Linux 计算机警报

本文列出了 Microsoft Defender for Cloud 以及你所启用的任何 Microsoft Defender 计划中可能显示的 Linux 计算机安全警报。 环境中显示的警报取决于要保护的资源和服务以及自定义的配置。

注意

一些最近添加的 Microsoft Defender 威胁智能支持的警报可能未记录。

了解如何响应这些警报

了解如何导出警报

注意

来自不同源的警报可能在不同的时间后出现。 例如,需要分析网络流量的警报的出现时间,可能比虚拟机上运行的可疑进程的相关警报要晚一些。

Linux 计算机警报

历史记录文件已被清除

说明:主机数据分析指示有人清除了命令历史记录日志文件。 攻击者可能会这样做来掩盖其踪迹。 操作由用户“%{user name}”执行。

MITRE 策略:-

严重性:中等

已审核自适应应用程序控制策略冲突

(VM_AdaptiveApplicationControlLinuxViolationAudited)

说明:以下用户在此计算机上运行了违反贵组织应用程序控制策略的应用程序。 它可能会使计算机面临恶意软件或应用程序漏洞的威胁。

MITRE 策略:执行

严重性:信息性

虚拟机中的反恶意软件广泛的文件排除

(VM_AmBroadFilesExclusion)

说明:通过分析订阅中的 Azure 资源管理器操作,在虚拟机中检测到使用广泛排除规则从反恶意软件扩展中排除了文件。 此类排除实际上禁用了反恶意软件保护。 攻击者可能会在对虚拟机执行的反恶意软件扫描中排除文件,从而在运行任意代码或使用恶意软件感染计算机时防止检测。

MITRE 策略:-

严重性:中等

在虚拟机中禁用了反恶意软件并执行代码

(VM_AmDisablementAndCodeExecution)

说明:在虚拟机上执行代码的同时,反恶意软件已禁用。 通过分析订阅中的 Azure 资源管理器操作,检测到此情况。 攻击者禁用反恶意软件扫描程序,从而在运行未经授权的工具或使用恶意软件感染计算机时防止检测。

MITRE 策略:-

严重性:高

反恶意软件在虚拟机中已禁用

(VM_AmDisablement)

说明:反恶意软件在虚拟机中已禁用。 通过分析订阅中的 Azure 资源管理器操作,检测到此情况。 攻击者可能会在你的虚拟机上禁用反恶意软件以防止检测。

MITRE 策略:防御规避

严重性:中等

虚拟机中的反恶意软件文件排除和代码执行

(VM_AmFileExclusionAndCodeExecution)

说明:在虚拟机上通过自定义脚本扩展执行代码的同时,从反恶意软件扫描程序中排除了文件。 通过分析订阅中的 Azure 资源管理器操作,检测到此情况。 攻击者可能会在对虚拟机执行的反恶意软件扫描中排除文件,从而在运行未经授权的工具或使用恶意软件感染计算机时防止检测。

MITRE 策略:防御规避、执行

严重性:高

虚拟机中的反恶意软件文件排除和代码执行(临时)

(VM_AmTempFileExclusionAndCodeExecution)

说明:通过分析订阅中的 Azure 资源管理器操作,在虚拟机中检测到在通过自定义脚本扩展执行代码时,从反恶意软件扩展中临时排除了文件。 攻击者可能会在对虚拟机执行的反恶意软件扫描中排除文件,从而在运行任意代码或使用恶意软件感染计算机时防止检测。

MITRE 策略:防御规避、执行

严重性:高

虚拟机中的反恶意软件文件排除

(VM_AmTempFileExclusion)

说明:在虚拟机上,从反恶意软件扫描程序中排除了文件。 通过分析订阅中的 Azure 资源管理器操作,检测到此情况。 攻击者可能会在对虚拟机执行的反恶意软件扫描中排除文件,从而在运行未经授权的工具或使用恶意软件感染计算机时防止检测。

MITRE 策略:防御规避

严重性:中等

虚拟机中已禁用反恶意软件实时保护

(VM_AmRealtimeProtectionDisabled)

说明:通过分析订阅中的 Azure 资源管理器操作,在虚拟机中检测到禁用了反恶意软件扩展的实时保护。 攻击者可能会在对虚拟机执行的反恶意软件扫描中禁用实时保护,从而在运行任意代码或使用恶意软件感染计算机时避免检测。

MITRE 策略:防御规避

严重性:中等

虚拟机中暂时禁用了反恶意软件实时保护

(VM_AmTempRealtimeProtectionDisablement)

说明:通过分析订阅中的 Azure 资源管理器操作,在虚拟机中检测到临时禁用了反恶意软件扩展的实时保护。 攻击者可能会在对虚拟机执行的反恶意软件扫描中禁用实时保护,从而在运行任意代码或使用恶意软件感染计算机时避免检测。

MITRE 策略:防御规避

严重性:中等

在虚拟机中执行代码时,暂时禁用了反恶意软件实时保护

(VM_AmRealtimeProtectionDisablementAndCodeExec)

说明:通过分析订阅中的 Azure 资源管理器操作,在虚拟机中检测到在通过自定义脚本扩展执行代码时,临时禁用了反恶意软件扩展的实时保护。 攻击者可能会在对虚拟机执行的反恶意软件扫描中禁用实时保护,从而在运行任意代码或使用恶意软件感染计算机时避免检测。

MITRE 策略:-

严重性:高

(VM_AmMalwareCampaignRelatedExclusion)

说明:在虚拟机中检测到一条排除规则,这条排除规则将阻止你的反恶意软件扩展扫描疑似与恶意软件活动相关的某些文件。 通过分析订阅中的 Azure 资源管理器操作,检测到了此规则。 攻击者可能会从反恶意软件扫描中排除某些文件,从而在运行任意代码或使用恶意软件感染计算机时防止检测。

MITRE 策略:防御规避

严重性:中等

反恶意软件在虚拟机中已暂时禁用

(VM_AmTemporarilyDisablement)

说明:反恶意软件在虚拟机中已临时禁用。 通过分析订阅中的 Azure 资源管理器操作,检测到此情况。 攻击者可能会在你的虚拟机上禁用反恶意软件以防止检测。

MITRE 策略:-

严重性:中等

虚拟机中的反恶意软件异常文件排除

(VM_UnusualAmFileExclusion)

说明:通过分析订阅中的 Azure 资源管理器操作,在虚拟机中检测到从反恶意软件扩展中异常排除了文件。 攻击者可能会在对虚拟机执行的反恶意软件扫描中排除文件,从而在运行任意代码或使用恶意软件感染计算机时防止检测。

MITRE 策略:防御规避

严重性:中等

检测到与勒索软件类似的行为[出现多次]

说明:%{Compromised Host} 上的主机数据分析检测到与已知勒索软件相似的文件执行活动,这种勒索软件可能阻止用户访问系统或个人文件,并要求支付赎金才能恢复正常访问。 今天在下列计算机上出现了 [x] 次此行为:[Machine names]

MITRE 策略:-

严重性:高

与威胁情报识别的可疑域通信

(AzureDNS_ThreatIntelSuspectDomain)

说明:通过分析资源中的 DNS 事务并与威胁情报源识别的已知恶意域进行比较,检测到了与可疑域之间的通信。 攻击者会频繁执行与恶意域的通信,这样的通信可能意味着你的资源已遭受入侵。

MITRE 策略:初始访问、持久性、执行、命令和控制、利用

严重性:中等

检测到带有挖掘器映像的容器

(VM_MinerInContainerImage)

说明:计算机日志指示执行了运行与数字货币挖掘关联的映像的 Docker 容器。

MITRE 策略:执行

严重性:高

在命令行中检测到大小写字符的异常混用

说明:%{Compromised Host} 上的主机数据分析检测到命令行中存在大小写字符的异常混用。 虽然这种模式可能是良性的,但它也是典型的攻击活动,当攻击者在遭到入侵的主机上执行管理任务时,他们会试图借此避开区分大小写或基于哈希的规则匹配。

MITRE 策略:-

严重性:中等

检测到来自已知恶意来源的文件下载

说明:主机数据分析检测到 %{Compromised Host} 有从已知恶意来源下载的文件。

MITRE 策略:-

严重性:中等

检测到可疑的网络活动

说明:对 %{Compromised Host} 中的网络流量进行分析时检测到可疑的网络活动。 虽然此类流量可能是良性的,但攻击者通常使用它与恶意服务器通信,以进行工具下载、命令和控制以及数据外泄。 典型的相关攻击者活动包括将远程管理工具复制到遭到入侵的主机,并从中外泄用户数据。

MITRE 策略:-

严重性:低

说明:%{Compromised Host} 上的主机数据分析检测到,有人执行了通常与数字货币挖掘关联的进程或命令。

MITRE 策略:-

严重性:高

审核日志记录被禁用[出现多次]

说明:Linux 审核系统提供了一种方法来跟踪系统上与安全相关的信息。 它尽可能多地记录系统事件的相关信息。 禁用审核日志记录可能妨碍系统安全策略违反行为的发现。 今天在下列计算机上出现了 [x] 次此行为:[Machine names]

MITRE 策略:-

严重性:低

利用 Xorg 漏洞[出现多次]

说明:%{Compromised Host} 上的主机数据分析检测到具有可疑参数的 Xorg 用户。 攻击者可能会在尝试提升特权时使用此技术。 今天在下列计算机上出现了 [x] 次此行为:[Machine names]

MITRE 策略:-

严重性:中等

失败的 SSH 暴力攻击

(VM_SshBruteForceFailed)

说明:检测到失败的暴力攻击,攻击者为:%{Attackers}。 攻击者尝试使用以下用户名访问主机:%{Accounts used on failed sign in to host attempts}。

MITRE 策略:探测

严重性:中等

检测到无文件攻击行为

(VM_FilelessAttackBehavior.Linux)

说明:下面的指定进程的内存包含无文件攻击通常使用的行为。 具体行为包括:{list of observed behaviors}

MITRE 策略:执行

严重性:低

检测到无文件攻击技术

(VM_FilelessAttackTechnique.Linux)

说明:以下指定进程的内存中包含无文件攻击方法的证据。 攻击者使用无文件攻击来执行代码,同时避开安全软件的检测。 具体行为包括:{list of observed behaviors}

MITRE 策略:执行

严重性:高

检测到无文件攻击工具包

(VM_FilelessAttackToolkit.Linux)

说明:下面的指定进程的内存包含一个无文件攻击工具包:{ToolKitName}。 无文件攻击工具包通常不存在于文件系统中,因此难以使用传统防病毒软件进行检测。 具体行为包括:{list of observed behaviors}

MITRE 策略:防御规避、执行

严重性:高

检测到隐藏文件执行活动

说明:主机数据分析指示 %{user name} 执行了隐藏文件。 此活动可能是合法活动,也可能指示主机遭到入侵。

MITRE 策略:-

严重性:信息性

添加了新的 SSH 密钥[出现多次]

(VM_SshKeyAddition)

说明:授权密钥文件中添加了新的 SSH 密钥。 今天在下列计算机上出现了 [x] 次此行为:[Machine names]

MITRE 策略:持久性

严重性:低

添加了新的 SSH 密钥

说明:授权密钥文件中添加了新的 SSH 密钥。

MITRE 策略:-

严重性:低

检测到可能存在后门[出现多次]

说明:主机数据分析检测到,订阅中的 %{Compromised Host} 上下载并运行了可疑的文件。 此活动之前与后门安装关联。 今天在下列计算机上出现了 [x] 次此行为:[Machine names]

MITRE 策略:-

严重性:中等

检测到邮件服务器可能被利用

(VM_MailserverExploitation)

说明:分析 %{Compromised Host} 上的主机数据时检测到邮件服务器帐户下存在异常执行

MITRE 策略:利用

严重性:中等

检测到可能存在恶意的 Web shell

说明:%{Compromised Host} 的主机数据分析检测到可能存在 Web shell。 攻击者通常会将 Web shell 上传到入侵的计算机以实现持久性,从而进一步加以利用。

MITRE 策略:-

严重性:中等

检测到可能有人使用 crypt 方法更改密码[出现多次]

说明:%{Compromised Host} 的主机数据分析检测到有人使用 crypt 方法更改了密码。 攻击者可能会为了继续访问并在入侵后实现持久性而进行此更改。 今天在下列计算机上出现了 [x] 次此行为:[Machine names]

MITRE 策略:-

严重性:中等

检测到与数字货币挖掘关联的进程[出现多次]

说明:%{Compromised Host} 上的主机数据分析检测到有人执行了通常与数字货币挖掘关联的进程。 今天在下列计算机上出现了超过 100 次此行为:[Machine name]

MITRE 策略:-

严重性:中等

检测到与数字货币挖掘关联的进程

说明:主机数据分析检测到有人执行了通常与数字货币挖掘关联的进程。

MITRE 策略:利用、执行

严重性:中等

检测到 Python 编码下载器[出现多次]

说明:%{Compromised Host} 上的主机数据分析检测到有人执行编码的 Python 来从远程位置下载和运行代码。 这可能表明存在恶意活动。 今天在下列计算机上出现了 [x] 次此行为:[Machine names]

MITRE 策略:-

严重性:低

在主机上拍摄屏幕截图[出现多次]

说明:%{Compromised Host} 上的主机数据分析检测到有用户使用屏幕捕获工具。 攻击者可能会使用这些工具来访问专用数据。 今天在下列计算机上出现了 [x] 次此行为:[Machine names]

MITRE 策略:-

严重性:低

检测到 Shellcode [出现多次]

说明:%{Compromised Host} 上的主机数据分析检测到命令行中生成了 shellcode。 此进程可能是合法活动,也可能指示某台计算机已遭到入侵。 今天在下列计算机上出现了 [x] 次此行为:[Machine names]

MITRE 策略:-

严重性:中等

成功的 SSH 暴力攻击

(VM_SshBruteForceSuccess)

说明:主机数据分析检测到成功的暴力攻击。 发现 IP %{Attacker source IP} 进行了多次登录尝试。 来自该 IP 的成功登录使用以下用户身份完成:%{Accounts used to successfully sign in to host}。 这意味着主机可能会受到恶意行动者的入侵和控制。

MITRE 策略:利用

严重性:高

检测到可疑的帐户创建操作

说明:%{Compromised Host} 上的主机数据分析检测到,有人创建或使用了本地帐户 %{Suspicious account name},此帐户名称与标准 Windows 帐户或组名“%{Similar To Account Name}”非常相似。 这可能是攻击者创建的恶意帐户,使用此命名方式的目的在于不让人工管理员注意到。

MITRE 策略:-

严重性:中等

检测到可疑的内核模块[出现多次]

说明:%{Compromised Host} 上的主机数据分析检测到有人将共享对象文件加载为内核模块。 这可能是合法活动,也可能指示某台计算机已遭到入侵。 今天在下列计算机上出现了 [x] 次此行为:[Machine names]

MITRE 策略:-

严重性:中等

可疑的密码访问[出现多次]

说明:主机数据分析检测到 %{Compromised Host} 上存在对加密用户密码的可疑访问行为。 今天在下列计算机上出现了 [x] 次此行为:[Machine names]

MITRE 策略:-

严重性:信息性

可疑的密码访问

说明:主机数据分析检测到 %{Compromised Host} 上存在对加密用户密码的可疑访问行为。

MITRE 策略:-

严重性:信息性

对 Kubernetes 仪表板的可疑请求

(VM_KubernetesDashboard)

说明:计算机日志指示有人对 Kubernetes 仪表板发出了可疑的请求。 该请求发送自 Kubernetes 节点,可能来自节点中运行的某个容器。 尽管此行为可能是故意的,但它可能指示节点运行的某个容器遭到入侵。

MITRE 策略:LateralMovement

严重性:中等

虚拟机中的异常配置重置

(VM_VMAccessUnusualConfigReset)

说明:通过分析订阅中的 Azure 资源管理器操作,在虚拟机中检测到异常配置重置。 虽然此操作可能是合法的,但攻击者可以尝试利用 VM 访问扩展来重置虚拟机中的配置并使其泄漏。

MITRE 策略:凭据访问

严重性:中等

虚拟机中的异常用户密码重置

(VM_VMAccessUnusualPasswordReset)

说明:通过分析订阅中的 Azure 资源管理器操作,在虚拟机中检测到异常用户密码重置。 虽然此操作可能是合法的,但攻击者可以尝试利用 VM 访问扩展来重置虚拟机中本地用户的凭据并使其泄漏。

MITRE 策略:凭据访问

严重性:中等

虚拟机中的异常用户 SSH 密钥重置

(VM_VMAccessUnusualSSHReset)

说明:通过分析订阅中的 Azure 资源管理器操作,在虚拟机中检测到异常用户 SSH 密钥重置。 虽然此操作可能是合法的,但攻击者可以尝试利用 VM 访问扩展来重置虚拟机中用户帐户的 SSH 密钥并使其泄漏。

MITRE 策略:凭据访问

严重性:中等

虚拟机中 GPU 扩展的可疑安装(预览版)

(VM_GPUDriverExtensionUnusualExecution)

说明:通过分析订阅中的 Azure 资源管理器操作,检测到在虚拟机中以可疑方式安装 GPU 扩展的活动。 攻击者可能会使用 GPU 驱动程序扩展通过 Azure 资源管理器在虚拟机上安装 GPU 驱动程序,以执行加密劫持。

MITRE 策略:影响

严重性:低

注意

对于处于预览状态的警报:Azure 预览版补充条款包含适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。

后续步骤