本文列出您可能會從適用於雲端的 Microsoft Defender 針對 Linux 電腦收到的安全性警示,以及您啟用的任何 Microsoft Defender 方案。 您環境中顯示的警示取決於您要保護的資源和服務,以及您的自定義組態。
備註
Microsoft Defender 威脅情報 和 適用於端點的 Microsoft Defender 提供電源的一些最近新增的警示可能未記載。
備註
來自不同來源的警示可能需要不同時間才會出現。 例如,需要分析網路流量的警示,可能會比與虛擬機上執行的可疑進程相關的警示出現的時間更長。
備註
適用於雲端的 Microsoft Defender 中顯示的 VM 用戶端開機證明警示僅供參考,目前不會呈現在 Defender 入口網站中。
Linux 機器警示
Microsoft適用於伺服器的 Defender 方案 2 除了 適用於端點的 Microsoft Defender 所提供的偵測和警示之外,還提供唯一的偵測和警示。 為 Linux 機器提供的警示包括:
已清除歷史檔案
說明: 主機資料的分析指出已清除指令歷程日誌檔。 攻擊者可能會這樣做來掩蓋他們的蹤跡。 該操作由用戶執行:'%{用戶名}'。
MITRE 策略: -
嚴重性:中
已稽核調適性應用程式控制原則違規
(VM_AdaptiveApplicationControlLinuxViolationAudited)
說明:下列使用者在此電腦上執行的應用程式違反了您組織的應用程式控制原則。 其可能會向惡意程式碼或應用程式弱點公開機器。
MITRE 策略:執行
嚴重性:資訊
虛擬機中的反惡意代碼廣泛檔案排除
(VM_AmBroadFilesExclusion)
描述:分析訂用帳戶中的 Azure Resource Manager 作業,偵測到虛擬機中具有廣泛排除規則之反惡意代碼擴充功能的檔案。 這類排除實際上會停用反惡意代碼保護。 攻擊者可能會從虛擬機上的反惡意代碼掃描中排除檔案,以防止在執行任意程式代碼或感染計算機時偵測到惡意代碼。
MITRE 策略: -
嚴重性:中
已停用反惡意代碼,並在虛擬機中執行程序代碼
(VM_AmDisablementAndCodeExecution)
描述:在虛擬機上執行程式碼的同時停用反惡意代碼。 這是藉由分析訂用帳戶中的 Azure Resource Manager 作業來偵測到的。 攻擊者會停用反惡意代碼掃描器,以防止在執行未經授權的工具或感染計算機時偵測到惡意代碼。
MITRE 策略: -
嚴重性:高
在虛擬機中停用反惡意代碼軟體
(VM_AmDisablement)
描述:虛擬機中已停用反惡意代碼軟體。 這是藉由分析訂用帳戶中的 Azure Resource Manager 作業來偵測到的。 攻擊者可能會停用虛擬機上的反惡意代碼軟體,以防止偵測。
MITRE 戰術:防禦逃避
嚴重性:中
虛擬機中的反惡意代碼檔案排除和程式碼執行
(VM_AmFileExclusionAndCodeExecution)
描述:從反惡意代碼掃描器中排除的檔案,同時透過虛擬機上的自定義腳本擴充功能執行程序代碼。 這是藉由分析訂用帳戶中的 Azure Resource Manager 作業來偵測到的。 攻擊者可能會從虛擬機上的反惡意代碼掃描中排除檔案,以防止在執行未經授權的工具或感染計算機時偵測到惡意代碼。
MITRE 策略: 防禦逃避, 執行
嚴重性:高
虛擬機器中的反惡意代碼檔案排除和程式碼執行 (暫存)
(VM_AmTempFileExclusionAndCodeExecution)
描述:藉由分析訂用帳戶中的 Azure Resource Manager 作業,在虛擬機中偵測到透過自定義腳本擴充功能平行執行程式代碼的暫存盤排除。 攻擊者可能會從虛擬機上的反惡意代碼掃描中排除檔案,以防止在執行任意程式代碼或感染計算機時偵測到惡意代碼。
MITRE 策略: 防禦逃避, 執行
嚴重性:高
虛擬機中的反惡意代碼檔案排除
(VM_AmTempFileExclusion)
描述:從虛擬機上的反惡意代碼掃描器排除的檔案。 這是藉由分析訂用帳戶中的 Azure Resource Manager 作業來偵測到的。 攻擊者可能會從虛擬機上的反惡意代碼掃描中排除檔案,以防止在執行未經授權的工具或感染計算機時偵測到惡意代碼。
MITRE 戰術:防禦逃避
嚴重性:中
虛擬機中已停用反惡意代碼即時保護
(VM_AmRealtimeProtectionDisabled)
描述:藉由分析訂用帳戶中的 Azure Resource Manager 作業,偵測到虛擬機中偵測到反惡意代碼延伸模組的即時保護停用。 攻擊者可能會停用虛擬機上反惡意代碼掃描的即時保護,以避免在執行任意程式碼或感染計算機時偵測到惡意代碼。
MITRE 戰術:防禦逃避
嚴重性:中
在虛擬機中暫時停用反惡意代碼實時保護
(VM_AmTempRealtimeProtectionDisablement)
描述:藉由分析訂用帳戶中的 Azure Resource Manager 作業,偵測到虛擬機中偵測到反惡意代碼延伸模組的即時保護暫時停用。 攻擊者可能會停用虛擬機上反惡意代碼掃描的即時保護,以避免在執行任意程式碼或感染計算機時偵測到惡意代碼。
MITRE 戰術:防禦逃避
嚴重性:中
在虛擬機中執行程式代碼時,已暫時停用反惡意代碼實時保護
(VM_AmRealtimeProtectionDisablementAndCodeExec)
描述:藉由分析訂用帳戶中的 Azure Resource Manager 作業,在虛擬機中偵測到透過自定義腳本擴充功能平行執行反惡意代碼延伸模組的即時保護暫時停用。 攻擊者可能會停用虛擬機上反惡意代碼掃描的即時保護,以避免在執行任意程式碼或感染計算機時偵測到惡意代碼。
MITRE 策略: -
嚴重性:高
針對可能與虛擬機上惡意代碼活動相關的檔案封鎖反惡意代碼掃描 (預覽)
(VM_AmMalwareCampaignRelatedExclusion)
描述:在虛擬機中偵測到排除規則,以防止反惡意代碼延伸模塊掃描可疑與惡意代碼行銷活動相關的特定檔案。 藉由分析訂用帳戶中的 Azure Resource Manager 作業,偵測到此規則。 攻擊者可能會從反惡意代碼掃描中排除檔案,以防止在執行任意程式代碼或感染計算機時偵測到惡意代碼。
MITRE 戰術:防禦逃避
嚴重性:中
虛擬機中暫時停用反惡意代碼
(VM_AmTemporarilyDisablement)
描述:虛擬機中暫時停用反惡意代碼軟體。 這是藉由分析訂用帳戶中的 Azure Resource Manager 作業來偵測到的。 攻擊者可能會停用虛擬機上的反惡意代碼軟體,以防止偵測。
MITRE 策略: -
嚴重性:中
虛擬機中的反惡意代碼異常檔案排除
(VM_UnusualAmFileExclusion)
描述:藉由分析訂用帳戶中的 Azure Resource Manager 作業,偵測到虛擬機中反惡意代碼擴充功能的異常檔案排除。 攻擊者可能會從虛擬機上的反惡意代碼掃描中排除檔案,以防止在執行任意程式代碼或感染計算機時偵測到惡意代碼。
MITRE 戰術:防禦逃避
嚴重性:中
偵測到類似勒索軟體的行為 [出現多次]
描述:對 %{受感染主機} 上的主機資料進行分析,偵測到執行的檔案與已知勒索軟體相似,可能會阻止使用者存取其系統或個人檔案,並要求支付贖金以重新獲得存取權限。 今天在下列計算機上看到此行為 [x] 次:[機器名稱]
MITRE 策略: -
嚴重性:高
與威脅情報所識別可疑網域的通訊
(AzureDNS_ThreatIntelSuspectDomain)
描述:藉由分析來自您資源的 DNS 交易,並與威脅情報摘要識別的已知惡意網域進行比較,偵測到與可疑網域的通訊。 攻擊者經常執行與惡意網域的通訊,並可能表示您的資源遭到入侵。
MITRE 策略:初始存取、持續性、執行、命令和控制、惡意探索
嚴重性:中
偵測到具有礦工映像的容器
(VM_MinerInContainerImage)
說明:機器日誌指出執行與數位貨幣採礦相關聯的映像檔的 Docker 容器。
MITRE 策略:執行
嚴重性:高
在命令列中偵測到大小寫字元的異常混合
描述:分析 %{Compromised Host} 上的主機數據時,偵測到命令行有異常的大寫和小寫字元混合。 這種模式雖然可能是良性的,但也是攻擊者嘗試在遭入侵的主機上執行系統管理工作時,嘗試隱藏不區分大小寫或哈希型規則比對的一般。
MITRE 策略: -
嚴重性:中
偵測到從已知惡意來源下載檔案
說明:對主機資料的分析偵測到從 {Compromised Host} 上的已知惡意軟體來源下載檔案 %。
MITRE 策略: -
嚴重性:中
偵測到可疑的網路活動
描述:分析來自 %{Compromised Host} 的網路流量偵測到可疑的網路活動。 這類流量雖然可能為良性,但通常由攻擊者用來與惡意伺服器通訊,以下載工具、命令和控制及外泄數據。 典型的相關攻擊者活動包括將遠端管理工具複製到遭入侵的主機,以及從中外洩用戶數據。
MITRE 策略: -
嚴重性:低
偵測到的數位資產採礦相關行為
描述:在 %{Compromised Host} 上分析主機數據時,偵測到執行通常與貨幣採礦相關聯的進程或命令。
MITRE 策略: -
嚴重性:高
停用稽核記錄 [多次出現]
說明: Linux 稽核系統提供一種方法來追蹤系統上的安全相關資訊。 它會盡可能多地記錄系統上發生之事件的相關資訊。 停用稽核記錄可能會妨礙發現系統上使用的安全性原則違規。 今天在下列計算機上看到此行為 [x] 次:[機器名稱]
MITRE 策略: -
嚴重性:低
利用 Xorg 漏洞 [多次出現]
描述:對 %{Compromised Host} 上的主機資料進行分析,偵測到 Xorg 使用者具有可疑參數。 攻擊者可能會在許可權提升嘗試中使用此技術。 今天在下列計算機上看到此行為 [x] 次:[機器名稱]
MITRE 策略: -
嚴重性:中
SSH 暴力破解攻擊失敗
(VM_SshBruteForceFailed)
描述:從下列攻擊者偵測到失敗的暴力破解攻擊:%{Attackers}。 攻擊者嘗試使用下列使用者名稱存取主機:%{登入失敗嘗試時使用的帳戶}。
MITRE 策略:探查
嚴重性:中
偵測到無檔案攻擊行為
(VM_FilelessAttackBehavior.Linux)
說明:下面指定的進程的記憶體包含無檔案攻擊常用的行為。 具體行為包括:{觀察到的行為清單}
MITRE 策略:執行
嚴重性:低
偵測到無檔案攻擊技術
(VM_FilelessAttackTechnique.Linux)
描述:下列指定的進程的記憶體包含無檔案攻擊技術的證據。 攻擊者會使用無檔案攻擊來執行程式碼,同時逃避安全性軟體的偵測。 具體行為包括:{觀察到的行為清單}
MITRE 策略:執行
嚴重性:高
偵測到無檔案攻擊工具組
(VM_FilelessAttackToolkit.Linux)
描述:下面指定的進程的記憶體包含無檔案攻擊工具組:{ToolKitName}。 無檔案攻擊工具包通常不存在於檔案系統上,這使得傳統防毒軟體難以偵測。 具體行為包括:{觀察到的行為清單}
MITRE 策略: 防禦逃避, 執行
嚴重性:高
偵測到隱藏檔案執行
說明:主機資料的分析指出隱藏檔案是由 {使用者名稱} 執行 %。 此活動可能是合法活動,也可能是主機遭到入侵的指示。
MITRE 策略: -
嚴重性:資訊
新增了新的 SSH 金鑰 [多次出現]
(VM_SshKeyAddition)
說明:已將新的 SSH 金鑰新增至授權金鑰檔案。 今天在下列計算機上看到此行為 [x] 次:[機器名稱]
MITRE 策略:持久性
嚴重性:低
新增了新的SSH金鑰
說明:已將新的 SSH 金鑰新增至授權金鑰檔案。
MITRE 策略: -
嚴重性:低
偵測到可能的後門 [多次出現]
描述:主機資料分析偵測到正在下載可疑檔案,然後在訂閱 %{遭入侵的主機} 上執行。 此活動先前與安裝後門有關。 今天在下列計算機上看到此行為 [x] 次:[機器名稱]
MITRE 策略: -
嚴重性:中
偵測到郵件伺服器可能遭到惡意探索
(VM_MailserverExploitation )
說明:分析 {Compromised Host} 上的主機資料 %偵測到郵件伺服器帳戶下的異常執行
MITRE 策略:惡意探索
嚴重性:中
偵測到可能的惡意 Web Shell
描述:分析 {Compromised Host} %主機資料時偵測到可能的 Web Shell。 攻擊者通常會將 Web shell 上傳到他們已入侵的機器上,以獲得持久性或進一步利用。
MITRE 策略: -
嚴重性:中
偵測到可能使用 crypt-method 更改密碼 [多次出現]
說明:使用 crypt 方法分析 {Compromised Host} %上的主機資料偵測到密碼變更。 攻擊者可以進行此變更,以繼續存取並在入侵後獲得持久性。 今天在下列計算機上看到此行為 [x] 次:[機器名稱]
MITRE 策略: -
嚴重性:中
檢測到與數字貨幣挖礦相關的過程 [多次出現]
描述:對 {Compromised Host} %主機資料的分析偵測到通常與數位貨幣挖礦相關的進程的執行。 今天在以下電腦上出現了 100 多次此行為:[電腦名稱]
MITRE 策略: -
嚴重性:中
檢測到與數字貨幣挖礦相關的過程
說明:主機資料分析偵測到通常與數位貨幣挖礦相關聯的處理程序的執行。
MITRE 策略:利用、執行
嚴重性:中
偵測到 Python 編碼下載器 [多次出現]
說明:分析 %{Compromised Host} 上的主機資料時,偵測到從遠端位置下載和執行程式碼的編碼 Python 執行。 這可能是惡意活動的跡象。 今天在下列計算機上看到此行為 [x] 次:[機器名稱]
MITRE 策略: -
嚴重性:低
在主持人身上截圖[多次看到]
說明:分析 %{遭入侵主機} 上的主機資料時,偵測到螢幕擷取工具的使用者。 攻擊者可能會使用這些工具來存取私人資料。 今天在下列計算機上看到此行為 [x] 次:[機器名稱]
MITRE 策略: -
嚴重性:低
偵測到 Shellcode [多次出現]
說明:分析 {Compromised Host} 上的主機資料 %偵測到從命令列產生 shellcode。 此程式可能是合法的活動,或表示您的其中一部機器遭到入侵。 今天在下列計算機上看到此行為 [x] 次:[機器名稱]
MITRE 策略: -
嚴重性:中
SSH 暴力攻擊成功
(VM_SshBruteForceSuccess)
說明:對主機資料的分析偵測到成功的暴力破解攻擊。 看到 IP %{攻擊者來源 IP} 進行了多次登入嘗試。 使用下列使用者從該 IP 成功登入:%{用於成功登入主機的帳戶}。 這表示主機可能會受到惡意行為者的入侵和控制。
MITRE 策略:惡意探索
嚴重性:高
偵測到可疑的帳戶建立
描述:在 %{Compromised Host} 上分析主機數據時,偵測到建立或使用本機帳戶 %{可疑帳戶名稱}:此帳戶名稱與標準 Windows 帳戶或組名 '%{類似帳戶名稱}'。 這可能是攻擊者所建立的流氓帳戶,因此命名以避免人為系統管理員注意到。
MITRE 策略: -
嚴重性:中
偵測到可疑核心模組 [出現多次]
說明:分析 {Compromised Host} %主機資料時,偵測到共用物件檔案載入為核心模組。 這可能是合法的活動,或表示您的其中一部計算機遭到入侵。 今天在下列計算機上看到此行為 [x] 次:[機器名稱]
MITRE 策略: -
嚴重性:中
可疑的密碼存取 [出現多次]
說明:對主機資料的分析偵測到對 {Compromised Host} 上加密使用者密碼 %可疑存取。 今天在下列計算機上看到此行為 [x] 次:[機器名稱]
MITRE 策略: -
嚴重性:資訊
可疑密碼存取
說明:對主機資料的分析偵測到對 {Compromised Host} 上加密使用者密碼 %可疑存取。
MITRE 策略: -
嚴重性:資訊
對 Kubernetes 儀表板的可疑要求
(VM_KubernetesDashboard)
說明:機器日誌指出已向 Kubernetes 儀表板發出可疑要求。 要求是從 Kubernetes 節點傳送的,可能是來自節點中執行的其中一個容器。 雖然此行為可能是刻意的,但它可能表示節點正在執行遭入侵的容器。
MITRE 策略:橫向移動
嚴重性:中
虛擬機中的異常設定重設
(VM_VMAccessUnusualConfigReset)
描述:藉由分析訂用帳戶中的 Azure Resource Manager 作業,在您的虛擬機中偵測到不尋常的組態重設。 雖然此動作可能是合法的,但攻擊者可以嘗試使用 VM 存取擴充功能來重設虛擬機中的設定,並加以入侵。
MITRE 策略:認證存取
嚴重性:中
虛擬機中的異常用戶密碼重設
(VM_VMAccessUnusualPasswordReset)
描述:藉由分析訂用帳戶中的 Azure Resource Manager 作業,在您的虛擬機中偵測到不尋常的用戶密碼重設。 雖然此動作可能是合法的,但攻擊者可以嘗試使用 VM 存取擴充功能來重設虛擬機中本機用戶的認證,並入侵它。
MITRE 策略:認證存取
嚴重性:中
虛擬機中的異常使用者 SSH 金鑰重設
(VM_VMAccessUnusualSSHReset)
描述:藉由分析訂用帳戶中的 Azure Resource Manager 作業,在您的虛擬機中偵測到不尋常的使用者 SSH 密鑰重設。 雖然此動作可能是合法的,但攻擊者可以嘗試利用 VM 存取擴充功能來重設虛擬機中用戶帳戶的 SSH 密鑰,並加以入侵。
MITRE 策略:認證存取
嚴重性:中
在虛擬機器中可疑安裝 GPU 擴充功能 (預覽版)
(VM_GPUDriverExtensionUnusualExecution)
描述:藉由分析訂用帳戶中的 Azure Resource Manager 作業,在您的虛擬機中偵測到 GPU 擴充功能的可疑安裝。 攻擊者可能會使用 GPU 驅動程式擴充功能,透過 Azure Resource Manager 在您的虛擬機器上安裝 GPU 驅動程式,以執行密碼編譯。
MITRE 策略:影響
嚴重性:低
備註
針對處於預覽狀態的警示: Azure 預覽補充條款 包含適用於 Beta 版、預覽版或尚未發行至正式運作之 Azure 功能的其他法律條款。