已弃用的安全警报

本文列出了 Microsoft Defender for Cloud 中的已弃用安全警报。

以下列表包括已弃用的 Defender for Containers 安全警报。

(K8S.NODE_FirewallDisabled)

说明：对容器内运行的或直接在 Kubernetes 节点上运行的进程的分析检测到可能存在对主机上的防火墙的操作。 攻击者通常会禁用防火墙以外泄数据。

MITRE 策略：DefenseEvasion、外泄

严重性：中等

(K8S.NODE_SuspiciousDNSOverHttps)

说明：对容器内运行的或直接在 Kubernetes 节点上运行的进程的分析检测到有人在以不常见的方式通过 HTTPS 使用 DNS 调用。 攻击者使用此方法隐藏对可疑或恶意网站的调用。

MITRE 策略：DefenseEvasion、外泄

严重性：中等

(K8S.NODE_ThreatIntelCommandLineSuspectDomain)

说明：对容器内运行的或直接在 Kubernetes 节点上运行的进程的分析检测到与报告为恶意位置或异常位置的位置建立了连接。 这表明可能已经发生了入侵。

MITRE 策略：InitialAccess

严重性：中等

(K8S.NODE_CurrencyMining)

说明：对 DNS 事务的分析检测到了数字货币挖掘活动。 此类活动虽然可能是合法的用户行为，但经常在资源遭受入侵后被攻击者执行。 典型的相关攻击者活动可能包括下载和执行常见挖掘工具。

MITRE 策略：外泄

严重性：低

警报显示名称：异常终止

严重性：低

警报显示名称：检测到可疑的二进制文件

严重性：中等

警报显示名称：域名参考

严重性：低

警报显示名称：检测到与常见的 Linux 机器人类似的行为

严重性：中等

警报显示名称：检测到与常见的 Linux 机器人类似的命令

严重性：中等

警报显示名称：检测到 Shell 脚本

严重性：中等

警报显示名称：复合分析测试警报

严重性：低

警报显示名称：检测到对计划任务的操作

严重性：信息

警报显示名称：检测到与数字货币挖掘有关的进程

严重性：中等

警报显示名称：检测到潜在 Cryptocoinminer 下载

严重性：中等

警报显示名称：启动了潜在的加密货币挖矿机

严重性：中等

警报显示名称：检测到可能的数据外泄

严重性：中等

警报显示名称：检测到数字货币挖掘相关行为

严重性：高

警报显示名称：可疑的先下载后运行活动

严重性：中等

警报显示名称：Microsoft Defender for Cloud 测试警报(不是威胁)

严重性：高

警报显示名称：执行隐藏文件

严重性：信息

警报显示名称：可能在尝试利用命令行

严重性：中等

警报显示名称：TCP 套接字上公开的 Docker 守护程序

严重性：中等

警报显示名称：检测到与 Fairware 勒索软件类似的行为

严重性：中等

警报显示名称：检测到主机防火墙操作

严重性：中等

警报显示名称：可能存在 Hadoop Yarn 利用

严重性：中等

警报显示名称：已清除历史记录文件

严重性：中等

警报显示名称：检测到可能存在攻击工具

严重性：中等

警报显示名称：检测到可能存在凭据访问工具

严重性：中等

警报显示名称：检测到 DDOS 工具包的相关痕迹

严重性：中等

警报显示名称：在主机上拍摄屏幕截图

严重性：低

警报显示名称：检测到可能存在后门程序

严重性：中等

警报显示名称：检测到本地主机侦查

严重性：中等

警报显示名称：检测到脚本扩展不匹配

严重性：中等

警报显示名称：检测到 MITRE Caldera 代理

严重性：中等

警报显示名称：检测到持久性尝试

严重性：中等

警报显示名称：帐户添加到 sudo 组

严重性：低

警报显示名称：常用文件的潜在重写活动

严重性：中等

警报显示名称：容器在特权模式下运行

严重性：低

警报显示名称：容器中的命令在以高特权模式运行

严重性：低

警报显示名称：以异常方式访问了 bash 历史记录文件

严重性：信息

警报显示名称：检测到潜在的反向 shell

严重性：中等

警报显示名称：检测到进程以异常方式访问 SSH 授权密钥文件

严重性：低

警报显示名称：添加了新的 SSH 密钥

严重性：低

警报显示名称：检测到可疑的编译

严重性：中等

警报显示名称：检测到不常见的连接尝试

严重性：中等

警报显示名称：检测到自已知恶意来源的文件下载

严重性：中等

警报显示名称：检测到可疑的文件下载

严重性：低

警报显示名称：检测到可执行文件正在从可疑位置运行

严重性：中等

警报显示名称：检测到对 htaccess 文件的访问

严重性：中等

警报显示名称：shell 中的第一个命令可疑

严重性：低

警报显示名称：在命令行中检测到大小写字符的异常混用

严重性：中等

警报显示名称：可疑的网络连接

严重性：信息

警报显示名称：检测到对 nohup 命令的可疑使用

严重性：中等

警报显示名称：检测到可能有人使用 crypt 方法更改密码

严重性：中等

警报显示名称：可疑的密码访问

严重性：信息

警报显示名称：检测到可疑的 PHP 执行

严重性：中等

警报显示名称：对外部 IP 地址的潜在端口转发活动

严重性：中等

警报显示名称：在服务帐户中运行的进程意外地成为根进程

严重性：中等

警报显示名称：检测到与安全性相关的进程终止

严重性：低

警报显示名称：检测到对 useradd 命令的可疑使用

严重性：中等

警报显示名称：可疑的命令执行

严重性：高

警报显示名称：通过 HTTPS 对 DNS 进行了可疑的使用

严重性：中等

警报显示名称：检测到可能存在日志篡改活动

严重性：中等

警报显示名称：检测到可能与恶意位置存在连接

严重性：中等

警报显示名称：检测到来自恶意 IP 的登录

严重性：高

警报显示名称：检测到尝试停止 apt-daily-upgrade.timer 服务

严重性：信息

警报显示名称：可疑文件时间戳修改操作

严重性：低

警报显示名称：检测到可能存在恶意的 Web shell

严重性：中等

警报显示名称：在多个主机上以可疑的方式创建帐户

严重性：中等

警报显示名称：检测到对 PowerShell 进行了可疑的使用

严重性：信息

警报显示名称：向本地管理员组添加来宾帐户

严重性：中等

警报显示名称：Apache_Tomcat_executing_suspicious_commands

严重性：中等

警报显示名称：执行了可疑的进程

严重性：高

警报显示名称：执行了可疑的进程

严重性：高

警报显示名称：执行了可疑的进程

严重性：高

警报显示名称：执行了可疑的进程

严重性：高

警报显示名称：执行了可疑的进程

严重性：高

警报显示名称：执行了可疑的进程

严重性：中等

警报显示名称：检测到关键服务被禁用

严重性：中等

警报显示名称：执行了可疑的进程

严重性：高

警报显示名称：涉及 RDP 劫持的可疑完整性级别

严重性：中等

警报显示名称：可疑的服务安装

严重性：中等

警报显示名称：检测到禁止向登录用户显示法律声明

严重性：低

警报显示名称：检测到启用 WDigest UseLogonCredential 注册表项

严重性：中等

警报显示名称：检测到尝试绕过 AppLocker 的行为

严重性：高

警报显示名称：检测到可疑的文件创建操作

严重性：高

警报显示名称：在命令行数据中检测到被编码的可执行文件

严重性：高

警报显示名称：检测到使用 Cacls 来降低系统安全状态的可疑行为

严重性：中等

警报显示名称：检测到用于启动目录中所有可执行文件的可疑命令行

严重性：中等

警报显示名称：检测到禁用和删除 IIS 日志文件的操作

严重性：中等

警报显示名称：检测到使用 Certutil 进行可疑下载

严重性：中等

警报显示名称：检测到可疑的命名管道通信

严重性：高

警报显示名称：动态 PowerShell 脚本构造

严重性：中等

警报显示名称：检测到使用内置的 certutil.exe 工具解码可执行文件

严重性：中等

警报显示名称：检测到可疑的文件删除操作

严重性：中等

警报显示名称：已发现可疑的 Kerberos 黄金票证攻击参数

严重性：中等

警报显示名称：检测到可能在执行 keygen 可执行文件执行了可疑的进程

严重性：中等

警报显示名称：执行了可疑的进程

严重性：高

警报显示名称：检测到对 PowerShell 进行了可疑的使用

严重性：高

警报显示名称：检测到高风险软件

严重性：中等

警报显示名称：检测到 HTA 和 PowerShell 的可疑组合

严重性：中等

警报显示名称：查询了多个域帐户

严重性：中等

警报显示名称：检测到帐户创建操作

严重性：信息

警报显示名称：检测到混淆的命令行。

严重性：高

警报显示名称：检测到使用 Pcalua.exe 启动可执行代码的可疑行为

严重性：中等

警报显示名称：检测到 Petya 勒索痕迹

严重性：高

警报显示名称：执行了可疑的 PowerShell cmdlet

严重性：中等

警报显示名称：检测到勒索软件痕迹

严重性：高

警报显示名称：检测到可能存在凭据转储活动 [出现多次]

严重性：中等

警报显示名称：检测到关键服务被禁用

严重性：中等

警报显示名称：检测到粘滞密钥攻击检测到可疑的帐户创建操作检测到中等

警报显示名称：检测到可疑的帐户创建操作

严重性：中等

警报显示名称：检测到可疑的新防火墙规则

严重性：中等

警报显示名称：检测到对 FTP -s 交换机的可疑使用

严重性：中等

警报显示名称：可疑的 SQL 活动

严重性：中等

警报显示名称：执行了可疑的进程

严重性：高

警报显示名称：已清除 Windows 安全日志

严重性：信息

警报显示名称：检测到 Telegram 工具可疑的使用方式

严重性：中等

警报显示名称：检测到名称可疑的进程

严重性：高

警报显示名称：检测到更改了可能会被滥用于规避 UAC 的注册表项

严重性：中等

警报显示名称：检测到执行 VBScript.Encode 命令的方式可疑

严重性：中等

警报显示名称：检测到可疑的 WindowPosition 注册表值

严重性：低

警报显示名称：ZINC 服务器植入软件创建了恶意防火墙规则

严重性：高

警报显示名称：检测到数字货币挖掘相关行为

严重性：高

警报显示名称：恶意 SQL 活动

严重性：高

警报显示名称：执行了可疑的双扩展名文件

严重性：高

警报显示名称：检测到 Windows 注册表持久性方法

严重性：低

警报显示名称：可疑的卷影复制活动检测到可执行文件正在从可疑位置运行

严重性：高

警报显示名称：发现从可疑的位置运行可执行文件在命令行中检测到大小写字符的异常混用

严重性：信息

中

警报显示名称：检测到可疑的 PHP 执行

严重性：中等

警报显示名称：可疑的命令执行

严重性：高

警报显示名称：执行了可疑的屏幕保护进程

严重性：中等

警报显示名称：已执行罕见 SVCHOST 服务组

严重性：信息

警报显示名称：执行了可疑的系统进程

严重性：中等

警报显示名称：检测到可能与恶意位置存在连接

严重性：中等

警报显示名称：检测到来自恶意 IP 的登录

严重性：高

警报显示名称：检测到 VBScript HTTP 对象分配活动

严重性：高

警报显示名称：可疑的进程终止突发

严重性：低

警报显示名称：检测到 PsExec 执行

严重性：信息

• Microsoft Defender for Cloud 中的安全警报
• 在 Microsoft Defender for Cloud 中管理和响应安全警报
• 连续导出 Defender for Cloud 数据