Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo lista alertas de segurança preteridos no Microsoft Defender para Nuvem.
Alertas preteridos do Defender para Contêineres
As listas a seguir incluem os alertas de segurança do Defender para Contêineres que foram preteridos.
Manipulação do firewall do host detectada
(K8S. NODE_FirewallDisabled)
Descrição: a análise de processos em execução em um contêiner ou diretamente em um nó do Kubernetes detectou uma possível manipulação do firewall no host. Os invasores geralmente desabilitarão isso para exfiltrar dados.
Táticas MITRE: DefenseEvasion, Exfiltration
Gravidade: Média
Uso suspeito de DNS via HTTPS
(K8S. NODE_SuspiciousDNSOverHttps)
Descrição: a análise de processos em execução em um contêiner ou diretamente em um nó do Kubernetes detectou o uso de uma chamada DNS por HTTPS de maneira incomum. Essa técnica é usada por invasores para ocultar chamadas para sites suspeitos ou mal-intencionados.
Táticas MITRE: DefenseEvasion, Exfiltration
Gravidade: Média
Uma possível conexão com o local mal-intencionado foi detectada
(K8S. NODE_ThreatIntelCommandLineSuspectDomain)
Descrição: a análise de processos em execução em um contêiner ou diretamente em um nó do Kubernetes detectou uma conexão com um local que foi relatado como mal-intencionado ou incomum. Esse é um indicador de que um compromisso pode ter ocorrido.
Táticas MITRE: InitialAccess
Gravidade: Média
Atividade de mineração de moeda digital
(K8S. NODE_CurrencyMining)
Descrição: a análise das transações DNS detectou a atividade de mineração de moeda digital. Essa atividade, embora possivelmente um comportamento legítimo do usuário, é frequentemente executada por invasores após o comprometimento dos recursos. A atividade típica do invasor relacionado provavelmente incluirá o download e a execução de ferramentas de mineração comuns.
Táticas do MITRE: Exfiltração
Gravidade: Baixa
Alertas preteridos do Linux do Defender para Servidores
VM_AbnormalDaemonTermination
Nome de exibição do alerta: terminação anormal
Gravidade: Baixa
VM_BinaryGeneratedFromCommandLine
Nome de exibição do alerta: binário suspeito detectado
Gravidade: Média
VM_CommandlineSuspectDomain suspeito
Nome de Exibição de Alerta: referência de nome de domínio
Gravidade: Baixa
VM_CommonBot
Nome de Exibição de Alerta: Comportamento semelhante aos bots comuns do Linux detectados
Gravidade: Média
VM_CompCommonBots
Nome de Exibição de Alerta: Comandos semelhantes aos bots comuns do Linux detectados
Gravidade: Média
VM_CompSuspiciousScript
Nome de exibição do alerta: script de shell detectado
Gravidade: Média
VM_CompTestRule
Nome de exibição do alerta: alerta de teste de análise composta
Gravidade: Baixa
VM_CronJobAccess
Nome de Exibição de Alerta: Manipulação de tarefas agendadas detectadas
Gravidade: Informativo
VM_CryptoCoinMinerArtifacts
Nome de Exibição de Alerta: Processo associado à mineração de moeda digital detectado
Gravidade: Média
VM_CryptoCoinMinerDownload
Nome de exibição do alerta: possível download do Cryptocoinminer detectado
Gravidade: Média
VM_CryptoCoinMinerExecution
Nome de Exibição de Alerta: Potencial minerador de moedas de criptografia iniciado
Gravidade: Média
VM_DataEgressArtifacts
Nome de Exibição do Alerta: Possível exfiltração de dados detectada
Gravidade: Média
VM_DigitalCurrencyMining
Nome de Exibição de Alerta: Comportamento relacionado à mineração de moeda digital detectado
Gravidade: Alta
VM_DownloadAndRunCombo
Nome de exibição do alerta: atividade de execução do download suspeito
Gravidade: Média
VM_EICAR
Nome de exibição do alerta: alerta de teste do Microsoft Defender para Nuvem (não uma ameaça)
Gravidade: Alta
VM_ExecuteHiddenFile
Nome de exibição do alerta: execução do arquivo oculto
Gravidade: Informativo
VM_ExploitAttempt
Nome de exibição do alerta: possível tentativa de exploração de linha de comando
Gravidade: Média
VM_ExposedDocker
Nome de exibição do alerta: daemon do Docker exposto no soquete TCP
Gravidade: Média
VM_FairwareMalware
Nome de exibição do alerta: comportamento semelhante ao ransomware Fairware detectado
Gravidade: Média
VM_FirewallDisabled
Nome de Exibição de Alerta: Manipulação do firewall do host detectada
Gravidade: Média
VM_HadoopYarnExploit
Nome de exibição do alerta: possível exploração do Yarn do Hadoop
Gravidade: Média
VM_HistoryFileCleared
Nome de Exibição do Alerta: um arquivo de histórico foi limpo
Gravidade: Média
VM_KnownLinuxAttackTool
Nome de exibição do alerta: possível ferramenta de ataque detectada
Gravidade: Média
VM_KnownLinuxCredentialAccessTool
Nome de Exibição de Alerta: Possível ferramenta de acesso à credencial detectada
Gravidade: Média
VM_KnownLinuxDDoSToolkit
Nome de exibição do alerta: indicadores associados ao kit de ferramentas DDOS detectado
Gravidade: Média
VM_KnownLinuxScreenshotTool
Nome de exibição do alerta: captura de tela feita no host
Gravidade: Baixa
VM_LinuxBackdoorArtifact
Nome de exibição do alerta: possível backdoor detectado
Gravidade: Média
VM_LinuxReconnaissance
Nome de Exibição do Alerta: Reconhecimento de host local detectado
Gravidade: Média
VM_MismatchedScriptFeatures
Nome de Exibição de Alerta: Incompatibilidade de extensão de script detectada
Gravidade: Média
VM_MitreCalderaTools
Nome de exibição do alerta: o agente MITRE Caldera detectado
Gravidade: Média
VM_NewSingleUserModeStartupScript
Nome de exibição do alerta: tentativa de persistência detectada
Gravidade: Média
VM_NewSudoerAccount
Nome de Exibição do Alerta: Conta adicionada ao grupo sudo
Gravidade: Baixa
VM_OverridingCommonFiles
Nome de Exibição de Alerta: Potencial substituição de arquivos comuns
Gravidade: Média
VM_PrivilegedContainerArtifacts
Nome de Exibição de Alerta: Contêiner em execução no modo privilegiado
Gravidade: Baixa
VM_PrivilegedExecutionInContainer
Nome de Exibição de Alerta: Comando em um contêiner em execução com privilégios altos
Gravidade: Baixa
VM_ReadingHistoryFile
Nome de exibição do alerta: acesso incomum ao arquivo de histórico do bash
Gravidade: Informativo
VM_ReverseShell
Nome de Exibição do Alerta: Possível shell reverso detectado
Gravidade: Média
VM_SshKeyAccess
Nome de Exibição do Alerta: Processo visto acessando o arquivo de chaves autorizadas SSH de maneira incomum
Gravidade: Baixa
VM_SshKeyAddition
Nome de exibição do alerta: nova chave SSH adicionada
Gravidade: Baixa
VM_SuspectCompilation
Nome de exibição do alerta: compilação suspeita detectada
Gravidade: Média
VM_SuspectConnection
Nome de exibição do alerta: uma tentativa de conexão incomum detectada
Gravidade: Média
VM_SuspectDownload
Nome de Exibição de Alerta: Download de arquivo detectado de uma fonte mal-intencionada conhecida
Gravidade: Média
VM_SuspectDownloadArtifacts
Nome de exibição do alerta: download de arquivo suspeito detectado
Gravidade: Baixa
VM_SuspectExecutablePath
Nome de Exibição do Alerta: Executável encontrado em execução em um local suspeito
Gravidade: Média
VM_SuspectHtaccessFileAccess
Nome de Exibição de Alerta: Acesso do arquivo htaccess detectado
Gravidade: Média
VM_SuspectInitialShellCommand
Nome de exibição do alerta: primeiro comando suspeito no shell
Gravidade: Baixa
VM_SuspectMixedCaseText
Nome de Exibição de Alerta: Detectada mistura anômômala de caracteres maiúsculos e minúsculos na linha de comando
Gravidade: Média
VM_SuspectNetworkConnection
Nome de exibição do alerta: conexão de rede suspeita
Gravidade: Informativo
VM_SuspectNohup
Nome de exibição do alerta: uso suspeito detectado do comando nohup
Gravidade: Média
VM_SuspectPasswordChange
Nome de Exibição de Alerta: Possível alteração de senha usando o método crypt detectado
Gravidade: Média
VM_SuspectPasswordFileAccess
Nome de exibição do alerta: acesso suspeito à senha
Gravidade: Informativo
VM_SuspectPhp
Nome de exibição do alerta: execução suspeita de PHP detectada
Gravidade: Média
VM_SuspectPortForwarding
Nome de Exibição de Alerta: Encaminhamento de porta potencial para o endereço IP externo
Gravidade: Média
VM_SuspectProcessAccountPrivilegeCombo
Nome de Exibição de Alerta: o processo em execução em uma conta de serviço tornou-se raiz inesperadamente
Gravidade: Média
VM_SuspectProcessTermination
Nome de Exibição do Alerta: Término do processo relacionado à segurança detectado
Gravidade: Baixa
VM_SuspectUserAddition
Nome de exibição do alerta: foi detectado o uso suspeito do comando useradd
Gravidade: Média
VM_SuspiciousCommandLineExecution
Nome de exibição do alerta: execução de comando suspeita
Gravidade: Alta
VM_SuspiciousDNSOverHttps
Nome de exibição do alerta: uso suspeito de DNS por HTTPS
Gravidade: Média
VM_SystemLogRemoval
Nome de exibição do alerta: possível atividade de adulteração de log detectada
Gravidade: Média
VM_ThreatIntelCommandLineSuspectDomain
Nome de exibição do alerta: uma possível conexão com o local mal-intencionado foi detectada
Gravidade: Média
VM_ThreatIntelSuspectLogon
Nome de exibição do alerta: um logon de um IP mal-intencionado foi detectado
Gravidade: Alta
VM_TimerServiceDisabled
Nome de exibição do alerta: tentativa de interromper o serviço apt-daily-upgrade.timer detectado
Gravidade: Informativo
VM_TimestampTampering
Nome de Exibição do Alerta: Modificação suspeita do carimbo de data/hora do arquivo
Gravidade: Baixa
VM_Webshell
Nome de Exibição do Alerta: Possível shell da Web mal-intencionado detectado
Gravidade: Média
Alertas preteridos do Windows do Defender para Servidores
SCUBA_MULTIPLEACCOUNTCREATE
Nome de Exibição de Alerta: Criação suspeita de contas em vários hosts
Gravidade: Média
SCUBA_PSINSIGHT_CONTEXT
Nome de exibição do alerta: uso suspeito do PowerShell detectado
Gravidade: Informativo
SCUBA_RULE_AddGuestToAdministrators
Nome de Exibição de Alerta: Adição da conta de convidado ao grupo Administradores Locais
Gravidade: Média
SCUBA_RULE_Apache_Tomcat_executing_suspicious_commands
Nome de exibição do alerta: Apache_Tomcat_executing_suspicious_commands
Gravidade: Média
SCUBA_RULE_KnownBruteForcingTools
Nome de exibição do alerta: processo suspeito executado
Gravidade: Alta
SCUBA_RULE_KnownCollectionTools
Nome de exibição do alerta: processo suspeito executado
Gravidade: Alta
SCUBA_RULE_KnownDefenseEvasionTools
Nome de exibição do alerta: processo suspeito executado
Gravidade: Alta
SCUBA_RULE_KnownExecutionTools
Nome de exibição do alerta: processo suspeito executado
Gravidade: Alta
SCUBA_RULE_KnownPassTheHashTools
Nome de exibição do alerta: processo suspeito executado
Gravidade: Alta
SCUBA_RULE_KnownSpammingTools
Nome de exibição do alerta: processo suspeito executado
Gravidade: Média
SCUBA_RULE_Lowering_Security_Settings
Nome de exibição do alerta: detectou a desabilitação de serviços críticos
Gravidade: Média
SCUBA_RULE_OtherKnownHackerTools
Nome de exibição do alerta: processo suspeito executado
Gravidade: Alta
SCUBA_RULE_RDP_session_hijacking_via_tscon
Nome de exibição do alerta: suspeitar de nível de integridade indicativo de sequestro de RDP
Gravidade: Média
SCUBA_RULE_RDP_session_hijacking_via_tscon_service
Nome de Exibição do Alerta: Instalação suspeita do serviço
Gravidade: Média
SCUBA_RULE_Suppress_pesky_unauthorized_use_prohibited_notices
Nome de exibição do alerta: supressão detectada do aviso legal exibido aos usuários no logon
Gravidade: Baixa
SCUBA_RULE_WDigest_Enabling
Nome de exibição do alerta: habilitação detectada da chave do Registro WDigest UseLogonCredential
Gravidade: Média
VM.Windows_ApplockerBypass
Nome de exibição do alerta: possível tentativa de ignorar o AppLocker detectado
Gravidade: Alta
VM.Windows_BariumKnownSuspiciousProcessExecution
Nome de exibição do alerta: criação de arquivo suspeita detectada
Gravidade: Alta
VM.Windows_Base64EncodedExecutableInCommandLineParams
Nome de exibição do alerta: executável codificado detectado em dados de linha de comando
Gravidade: Alta
VM.Windows_CalcsCommandLineUse
Nome de exibição do alerta: detectou o uso suspeito de Cacls para reduzir o estado de segurança do sistema
Gravidade: Média
VM.Windows_CommandLineStartingAllExe
Nome de Exibição de Alerta: linha de comando suspeita detectada usada para iniciar todos os executáveis em um diretório
Gravidade: Média
VM.Windows_DisablingAndDeletingIISLogFiles
Nome de Exibição de Alerta: ações detectadas indicam desabilitar e excluir arquivos de log do IIS
Gravidade: Média
VM.Windows_DownloadUsingCertutil
Nome de exibição do alerta: download suspeito usando o Certutil detectado
Gravidade: Média
VM.Windows_EchoOverPipeOnLocalhost
Nome de exibição do alerta: comunicações suspeitas de pipe nomeadas
Gravidade: Alta
VM.Windows_EchoToConstructPowerShellScript
Nome de exibição do alerta: construção de script dinâmico do PowerShell
Gravidade: Média
VM.Windows_ExecutableDecodedUsingCertutil
Nome de Exibição de Alerta: Decodificação detectada de um executável usando a ferramenta de certutil.exe interna
Gravidade: Média
VM.Windows_FileDeletionIsSospisiousLocation
Nome de exibição do alerta: exclusão suspeita de arquivo detectada
Gravidade: Média
VM.Windows_KerberosGoldenTicketAttack
Nome de exibição do alerta: suspeita de parâmetros de ataque do Kerberos Golden Ticket observados
Gravidade: Média
VM.Windows_KeygenToolKnownProcessName
Nome de exibição do alerta: foi detectada a possível execução do processo suspeito executável de keygen executado
Gravidade: Média
VM.Windows_KnownCredentialAccessTools
Nome de exibição do alerta: processo suspeito executado
Gravidade: Alta
VM.Windows_KnownSuspiciousPowerShellScript
Nome de exibição do alerta: uso suspeito do PowerShell detectado
Gravidade: Alta
VM.Windows_KnownSuspiciousSoftwareInstallation
Nome de exibição do alerta: software de alto risco detectado
Gravidade: Média
VM.Windows_MsHtaAndPowerShellCombination
Nome de exibição do alerta: combinação suspeita detectada de HTA e PowerShell
Gravidade: Média
VM.Windows_MultipleAccountsQuery
Nome de exibição do alerta: várias contas de domínio consultadas
Gravidade: Média
VM.Windows_NewAccountCreation
Nome de exibição do alerta: criação de conta detectada
Gravidade: Informativo
VM.Windows_ObfuscatedCommandLine
Nome de exibição do alerta: linha de comando ofuscada detectada.
Gravidade: Alta
VM.Windows_PcaluaUseToLaunchExecutable
Nome de exibição do alerta: detectou o uso suspeito de Pcalua.exe para iniciar o código executável
Gravidade: Média
VM.Windows_PetyaRansomware
Nome de exibição do alerta: indicadores de ransomware Petya detectados
Gravidade: Alta
VM.Windows_PowerShellPowerSploitScriptExecution
Nome de exibição do alerta: cmdlets suspeitos do PowerShell executados
Gravidade: Média
VM.Windows_RansomwareIndication
Nome de exibição do alerta: indicadores de ransomware detectados
Gravidade: Alta
VM.Windows_SqlDumperUsedSuspiciously
Nome de Exibição do Alerta: Possível despejo de credencial detectado [visto várias vezes]
Gravidade: Média
VM.Windows_StopCriticalServices
Nome de exibição do alerta: detectou a desabilitação de serviços críticos
Gravidade: Média
VM.Windows_SubvertingAccessibilityBinary
Nome de Exibição do Alerta: ataque de chaves autoadesivas detectado Criação de conta suspeita detectada Média
VM.Windows_SuspiciousAccountCreation
Nome de exibição do alerta: criação de conta suspeita detectada
Gravidade: Média
VM.Windows_SuspiciousFirewallRuleAdded
Nome de exibição do alerta: nova regra de firewall suspeita detectada
Gravidade: Média
VM.Windows_SuspiciousFTPSSwitchUsage
Nome de exibição do alerta: detectou o uso suspeito do comutador de -s FTP
Gravidade: Média
VM.Windows_SuspiciousSQLActivity
Nome de exibição do alerta: atividade sql suspeita
Gravidade: Média
VM.Windows_SVCHostFromInvalidPath
Nome de exibição do alerta: processo suspeito executado
Gravidade: Alta
VM.Windows_SystemEventLogCleared
Nome de exibição do alerta: o log de segurança do Windows foi desmarcado
Gravidade: Informativo
VM.Windows_TelegramInstallation
Nome de exibição de alerta: foi detectado o uso potencialmente suspeito da ferramenta Do Telegram
Gravidade: Média
VM.Windows_UndercoverProcess
Nome de exibição do alerta: processo com nome suspeito detectado
Gravidade: Alta
VM.Windows_UserAccountControlBypass
Nome de exibição do alerta: alteração detectada em uma chave do Registro que pode ser abusada para ignorar o UAC
Gravidade: Média
VM.Windows_VBScriptEncoding
Nome de exibição do alerta: execução suspeita detectada do comando VBScript.Encode
Gravidade: Média
VM.Windows_WindowPositionRegisteryChange
Nome de exibição do alerta: valor suspeito do registro WindowPosition detectado
Gravidade: Baixa
VM.Windows_ZincPortOpenningUsingFirewallRule
Nome de Exibição de Alerta: regra de firewall mal-intencionada criada pelo implante do servidor ZINC
Gravidade: Alta
VM_DigitalCurrencyMining
Nome de Exibição de Alerta: Comportamento relacionado à mineração de moeda digital detectado
Gravidade: Alta
VM_MaliciousSQLActivity
Nome de exibição do alerta: atividade sql mal-intencionada
Gravidade: Alta
VM_ProcessWithDoubleExtensionExecution
Nome de exibição do alerta: arquivo de extensão dupla suspeito executado
Gravidade: Alta
VM_RegistryPersistencyKey
Nome de Exibição de Alerta: método de persistência do Registro do Windows detectado
Gravidade: Baixa
VM_ShadowCopyDeletion
Nome de exibição do alerta: executável da atividade de cópia de sombra de volume suspeita encontrada em execução em um local suspeito
Gravidade: Alta
VM_SuspectExecutablePath
Nome de Exibição de Alerta: Executável encontrado em execução em um local suspeito Detectou uma combinação anômômala de caracteres maiúsculos e minúsculos na linha de comando
Gravidade: Informativo
Medium
VM_SuspectPhp
Nome de exibição do alerta: execução suspeita de PHP detectada
Gravidade: Média
VM_SuspiciousCommandLineExecution
Nome de exibição do alerta: execução de comando suspeita
Gravidade: Alta
VM_SuspiciousScreenSaverExecution
Nome de exibição do alerta: processo do Protetor de Tela Suspeito executado
Gravidade: Média
VM_SvcHostRunInRareServiceGroup
Nome de exibição do alerta: grupo de serviçoS SVCHOST raro executado
Gravidade: Informativo
VM_SystemProcessInAbnormalContext
Nome de exibição do alerta: processo suspeito do sistema executado
Gravidade: Média
VM_ThreatIntelCommandLineSuspectDomain
Nome de exibição do alerta: uma possível conexão com o local mal-intencionado foi detectada
Gravidade: Média
VM_ThreatIntelSuspectLogon
Nome de exibição do alerta: um logon de um IP mal-intencionado foi detectado
Gravidade: Alta
VM_VbScriptHttpObjectAllocation
Nome de exibição do alerta: alocação de objeto HTTP do VBScript detectada
Gravidade: Alta
VM_TaskkillBurst
Nome de Exibição do Alerta: Interrupção suspeita do término do processo
Gravidade: Baixa
VM_RunByPsExec
Nome de exibição do alerta: execução PsExec detectada
Gravidade: Informativo
Observação
Para obter alertas que estão em versão prévia: os termos suplementares de versão prévia do Azure incluem termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.