Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo fornece links para páginas que listam os alertas de segurança que você pode receber do Microsoft Defender para Nuvem e quaisquer planos habilitados do Microsoft Defender. Os alertas exibidos em seu ambiente dependem dos recursos e serviços que você está protegendo e da configuração personalizada.
Observação
Alguns dos alertas adicionados recentemente com a plataforma Microsoft Defender Threat Intelligence e Microsoft Defender para Ponto de Extremidade podem não estar documentados.
Esta página também inclui uma tabela que descreve a cadeia de eliminação do Microsoft Defender para Nuvem alinhada com a versão 9 da matriz MITRE ATT&CK.
Saiba como responder a esses alertas.
Observação
Alertas de fontes diferentes podem levar diferentes quantidades de tempo para serem exibidos. Por exemplo, alertas que exigem análise de tráfego de rede podem levar mais tempo para aparecer do que alertas relacionados a processos suspeitos em execução em máquinas virtuais.
Páginas de alerta de segurança por categoria
- Alertas para computadores Windows
- Alertas para computadores Linux
- Alertas para DNS
- Alertas para extensões de VM do Azure
- Alertas para o Serviço de Aplicativo do Azure
- Alertas para contêineres – clusters do Kubernetes
- Alertas do Banco de Dados SQL e do Azure Synapse Analytics
- Alertas para bancos de dados relacionais de software livre
- Alertas para o Resource Manager
- Alertas para o Armazenamento do Azure
- Alertas para o Azure Cosmos DB
- Alertas para a camada de rede do Azure
- Alertas para o Azure Key Vault
- Alertas para a Proteção contra DDoS do Azure
- Alertas do Defender para APIs
- Alertas para cargas de trabalho de IA
- Alertas de segurança preteridos
Táticas MITRE ATT&CK
Entender a intenção de um ataque pode ajudá-lo a investigar e relatar o evento com mais facilidade. Para ajudar com esses esforços, os alertas do Microsoft Defender para Nuvem incluem as táticas mitre com muitos alertas.
A série de etapas que descrevem a progressão de um ataque cibernético do reconhecimento à exfiltração de dados é frequentemente conhecida como uma "cadeia de morte".
As intenções de cadeia de morte com suporte do Defender para Nuvem são baseadas na versão 9 da matriz MITRE ATT&CK e descritas na tabela abaixo.
| Tática | Versão do ATT&CK | Description |
|---|---|---|
| Pré-ataque | PreAttack pode ser uma tentativa de acessar um determinado recurso, independentemente de uma intenção mal-intencionada, ou uma tentativa fracassada de obter acesso a um sistema de destino para coletar informações antes da exploração. Essa etapa geralmente é detectada como uma tentativa, originária de fora da rede, de verificar o sistema de destino e identificar um ponto de entrada. | |
| Acesso inicial | V7, V9 | O Acesso Inicial é o estágio em que um invasor consegue obter uma base no recurso atacado. Esse estágio é relevante para hosts e recursos de computação, como contas de usuário, certificados etc. Geralmente, os atores de ameaça poderão controlar o recurso após esse estágio. |
| Persistência | V7, V9 | Persistência é qualquer alteração de acesso, ação ou configuração para um sistema que fornece a um ator de ameaça uma presença persistente nesse sistema. Os atores de ameaça geralmente precisarão manter o acesso aos sistemas por meio de interrupções, como reinicializações do sistema, perda de credenciais ou outras falhas que exigiriam uma ferramenta de acesso remoto para reiniciar ou fornecer um backdoor alternativo para que eles recuperem o acesso. |
| Elevação de Privilégio | V7, V9 | O escalonamento de privilégios é o resultado de ações que permitem que um adversário obtenha um nível mais alto de permissões em um sistema ou rede. Determinadas ferramentas ou ações exigem um nível mais alto de privilégio para funcionar e provavelmente são necessárias em muitos pontos ao longo de uma operação. Contas de usuário com permissões para acessar sistemas específicos ou executar funções específicas necessárias para que os adversários alcancem seu objetivo também podem ser consideradas um escalonamento de privilégios. |
| Evasão de defesa | V7, V9 | A evasão de defesa consiste em técnicas que um adversário pode usar para evitar a detecção ou evitar outras defesas. Às vezes, essas ações são iguais às técnicas (ou variações de) em outras categorias que têm o benefício adicional de subverter uma defesa ou mitigação específica. |
| Acesso à credencial | V7, V9 | O acesso à credencial representa técnicas que resultam em acesso ou controle sobre credenciais de sistema, domínio ou serviço que são usadas em um ambiente empresarial. Os adversários provavelmente tentarão obter credenciais legítimas de usuários ou contas de administrador (administrador do sistema local ou usuários de domínio com acesso de administrador) para usar na rede. Com acesso suficiente em uma rede, um adversário pode criar contas para uso posterior dentro do ambiente. |
| Descoberta | V7, V9 | A descoberta consiste em técnicas que permitem que o adversário obtenha conhecimento sobre o sistema e a rede interna. Quando os adversários obtêm acesso a um novo sistema, eles devem se orientar para o que agora têm controle e quais benefícios a operação desse sistema dá ao seu objetivo atual ou metas gerais durante a intrusão. O sistema operacional fornece muitas ferramentas nativas que ajudam nessa fase de coleta de informações pós-comprometimento. |
| LateralMovement | V7, V9 | O movimento lateral consiste em técnicas que permitem que um adversário acesse e controle sistemas remotos em uma rede e pode, mas não necessariamente, incluir a execução de ferramentas em sistemas remotos. As técnicas de movimento lateral podem permitir que um adversário colete informações de um sistema sem precisar de mais ferramentas, como uma ferramenta de acesso remoto. Um adversário pode usar a movimentação lateral para muitas finalidades, incluindo execução remota de ferramentas, dinamização para mais sistemas, acesso a informações ou arquivos específicos, acesso a mais credenciais ou para causar um efeito. |
| Execução | V7, V9 | A tática de execução representa técnicas que resultam na execução de código controlado pelo adversário em um sistema local ou remoto. Essa tática geralmente é usada em conjunto com a movimentação lateral para expandir o acesso a sistemas remotos em uma rede. |
| Conjunto | V7, V9 | A coleção consiste em técnicas usadas para identificar e coletar informações, como arquivos confidenciais, de uma rede de destino antes da exfiltração. Essa categoria também abrange locais em um sistema ou rede em que o adversário pode procurar informações para exfiltrar. |
| Comando e controle | V7, V9 | A tática de comando e controle representa como os adversários se comunicam com sistemas sob seu controle dentro de uma rede de destino. |
| Exfiltração | V7, V9 | Exfiltração refere-se a técnicas e atributos que resultam ou ajudam o adversário a remover arquivos e informações de uma rede de destino. Essa categoria também abrange locais em um sistema ou rede em que o adversário pode procurar informações para exfiltrar. |
| Impact | V7, V9 | Os eventos de impacto tentam principalmente reduzir diretamente a disponibilidade ou a integridade de um sistema, serviço ou rede; incluindo a manipulação de dados para afetar um processo operacional ou comercial. Isso geralmente se refere a técnicas como ransomware, desfiguração, manipulação de dados e outras. |
Observação
Para obter alertas que estão em versão prévia: os termos suplementares de versão prévia do Azure incluem termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.