已被取代的安全性警示

本文列出適用於雲端的 Microsoft Defender 中已取代的安全性警示。

已取代的適用於容器的 Defender 警示

下列清單包含已被取代的適用於容器的 Defender 安全性警示。

偵測到主機防火牆的操作

（K8S.NODE_FirewallDisabled）

說明：分析容器內或直接在 Kubernetes 節點上執行的處理程序，偵測到主機上防火牆可能遭到操縱。 攻擊者通常會禁用此功能以洩露數據。

MITRE 戰術：防禦規避、滲透

嚴重性：中

可疑使用 DNS over HTTPS

（K8S.NODE_SuspiciousDNSOverHttps）

說明：對容器內或直接在 Kubernetes 節點上執行的處理程序進行分析，偵測到以不常見的方式使用 HTTPS 上的 DNS 呼叫。 攻擊者使用此技術來隱藏對可疑或惡意網站的呼叫。

MITRE 戰術：防禦規避、滲透

嚴重性：中

偵測到可能與惡意位置的連線

（K8S.NODE_ThreatIntelCommandLineSuspectDomain）

說明：對容器內或直接在 Kubernetes 節點上執行的處理程序進行分析，偵測到與已報告為惡意或異常位置的連線。 這表示可能已發生入侵。

MITRE 策略：InitialAccess

嚴重性：中

數位貨幣挖礦活動

（K8S.NODE_CurrencyMining）

描述：對 DNS 交易的分析檢測到數字貨幣挖礦活動。 此類活動雖然可能是合法的用戶行為，但攻擊者經常在資源洩露後執行。 典型的相關攻擊者活動可能包括下載和執行常見的挖礦工具。

MITRE 策略：外洩

嚴重性：低

已取代的適用於伺服器的 Defender Linux 警示

VM_AbnormalDaemonTermination

警示顯示名稱：異常終止

嚴重性：低

VM_BinaryGeneratedFromCommandLine

警示顯示名稱：偵測到可疑二進位檔

嚴重性：中

VM_CommandlineSuspectDomain 可疑

警示顯示名稱：網域名稱參考

嚴重性：低

VM_CommonBot

警示顯示名稱：偵測到類似常見 Linux 機器人的行為

嚴重性：中

VM_CompCommonBots

警示顯示名稱：偵測到類似常見 Linux 機器人的命令

嚴重性：中

VM_CompSuspiciousScript

警示顯示名稱：偵測到 Shell 指令碼

嚴重性：中

VM_CompTestRule

警示顯示名稱：複合分析測試警示

嚴重性：低

VM_CronJobAccess

警示顯示名稱：偵測到排程工作的操作

嚴重性：資訊

VM_CryptoCoinMinerArtifacts

警報顯示名稱：偵測到與數位貨幣挖礦相關的進程

嚴重性：中

VM_CryptoCoinMinerDownload

警報顯示名稱：檢測到可能的 Cryptocoinminer 下載

嚴重性：中

VM_CryptoCoinMinerExecution

警報顯示名稱：潛在的加密貨幣礦工已啟動

嚴重性：中

VM_DataEgressArtifacts

警示顯示名稱：偵測到可能的資料外流

嚴重性：中

VM_DigitalCurrencyMining

警報顯示名稱：偵測到數位貨幣挖礦相關行為

嚴重性：高

VM_DownloadAndRunCombo

警示顯示名稱：可疑下載然後執行活動

嚴重性：中

VM_EICAR

警示顯示名稱：適用於雲端的 Microsoft Defender 測試警示 （不是威脅）

嚴重性：高

VM_ExecuteHiddenFile

警示顯示名稱：隱藏檔案的執行

嚴重性：資訊

VM_ExploitAttempt

警示顯示名稱：可能的命令列惡意探索嘗試

嚴重性：中

VM_ExposedDocker

警示顯示名稱：TCP 通訊端上公開的 Docker 常駐程式

嚴重性：中

VM_FairwareMalware

警示顯示名稱：偵測到類似 Fairware 勒索軟體的行為

嚴重性：中

VM_FirewallDisabled

警示顯示名稱：偵測到主機防火牆的操作

嚴重性：中

VM_HadoopYarnExploit

警示顯示名稱：可能利用 Hadoop Yarn

嚴重性：中

VM_HistoryFileCleared

警示顯示名稱：已清除歷程記錄檔案

嚴重性：中

VM_KnownLinuxAttackTool

警示顯示名稱：偵測到可能的攻擊工具

嚴重性：中

VM_KnownLinuxCredentialAccessTool

警示顯示名稱：偵測到可能的認證存取工具

嚴重性：中

VM_KnownLinuxDDoSToolkit

警示顯示名稱：偵測到與 DDOS 工具組相關聯的指標

嚴重性：中

VM_KnownLinuxScreenshotTool

警報顯示名稱：在主機上截取的螢幕截圖

嚴重性：低

VM_LinuxBackdoorArtifact

警示顯示名稱：偵測到可能的後門

嚴重性：中

VM_LinuxReconnaissance

警示顯示名稱：偵測到本機主機偵察

嚴重性：中

VM_MismatchedScriptFeatures

警示顯示名稱：偵測到指令碼延伸模組不相符

嚴重性：中

VM_MitreCalderaTools

警示顯示名稱：偵測到 MITRE Caldera 代理程式

嚴重性：中

VM_NewSingleUserModeStartupScript

警示顯示名稱：偵測到持續性嘗試

嚴重性：中

VM_NewSudoerAccount

警報顯示名稱：新增至sudo群組的帳戶

嚴重性：低

VM_OverridingCommonFiles

警示顯示名稱：可能覆寫一般檔案

嚴重性：中

VM_PrivilegedContainerArtifacts

警示顯示名稱：以特殊許可權模式執行的容器

嚴重性：低

VM_PrivilegedExecutionInContainer

警示顯示名稱：以高權限執行的容器內的命令

嚴重性：低

VM_ReadingHistoryFile

警示顯示名稱：對 bash 歷程記錄檔案的異常存取

嚴重性：資訊

VM_ReverseShell

警示顯示名稱：偵測到潛在的反向 shell

嚴重性：中

VM_SshKeyAccess

警示顯示名稱：以不尋常的方式存取 SSH 授權金鑰檔案的進程

嚴重性：低

VM_SshKeyAddition

警示顯示名稱：新增 SSH 金鑰

嚴重性：低

VM_SuspectCompilation

警示顯示名稱：偵測到可疑編譯

嚴重性：中

VM_SuspectConnection

警示顯示名稱：偵測到不常見的連線嘗試

嚴重性：中

VM_SuspectDownload

警示顯示名稱：偵測到從已知惡意來源下載檔案

嚴重性：中

VM_SuspectDownloadArtifacts

警示顯示名稱：偵測到可疑檔案下載

嚴重性：低

VM_SuspectExecutablePath

警示顯示名稱：發現從可疑位置執行的可執行檔

嚴重性：中

VM_SuspectHtaccessFileAccess

警示顯示名稱：偵測到 htaccess 檔案的存取

嚴重性：中

VM_SuspectInitialShellCommand

警示顯示名稱：Shell 中的可疑第一個命令

嚴重性：低

VM_SuspectMixedCaseText

警示顯示名稱：在命令列中偵測到大寫和小寫字元的異常混合

嚴重性：中

VM_SuspectNetworkConnection

警示顯示名稱：可疑網路連線

嚴重性：資訊

VM_SuspectNohup

警示顯示名稱：偵測到 nohup 命令的可疑使用

嚴重性：中

VM_SuspectPasswordChange

警示顯示名稱：偵測到可能使用 crypt-method 變更密碼

嚴重性：中

VM_SuspectPasswordFileAccess

警示顯示名稱：可疑密碼存取

嚴重性：資訊

VM_SuspectPhp

警示顯示名稱：偵測到可疑的 PHP 執行

嚴重性：中

VM_SuspectPortForwarding

警示顯示名稱：可能將連接埠轉送至外部 IP 位址

嚴重性：中

VM_SuspectProcessAccountPrivilegeCombo

警示顯示名稱：在服務帳戶中執行的進程意外變成 root

嚴重性：中

VM_SuspectProcessTermination

警示顯示名稱：偵測到安全性相關進程終止

嚴重性：低

VM_SuspectUserAddition

警示顯示名稱：偵測到 useradd 命令的可疑使用

嚴重性：中

VM_SuspiciousCommandLineExecution

警示顯示名稱：可疑命令執行

嚴重性：高

VM_SuspiciousDNSOverHttps

警示顯示名稱：可疑使用 DNS over HTTPS

嚴重性：中

VM_SystemLogRemoval

警示顯示名稱：偵測到可能的記錄竄改活動

嚴重性：中

VM_ThreatIntelCommandLineSuspectDomain

警示顯示名稱：偵測到可能與惡意位置的連線

嚴重性：中

VM_ThreatIntelSuspectLogon

警示顯示名稱：偵測到來自惡意 IP 的登入

嚴重性：高

VM_TimerServiceDisabled

警示顯示名稱：偵測到嘗試停止 apt-daily-upgrade.timer 服務

嚴重性：資訊

VM_TimestampTampering

警示顯示名稱：可疑檔案時間戳記修改

嚴重性：低

VM_Webshell

警示顯示名稱：偵測到可能的惡意 Web Shell

嚴重性：中

已取代的適用於伺服器的 Defender Windows 警示

SCUBA_MULTIPLEACCOUNTCREATE

警示顯示名稱：在多個主機上可疑建立帳戶

嚴重性：中

SCUBA_PSINSIGHT_CONTEXT

警示顯示名稱：偵測到 PowerShell 的可疑使用

嚴重性：資訊

SCUBA_RULE_AddGuestToAdministrators

警示顯示名稱：將訪客帳戶新增至本機管理員群組

嚴重性：中

SCUBA_RULE_Apache_Tomcat_executing_suspicious_commands

警示顯示名稱：Apache_Tomcat_executing_suspicious_commands

嚴重性：中

SCUBA_RULE_KnownBruteForcingTools

警示顯示名稱：已執行可疑進程

嚴重性：高

SCUBA_RULE_KnownCollectionTools

警示顯示名稱：已執行可疑進程

嚴重性：高

SCUBA_RULE_KnownDefenseEvasionTools

警示顯示名稱：已執行可疑進程

嚴重性：高

SCUBA_RULE_KnownExecutionTools

警示顯示名稱：已執行可疑進程

嚴重性：高

SCUBA_RULE_KnownPassTheHashTools

警示顯示名稱：已執行可疑進程

嚴重性：高

SCUBA_RULE_KnownSpammingTools

警示顯示名稱：已執行可疑進程

嚴重性：中

SCUBA_RULE_Lowering_Security_Settings

警示顯示名稱：偵測到停用重要服務

嚴重性：中

SCUBA_RULE_OtherKnownHackerTools

警示顯示名稱：已執行可疑進程

嚴重性：高

SCUBA_RULE_RDP_session_hijacking_via_tscon

警示顯示名稱：指示 RDP 劫持的可疑完整性層級

嚴重性：中

SCUBA_RULE_RDP_session_hijacking_via_tscon_service

警示顯示名稱：可疑服務安裝

嚴重性：中

SCUBA_RULE_Suppress_pesky_unauthorized_use_prohibited_notices

警示顯示名稱：偵測到登入時向使用者顯示的法律通知隱藏

嚴重性：低

SCUBA_RULE_WDigest_Enabling

警示顯示名稱：偵測到啟用 WDigest UseLogonCredential 登錄機碼

嚴重性：中

VM.Windows_ApplockerBypass

警示顯示名稱：偵測到可能嘗試略過 AppLocker

嚴重性：高

VM.Windows_BariumKnownSuspiciousProcessExecution

警示顯示名稱：偵測到可疑檔案建立

嚴重性：高

VM.Windows_Base64EncodedExecutableInCommandLineParams

警示顯示名稱：在命令列資料中偵測到編碼的可執行檔

嚴重性：高

VM.Windows_CalcsCommandLineUse

警示顯示名稱：偵測到可疑使用 Cacls 來降低系統的安全性狀態

嚴重性：中

VM.Windows_CommandLineStartingAllExe

警示顯示名稱：偵測到可疑的命令列，用於啟動目錄中的所有可執行檔

嚴重性：中

VM.Windows_DisablingAndDeletingIISLogFiles

警示顯示名稱：偵測到指出停用和刪除 IIS 記錄檔的動作

嚴重性：中

VM.Windows_DownloadUsingCertutil

警示顯示名稱：偵測到 Certutil 的可疑下載

嚴重性：中

VM.Windows_EchoOverPipeOnLocalhost

警示顯示名稱：偵測到可疑的具名管道通訊

嚴重性：高

VM.Windows_EchoToConstructPowerShellScript

警示顯示名稱：動態 PowerShell 腳本建構

嚴重性：中

VM.Windows_ExecutableDecodedUsingCertutil

警示顯示名稱：偵測到使用內建 certutil.exe 工具解碼可執行檔

嚴重性：中

VM.Windows_FileDeletionIsSospisiousLocation

警示顯示名稱：偵測到可疑檔案刪除

嚴重性：中

VM.Windows_KerberosGoldenTicketAttack

警示顯示名稱：觀察到可疑的 Kerberos 黃金票證攻擊參數

嚴重性：中

VM.Windows_KeygenToolKnownProcessName

警示顯示名稱：偵測到可能執行 keygen 可執行檔執行可疑進程

嚴重性：中

VM.Windows_KnownCredentialAccessTools

警示顯示名稱：已執行可疑進程

嚴重性：高

VM.Windows_KnownSuspiciousPowerShellScript

警示顯示名稱：偵測到 PowerShell 的可疑使用

嚴重性：高

VM.Windows_KnownSuspiciousSoftwareInstallation

警示顯示名稱：偵測到高風險軟體

嚴重性：中

VM.Windows_MsHtaAndPowerShellCombination

警示顯示名稱：偵測到 HTA 和 PowerShell 的可疑組合

嚴重性：中

VM.Windows_MultipleAccountsQuery

警示顯示名稱：查詢多個網域帳戶

嚴重性：中

VM.Windows_NewAccountCreation

警示顯示名稱：偵測到帳戶建立

嚴重性：資訊

VM.Windows_ObfuscatedCommandLine

警示顯示名稱：偵測到模糊化的命令列。

嚴重性：高

VM.Windows_PcaluaUseToLaunchExecutable

警示顯示名稱：偵測到可疑使用 Pcalua.exe 來啟動可執行程式碼

嚴重性：中

VM.Windows_PetyaRansomware

警示顯示名稱：偵測到 Petya 勒索軟體指標

嚴重性：高

VM.Windows_PowerShellPowerSploitScriptExecution

警示顯示名稱：已執行可疑的 PowerShell Cmdlet

嚴重性：中

VM.Windows_RansomwareIndication

警示顯示名稱：偵測到勒索軟體指標

嚴重性：高

VM.Windows_SqlDumperUsedSuspiciously

警示顯示名稱：偵測到可能的認證傾印 [已多次出現]

嚴重性：中

VM.Windows_StopCriticalServices

警示顯示名稱：偵測到停用重要服務

嚴重性：中

VM.Windows_SubvertingAccessibilityBinary

警示顯示名稱：偵測到黏性金鑰攻擊偵測到可疑帳戶建立 中

VM.Windows_SuspiciousAccountCreation

警示顯示名稱：偵測到可疑帳戶建立

嚴重性：中

VM.Windows_SuspiciousFirewallRuleAdded

警示顯示名稱：偵測到可疑的新防火牆規則

嚴重性：中

VM.Windows_SuspiciousFTPSSwitchUsage

警示顯示名稱：偵測到可疑使用 FTP -s 交換器

嚴重性：中

VM.Windows_SuspiciousSQLActivity

警示顯示名稱：可疑的 SQL 活動

嚴重性：中

VM.Windows_SVCHostFromInvalidPath

警示顯示名稱：已執行可疑進程

嚴重性：高

VM.Windows_SystemEventLogCleared

警示顯示名稱：已清除 Windows 安全性記錄檔

嚴重性：資訊

VM.Windows_TelegramInstallation

警報顯示名稱：偵測到潛在可疑使用 Telegram 工具

嚴重性：中

VM.Windows_UndercoverProcess

警示顯示名稱：偵測到可疑命名的進程

嚴重性：高

VM.Windows_UserAccountControlBypass

警示顯示名稱：偵測到登錄機碼的變更，可濫用以略過 UAC

嚴重性：中

VM.Windows_VBScriptEncoding

警示顯示名稱：偵測到 VBScript.Encode 命令的可疑執行

嚴重性：中

VM.Windows_WindowPositionRegisteryChange

警示顯示名稱：偵測到可疑的 WindowPosition 登錄值

嚴重性：低

VM.Windows_ZincPortOpenningUsingFirewallRule

警報顯示名稱：ZINC 伺服器植入程式建立的惡意防火牆規則

嚴重性：高

VM_DigitalCurrencyMining

警報顯示名稱：偵測到數位貨幣挖礦相關行為

嚴重性：高

VM_MaliciousSQLActivity

警示顯示名稱：惡意 SQL 活動

嚴重性：高

VM_ProcessWithDoubleExtensionExecution

警示顯示名稱：執行可疑的雙副檔名檔案

嚴重性：高

VM_RegistryPersistencyKey

警示顯示名稱：偵測到 Windows 登錄持續性方法

嚴重性：低

VM_ShadowCopyDeletion

警示顯示名稱：發現可疑磁碟區陰影複製活動可執行檔從可疑位置執行

嚴重性：高

VM_SuspectExecutablePath

警示顯示名稱：發現可執行檔從可疑位置執行偵測到命令列中的大小寫字元異常混合

嚴重性：資訊

中等

VM_SuspectPhp

警示顯示名稱：偵測到可疑的 PHP 執行

嚴重性：中

VM_SuspiciousCommandLineExecution

警示顯示名稱：可疑命令執行

嚴重性：高

VM_SuspiciousScreenSaverExecution

警示顯示名稱：執行可疑的螢幕保護程式進程

嚴重性：中

VM_SvcHostRunInRareServiceGroup

警示顯示名稱：已執行罕見的 SVCHOST 服務群組

嚴重性：資訊

VM_SystemProcessInAbnormalContext

警示顯示名稱：執行可疑的系統進程

嚴重性：中

VM_ThreatIntelCommandLineSuspectDomain

警示顯示名稱：偵測到可能與惡意位置的連線

嚴重性：中

VM_ThreatIntelSuspectLogon

警示顯示名稱：偵測到來自惡意 IP 的登入

嚴重性：高

VM_VbScriptHttpObjectAllocation

警示顯示名稱：偵測到 VBScript HTTP 物件配置

嚴重性：高

VM_TaskkillBurst

警示顯示名稱：可疑進程終止高載

嚴重性：低

VM_RunByPsExec

警示顯示名稱：偵測到 PsExec 執行

嚴重性：資訊

後續步驟

• 適用於雲端的 Microsoft Defender 中的安全性警示
• 管理及回應適用於雲端的 Microsoft Defender 中的安全性警示
• 持續匯出適用於雲端的 Defender 資料