Microsoft Defender pour serveurs Plan 2 fournit des détections et des alertes uniques, en plus de celles fournies par Microsoft Defender pour point de terminaison. Les alertes fournies pour les machines Linux sont les suivantes :

Informations complémentaires et notes

Un fichier d’historique a été effacé

Description : l’analyse des données de l’hôte indique que le fichier journal de l’historique des commandes a été effacé. Les attaquants peuvent le faire pour couvrir leurs traces. L’opération a été effectuée par l’utilisateur : «%{nom d’utilisateur} ».

Tactiques MITRE : -

Gravité : moyenne

La violation de stratégie de contrôle d’application adaptative a été auditée

(VM_AdaptiveApplicationControlLinuxViolationAudited)

Description : Les utilisateurs ci-dessous ont exécuté des applications qui violent la stratégie de contrôle d’application de votre organisation sur cet ordinateur. Elles peuvent éventuellement exposer l’ordinateur à des logiciels malveillants ou des vulnérabilités d’application.

Tactiques MITRE : Exécution

Gravité : Information

Exclusion de fichiers étendue du logiciel anti-programme malveillant dans votre machine virtuelle

(VM_AmBroadFilesExclusion)

Description : L’exclusion de fichiers de l’extension anti-programme malveillant avec une règle d’exclusion étendue a été détectée dans votre machine virtuelle en analysant les opérations Azure Resource Manager dans votre abonnement. Cette exclusion désactive pratiquement la protection anti-programme malveillant. Des attaquants pourraient exclure des fichiers de l’analyse anti-programme malveillant sur votre machine virtuelle de façon à empêcher la détection et dans le même temps exécuter du code arbitraire ou infecter la machine avec des programmes malveillants.

Tactiques MITRE : -

Gravité : moyenne

Logiciel anti-programme malveillant désactivé et exécution de code dans votre machine virtuelle

(VM_AmDisablementAndCodeExecution)

Description : Logiciel anti-programme malveillant désactivé en même temps que l’exécution du code sur votre machine virtuelle. Cela a été détecté par l’analyse des opérations Azure Resource Manager dans votre abonnement. Les attaquants désactivent les scanners anti-programme malveillant pour empêcher la détection et dans le même temps exécuter des outils non autorisés ou infecter la machine avec des logiciels malveillants.

Tactiques MITRE : -

Gravité : élevée

Logiciel anti-programme malveillant désactivé dans votre machine virtuelle

(VM_AmDisablement)

Description : Logiciel anti-programme malveillant désactivé dans votre machine virtuelle. Cela a été détecté par l’analyse des opérations Azure Resource Manager dans votre abonnement. Des attaquants pourraient désactiver le logiciel anti-programme malveillant sur votre machine virtuelle pour empêcher la détection.

Tactiques MITRE : Évasion de défense

Gravité : moyenne

Exclusion de fichiers du logiciel anti-programme malveillant et exécution de code dans votre machine virtuelle

(VM_AmFileExclusionAndCodeExecution)

Description : Fichier exclu de votre scanneur anti-programme malveillant en même temps que le code a été exécuté via une extension de script personnalisé sur votre machine virtuelle. Cela a été détecté par l’analyse des opérations Azure Resource Manager dans votre abonnement. Des attaquants pourraient exclure des fichiers de l’analyse anti-programme malveillant sur votre machine virtuelle de façon à empêcher la détection et dans le même temps exécuter des outils non autorisés ou infecter la machine avec des programmes malveillants.

Tactiques MITRE : Évasion de défense, Exécution

Gravité : élevée

Exclusion de fichier anti-programme malveillant et exécution du code dans votre machine virtuelle (temporaire)

(VM_AmTempFileExclusionAndCodeExecution)

Description : Une exclusion temporaire du fichier de l’extension anti-programme malveillant en parallèle à l’exécution du code via l’extension de script personnalisé a été détectée dans votre machine virtuelle en analysant les opérations Azure Resource Manager dans votre abonnement. Des attaquants pourraient exclure des fichiers de l’analyse anti-programme malveillant sur votre machine virtuelle de façon à empêcher la détection et dans le même temps exécuter du code arbitraire ou infecter la machine avec des programmes malveillants.

Tactiques MITRE : Évasion de défense, Exécution

Gravité : élevée

Exclusion de fichiers du logiciel anti-programme malveillant dans votre machine virtuelle

(VM_AmTempFileExclusion)

Description : Fichier exclu de votre scanneur anti-programme malveillant sur votre machine virtuelle. Cela a été détecté par l’analyse des opérations Azure Resource Manager dans votre abonnement. Des attaquants pourraient exclure des fichiers de l’analyse anti-programme malveillant sur votre machine virtuelle de façon à empêcher la détection et dans le même temps exécuter des outils non autorisés ou infecter la machine avec des programmes malveillants.

Tactiques MITRE : Évasion de défense

Gravité : moyenne

La protection en temps réel anti-programme malveillant a été désactivée dans votre machine virtuelle

(VM_AmRealtimeProtectionDisabled)

Description : La désactivation de la protection en temps réel de l’extension anti-programme malveillant a été détectée dans votre machine virtuelle en analysant les opérations Azure Resource Manager dans votre abonnement. Des attaquants pourraient désactiver la protection en temps réel de l’analyse anti-programme malveillant sur votre machine virtuelle pour éviter la détection et dans le même temps exécuter du code arbitraire ou infecter la machine avec des programmes malveillants.

Tactiques MITRE : Évasion de défense

Gravité : moyenne

La protection en temps réel anti-programme malveillant a été désactivée temporairement dans votre machine virtuelle

(VM_AmTempRealtimeProtectionDisablement)

Description : La désactivation temporaire de la protection en temps réel de l’extension anti-programme malveillant a été détectée dans votre machine virtuelle en analysant les opérations Azure Resource Manager dans votre abonnement. Des attaquants pourraient désactiver la protection en temps réel de l’analyse anti-programme malveillant sur votre machine virtuelle pour éviter la détection et dans le même temps exécuter du code arbitraire ou infecter la machine avec des programmes malveillants.

Tactiques MITRE : Évasion de défense

Gravité : moyenne

La protection en temps réel contre les programmes malveillants a été désactivée temporairement pendant que du code était exécuté dans votre machine virtuelle

(VM_AmRealtimeProtectionDisablementAndCodeExec)

Description : La désactivation temporaire de la protection en temps réel de l’extension anti-programme malveillant en parallèle à l’exécution du code via l’extension de script personnalisé a été détectée dans votre machine virtuelle en analysant les opérations Azure Resource Manager dans votre abonnement. Des attaquants pourraient désactiver la protection en temps réel de l’analyse anti-programme malveillant sur votre machine virtuelle pour éviter la détection et dans le même temps exécuter du code arbitraire ou infecter la machine avec des programmes malveillants.

Tactiques MITRE : -

Gravité : élevée

Analyses anti-programme malveillant bloquées sur des fichiers potentiellement liés à des campagnes de logiciel malveillant sur votre machine virtuelle (préversion)

(VM_AmMalwareCampaignRelatedExclusion)

Description : Une règle d’exclusion a été détectée sur votre machine virtuelle pour empêcher l’analyse de votre extension anti-programme malveillant d’analyser certains fichiers soupçonnés d’être liés à une campagne de programmes malveillants. Cette règle a été détectée en analysant les opérations Azure Resource Manager dans votre abonnement. Des attaquants pourraient exclure des fichiers des analyses anti-programme malveillant de façon à empêcher la détection et dans le même temps exécuter du code arbitraire ou infecter la machine avec des programmes malveillants.

Tactiques MITRE : Évasion de défense

Gravité : moyenne

Logiciel anti-programme malveillant désactivé temporairement dans votre machine virtuelle

(VM_AmTemporarilyDisablement)

Description : Logiciel anti-programme malveillant temporairement désactivé dans votre machine virtuelle. Cela a été détecté par l’analyse des opérations Azure Resource Manager dans votre abonnement. Des attaquants pourraient désactiver le logiciel anti-programme malveillant sur votre machine virtuelle pour empêcher la détection.

Tactiques MITRE : -

Gravité : moyenne

Exclusion de fichiers inhabituelle du logiciel anti-programme malveillant dans votre machine virtuelle

(VM_UnusualAmFileExclusion)

Description : Une exclusion de fichier inhabituelle de l’extension anti-programme malveillant a été détectée dans votre machine virtuelle en analysant les opérations Azure Resource Manager dans votre abonnement. Des attaquants pourraient exclure des fichiers de l’analyse anti-programme malveillant sur votre machine virtuelle de façon à empêcher la détection et dans le même temps exécuter du code arbitraire ou infecter la machine avec des programmes malveillants.

Tactiques MITRE : Évasion de défense

Gravité : moyenne

Comportement similaire au ransomware détecté [vu plusieurs fois]

Description : l’analyse des données de l’hôte sur %{Hôte compromis} a détecté l’exécution de fichiers qui ressemblent à des ransomwares connus qui peuvent empêcher les utilisateurs d’accéder à leurs fichiers système ou personnels, et demandent un paiement de rançon pour récupérer l’accès. Ce comportement a été observé [x] fois aujourd’hui sur les ordinateurs suivants : [noms des ordinateurs]

Tactiques MITRE : -

Gravité : élevée

Communication avec un domaine suspect identifié par le renseignement sur les menaces

(AzureDNS_ThreatIntelSuspectDomain)

Description : La communication avec un domaine suspect a été détectée en analysant les transactions DNS de votre ressource et en comparant les domaines malveillants connus identifiés par les flux de renseignement sur les menaces. La communication avec des domaines malveillants est souvent effectuée par des attaquants et pourrait indiquer que votre ressource est compromise.

Tactiques MITRE : accès initial, persistance, exécution, commande et contrôle, exploitation

Gravité : moyenne

Conteneur avec une image mineur détectée

(VM_MinerInContainerImage)

Description : les journaux d’activité des machines indiquent l’exécution d’un conteneur Docker qui exécute une image associée à une exploration de données monétaire numérique.

Tactiques MITRE : Exécution

Gravité : élevée

Combinaison anormale de caractères majuscules et minuscules détectés dans la ligne de commande

Description : l’analyse des données de l’hôte sur %{Hôte compromis} a détecté une ligne de commande avec une combinaison anormale de caractères majuscules et minuscules. Ce type d’activité, même si elle est peut-être bénigne, est également caractéristique des attaquants qui tentent de masquer une correspondance de règle basée sur le hachage ou la casse lors de l’exécution de tâches d’administration sur un hôte compromis.

Tactiques MITRE : -

Gravité : moyenne

Téléchargement de fichier détecté à partir d’une source malveillante connue

Description : l’analyse des données de l’hôte a détecté le téléchargement d’un fichier à partir d’une source de programmes malveillants connue sur %{Hôte compromis}.

Tactiques MITRE : -

Gravité : moyenne

Détection d’une activité réseau suspecte

Description : l’analyse du trafic réseau de %{Hôte compromis} a détecté une activité réseau suspecte. Ce type de trafic, même s’il est peut-être bénin, est généralement utilisé par les attaquants pour communiquer avec des serveurs malveillants afin de télécharger des outils, des commandes et des contrôles et procéder à l’exfiltration de données. Les activités typiques consistent à copier les outils d’administration à distance sur un hôte compromis et à en exfiltrer les données utilisateur.

Tactiques MITRE : -

Gravité : faible

Détection d’un comportement lié au minage de devises numériques

Description : l’analyse des données de l’hôte sur %{Hôte compromis} a détecté l’exécution d’un processus ou d’une commande normalement associé à l’exploration de devises numériques.

Tactiques MITRE : -

Gravité : élevée

Désactivation de la journalisation auditée [vue plusieurs fois]

Description : Le système d’audit Linux permet de suivre les informations pertinentes sur la sécurité sur le système. Il enregistre autant d’informations sur les événements qui se produisent sur votre système que possible. La désactivation de la journalisation auditée peut empêcher la détection des violations des stratégies de sécurité utilisées sur le système. Ce comportement a été observé [x] fois aujourd’hui sur les ordinateurs suivants : [noms des ordinateurs]

Tactiques MITRE : -

Gravité : faible

Exploitation de la vulnérabilité Xorg [vue plusieurs fois]

Description : l’analyse des données de l’hôte sur %{Hôte compromis} a détecté l’utilisateur de Xorg avec des arguments suspects. Les attaquants peuvent utiliser cette technique dans les tentatives d’escalade de privilèges. Ce comportement a été observé [x] fois aujourd’hui sur les ordinateurs suivants : [noms des ordinateurs]

Tactiques MITRE : -

Gravité : moyenne

Échec de l’attaque par force brute SSH

(VM_SshBruteForceFailed)

Description : Les attaques par force brute ayant échoué ont été détectées par les attaquants suivants : %{Attaquants}. Les attaquants essayaient d’accéder à l’hôte avec les noms d’utilisateur suivants : %{Comptes utilisés lors de l’échec de la connexion à des tentatives d’hôte}.

Tactiques MITRE : détection

Gravité : moyenne

Comportement d’attaque sans fichier détecté

(VM_FilelessAttackBehavior.Linux)

Description : la mémoire du processus spécifié ci-dessous contient des comportements couramment utilisés par les attaques sans fichier. Les comportements spécifiques sont les suivants : {liste des comportements observés}

Tactiques MITRE : Exécution

Gravité : faible

Technique d’attaque sans fichier détectée

(VM_FilelessAttackTechnique.Linux)

Description : la mémoire du processus spécifié ci-dessous contient des preuves d’une technique d’attaque sans fichier. Les attaques sans fichier sont utilisées par les attaquants pour exécuter du code tout en échappant à la détection par le logiciel de sécurité. Les comportements spécifiques sont les suivants : {liste des comportements observés}

Tactiques MITRE : Exécution

Gravité : élevée

Kit d’attaques sans fichier détecté

(VM_FilelessAttackToolkit.Linux)

Description : la mémoire du processus spécifié ci-dessous contient un kit de ressources d’attaque sans fichier : {ToolKitName}. Les boîtes à outils d’attaque sans fichier n’ont généralement pas de présence sur le système de fichiers, ce qui rend la détection par des logiciels antivirus traditionnels difficiles. Les comportements spécifiques sont les suivants : {liste des comportements observés}

Tactiques MITRE : Évasion de défense, Exécution

Gravité : élevée

Exécution masquée du fichier détectée

Description : l’analyse des données de l’hôte indique qu’un fichier masqué a été exécuté par %{nom d’utilisateur}. Cette activité peut être une activité légitime ou une indication d’un hôte compromis.

Tactiques MITRE : -

Gravité : Information

Nouvelle clé SSH ajoutée [vue plusieurs fois]

(VM_SshKeyAddition)

Description : une nouvelle clé SSH a été ajoutée au fichier de clés autorisées. Ce comportement a été observé [x] fois aujourd’hui sur les ordinateurs suivants : [noms des ordinateurs]

Tactiques MITRE : Persistance

Gravité : faible

Nouvelle clé SSH ajoutée

Description : une nouvelle clé SSH a été ajoutée au fichier de clés autorisées.

Tactiques MITRE : -

Gravité : faible

Détection d’une porte dérobée possible [vue plusieurs fois]

Description : l’analyse des données de l’hôte a détecté un fichier suspect téléchargé, puis exécuté sur %{Hôte compromis} dans votre abonnement. Cette activité a déjà été associée à l’installation d’une porte dérobée. Ce comportement a été observé [x] fois aujourd’hui sur les ordinateurs suivants : [noms des ordinateurs]

Tactiques MITRE : -

Gravité : moyenne

L’exploitation possible du serveur de messagerie détectée

(VM_MailserverExploitation )

Description : l’analyse des données de l’hôte sur %{Hôte compromis} a détecté une exécution inhabituelle sous le compte de serveur de messagerie

Tactiques MITRE : Exploitation

Gravité : moyenne

Détection possible d’un interpréteur de commandes web malveillant

Description : l’analyse des données de l’hôte sur %{Hôte compromis} a détecté un interpréteur de commandes web possible. Les attaquants chargent souvent un interpréteur de commandes web sur un ordinateur qu’ils ont compromis pour obtenir une persistance ou pour une exploitation ultérieure.

Tactiques MITRE : -

Gravité : moyenne

Modification possible du mot de passe à l’aide de la méthode de chiffrement détectée [vue plusieurs fois]

Description : Analyse des données de l’hôte sur %{Hôte compromis} a détecté une modification de mot de passe à l’aide de la méthode de chiffrement. Les attaquants peuvent apporter cette modification pour continuer l’accès et gagner la persistance après compromis. Ce comportement a été observé [x] fois aujourd’hui sur les ordinateurs suivants : [noms des ordinateurs]

Tactiques MITRE : -

Gravité : moyenne

Processus associé à l’exploration de données de devise numérique détectée [vu plusieurs fois]

Description : l’analyse des données de l’hôte sur %{Hôte compromis} a détecté l’exécution d’un processus normalement associé à l’exploration de devises numériques. Ce comportement a été observé plus de 100 fois aujourd’hui sur les ordinateurs suivants : [Nom de l’ordinateur]

Tactiques MITRE : -

Gravité : moyenne

Processus associé à l’exploration de données monétaire numérique détecté

Description : l’analyse des données de l’hôte a détecté l’exécution d’un processus qui est normalement associé à l’exploration de données monétaire numérique.

Tactiques MITRE : Exploitation, Exécution

Gravité : moyenne

Le téléchargeur encodé Python détecté [vu plusieurs fois]

Description : l’analyse des données de l’hôte sur %{Hôte compromis} a détecté l’exécution de Python encodé qui télécharge et exécute du code à partir d’un emplacement distant. Il peut s’agir d’une indication de l’activité malveillante. Ce comportement a été observé [x] fois aujourd’hui sur les ordinateurs suivants : [noms des ordinateurs]

Tactiques MITRE : -

Gravité : faible

Capture d’écran prise sur l’hôte [vue plusieurs fois]

Description : l’analyse des données de l’hôte sur %{Hôte compromis} a détecté l’utilisateur d’un outil de capture d’écran. Les attaquants peuvent utiliser ces outils pour accéder aux données privées. Ce comportement a été observé [x] fois aujourd’hui sur les ordinateurs suivants : [noms des ordinateurs]

Tactiques MITRE : -

Gravité : faible

Shellcode détecté [vu plusieurs fois]

Description : l’analyse des données de l’hôte sur %{Hôte compromis} a détecté le code shell généré à partir de la ligne de commande. Il peut s’agir d’un processus légitime, ou de l’indication qu’une de vos machines a été compromise. Ce comportement a été observé [x] fois aujourd’hui sur les ordinateurs suivants : [noms des ordinateurs]

Tactiques MITRE : -

Gravité : moyenne

Attaque par force brute SSH réussie

(VM_SshBruteForceSuccess)

Description : l’analyse des données de l’hôte a détecté une attaque par force brute réussie. L’adresse IP %{Adresse IP source de l’attaquant} a été observée lors de plusieurs tentatives de connexion. Les connexions réussies ont été effectuées à partir de cette adresse IP avec le ou les utilisateurs suivants : %{Comptes utilisés pour se connecter à l’hôte}. Cela signifie que l’hôte peut être compromis et contrôlé par un acteur malveillant.

Tactiques MITRE : Exploitation

Gravité : élevée

Détection de création de compte suspecte

Description : l’analyse des données de l’hôte sur %{Hôte compromis} a détecté la création ou l’utilisation d’un compte local %{Nom de compte suspect} : ce nom de compte ressemble étroitement à un compte Windows standard ou un nom de groupe « %{Similaire au nom du compte} ». Il s’agit peut-être d’un compte non autorisé créé par un attaquant et nommé ainsi pour éviter d’être remarqué par un administrateur humain.

Tactiques MITRE : -

Gravité : moyenne

Module de noyau suspect détecté [vu plusieurs fois]

Description : l’analyse des données de l’hôte sur %{Hôte compromis} a détecté un fichier objet partagé chargé en tant que module de noyau. Il peut s’agir d’une activité légitime, ou d’une indication qu’une de vos machines a été compromise. Ce comportement a été observé [x] fois aujourd’hui sur les ordinateurs suivants : [noms des ordinateurs]

Tactiques MITRE : -

Gravité : moyenne

Accès suspect au mot de passe [vu plusieurs fois]

Description : l’analyse des données de l’hôte a détecté un accès suspect aux mots de passe utilisateur chiffrés sur %{Hôte compromis}. Ce comportement a été observé [x] fois aujourd’hui sur les ordinateurs suivants : [noms des ordinateurs]

Tactiques MITRE : -

Gravité : Information

Accès suspect au mot de passe

Description : l’analyse des données de l’hôte a détecté un accès suspect aux mots de passe utilisateur chiffrés sur %{Hôte compromis}.

Tactiques MITRE : -

Gravité : Information

Demande suspecte au tableau de bord Kubernetes

(VM_KubernetesDashboard)

Description : les journaux d’activité des machines indiquent qu’une demande suspecte a été effectuée dans le tableau de bord Kubernetes. La demande a été envoyée à partir d’un nœud Kubernetes, éventuellement à partir de l’un des conteneurs en cours d’exécution dans le nœud. Bien que ce comportement puisse être intentionnel, il peut indiquer que le nœud exécute un conteneur compromis.

Tactiques MITRE : LateralMovement

Gravité : moyenne

Réinitialisation de configuration inhabituelle dans votre machine virtuelle

(VM_VMAccessUnusualConfigReset)

Description : Une réinitialisation de configuration inhabituelle a été détectée dans votre machine virtuelle en analysant les opérations Azure Resource Manager dans votre abonnement. Bien que cette action soit légitime, les attaquants peuvent essayer d’utiliser l’extension d’accès aux machines virtuelles pour réinitialiser la configuration dans votre machine virtuelle et la compromettre.

Tactiques MITRE : Accès aux informations d’identification

Gravité : moyenne

Réinitialisation de mot de passe utilisateur inhabituelle dans votre machine virtuelle

(VM_VMAccessUnusualPasswordReset)

Description : Une réinitialisation inhabituelle du mot de passe utilisateur a été détectée dans votre machine virtuelle en analysant les opérations Azure Resource Manager dans votre abonnement. Bien que cette action soit légitime, les attaquants peuvent essayer d’utiliser l’extension d’accès aux machines virtuelles pour réinitialiser les informations d’identification d’un utilisateur local dans votre machine virtuelle et la compromettre.

Tactiques MITRE : Accès aux informations d’identification

Gravité : moyenne

Réinitialisation de clé SSH utilisateur inhabituelle dans votre machine virtuelle

(VM_VMAccessUnusualSSHReset)

Description : Une réinitialisation inhabituelle de clé SSH utilisateur a été détectée sur votre machine virtuelle en analysant les opérations Azure Resource Manager dans votre abonnement. Bien que cette action soit légitime, les attaquants peuvent essayer d’utiliser l’extension d’accès aux machines virtuelles pour réinitialiser la clé SSH d’un compte d’utilisateur dans votre machine virtuelle et la compromettre.

Tactiques MITRE : Accès aux informations d’identification

Gravité : moyenne

Installation suspecte de l’extension GPU sur votre machine virtuelle (préversion)

(VM_GPUDriverExtensionUnusualExecution)

Description : Une installation suspecte d’une extension GPU a été détectée dans votre machine virtuelle en analysant les opérations Azure Resource Manager dans votre abonnement. Les attaquants peuvent utiliser l’extension de pilote GPU pour installer des pilotes GPU sur votre machine virtuelle via Azure Resource Manager pour effectuer le cryptojacking.

Tactiques MITRE : Impact

Gravité : faible

Étapes suivantes

• Alertes de sécurité dans Microsoft Defender pour le cloud
• Gérer les alertes de sécurité et y répondre dans Microsoft Defender pour le cloud
• Exportation continue des données Defender pour le cloud