针对 Azure VM 扩展的警报

本文列出了 Microsoft Defender for Cloud 以及你启用的任何 Microsoft Defender 计划中可能显示的 Azure VM 扩展安全警报。 环境中显示的警报取决于要保护的资源和服务以及自定义的配置。

注意

一些最近添加的 Microsoft Defender 威胁智能支持的警报可能未记录。

了解如何响应这些警报

了解如何导出警报

注意

来自不同源的警报可能在不同的时间后出现。 例如,需要分析网络流量的警报的出现时间,可能比虚拟机上运行的可疑进程的相关警报要晚一些。

Azure VM 扩展警报

这些警报重点检测 Azure 虚拟机扩展的可疑活动,并提供有关攻击者尝试入侵虚拟机并在其上执行恶意活动的深入信息。

Azure 虚拟机扩展是在虚拟机上部署后运行的小型应用程序,提供配置、自动化、监视、安全性等功能。 虽然扩展是一种功能强大的工具,但威胁参与者可以使用它们来实现各种恶意意图,例如:

  • 数据收集和监视

  • 高特权下的代码执行和配置部署

  • 重置凭据并创建管理用户

  • 加密磁盘

详细了解 Defender for Cloud 针对滥用 Azure VM 扩展提供的最新保护措施

在订阅中安装 GPU 扩展时出现可疑故障(预览)

(VM_GPUExtensionSuspiciousFailure)

说明:在不受支持的 VM 上安装 GPU 扩展的可疑企图。 此扩展应安装在配备了图形处理器的虚拟机上,而在此例中,虚拟机没有配备图形处理器。 当恶意攻击者出于加密挖矿目的多次安装此类扩展时,可以看到这些故障。

MITRE 策略:影响

严重性:中等

在虚拟机上检测到可疑的 GPU 扩展安装活动(预览)

(VM_GPUDriverExtensionUnusualExecution)

说明:通过分析订阅中的 Azure 资源管理器操作,检测到在虚拟机上以可疑方式安装 GPU 扩展的活动。 攻击者可能会使用 GPU 驱动程序扩展通过 Azure 资源管理器在虚拟机上安装 GPU 驱动程序,以执行加密劫持。 此活动被视为可疑,因为主体的行为偏离了其通常模式。

MITRE 策略:影响

严重性:低

在虚拟机上检测到具有可疑脚本的运行命令(预览)

(VM_RunCommandSuspiciousScript)

说明:通过分析订阅中的 Azure 资源管理器操作,检测到在虚拟机上使用可疑脚本执行 Run 命令的活动。 攻击者可能会使用运行命令,通过 Azure 资源管理器在虚拟机上执行具有高权限的恶意代码。 该脚本被视为可疑,因为其中某些部分被标识为潜在的恶意内容。

MITRE 策略:执行

严重性:高

在虚拟机上检测到未经授权使用运行命令的可疑行为(预览)

(VM_RunCommandSuspiciousFailure)

说明:通过分析订阅中的 Azure 资源管理器操作,检测到未经授权在虚拟机上使用 Run 命令失败的可疑活动。 攻击者可能会尝试使用运行命令,通过 Azure 资源管理器在虚拟机上执行具有高权限的恶意代码。 此活动被视为可疑活动,因为以前并不常见。

MITRE 策略:执行

严重性:中等

在虚拟机上检测到使用运行命令的可疑行为(预览)

(VM_RunCommandSuspiciousUsage)

说明:通过分析订阅中的 Azure 资源管理器操作,检测到在虚拟机上以可疑方式使用 Run 命令的活动。 攻击者可能会使用运行命令,通过 Azure 资源管理器在虚拟机上执行具有高权限的恶意代码。 此活动被视为可疑活动,因为以前并不常见。

MITRE 策略:执行

严重性:低

在虚拟机上检测到使用多个监视或数据收集扩展的可疑行为(预览)

(VM_SuspiciousMultiExtensionUsage)

说明:通过分析订阅中的 Azure 资源管理器操作,检测到在虚拟机上以可疑方式使用多个监视或数据收集扩展的活动。 攻击者可能会在订阅中滥用此类扩展来进行数据收集和网络流量监视等。 此使用行为被视为可疑行为,因为以前并不常见。

MITRE 策略:侦查

严重性:中等

在虚拟机上检测到可疑的磁盘加密扩展安装活动(预览)

(VM_DiskEncryptionSuspiciousUsage)

说明:通过分析订阅中的 Azure 资源管理器操作,检测到在虚拟机上以可疑方式安装磁盘加密扩展的活动。 攻击者可能会滥用磁盘加密扩展,通过 Azure 资源管理器在虚拟机上部署完整磁盘加密,以尝试执行勒索软件活动。 此活动被视为可疑活动,因为它以前并不常见,并且扩展安装次数较多。

MITRE 策略:影响

严重性:中等

在虚拟机上检测到使用 VMAccess 扩展的可疑行为(预览)

(VM_VMAccessSuspiciousUsage)

说明:检测到在虚拟机上以可疑方式使用 VMAccess 扩展的活动。 攻击者可能会滥用 VMAccess 扩展来获取访问权限,并通过重置访问权限或管理管理用户来以较高特权入侵虚拟机。 此活动被视为可疑活动,因为主体的行为偏离了其通常的模式,并且扩展安装次数较多。

MITRE 策略:持久性

严重性:中等

在虚拟机上检测到具有可疑脚本的 Desired State Configuration (DSC) 扩展(预览)

(VM_DSCExtensionSuspiciousScript)

说明:通过分析订阅中的 Azure 资源管理器操作,检测到虚拟机上存在使用可疑脚本的 Desired State Configuration (DSC) 扩展。 攻击者可能会使用 Desired State Configuration (DSC) 扩展在虚拟机上部署具有高权限的恶意配置,例如持久性机制、恶意脚本等。 该脚本被视为可疑,因为其中某些部分被标识为潜在的恶意内容。

MITRE 策略:执行

严重性:高

在虚拟机上检测到使用 Desired State Configuration (DSC) 扩展的可疑行为(预览)

(VM_DSCExtensionSuspiciousUsage)

说明:通过分析订阅中的 Azure 资源管理器操作,检测到在虚拟机上以可疑方式使用 Desired State Configuration (DSC) 扩展。 攻击者可能会使用 Desired State Configuration (DSC) 扩展在虚拟机上部署具有高权限的恶意配置,例如持久性机制、恶意脚本等。 此活动被视为可疑活动,因为主体的行为偏离了其通常的模式,并且扩展安装次数较多。

MITRE 策略:执行

严重性:低

在虚拟机上检测到具有可疑脚本的自定义脚本扩展(预览)

(VM_CustomScriptExtensionSuspiciousCmd)

说明:通过分析订阅中的 Azure 资源管理器操作,检测到虚拟机上存在使用可疑脚本的自定义脚本扩展。 攻击者可能会使用自定义脚本扩展,通过 Azure 资源管理器在虚拟机上执行具有高权限的恶意代码。 该脚本被视为可疑,因为其中某些部分被标识为潜在的恶意内容。

MITRE 策略:执行

严重性:高

虚拟机中可疑的自定义脚本扩展执行故障

(VM_CustomScriptExtensionSuspiciousFailure)

说明:通过分析订阅中的 Azure 资源管理器操作,在虚拟机中检测到自定义脚本扩展的可疑故障。 此类故障可能与此扩展运行的恶意脚本相关联。

MITRE 策略:执行

严重性:中等

虚拟机中自定义脚本扩展的异常删除

(VM_CustomScriptExtensionUnusualDeletion)

说明:通过分析订阅中的 Azure 资源管理器操作,在虚拟机中检测到自定义脚本扩展的异常删除。 攻击者可能会使用自定义脚本扩展,通过 Azure 资源管理器在虚拟机上执行恶意代码。

MITRE 策略:执行

严重性:中等

虚拟机中自定义脚本扩展的异常执行

(VM_CustomScriptExtensionUnusualExecution)

说明:通过分析订阅中的 Azure 资源管理器操作,在虚拟机中检测到自定义脚本扩展的异常执行。 攻击者可能会使用自定义脚本扩展,通过 Azure 资源管理器在虚拟机上执行恶意代码。

MITRE 策略:执行

严重性:中等

虚拟机中具有可疑入口点的自定义脚本扩展

(VM_CustomScriptExtensionSuspiciousEntryPoint)

说明:通过分析订阅中的 Azure 资源管理器操作,在虚拟机中检测到具有可疑入口点的自定义脚本扩展。 入口点指可疑的 GitHub 存储库。 攻击者可能会使用自定义脚本扩展,通过 Azure 资源管理器在虚拟机上执行恶意代码。

MITRE 策略:执行

严重性:中等

虚拟机中具有可疑有效负载的自定义脚本扩展

(VM_CustomScriptExtensionSuspiciousPayload)

说明:通过分析订阅中的 Azure 资源管理器操作,在虚拟机中检测到具有来自可疑 GitHub 存储库的有效负载的自定义脚本扩展。 攻击者可能会使用自定义脚本扩展,通过 Azure 资源管理器在虚拟机上执行恶意代码。

MITRE 策略:执行

严重性:中等

注意

对于处于预览状态的警报:Azure 预览版补充条款包含适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。

后续步骤