Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo lista os alertas de segurança que você pode obter para computadores Linux do Microsoft Defender para Nuvem e todos os planos do Microsoft Defender que você habilitou. Os alertas mostrados em seu ambiente dependem dos recursos e serviços que você está protegendo, bem como a configuração personalizada.
Observação
Alguns dos alertas adicionados recentemente com a plataforma Microsoft Defender Threat Intelligence e Microsoft Defender para Ponto de Extremidade podem não estar documentados.
Saiba como responder a esses alertas.
Observação
Alertas de fontes diferentes podem levar diferentes quantidades de tempo para serem exibidos. Por exemplo, alertas que exigem análise de tráfego de rede podem levar mais tempo para aparecer do que alertas relacionados a processos suspeitos em execução em máquinas virtuais.
Observação
Os alertas de atestado de inicialização do cliente VM exibidos no Microsoft Defender para Nuvem são informativos e não são apresentados no portal do Defender no momento.
Alertas de computadores Linux
O Plano 2 do Microsoft Defender para Servidores fornece detecções e alertas exclusivos, além dos fornecidos pelo Microsoft Defender para Ponto de Extremidade. Os alertas fornecidos para computadores Linux são:
Um arquivo de histórico foi limpo
Descrição: a análise dos dados do host indica que o arquivo de log do histórico de comandos foi limpo. Os invasores podem fazer isso para cobrir seus rastreamentos. A operação foi executada pelo usuário: '%{nome de usuário}'.
Gravidade: Média
A violação da política de controle de aplicativo adaptável foi auditada
(VM_AdaptiveApplicationControlLinuxViolationAudited)
Descrição: os usuários abaixo executaram aplicativos que estão violando a política de controle de aplicativo da sua organização neste computador. Isso pode expor o computador a vulnerabilidades de malware ou de aplicativo.
Táticas do MITRE: Execução
Gravidade: Informativo
Exclusão ampla de arquivos antimalware na sua máquina virtual
(VM_AmBroadFilesExclusion)
Descrição: a exclusão de arquivos da extensão antimalware com regra de exclusão ampla foi detectada em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Essa exclusão praticamente desabilita a proteção de Antimalware. Os invasores podem excluir arquivos da verificação de antimalware na sua máquina virtual para evitar a detecção durante a execução de código arbitrário ou durante a infecção do computador com um malware.
Gravidade: Média
Desabilitação de antimalware e execução de código na sua máquina virtual
(VM_AmDisablementAndCodeExecution)
Descrição: antimalware desativado ao mesmo tempo que a execução de código em sua máquina virtual. Isso foi detectado pela análise das operações do Azure Resource Manager na sua assinatura. Os invasores desabilitam os verificadores de antimalware para evitar a detecção durante a execução de ferramentas não autorizadas ou durante a infecção do computador com um malware.
Gravidade: Alta
Desabilitação de antimalware na sua máquina virtual
(VM_AmDisablement)
Descrição: antimalware desativado em sua máquina virtual. Isso foi detectado pela análise das operações do Azure Resource Manager na sua assinatura. Os invasores podem desabilitar o antimalware na sua máquina virtual para evitar a detecção.
Táticas MITRE: Evasão de Defesa
Gravidade: Média
Exclusão de arquivo antimalware e execução de código na sua máquina virtual
(VM_AmFileExclusionAndCodeExecution)
Descrição: o arquivo excluído do scanner antimalware ao mesmo tempo em que o código foi executado por meio de uma extensão de script personalizada na máquina virtual. Isso foi detectado pela análise das operações do Azure Resource Manager na sua assinatura. Os invasores podem excluir arquivos da verificação de antimalware na sua máquina virtual para evitar a detecção durante a execução de ferramentas não autorizadas ou durante a infecção do computador com um malware.
Táticas MITRE: Evasão de Defesa, Execução
Gravidade: Alta
Exclusão de arquivos antimalware e execução de código em sua máquina virtual (temporária)
(VM_AmTempFileExclusionAndCodeExecution)
Descrição: a exclusão temporária de arquivos da extensão antimalware em paralelo à execução do código por meio da extensão de script personalizado foi detectada em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Os invasores podem excluir arquivos da verificação de antimalware na sua máquina virtual para evitar a detecção durante a execução de código arbitrário ou durante a infecção do computador com um malware.
Táticas MITRE: Evasão de Defesa, Execução
Gravidade: Alta
Exclusão de arquivo antimalware na sua máquina virtual
(VM_AmTempFileExclusion)
Descrição: arquivo excluído do scanner antimalware na máquina virtual. Isso foi detectado pela análise das operações do Azure Resource Manager na sua assinatura. Os invasores podem excluir arquivos da verificação de antimalware na sua máquina virtual para evitar a detecção durante a execução de ferramentas não autorizadas ou durante a infecção do computador com um malware.
Táticas MITRE: Evasão de Defesa
Gravidade: Média
A proteção em tempo real de antimalware foi desabilitada na sua máquina virtual
(VM_AmRealtimeProtectionDisabled)
Descrição: a desabilitação da proteção em tempo real da extensão antimalware foi detectada em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Os invasores podem desabilitar a proteção em tempo real da verificação de antimalware na sua máquina virtual para evitar a detecção durante a execução de código arbitrário ou durante a infecção do computador com um malware.
Táticas MITRE: Evasão de Defesa
Gravidade: Média
A proteção em tempo real de antimalware foi desabilitada temporariamente na sua máquina virtual
(VM_AmTempRealtimeProtectionDisablement)
Descrição: a desabilitação temporária da proteção em tempo real da extensão antimalware foi detectada em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Os invasores podem desabilitar a proteção em tempo real da verificação de antimalware na sua máquina virtual para evitar a detecção durante a execução de código arbitrário ou durante a infecção do computador com um malware.
Táticas MITRE: Evasão de Defesa
Gravidade: Média
A proteção em tempo real de antimalware foi desabilitada temporariamente durante a execução de código na sua máquina virtual
(VM_AmRealtimeProtectionDisablementAndCodeExec)
Descrição: a desabilitação temporária da proteção em tempo real da extensão antimalware em paralelo à execução de código por meio da extensão de script personalizado foi detectada em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Os invasores podem desabilitar a proteção em tempo real da verificação de antimalware na sua máquina virtual para evitar a detecção durante a execução de código arbitrário ou durante a infecção do computador com um malware.
Gravidade: Alta
Verificações de antimalware bloqueadas para arquivos potencialmente relacionados a campanhas de malware em sua máquina virtual (Versão prévia)
(VM_AmMalwareCampaignRelatedExclusion)
Descrição: uma regra de exclusão foi detectada em sua máquina virtual para impedir que sua extensão antimalware verifique determinados arquivos suspeitos de estarem relacionados a uma campanha de malware. Essa regra foi detectada pela análise das operações do Azure Resource Manager na sua assinatura. Os invasores podem excluir arquivos das verificações de antimalware para evitar a detecção durante a execução de código arbitrário ou durante a infecção do computador com um malware.
Táticas MITRE: Evasão de Defesa
Gravidade: Média
Desabilitação temporária de antimalware na sua máquina virtual
(VM_AmTemporarilyDisablement)
Descrição: Antimalware temporariamente desativado em sua máquina virtual. Isso foi detectado pela análise das operações do Azure Resource Manager na sua assinatura. Os invasores podem desabilitar o antimalware na sua máquina virtual para evitar a detecção.
Gravidade: Média
Exclusão de arquivo antimalware incomum na sua máquina virtual
(VM_UnusualAmFileExclusion)
Descrição: a exclusão incomum de arquivos da extensão antimalware foi detectada em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Os invasores podem excluir arquivos da verificação de antimalware na sua máquina virtual para evitar a detecção durante a execução de código arbitrário ou durante a infecção do computador com um malware.
Táticas MITRE: Evasão de Defesa
Gravidade: Média
Comportamento semelhante ao ransomware detectado [visto várias vezes]
Descrição: a análise dos dados do host em %{Host Comprometido} detectou a execução de arquivos que têm semelhança com ransomware conhecido que pode impedir que os usuários acessem seus arquivos pessoais ou do sistema e exige o pagamento de resgate para recuperar o acesso. Esse comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes dos computadores]
Gravidade: Alta
Comunicação com um domínio suspeito identificado pela inteligência contra ameaças
(AzureDNS_ThreatIntelSuspectDomain)
Descrição: a comunicação com o domínio suspeito foi detectada analisando as transações de DNS do recurso e comparando-a com domínios mal-intencionados conhecidos identificados por feeds de inteligência contra ameaças. A comunicação com domínios mal-intencionados é executada frequentemente por invasores e pode indicar que seu recurso está comprometido.
Táticas MITRE: Acesso Inicial, Persistência, Execução, Comando e Controle, Exploração
Gravidade: Média
Contêiner com uma imagem de minerador detectada
(VM_MinerInContainerImage)
Descrição: os logs de computador indicam a execução de um contêiner do Docker que executa uma imagem associada a uma mineração de moeda digital.
Táticas do MITRE: Execução
Gravidade: Alta
Combinação anômômala detectada de caracteres maiúsculas e minúsculas na linha de comando
Descrição: a análise dos dados do host em %{Compromised Host} detectou uma linha de comando com uma mistura anômala de caracteres maiúsculos e minúsculos. Esse tipo de padrão, embora possivelmente benéfico, também é típico de invasores que estão tentando ocultar correspondência de regras com base em maiúsculas e minúsculas ou de hash ao executar tarefas administrativas em um host comprometido.
Gravidade: Média
Download de arquivo detectado de uma fonte mal-intencionada conhecida
Descrição: a análise dos dados do host detectou o download de um arquivo de uma fonte de malware conhecida no %{Host Comprometido}.
Gravidade: Média
Atividade de rede suspeita detectada
Descrição: a análise do tráfego de rede de %{Compromised Host} detectou atividades de rede suspeitas. Esse tráfego, embora possivelmente benigno, é normalmente usado por um invasor para se comunicar com servidores mal-intencionados para download de ferramentas, comando e controle e exfiltração de dados. A atividade típica relacionada ao invasor inclui a cópia de ferramentas de administração remota para um host comprometido e a exfiltração de dados do usuário dela.
Gravidade: Baixa
Comportamento relacionado à mineração de moeda digital detectado
Descrição: a análise dos dados do host no %{Compromised Host} detectou a execução de um processo ou comando normalmente associado à mineração de moeda digital.
Gravidade: Alta
Desabilitação do log auditado [visto várias vezes]
Descrição: o sistema de auditoria do Linux fornece uma maneira de acompanhar informações relevantes de segurança no sistema. Ele registra o máximo de informações sobre os eventos que estão acontecendo em seu sistema o máximo possível. Desabilitar o registro em log auditado pode dificultar a descoberta de violações das políticas de segurança usadas no sistema. Esse comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes dos computadores]
Gravidade: Baixa
Exploração da vulnerabilidade do Xorg [visto várias vezes]
Descrição: a análise dos dados do host em %{Host Comprometido} detectou o usuário do Xorg com argumentos suspeitos. Os invasores podem usar essa técnica em tentativas de escalonamento de privilégios. Esse comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes dos computadores]
Gravidade: Média
Ataque de força bruta SSH com falha
(VM_SshBruteForceFailed)
Descrição: Ataques de força bruta com falha foram detectados dos seguintes invasores: %{Invasores}. Os invasores estavam tentando acessar o host com os seguintes nomes de usuário: %{Contas usadas na entrada com falha para hospedar tentativas}.
Táticas MITRE: Sondagem
Gravidade: Média
Comportamento de ataque sem arquivos detectado
(VM_FilelessAttackBehavior.Linux)
Descrição: a memória do processo especificado abaixo contém comportamentos comumente usados por ataques sem arquivo. Comportamentos específicos incluem: {lista de comportamentos observados}
Táticas do MITRE: Execução
Gravidade: Baixa
Técnica de ataque de sem arquivos detectada
(VM_FilelessAttackTechnique.Linux)
Descrição: a memória do processo especificado abaixo contém evidências de uma técnica de ataque sem arquivo. Ataques sem arquivo são usados por invasores para executar código e, ao mesmo tempo, escapar da detecção do software de segurança. Comportamentos específicos incluem: {lista de comportamentos observados}
Táticas do MITRE: Execução
Gravidade: Alta
Kit de ferramentas de ataque sem arquivos detectado
(VM_FilelessAttackToolkit.Linux)
Descrição: a memória do processo especificado abaixo contém um kit de ferramentas de ataque sem arquivo: {ToolKitName}. Os kits de ferramentas de ataque sem arquivo normalmente não têm presença no sistema de arquivos, dificultando a detecção pelo software antivírus tradicional. Comportamentos específicos incluem: {lista de comportamentos observados}
Táticas MITRE: Evasão de Defesa, Execução
Gravidade: Alta
Execução de arquivo oculto detectada
Descrição: a análise dos dados do host indica que um arquivo oculto foi executado por %{nome de usuário}. Essa atividade pode ser uma atividade legítima ou uma indicação de um host comprometido.
Gravidade: Informativo
Nova chave SSH adicionada [vista várias vezes]
(VM_SshKeyAddition)
Descrição: uma nova chave SSH foi adicionada ao arquivo de chaves autorizadas. Esse comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes dos computadores]
Táticas mitre: persistência
Gravidade: Baixa
Nova chave SSH adicionada
Descrição: uma nova chave SSH foi adicionada ao arquivo de chaves autorizadas.
Gravidade: Baixa
Possível backdoor detectado [visto várias vezes]
Descrição: a análise dos dados do host detectou um arquivo suspeito sendo baixado e executado em %{Host Comprometido} em sua assinatura. Essa atividade já foi associada à instalação de um backdoor. Esse comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes dos computadores]
Gravidade: Média
Possível exploração do emailerver detectado
(VM_MailserverExploitation)
Descrição: a análise dos dados do host em %{Host Comprometido} detectou uma execução incomum na conta do servidor de email
Táticas do MITRA: Exploração
Gravidade: Média
Possível web shell mal-intencionado detectado
Descrição: a análise dos dados do host em %{Host Comprometido} detectou um possível web shell. Os invasores geralmente carregarão um web shell em um computador que eles comprometeram para obter persistência ou para exploração adicional.
Gravidade: Média
Possível alteração de senha usando o método crypt detectado [visto várias vezes]
Descrição: a análise dos dados do host em %{Host Comprometido} detectou alteração de senha usando o método crypt. Os invasores podem fazer essa alteração para continuar o acesso e obter persistência após o comprometimento. Esse comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes dos computadores]
Gravidade: Média
Processo associado à mineração de moeda digital detectado [visto várias vezes]
Descrição: a análise dos dados do host em %{Host Comprometido} detectou a execução de um processo normalmente associado à mineração de moeda digital. Esse comportamento foi visto mais de 100 vezes hoje nos seguintes computadores: [Nome do computador]
Gravidade: Média
Processo associado à mineração de moeda digital detectado
Descrição: a análise de dados do host detectou a execução de um processo normalmente associado à mineração de moeda digital.
Táticas mitre: exploração, execução
Gravidade: Média
Downloader codificado em Python detectado [visto várias vezes]
Descrição: a análise dos dados do host em %{Host Comprometido} detectou a execução do Python codificado que baixa e executa o código de um local remoto. Isso pode ser uma indicação de atividade mal-intencionada. Esse comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes dos computadores]
Gravidade: Baixa
Captura de tela feita no host [visto várias vezes]
Descrição: a análise dos dados do host no %{Host Comprometido} detectou o usuário de uma ferramenta de captura de tela. Os invasores podem usar essas ferramentas para acessar dados privados. Esse comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes dos computadores]
Gravidade: Baixa
Shellcode detectado [visto várias vezes]
Descrição: a análise dos dados do host em %{Host Comprometido} detectou o shellcode sendo gerado da linha de comando. O processo pode ser uma atividade legítima ou uma indicação de que um de seus computadores foi comprometido. Esse comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes dos computadores]
Gravidade: Média
Ataque de força bruta SSH bem-sucedido
(VM_SshBruteForceSuccess)
Descrição: a análise dos dados do host detectou um ataque de força bruta bem-sucedido. O IP %{IP de origem do invasor} foi visto fazendo várias tentativas de logon. Logons bem-sucedidos foram feitos desse IP com os seguintes usuários: %{Contas usadas para entrar com êxito no host}. Isso significa que o host pode ser comprometido e controlado por um ator mal-intencionado.
Táticas do MITRA: Exploração
Gravidade: Alta
Criação de conta suspeita detectada
Descrição: a análise de dados do host em %{Compromised Host} detectou a criação ou o uso de uma conta local %{Nome da conta suspeita}: esse nome de conta se assemelha muito a uma conta padrão do Windows ou nome de grupo '%{Semelhante ao nome da conta}'. Potencialmente é uma conta não autorizada criada por um invasor, portanto, nomeada para evitar ser observada por um administrador humano.
Gravidade: Média
Módulo de kernel suspeito detectado [visto várias vezes]
Descrição: a análise dos dados do host em %{Host Comprometido} detectou um arquivo de objeto compartilhado sendo carregado como um módulo de kernel. Pode ser uma atividade legítima ou uma indicação de que um de seus computadores foi comprometido. Esse comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes dos computadores]
Gravidade: Média
Acesso suspeito à senha [visto várias vezes]
Descrição: a análise dos dados do host detectou acesso suspeito a senhas de usuário criptografadas em %{Host Comprometido}. Esse comportamento foi visto [x] vezes hoje nos seguintes computadores: [Nomes dos computadores]
Gravidade: Informativo
Acesso suspeito à senha
Descrição: a análise dos dados do host detectou acesso suspeito a senhas de usuário criptografadas em %{Host Comprometido}.
Gravidade: Informativo
Solicitação suspeita para o Painel do Kubernetes
(VM_KubernetesDashboard)
Descrição: os logs do computador indicam que uma solicitação suspeita foi feita no Painel do Kubernetes. A solicitação foi enviada de um nó do Kubernetes, possivelmente de um dos contêineres em execução no nó. Embora o comportamento possa ser intencional, pode indicar que o nó está executando um contêiner comprometido.
Táticas mitre: LateralMovement
Gravidade: Média
Redefinição de configuração incomum na sua máquina virtual
(VM_VMAccessUnusualConfigReset)
Descrição: uma redefinição de configuração incomum foi detectada em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Embora essa ação possa ser legítima, os invasores podem tentar utilizar a extensão VM Access para redefinir a configuração em sua máquina virtual e comprometê-la.
Táticas MITRE: Acesso a credenciais
Gravidade: Média
Redefinição de senha de usuário incomum na sua máquina virtual
(VM_VMAccessUnusualPasswordReset)
Descrição: uma redefinição de senha de usuário incomum foi detectada em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Embora essa ação possa ser legítima, os invasores podem tentar utilizar a extensão VM Access para redefinir as credenciais de um usuário local em sua máquina virtual e comprometê-la.
Táticas MITRE: Acesso a credenciais
Gravidade: Média
Redefinição de chave SSH de usuário incomum na sua máquina virtual
(VM_VMAccessUnusualSSHReset)
Descrição: uma redefinição de chave SSH de usuário incomum foi detectada em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Embora essa ação possa ser legítima, os invasores podem tentar utilizar a extensão VM Access para redefinir a chave SSH de uma conta de usuário em sua máquina virtual e comprometê-la.
Táticas MITRE: Acesso a credenciais
Gravidade: Média
Instalação suspeita da extensão de GPU em sua máquina virtual (versão prévia)
(VM_GPUDriverExtensionUnusualExecution)
Descrição: a instalação suspeita de uma extensão de GPU foi detectada em sua máquina virtual analisando as operações do Azure Resource Manager em sua assinatura. Os invasores podem usar a extensão de driver de GPU para instalar drivers de GPU em sua máquina virtual por meio do Azure Resource Manager para executar o cryptojacking.
Táticas do MITRE: Impacto
Gravidade: Baixa
Observação
Para obter alertas que estão em versão prévia: os termos suplementares de versão prévia do Azure incluem termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.