Поделиться через


Оповещения для компьютеров Windows

В этой статье перечислены оповещения системы безопасности, которые вы можете получить для компьютеров Windows в Microsoft Defender для облака и любых включенных планах Microsoft Defender. Оповещения, отображаемые в вашей среде, зависят от защищаемых ресурсов, служб и настроенной конфигурации.

Узнайте, как реагировать на эти оповещения.

Узнайте, как экспортировать оповещения.

Оповещения компьютеров Windows

Microsoft Defender для серверов (план 2) предоставляет уникальные обнаружения и оповещения, а также оповещения Microsoft Defender для конечной точки. Оповещения, предоставляемые для компьютеров Windows.

Дополнительные сведения и примечания

A logon from a malicious IP has been detected. [seen multiple times] (Обнаружен вход с вредоносного IP-адреса) [встречается несколько раз]

Описание. Произошла успешная удаленная проверка подлинности для учетной записи [учетная запись] и процесс [процесс], однако IP-адрес входа (x.x.x.x.x) ранее сообщался как вредоносный или очень необычный. Возможно, произошла успешная атака. Файлы с расширениями SCR — это файлы экранных заставок, которые обычно хранятся и выполняются из системного каталога Windows.

Тактика MITRE: -

Серьезность: высокий уровень

Нарушение политики адаптивного управления приложениями было проверено

VM_AdaptiveApplicationControlWindowsViolationAudited

Описание. Приведенные ниже пользователи запускали приложения, которые нарушают политику управления приложениями вашей организации на этом компьютере. Это может предоставить компьютер уязвимостям вредоносных программ или приложений.

Тактика MITRE: Выполнение

Серьезность: информационная

Addition of Guest account to Local Administrators group (Добавление гостевой учетной записи в группу локальных администраторов)

Описание. Анализ данных узла обнаружил добавление встроенной гостевой учетной записи в группу локальных администраторов на %{Скомпрометированный узел}, которая строго связана с действием злоумышленника.

Тактика MITRE: -

Серьезность: средний

An event log was cleared (Журнал событий очищен)

Описание. Журналы компьютеров указывают на операцию очистки журнала подозрительных событий пользователем: "%{имя пользователя}" на компьютере: "%{Компрометация}". Журнал %{канал_журнала} был удален.

Тактика MITRE: -

Серьезность: информационная

Antimalware Action Failed (Не удалось выполнить действие по защите от вредоносных программ)

Описание. Антивредоносная программа Майкрософт столкнулась с ошибкой при принятии действия по вредоносным программам или другому потенциально нежелательному программному обеспечению.

Тактика MITRE: -

Серьезность: средний

Antimalware Action Taken (Предпринято действие по защите от вредоносных программ)

Описание. Антивредоносная программа Майкрософт для Azure предприняла действия по защите этого компьютера от вредоносных программ или другого потенциально нежелательного программного обеспечения.

Тактика MITRE: -

Серьезность: средний

Исключение широких файлов защиты от вредоносных программ на вашей виртуальной машине

(VM_AmBroadFilesExclusion)

Описание. Исключение файлов из расширения защиты от вредоносных программ с широким правилом исключения было обнаружено на виртуальной машине путем анализа операций Azure Resource Manager в подписке. Такое исключение практически отключает защиту от вредоносных программ. Злоумышленники могут исключить файлы из проверки антивредоносного ПО на виртуальной машине, чтобы предотвратить их обнаружение при запуске произвольного кода или заражения компьютера вредоносными программами.

Тактика MITRE: -

Серьезность: средний

Защита от вредоносных программ отключена, код на вашей виртуальной машине выполняется

(VM_AmDisablementAndCodeExecution)

Описание. Антивредоносная программа отключена одновременно с выполнением кода на виртуальной машине. При анализе операций Azure Resource Manager в подписке было обнаружено это действие. Злоумышленники могут отключать проверки на наличие антивредоносных программ на виртуальной машине, чтобы предотвратить их обнаружение при запуске неавторизованных средств или заражении компьютера вредоносными программами.

Тактика MITRE: -

Серьезность: высокий уровень

Защита от вредоносных программ на вашей виртуальной машине отключена

(VM_AmDisablement)

Описание. Антивредоносная программа отключена на виртуальной машине. При анализе операций Azure Resource Manager в подписке было обнаружено это действие. Злоумышленники могут отключить антивредоносную программу на виртуальной машине, чтобы предотвратить обнаружение.

Тактика MITRE: Оборона Evasion

Серьезность: средний

Исключение файлов защиты от вредоносных программ и выполнение кода на вашей виртуальной машине

(VM_AmFileExclusionAndCodeExecution)

Описание. Файл, исключенный из средства проверки защиты от вредоносных программ, в то же время, что и код был выполнен с помощью расширения пользовательского скрипта на виртуальной машине. При анализе операций Azure Resource Manager в подписке было обнаружено это действие. Злоумышленники могут исключить файлы из проверки антивредоносного ПО на виртуальной машине, чтобы предотвратить их обнаружение при запуске неавторизованных инструментов или заражении компьютера вредоносными программами.

Тактика MITRE: Оборона Evasion, Выполнение

Серьезность: высокий уровень

Исключение файла защиты от вредоносных программ и выполнение кода на виртуальной машине (временное)

(VM_AmTempFileExclusionAndCodeExecution)

Описание. Временное исключение файла из расширения защиты от вредоносных программ параллельно с выполнением кода с помощью расширения пользовательского скрипта было обнаружено на виртуальной машине путем анализа операций Azure Resource Manager в подписке. Злоумышленники могут исключить файлы из проверки антивредоносного ПО на виртуальной машине, чтобы предотвратить их обнаружение при запуске произвольного кода или заражения компьютера вредоносными программами.

Тактика MITRE: Оборона Evasion, Выполнение

Серьезность: высокий уровень

Исключение файлов защиты от вредоносных программ на вашей виртуальной машине

(VM_AmTempFileExclusion)

Описание. Файл, исключенный из сканера защиты от вредоносных программ на виртуальной машине. При анализе операций Azure Resource Manager в подписке было обнаружено это действие. Злоумышленники могут исключить файлы из проверки антивредоносного ПО на виртуальной машине, чтобы предотвратить их обнаружение при запуске неавторизованных инструментов или заражении компьютера вредоносными программами.

Тактика MITRE: Оборона Evasion

Серьезность: средний

На вашей виртуальной машине была отключена защита от вредоносного ПО в режиме реального времени

(VM_AmRealtimeProtectionDisabled)

Описание. Отключение защиты от вредоносных программ в режиме реального времени обнаружено на виртуальной машине путем анализа операций Azure Resource Manager в подписке. Злоумышленники могут отключать защиту в реальном времени из проверки антивредоносного ПО на виртуальной машине, чтобы предотвратить обнаружение при запуске произвольного кода или заражении компьютера вредоносными программами.

Тактика MITRE: Оборона Evasion

Серьезность: средний

Защита от вредоносных программ в режиме реального времени на вашей виртуальной машине была временно отключена

(VM_AmTempRealtimeProtectionDisablement)

Описание. Временное отключение расширения защиты от вредоносных программ в режиме реального времени было обнаружено на виртуальной машине путем анализа операций Azure Resource Manager в подписке. Злоумышленники могут отключать защиту в реальном времени из проверки антивредоносного ПО на виртуальной машине, чтобы предотвратить обнаружение при запуске произвольного кода или заражении компьютера вредоносными программами.

Тактика MITRE: Оборона Evasion

Серьезность: средний

Защита от вредоносных программ в режиме реального времени была временно отключена, пока код выполнялся на вашей виртуальной машине

(VM_AmRealtimeProtectionDisablementAndCodeExec)

Описание. Временное отключение расширения защиты от вредоносных программ в режиме реального времени параллельно с выполнением кода с помощью расширения пользовательского скрипта было обнаружено на виртуальной машине путем анализа операций Azure Resource Manager в подписке. Злоумышленники могут отключать защиту в реальном времени из проверки антивредоносного ПО на виртуальной машине, чтобы предотвратить обнаружение при запуске произвольного кода или заражении компьютера вредоносными программами.

Тактика MITRE: -

Серьезность: высокий уровень

(VM_AmMalwareCampaignRelatedExclusion)

Описание. Правило исключения было обнаружено на виртуальной машине, чтобы предотвратить сканирование некоторых файлов, которые подозреваются в том, что они связаны с кампанией вредоносных программ. Правило было обнаружено путем анализа операций Azure Resource Manager в вашей подписке. Злоумышленники могут исключить файлы из сканирования на наличие вредоносных программ, чтобы предотвратить обнаружение при запуске произвольного кода или заражении машины вредоносным ПО.

Тактика MITRE: Оборона Evasion

Серьезность: средний

Защита от вредоносных программ на вашей виртуальной машине временно отключена

(VM_AmTemporarilyDisablement)

Описание. Антивредоносная программа временно отключена на виртуальной машине. При анализе операций Azure Resource Manager в подписке было обнаружено это действие. Злоумышленники могут отключить антивредоносную программу на виртуальной машине, чтобы предотвратить обнаружение.

Тактика MITRE: -

Серьезность: средний

Исключение необычных файлов для защиты от вредоносных программ на вашей виртуальной машине

(VM_UnusualAmFileExclusion)

Описание. Необычное исключение файла из расширения защиты от вредоносных программ было обнаружено на виртуальной машине путем анализа операций Azure Resource Manager в вашей подписке. Злоумышленники могут исключить файлы из проверки антивредоносного ПО на виртуальной машине, чтобы предотвратить их обнаружение при запуске произвольного кода или заражения компьютера вредоносными программами.

Тактика MITRE: Оборона Evasion

Серьезность: средний

Связь с подозрительным доменом, обнаруженным посредством аналитики угроз

(AzureDNS_ThreatIntelSuspectDomain)

Описание. Взаимодействие с подозрительным доменом было обнаружено путем анализа транзакций DNS из ресурса и сравнения с известными вредоносными доменами, идентифицированными веб-каналами аналитики угроз. Обмен данными с вредоносными доменами часто осуществляется злоумышленниками и может свидетельствовать о компрометации ресурса.

Тактика MITRE: начальный доступ, сохраняемость, выполнение, управление и управление, эксплуатация

Серьезность: средний

Detected actions indicative of disabling and deleting IIS log files (Обнаружены действия, которые свидетельствуют об отключении и удалении файлов журнала IIS)

Описание. Анализ обнаруженных данных узла действий, в которых отображаются файлы журнала IIS, отключаемые и (или) удаленные.

Тактика MITRE: -

Серьезность: средний

Detected anomalous mix of upper and lower case characters in command-line (Обнаружено аномальное сочетание символов верхнего и нижнего регистра в командной строке)

Описание. Анализ данных узла на %{Скомпрометированный узел} обнаружил командную строку с аномальным сочетанием символов верхнего и нижнего регистра. Хотя этот тип шаблона может быть безопасным, он также часто используется злоумышленниками, которые пытаются обойти чувствительные к регистру или хэшированию правила при выполнении административных задач на скомпрометированном узле.

Тактика MITRE: -

Серьезность: средний

Detected change to a registry key that can be abused to bypass UAC (Обнаружено изменение раздела реестра, который дает возможность обхода UAC)

Описание. Анализ данных узла на %{Скомпрометированный узел} обнаружил, что раздел реестра, который можно злоупотреблять для обхода UAC (контроль учетных записей пользователей) был изменен. Такая конфигурация, хотя и может быть безопасной, часто используется злоумышленниками при попытке перейти от непривилегированного (стандартный пользователь) к привилегированному (например, администратор) доступу к скомпрометированному узлу.

Тактика MITRE: -

Серьезность: средний

Detected decoding of an executable using built-in certutil.exe tool (Обнаружено декодирование исполняемого файла с помощью встроенного средства certutil.exe)

Описание. Анализ данных узла на %{Скомпрометированный узел} обнаружил, что certutil.exe, встроенная служебная программа администратора, использовалась для декодирования исполняемого файла вместо основной цели, связанной с управлением сертификатами и данными сертификатов. Злоумышленники злоупотребляют функциональностью допустимых инструментов администратора для выполнения вредоносных действий, например, используют certutil.exe для декодирования вредоносного исполняемого файла, который впоследствии будет выполнен.

Тактика MITRE: -

Серьезность: высокий уровень

Detected enabling of the WDigest UseLogonCredential registry key (Обнаружено включение раздела реестра WDigest UseLogonCredential)

Описание. Анализ данных узла обнаружил изменение раздела реестра HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest\ UseLogonCredential. В частности, этот ключ был обновлен для того, чтобы учетные данные для входа сохранялись в виде открытого текста в памяти LSA. После включения злоумышленник может дампа паролей с помощью средств сбора учетных данных, таких как Mimikatz.

Тактика MITRE: -

Серьезность: средний

Detected encoded executable in command line data (Обнаружен закодированный исполняемый файл в данных командной строки)

Описание. Анализ данных узла на %{Скомпрометированный узел} обнаружил исполняемый файл в кодировке Base-64. Ранее это было связано со злоумышленниками, пытающимися самостоятельно создавать исполняемые файлы в режиме реального времени через последовательность команд, чтобы не позволить системе обнаружить вторжения. Таким образом ни одна из отдельных команд не выдаст оповещение. Это может быть допустимое действие или признак скомпрометированного узла.

Тактика MITRE: -

Серьезность: высокий уровень

Detected obfuscated command line (Обнаружена командная строка с маскированием)

Описание. Злоумышленники используют все более сложные методы маскирования, чтобы избежать обнаружения, которые выполняются в базовых данных. При анализе данных узла %{скомпрометированный_узел} обнаружены подозрительные индикаторы маскирования в командной строке.

Тактика MITRE: -

Серьезность: информационная

Detected possible execution of keygen executable (Обнаружено возможное выполнение исполняемого файла создания ключей)

Описание. Анализ данных узла на %{Скомпрометированный узел} обнаружил выполнение процесса, имя которого свидетельствует о средстве keygen; такие средства обычно используются для поражения механизмов лицензирования программного обеспечения, но их скачивание часто объединяется с другим вредоносным программным обеспечением. Известно, что группа действий GOLD использует такие средства создания ключей, чтобы получать скрытый доступ к черным входам узлов, которые скомпрометированы.

Тактика MITRE: -

Серьезность: средний

Detected possible execution of malware dropper (Обнаружено возможное выполнение загрузчика вредоносных программ)

Описание. Анализ данных узла на %{Скомпрометированный узел} обнаружил имя файла, которое ранее было связано с одним из методов установки вредоносных программ на узле жертвы.

Тактика MITRE: -

Серьезность: высокий уровень

Detected possible local reconnaissance activity (Обнаружена возможная локальная рекогносцировка)

Описание. Анализ данных узла на %{Скомпрометированный узел} обнаружил сочетание команд systeminfo, которые ранее были связаны с одним из методов gold группы действий для выполнения разведывательных действий. Хотя systeminfo.exe является допустимым средством Windows, случай выполнения его дважды подряд встречается редко.

Тактика MITRE: -

Серьезность: низкая

Detected potentially suspicious use of Telegram tool (Обнаружено потенциально подозрительное использование средства Telegram)

Описание. Анализ данных узла показывает установку Telegram, бесплатную облачную службу обмена мгновенными сообщениями, которая существует как для мобильной, так и для классической системы. Злоумышленники могут использовать эту службу, чтобы передавать вредоносные двоичные файлы на любой другой компьютер, телефон или планшет.

Тактика MITRE: -

Серьезность: средний

Описание. Анализ данных узла на %{Скомпрометированный узел} обнаружил изменения в разделе реестра, который определяет, отображается ли юридическое уведомление пользователям при входе. Анализ безопасности корпорации Майкрософт определил, что это общее действие, выполняемое злоумышленниками после того, как узел скомпрометирован.

Тактика MITRE: -

Серьезность: низкая

Detected suspicious combination of HTA and PowerShell (Обнаружено подозрительное сочетание HTA и PowerShell)

Описание: mshta.exe (узел приложения Microsoft HTML), который является подписанным двоичным файлом Майкрософт, используется злоумышленниками для запуска вредоносных команд PowerShell. Злоумышленники часто прибегают к внедрению файла HTA со встроенным сценарием VBScript. Когда жертва переходит к файлу HTA и запускает его, выполняются команды и скрипты PowerShell, которые он содержит. При анализе данных узла %{скомпрометированный_узел} обнаружен файл mshta.exe, запускающий команды PowerShell.

Тактика MITRE: -

Серьезность: средний

Detected suspicious commandline arguments (Обнаружены подозрительные аргументы командной строки)

Описание. Анализ данных узла на %{Скомпрометированный узел} обнаружил подозрительные аргументы командной строки, которые использовались в сочетании с обратной оболочкой, используемой группой действий HYDROGEN.

Тактика MITRE: -

Серьезность: высокий уровень

Detected suspicious commandline used to start all executables in a directory (Обнаружена подозрительная командная строка, используемая для запуска всех исполняемых файлов в каталоге)

Описание. Анализ данных узла обнаружил подозрительный процесс, выполняемый на %{Скомпрометированном узле}. В командной строке указывается попытка запустить все исполняемые файлы (*.exe), которые могут находиться в каталоге. Это может указывать на скомпрометированный узел.

Тактика MITRE: -

Серьезность: средний

Detected suspicious credentials in commandline (Обнаружены подозрительные учетные данные в командной строке)

Описание. Анализ данных узла на %{Скомпрометированный узел} обнаружил подозрительный пароль, используемый для выполнения файла группой действий BORON. Известно, что эта группа действий использовала обнаруженный пароль для выполнения вредоносных программ Pirpi на скомпрометированном узле.

Тактика MITRE: -

Серьезность: высокий уровень

Detected suspicious document credentials (Обнаружены подозрительные учетные данные документов)

Описание. Анализ данных узла на %{Скомпрометированный узел} обнаружил подозрительный, распространенный хэш паролей, используемый вредоносными программами для выполнения файла. Известно, что группа действий HYDROGEN использовала этот пароль для выполнения вредоносных программ на скомпрометированном узле.

Тактика MITRE: -

Серьезность: высокий уровень

Detected suspicious execution of VBScript.Encode command (Обнаружено подозрительное выполнение команды VBScript.Encode)

Описание. Анализ данных узла на %{Скомпрометированный узел} обнаружил выполнение команды VBScript.Encode. Она кодирует скрипты в нечитаемый текст, что затрудняет для пользователей проверку кода. Исследование защиты от угроз Майкрософт показывает, что злоумышленники часто используют закодированные файлы VBscript в процессе атаки на системы, чтобы избежать обнаружения. Это может быть допустимое действие или признак скомпрометированного узла.

Тактика MITRE: -

Серьезность: средний

Detected suspicious execution via rundll32.exe (Обнаружено подозрительное выполнение с помощью rundll32.exe)

Описание. Анализ данных узла на %{Скомпрометированный узел} обнаружил, rundll32.exe используется для выполнения процесса с необычным именем, в соответствии со схемой именования процессов, которая ранее использовалась группой действий GOLD при установке их первого имплантата на скомпрометированном узле.

Тактика MITRE: -

Серьезность: высокий уровень

Detected suspicious file cleanup commands (Обнаружены подозрительные команды очистки файлов)

Описание. Анализ данных узла на %{Скомпрометированный узел} обнаружил сочетание команд systeminfo, которые ранее были связаны с одним из методов gold группы действий для выполнения действия самостоятельной очистки после компрометации. Хотя systeminfo.exe является допустимым инструментом Windows, случай выполнения его дважды подряд, после чего следует команда удаления, встречается редко.

Тактика MITRE: -

Серьезность: высокий уровень

Detected suspicious file creation (Обнаружено создание подозрительного файла)

Описание. Анализ данных узла на %{Скомпрометированный узел} обнаружил создание или выполнение процесса, которое ранее указало действие после компрометации на узле жертвы группой действий BARIUM. Эта группа действий, как известно, использует этот метод для скачивания дополнительных вредоносных программ в скомпрометированный узел после открытия вложения в документе фишинга.

Тактика MITRE: -

Серьезность: высокий уровень

Detected suspicious named pipe communications (Обнаружен подозрительный обмен данными по именованному каналу)

Описание. Анализ данных узла на %{Скомпрометированный узел} обнаружил, что данные записываются в локальный именованный канал из команды консоли Windows. Злоумышленники используют именованные каналы для выполнения задач и связи с вредоносным объектом. Это может быть допустимое действие или признак скомпрометированного узла.

Тактика MITRE: -

Серьезность: высокий уровень

Detected suspicious network activity (Обнаружена подозрительная сетевая активность)

Описание. Анализ сетевого трафика из %{Скомпрометированный узел} обнаружил подозрительное сетевое действие. Такой трафик, хотя он и может быть неопасным, обычно используется злоумышленником для связи с вредоносными серверами для загрузки инструментов, управления и контроля, а также кражи данных. Типичные действия, связанные с атаками, включают в себя копирование средств удаленного администрирования на скомпрометированный узел и получения данных пользователя из него.

Тактика MITRE: -

Серьезность: низкая

Detected suspicious new firewall rule (Обнаружено подозрительное новое правило брандмауэра)

Описание. Анализ данных узла обнаружил, что новое правило брандмауэра добавлено через netsh.exe, чтобы разрешить трафик из исполняемого файла в подозрительном расположении.

Тактика MITRE: -

Серьезность: средний

Detected suspicious use of Cacls to lower the security state of the system (Обнаружено подозрительное использование CACLS для снижения уровня безопасности системы)

Описание: злоумышленники используют множество способов, таких как метод подбора, фишинг копья и т. д., чтобы достичь первоначального компромисса и закрепиться в сети. После первоначальной компрометации они часто стараются снизить параметры безопасности системы. Caclsâ'short for change access control list is Microsoft Windows native command-line utility часто используется для изменения разрешения безопасности на папках и файлах. Очень часто двоичный файл используется злоумышленниками для снижения параметров безопасности системы. Это делается путем предоставления всем полного доступа к некоторым системным двоичным файлам, таким как ftp.exe, net.exe, wscript.exe и т. д. Анализ данных узла на %{Скомпрометированный узел} обнаружил подозрительное использование Cacls для снижения безопасности системы.

Тактика MITRE: -

Серьезность: средний

Detected suspicious use of FTP -s Switch (Обнаружено подозрительное использование параметра FTP -s)

Описание. Анализ данных создания процесса из параметра %{Скомпрометированный узел} обнаружил использование переключателя FTP -s:filename. Этот параметр используется для указания файла сценария FTP для запуска клиента. Вредоносные или вредоносные процессы, как известно, используют этот переключатель FTP (-s:filename) для указания файла скрипта, который настроен для подключения к удаленному FTP-серверу и скачивания дополнительных вредоносных двоичных файлов.

Тактика MITRE: -

Серьезность: средний

Detected suspicious use of Pcalua.exe to launch executable code (Обнаружено подозрительное использование Pcalua.exe для запуска исполняемого кода)

Описание. Анализ данных узла на %{Скомпрометированный узел} обнаружил использование pcalua.exe для запуска исполняемого кода. Pcalua.exe является компонентом Microsoft Windows "Помощник по совместимости программ", который обнаруживает проблемы совместимости во время установки или выполнения программы. Злоумышленники злоупотребляют функциональностью допустимых инструментов администратора для выполнения вредоносных действий, например используют pcalua.exe с параметром -a для запуска вредоносных исполняемых файлов либо локально, либо из удаленных общих ресурсов.

Тактика MITRE: -

Серьезность: средний

Detected the disabling of critical services (Обнаружено отключение критически важных служб)

Описание. Анализ данных узла на %{Скомпрометированный узел} обнаружил выполнение команды "net.exe остановить" для остановки критически важных служб, таких как SharedAccess или приложение Безопасность Windows. Остановка любой из этих служб может свидетельствовать о вредоносном поведении.

Тактика MITRE: -

Серьезность: средний

Описание. Анализ данных узла на %{Скомпрометированный узел} обнаружил выполнение процесса или команды, обычно связанной с интеллектуальным анализом цифровых валют.

Тактика MITRE: -

Серьезность: высокий уровень

Dynamic PS script construction (Обнаружено динамическое создание скрипта PS)

Описание. Анализ данных узла на %{Скомпрометированный узел} обнаружил скрипт PowerShell, который создается динамически. Злоумышленники используют этот метод для постепенного создания скрипта, чтобы избежать систем IDS. Это может быть допустимое действие или признак того, что один из ваших компьютеров был скомпрометирован.

Тактика MITRE: -

Серьезность: средний

Executable found running from a suspicious location (Обнаружен исполняемый файл, работающий из подозрительного расположения)

Описание. Анализ данных узла обнаружил исполняемый файл на %{Скомпрометированный узел}, работающий из расположения в общем с известными подозрительными файлами. Этот исполняемый файл может быть допустимым действием или признаком скомпрометированного узла.

Тактика MITRE: -

Серьезность: высокий уровень

Fileless attack behavior detected (Обнаружено поведение бесфайловой атаки)

(VM_FilelessAttackBehavior.Windows)

Описание. Память указанного процесса содержит поведение, обычно используемое атаками без файлов. К такому поведению относится:

  1. кода оболочки, который представляет собой небольшой фрагмент кода, обычно используемый в качестве атакующего кода для обнаружения уязвимости программного обеспечения;
  2. Активные сетевые подключения. Дополнительные сведения см. в разделе NetworkConnections ниже.
  3. Вызовы функций к интерфейсам конфиденциальной операционной системы безопасности. Сведения о возможностях ОС см. ниже.
  4. Содержит поток, запущенный в динамически выделенном сегменте кода. Это распространенный шаблон атаки путем внедрения.

Тактика MITRE: Оборона Evasion

Серьезность: низкая

Fileless attack technique detected (Обнаружен метод бесфайловой атаки)

(VM_FilelessAttackTechnique.Windows)

Описание. Память процесса, указанного ниже, содержит доказательства метода атаки без файлов. Бесфайловые атаки используются злоумышленниками для выполнения кода и обхода системы безопасности. К такому поведению относится:

  1. кода оболочки, который представляет собой небольшой фрагмент кода, обычно используемый в качестве атакующего кода для обнаружения уязвимости программного обеспечения;
  2. Исполняемый образ, внедренный в процесс, например при атаке внедрения кода.
  3. Активные сетевые подключения. Дополнительные сведения см. в разделе NetworkConnections ниже.
  4. Вызовы функций к интерфейсам конфиденциальной операционной системы безопасности. Сведения о возможностях ОС см. ниже.
  5. Процесс пустея, который является методом, используемым вредоносными программами, в которых законный процесс загружается в систему, чтобы выступать в качестве контейнера для враждебного кода.
  6. Содержит поток, запущенный в динамически выделенном сегменте кода. Это распространенный шаблон атаки путем внедрения.

Тактика MITRE: Оборона Evasion, Выполнение

Серьезность: высокий уровень

Fileless attack toolkit detected (Обнаружен набор средств для бесфайловой атаки)

(VM_FilelessAttackToolkit.Windows)

Описание. Память указанного процесса содержит набор средств атак без файлов: [имя набора средств]. Наборы средств для бесфайловых атак используют методы, которые сокращают или исключают трассировку вредоносных программ на диске и значительно снижают вероятность обнаружения с помощью решений для проверки диска на наличие вредоносных программ. К такому поведению относится:

  1. Известные наборы средств и программное обеспечение для интеллектуального анализа криптографии.
  2. кода оболочки, который представляет собой небольшой фрагмент кода, обычно используемый в качестве атакующего кода для обнаружения уязвимости программного обеспечения;
  3. Внедрен вредоносный исполняемый файл в память процесса.

Тактика MITRE: Оборона Evasion, Выполнение

Серьезность: средний

High risk software detected (Обнаружено опасное программное обеспечение)

Описание. Анализ данных узла из %{Скомпрометированный узел} обнаружил использование программного обеспечения, связанного с установкой вредоносных программ в прошлом. Для распространения вредоносных программ используется метод их упаковки в другие безопасные средства, такие как в этом оповещении. При использовании этих средств вредоносные программы могут быть автоматически установлены в фоновом режиме.

Тактика MITRE: -

Серьезность: средний

Local Administrators group members were enumerated (Перечислены участники группы локальных администраторов)

Описание. Журналы компьютеров указывают на успешное перечисление в группе %{Перечисленное доменное имя группы}%{Перечисленное имя группы}. В частности, %{доменное_имя_перечисляемой_группы}%{имя_перечисляемого_пользователя} удаленно перечисляет участников группы %{доменное_имя_перечисляемой_группы}%{имя_перечесляемой_группы}. Это действие может быть либо допустимым действием, либо указывать на то, что компьютер в вашей организации скомпрометирован и использовался для атаки методом рекогносцировки %{vmname}.

Тактика MITRE: -

Серьезность: информационная

Malicious firewall rule created by ZINC server implant [seen multiple times] (Вредоносное правило брандмауэра, созданное вредоносным сервером ZINC [встречается несколько раз])

Описание. Правило брандмауэра было создано с помощью методов, которые соответствуют известному субъекту, ЦИНКу. Возможно, это правило использовалось для открытия порта в % {скомпрометированный_узел}, чтобы обеспечить взаимодействие команд и контроля. Это поведение было замечено [x] раз сегодня на следующих компьютерах: [имена_компьютеров].

Тактика MITRE: -

Серьезность: высокий уровень

Malicious SQL activity (Вредоносное действие SQL)

Описание: журналы компьютера указывают, что "%{имя процесса}" выполнено учетной записью: %{имя пользователя}. Это действие считается вредоносным.

Тактика MITRE: -

Серьезность: высокий уровень

Multiple Domain Accounts Queried (Запрошено несколько доменных учетных записей)

Описание. Анализ данных узла определил, что необычное количество отдельных учетных записей домена запрашивается в течение короткого периода времени от %{Скомпрометированный узел}. Такой тип активности допустим, но также может свидетельствовать о компрометации.

Тактика MITRE: -

Серьезность: средний

Possible credential dumping detected [seen multiple times] (Обнаружено возможное создание дампа учетных данных [встречается несколько раз])

Описание. Анализ данных узла обнаружил использование собственного средства Windows (например, sqldumper.exe), которое позволяет извлекать учетные данные из памяти. Злоумышленники часто используют эти методы для извлечения учетных данных, которые затем используются для бокового смещения и повышения привилегий. Это поведение было замечено [x] раз сегодня на следующих компьютерах: [имена_компьютеров].

Тактика MITRE: -

Серьезность: средний

Potential attempt to bypass AppLocker detected (Обнаружена потенциальная попытка обхода AppLocker)

Описание. Анализ данных узла на %{Скомпрометированный узел} обнаружил потенциальную попытку обойти ограничения AppLocker. AppLocker можно настроить для реализации политики, ограничивающей, какие исполняемые объекты разрешено запускать в системе Windows. Шаблон командной строки, подобный описанному в этом оповещении, ранее был связан с попытками злоумышленника обойти политику AppLocker, используя доверенные исполняемые файлы (разрешенные политикой AppLocker) для выполнения ненадежного кода. Это может быть допустимое действие или признак скомпрометированного узла.

Тактика MITRE: -

Серьезность: высокий уровень

Rare SVCHOST service group executed (Выполнен процесс SVCHOST в группе редких служб)

(VM_SvcHostRunInRareServiceGroup)

Описание. Системный процесс SVCHOST наблюдался при выполнении редкой группы служб. Вредоносные программы часто используют SVCHOST для маскировки своих вредоносных действий.

Тактика MITRE: Оборона Evasion, Выполнение

Серьезность: информационная

Sticky keys attack detected (Обнаружена атака методом залипающих клавиш)

Описание. Анализ данных узла указывает, что злоумышленник может подорвать двоичный файл специальных возможностей (например, липкие клавиши, экранная клавиатура, экранный диктор) для предоставления обратного доступа к узлу %{Скомпрометированный узел}.

Тактика MITRE: -

Серьезность: средний

Successful brute force attack (Успешная атака методом подбора)

(VM_LoginBruteForceSuccess)

Описание. Несколько попыток входа были обнаружены из одного источника. Некоторые из них успешно прошли проверку подлинности на узле. Это напоминает атаку типа hit-and-run, при которой злоумышленник выполняет многочисленные попытки проверки подлинности, чтобы найти действующие учетные данные.

Тактика MITRE: эксплуатация

Серьезность: средний или высокий

Suspect integrity level indicative of RDP hijacking (Подозрительный уровень целостности, свидетельствующий о перехвате RDP)

Описание. Анализ данных узла обнаружил tscon.exe, запущенные с правами СИСТЕМЫ. Это может свидетельствовать о том, что злоумышленник злоупотребляет этим двоичным файлом, чтобы переключить контекст на любого другого пользователя, вошедшего в систему на этом узле. Это известный метод злоумышленника, чтобы компрометировать больше учетных записей пользователей и перемещаться по сети позже.

Тактика MITRE: -

Серьезность: средний

Suspect service installation (Установка подозрительной службы)

Описание. Анализ данных узла обнаружил установку tscon.exe в качестве службы: этот двоичный файл, запускаемый как служба, потенциально позволяет злоумышленнику тривиально переключаться на любого другого пользователя, вошедшего в систему на этом узле, путем перехвата подключений RDP; это известный метод злоумышленника для компрометации дополнительных учетных записей пользователей и перемещения по сети.

Тактика MITRE: -

Серьезность: средний

Suspected Kerberos Golden Ticket attack parameters observed (Обнаружена возможная атака с помощью "золотого билета" Kerberos)

Описание. Анализ данных узла обнаружил параметры командной строки в соответствии с атакой Kerberos Golden Ticket.

Тактика MITRE: -

Серьезность: средний

Suspicious Account Creation Detected (Обнаружено создание подозрительной учетной записи)

Описание. Анализ данных узла на %{Скомпрометированный узел} обнаружил создание или использование локальной учетной записи %{Подозрительное имя учетной записи}: это имя учетной записи в точности напоминает стандартное имя учетной записи Windows или имя группы "%{Аналогично имени учетной записи}". Это потенциально фальшивая учетная запись, созданная злоумышленником, поэтому она так называется, чтобы избежать обнаружения администратором.

Тактика MITRE: -

Серьезность: средний

Suspicious Activity Detected (Обнаружено подозрительное действие)

(VM_SuspiciousActivity)

Описание. Анализ данных узла обнаружил последовательность одного или нескольких процессов, выполняемых на %{имя компьютера}, которые исторически связаны с вредоносными действиями. Хотя отдельные команды могут показаться доброкачественными, оповещение оценивается на основе агрегирования этих команд. Это может быть допустимое действие или признак скомпрометированного узла.

Тактика MITRE: Выполнение

Серьезность: средний

Suspicious authentication activity (Подозрительные действия проверки подлинности)

(VM_LoginBruteForceValidUserFailed)

Описание. Хотя ни один из них не выполнен, некоторые из них использовали учетные записи были распознаны узлом. Это напоминает атаку с перебором по словарю, при которой злоумышленник выполняет многочисленные попытки проверки подлинности с помощью словаря стандартных имен учетных записей и паролей, чтобы найти допустимые учетные данные для доступа к узлу. Это означает, что некоторые имена учетных записей узлов могут существовать в хорошо известном словаре имен учетных записей.

Тактика MITRE: Пробовка

Серьезность: средний

Suspicious code segment detected (Обнаружено оповещение о подозрительном сегменте кода)

Описание. Указывает, что сегмент кода был выделен с помощью нестандартных методов, таких как отражение внедрения и очистка процесса. Оповещение предоставляет дополнительные характеристики сегмента кода, который был обработан для обеспечения контекста возможностей и поведения указанного сегмента кода.

Тактика MITRE: -

Серьезность: средний

Suspicious double extension file executed (Выполнен файл с подозрительным двойным расширением)

Описание. Анализ данных узла указывает на выполнение процесса с подозрительным двойным расширением. Это расширение может заставить пользователей думать о том, что файлы безопасно открываться и могут указывать на наличие вредоносных программ в системе.

Тактика MITRE: -

Серьезность: высокий уровень

Suspicious download using Certutil detected [seen multiple times] (Обнаружена подозрительная загрузка с помощью команды certutil (встречается несколько раз))

Описание. Анализ данных узла на %{Скомпрометированный узел} обнаружил использование certutil.exe, встроенной служебной программы администратора для скачивания двоичного файла вместо основной цели, связанной с управлением сертификатами и данными сертификатов. Злоумышленники злоупотребляют функциональностью допустимых инструментов администратора для выполнения вредоносных действий, например используют certutil.exe для скачивания и декодирования вредоносного исполняемого файла, который впоследствии будет выполнен. Это поведение было замечено [x] раз сегодня на следующих компьютерах: [имена_компьютеров].

Тактика MITRE: -

Серьезность: средний

Suspicious download using Certutil detected (Обнаружена подозрительная загрузка с помощью команды certutil)

Описание. Анализ данных узла на %{Скомпрометированный узел} обнаружил использование certutil.exe, встроенной служебной программы администратора для скачивания двоичного файла вместо основной цели, связанной с управлением сертификатами и данными сертификатов. Злоумышленники злоупотребляют функциональностью допустимых инструментов администратора для выполнения вредоносных действий, например используют certutil.exe для скачивания и декодирования вредоносного исполняемого файла, который впоследствии будет выполнен.

Тактика MITRE: -

Серьезность: средний

Suspicious PowerShell Activity Detected (Обнаружены подозрительные действия PowerShell)

Описание. Анализ данных узла обнаружил скрипт PowerShell, работающий на %{Скомпрометированный узел}, который имеет функции, распространенные с известными подозрительными скриптами. Этот сценарий может быть допустимым действием или признаком скомпрометированного узла.

Тактика MITRE: -

Серьезность: высокий уровень

Suspicious PowerShell cmdlets executed (Выполнены подозрительные командлеты PowerShell)

Описание. Анализ данных узла указывает на выполнение известных вредоносных командлетов PowerShell PowerSploit.

Тактика MITRE: -

Серьезность: средний

Suspicious process executed [seen multiple times] (Выполнен подозрительный процесс [встречается несколько раз])

Описание. Журналы компьютеров указывают на то, что подозрительный процесс: "%{Подозрительный процесс}" запущен на компьютере, часто связанный с попытками злоумышленника получить доступ к учетным данным. Это поведение было замечено [x] раз сегодня на следующих компьютерах: [имена_компьютеров].

Тактика MITRE: -

Серьезность: высокий уровень

Suspicious process executed (Выполнение подозрительных процессов)

Описание. Журналы компьютеров указывают на то, что подозрительный процесс: "%{Подозрительный процесс}" запущен на компьютере, часто связанный с попытками злоумышленника получить доступ к учетным данным.

Тактика MITRE: -

Серьезность: высокий уровень

Suspicious process name detected [seen multiple times] (Обнаружено подозрительные имя процесса [встречается несколько раз])

Описание. Анализ данных узла на %{Скомпрометированный узел} обнаружил процесс, имя которого подозрительно, например, соответствующее известному инструменту злоумышленника или именованному таким образом, что предлагает средства злоумышленника, которые пытаются скрыться в обычном виде. Этот процесс может быть допустимым действием или признаком того, что один из ваших компьютеров был скомпрометирован. Это поведение было замечено [x] раз сегодня на следующих компьютерах: [имена_компьютеров].

Тактика MITRE: -

Серьезность: средний

Suspicious process name detected (Обнаружен процесс с подозрительным именем)

Описание. Анализ данных узла на %{Скомпрометированный узел} обнаружил процесс, имя которого подозрительно, например, соответствующее известному инструменту злоумышленника или именованному таким образом, что предлагает средства злоумышленника, которые пытаются скрыться в обычном виде. Этот процесс может быть допустимым действием или признаком того, что один из ваших компьютеров был скомпрометирован.

Тактика MITRE: -

Серьезность: средний

Suspicious SQL activity (Подозрительные действия SQL)

Описание: журналы компьютера указывают, что "%{имя процесса}" выполнено учетной записью: %{имя пользователя}. Это действие редко выполняется в этой учетной записи.

Тактика MITRE: -

Серьезность: средний

Suspicious SVCHOST process executed (Выполнение подозрительных процессов SVCHOST)

Описание. Системный процесс SVCHOST был замечен в ненормальном контексте. Вредоносные программы часто используют SVCHOST для маскировки своих вредоносных действий.

Тактика MITRE: -

Серьезность: высокий уровень

Suspicious system process executed (Выполнение подозрительных системных процессов)

(VM_SystemProcessInAbnormalContext)

Описание: системный процесс %{имя процесса} был замечен в ненормальном контексте. Вредоносные программы часто используют этот процесс для маскировки своих вредоносных действий.

Тактика MITRE: Оборона Evasion, Выполнение

Серьезность: высокий уровень

Suspicious Volume Shadow Copy Activity (Действие теневого копирования подозрительного тома)

Описание. Анализ данных узла обнаружил действие удаления теневого копирования в ресурсе. Теневая копия тома (VSC) является важным артефактом, который хранит моментальные снимки данных. Некоторые вредоносные программы и особенно программы-шантажисты нацелены на VSC, чтобы саботировать стратегии резервного копирования.

Тактика MITRE: -

Серьезность: высокий уровень

Suspicious WindowPosition registry value detected (Обнаружено подозрительное значение реестра WindowPosition)

Описание. Анализ данных узла на %{Скомпрометированный узел} обнаружил попытку изменения конфигурации реестра WindowPosition, которые могут указывать на скрытие окон приложений в невидимых разделах рабочего стола. Это может быть допустимое действие или указание на скомпрометированный компьютер. Этот тип действия ранее был связан с известными рекламным ПО (или нежелательным программным обеспечением), например Win32/OneSystemCare, Win32/SystemHealer и вредоносными программами, такими как Win32/Creprote. Если для значения WindowPosition задано значение 201329664 (шестнадцатеричное значение: 0x0c00 0c00, соответствующее X-axis=0c00 и Y-axis=0c00), это помещает окно консольного приложения в невидимый раздел экрана пользователя в области, скрытой от представления под видимым меню или панелью задач. Известное предполагаемое шестнадцатеричное значение включает, но не ограничивается c000c000.

Тактика MITRE: -

Серьезность: низкая

Suspiciously named process detected (Обнаружен процесс с подозрительным именем)

Описание. Анализ данных узла на %{Скомпрометированный узел} обнаружил процесс, имя которого очень похоже на очень часто выполняющийся процесс (%{Аналогично имени процесса}). Несмотря на то, что этот процесс может быть безопасным, злоумышленники иногда скрывают свои вредоносные средства у всех на виду, присваивая им имена, идентичные допустимым процессам.

Тактика MITRE: -

Серьезность: средний

Нетипичный сброс конфигурации на вашей виртуальной машине

(VM_VMAccessUnusualConfigReset)

Описание. Необычный сброс конфигурации был обнаружен на виртуальной машине путем анализа операций Azure Resource Manager в подписке. Хотя это действие может быть законным, злоумышленники могут попытаться использовать расширение доступа к виртуальной машине, чтобы сбросить конфигурацию в виртуальной машине и скомпрометировать ее.

Тактика MITRE: доступ к учетным данным

Серьезность: средний

Unusual process execution detected (Обнаружено выполнение необычных процессов)

Описание. Анализ данных узла на %{Скомпрометированный узел} обнаружил выполнение процесса с помощью %{Имя пользователя}, который был необычным. Учетные записи, такие как %{Имя пользователя}, как правило, выполняют ограниченный набор операций, это выполнение было определено как неисправное и может быть подозрительным.

Тактика MITRE: -

Серьезность: высокий уровень

Необычный сброс пароля пользователя на вашей виртуальной машине

(VM_VMAccessUnusualPasswordReset)

Описание. Необычный сброс пароля пользователя был обнаружен на виртуальной машине путем анализа операций Azure Resource Manager в подписке. Хотя это действие может быть законным, злоумышленники могут попытаться использовать расширение доступа к виртуальной машине, чтобы сбросить учетные данные локального пользователя в виртуальной машине и скомпрометировать его.

Тактика MITRE: доступ к учетным данным

Серьезность: средний

Сброс необычного пользовательского ключа SSH на вашей виртуальной машине

(VM_VMAccessUnusualSSHReset)

Описание. Необычный сброс ключа SSH пользователя был обнаружен на виртуальной машине путем анализа операций Azure Resource Manager в подписке. Хотя это действие может быть законным, злоумышленники могут попытаться использовать расширение доступа к виртуальной машине для сброса ключа SSH учетной записи пользователя в виртуальной машине и скомпрометировать его.

Тактика MITRE: доступ к учетным данным

Серьезность: средний

VBScript HTTP object allocation detected (Обнаружено распределение объектов VBScript HTTP)

Описание. Обнаружено создание файла VBScript с помощью командной строки. Следующий скрипт содержит команду выделения HTTP-объекта. Это действие можно использовать для загрузки вредоносных файлов.

Подозрительная установка расширения GPU на виртуальной машине (предварительная версия)

(VM_GPUDriverExtensionUnusualExecution)

Описание. Обнаружена подозрительная установка расширения GPU на виртуальной машине путем анализа операций Azure Resource Manager в подписке. Злоумышленники могут использовать расширение драйвера GPU для установки драйверов GPU на виртуальной машине с помощью Azure Resource Manager для выполнения шифрования.

Тактика MITRE: влияние

Серьезность: низкая

Обнаружен вызов средства AzureHound

(ARM_AzureHound)

Описание. AzureHound был запущен в подписке и выполнял операции сбора информации для перечисления ресурсов. Субъекты угроз используют автоматизированные средства, такие как AzureHound, для перечисления ресурсов и использования их для доступа к конфиденциальным данным или бокового перемещения. При анализе операций Azure Resource Manager в подписке было обнаружено это действие. Эта операция может указывать на то, что удостоверение в вашей организации было нарушено, и что субъект угроз пытается скомпрометировать вашу среду.

Тактика MITRE: Обнаружение

Серьезность: средний

Примечание.

Для предварительных версий оповещений: предварительная версия дополнительных условий использования Azure включает дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не являются общедоступными по другим причинам.

Следующие шаги