资源管理器警报

本文列出了可能从 Microsoft Defender for Cloud,以及从所启用的任何 Microsoft Defender 计划中获取的资源管理器安全警报。 环境中显示的警报取决于要保护的资源和服务以及自定义的配置。

注意

一些最近添加的 Microsoft Defender 威胁智能支持的警报可能未记录。

了解如何响应这些警报

了解如何导出警报

注意

来自不同源的警报可能在不同的时间后出现。 例如,需要分析网络流量的警报的出现时间,可能比虚拟机上运行的可疑进程的相关警报要晚一些。

资源管理器警报

注意

第三方服务提供商的活动触发了具有“委派访问”指示的警报。 详细了解服务提供商活动指示

更多详细信息和说明

来自可疑 IP 地址的 Azure 资源管理器操作

(ARM_OperationFromSuspiciousIP)

说明:适用于资源管理器的 Microsoft Defender 检测到来自某个 IP 地址的操作,该地址在威胁情报源中被标记为可疑。

MITRE 策略:执行

严重性:中等

来自可疑代理 IP 地址的 Azure 资源管理器操作

(ARM_OperationFromSuspiciousProxyIP)

说明:适用于资源管理器的 Microsoft Defender 检测到来自某个 IP 地址的资源管理操作,而该地址与代理服务(如 TOR)相关联。 虽然这种行为可能是合法的,但经常出现在恶意活动中,在这些恶意活动中,攻击者会试图隐藏其源 IP。

MITRE 策略:防御规避

严重性:中等

使用了 MicroBurst 漏洞利用工具包来枚举订阅中的资源

(ARM_MicroBurst.AzDomainInfo)

说明:你的订阅中运行了一个 PowerShell 脚本,该脚本执行了可疑的信息收集操作执行模式以发现资源、权限和网络结构。 威胁行动者使用自动化脚本(如 MicroBurst)来收集恶意活动的相关信息。 通过分析订阅中的 Azure 资源管理器操作,检测到此情况。 此操作可能表明你组织中的某个身份遭到入侵,并且威胁行动者正在尝试破坏环境,以实现恶意目的。

MITRE 策略:-

严重性:低

使用了 MicroBurst 漏洞利用工具包来枚举订阅中的资源

(ARM_MicroBurst.AzureDomainInfo)

说明:你的订阅中运行了一个 PowerShell 脚本,该脚本执行了可疑的信息收集操作执行模式以发现资源、权限和网络结构。 威胁行动者使用自动化脚本(如 MicroBurst)来收集恶意活动的相关信息。 通过分析订阅中的 Azure 资源管理器操作,检测到此情况。 此操作可能表明你组织中的某个身份遭到入侵,并且威胁行动者正在尝试破坏环境,以实现恶意目的。

MITRE 策略:-

严重性:低

使用了 MicroBurst 漏洞利用工具包在虚拟机上执行代码

(ARM_MicroBurst.AzVMBulkCMD)

说明:你的订阅中运行了一个 PowerShell 脚本,该脚本在 VM 或 VM 列表中执行了可疑的代码执行模式。 威胁行动者使用自动化脚本(如 MicroBurst)在 VM 上为恶意活动运行脚本。 通过分析订阅中的 Azure 资源管理器操作,检测到此情况。 此操作可能表明你组织中的某个身份遭到入侵,并且威胁行动者正在尝试破坏环境,以实现恶意目的。

MITRE 策略:执行

严重性:高

使用了 MicroBurst 漏洞利用工具包在虚拟机上执行代码

(RM_MicroBurst.AzureRmVMBulkCMD)

说明:使用 MicroBurst 的漏洞利用工具包在虚拟机上执行了代码。 通过分析订阅中的 Azure 资源管理器操作,检测到此情况。

MITRE 策略:-

严重性:高

使用了 MicroBurst 漏洞利用工具包从 Azure 密钥保管库提取密钥

(ARM_MicroBurst.AzKeyVaultKeysREST)

说明:你的订阅中运行了一个 PowerShell 脚本,该脚本执行了从 Azure 密钥保管库提取密钥的可疑模式。 威胁行动者使用自动化脚本(如 MicroBurst)列出密钥,并使用它们来访问敏感数据或执行横向移动。 通过分析订阅中的 Azure 资源管理器操作,检测到此情况。 此操作可能表明你组织中的某个身份遭到入侵,并且威胁行动者正在尝试破坏环境,以实现恶意目的。

MITRE 策略:-

严重性:高

使用了 MicroBurst 漏洞利用工具包提取存储帐户的密钥

(ARM_MicroBurst.AZStorageKeysREST)

说明:你的订阅中运行了一个 PowerShell 脚本,该脚本执行了将密钥提取到存储帐户的可疑模式。 威胁行动者使用自动化脚本(如 MicroBurst)列出密钥,并使用它们来访问存储帐户中的敏感数据。 通过分析订阅中的 Azure 资源管理器操作,检测到此情况。 此操作可能表明你组织中的某个身份遭到入侵,并且威胁行动者正在尝试破坏环境,以实现恶意目的。

MITRE 策略:集合

严重性:高

使用了 MicroBurst 漏洞利用工具包从 Azure 密钥保管库提取机密

(ARM_MicroBurst.AzKeyVaultSecretsREST)

说明:你的订阅中运行了一个 PowerShell 脚本,该脚本执行了从 Azure 密钥保管库提取机密的可疑模式。 威胁行动者使用自动化脚本(如 MicroBurst)列出机密,并使用它们来访问敏感数据或执行横向移动。 通过分析订阅中的 Azure 资源管理器操作,检测到此情况。 此操作可能表明你组织中的某个身份遭到入侵,并且威胁行动者正在尝试破坏环境,以实现恶意目的。

MITRE 策略:-

严重性:高

使用了 PowerZure 漏洞利用工具包来提升从 Azure AD 到 Azure 的访问权限

(ARM_PowerZure.AzureElevatedPrivileges)

说明:使用 PowerZure 漏洞利用工具包将访问权限从 AzureAD 提升到了 Azure 中。 通过分析租户中的 Azure 资源管理器操作,检测到此情况。

MITRE 策略:-

严重性:高

使用了 PowerZure 漏洞利用工具包来枚举资源

(ARM_PowerZure.GetAzureTargets)

说明:使用了 PowerZure 漏洞利用工具包来代表组织中的合法用户帐户枚举资源。 通过分析订阅中的 Azure 资源管理器操作,检测到此情况。

MITRE 策略:集合

严重性:高

使用了 PowerZure 漏洞利用工具包来枚举存储容器、共享和表

(ARM_PowerZure.ShowStorageContent)

说明:使用了 PowerZure 漏洞利用工具包来枚举存储共享、表和容器。 通过分析订阅中的 Azure 资源管理器操作,检测到此情况。

MITRE 策略:-

严重性:高

使用了 PowerZure 漏洞利用工具包在订阅中执行 Runbook

(ARM_PowerZure.StartRunbook)

说明:使用了 PowerZure 漏洞利用工具包来执行 Runbook。 通过分析订阅中的 Azure 资源管理器操作,检测到此情况。

MITRE 策略:-

严重性:高

使用了 PowerZure 漏洞利用工具包来提取 Runbook 内容

(ARM_PowerZure.AzureRunbookContent)

说明:使用了 PowerZure 漏洞利用工具包来提取 Runbook 内容。 通过分析订阅中的 Azure 资源管理器操作,检测到此情况。

MITRE 策略:集合

严重性:高

预览版 - 检测到 Azurite 工具包运行

(ARM_Azurite)

说明:在你的环境中检测到一个已知的云环境侦查工具包运行。 攻击者(或渗透测试人员)可以使用 Azurite 工具来映射订阅的资源并标识不安全的配置。

MITRE 策略:集合

严重性:高

预览 - 检测到可疑的计算资源创建

(ARM_SuspiciousComputeCreation)

说明:适用于资源管理器的 Microsoft Defender 在你的订阅中检测到使用虚拟机/Azure 规模集进行计算资源创建的可疑行为。 所识别的操作旨在允许管理员在需要时可通过部署新资源来有效管理其环境。 虽然此活动可能是合法的,但威胁行动者可能会利用此类操作进行加密挖掘。 活动被视为可疑,因为计算资源规模高于之前在订阅中观察到的规模。 这可能指示主体被盗用并且正在被恶意使用。

MITRE 策略:影响

严重性:中等

预览版 - 检测到可疑的密钥保管库恢复

(Arm_Suspicious_Vault_Recovering)

说明:适用于资源管理器的 Microsoft Defender 检测到对软删除的密钥保管库资源进行的可疑恢复操作。 恢复资源的用户与删除该资源的用户不同。 此操作高度可疑,因为用户很少调用此类操作。 此外,用户在没有多重身份验证 (MFA) 的情况下登录。 这可能表示用户遭到入侵,并正在尝试发现机密和密钥来获取敏感资源的访问权限,或跨网络执行横向移动。

MITRE 策略:横向移动

严重级别:中/高

预览版 - 检测到使用非活动帐户的可疑管理会话

(ARM_UnusedAccountPersistence)

说明:订阅活动日志分析检测到可疑行为。 很长时间没有使用的某个主体现在正在执行可保护攻击者持久性的操作。

MITRE 策略:持久性

严重性:中等

预览版 - 检测到服务主体对高风险“凭据访问”操作的可疑调用

(ARM_AnomalousServiceOperation.CredentialAccess)

说明:适用于资源管理器的 Microsoft Defender 在你的订阅中检测到对高风险操作的可疑调用,这可能表示有人试图访问凭据。 所发现操作的设计意图是为了让管理员能够有效地管理其环境。 虽然此活动可能是合法的,但威胁行动者可能会利用此类操作来访问受限凭据并泄露你的环境中的资源。 这可能表示该服务主体已泄露并且正在被恶意使用。

MITRE 策略:凭据访问

严重性:中等

预览版 - 检测到服务主体对高风险“数据收集”操作的可疑调用

(ARM_AnomalousServiceOperation.Collection)

说明:适用于资源管理器的 Microsoft Defender 在你的订阅中检测到对高风险操作的可疑调用,这可能表示有人试图收集数据。 所发现操作的设计意图是为了让管理员能够有效地管理其环境。 虽然此活动可能是合法的,但威胁行动者可能会利用此类操作来收集有关你的环境中的资源的敏感数据。 这可能表示该服务主体已泄露并且正在被恶意使用。

MITRE 策略:集合

严重性:中等

预览版 - 检测到服务主体对高风险“防御规避”操作的可疑调用

(ARM_AnomalousServiceOperation.DefenseEvasion)

说明:适用于资源管理器的 Microsoft Defender 在你的订阅中检测到对高风险操作的可疑调用,这可能表示有人试图逃避防御。 所发现操作的设计意图是为了让管理员能够有效地管理其环境的安全状况。 虽然此活动可能是合法的,但威胁行动者可能会利用此类操作来避免在泄露你的环境中的资源时被检测到。 这可能表示该服务主体已泄露并且正在被恶意使用。

MITRE 策略:防御规避

严重性:中等

预览 - 检测到服务主体对高风险“执行”操作的可疑调用

(ARM_AnomalousServiceOperation.Execution)

说明:适用于资源管理器的 Microsoft Defender 在你的订阅中检测到对计算机上的高风险操作的可疑调用,这可能表示有人试图执行代码。 所发现操作的设计意图是为了让管理员能够有效地管理其环境。 虽然此活动可能是合法的,但威胁行动者可能会利用此类操作来访问受限凭据并泄露你的环境中的资源。 这可能表示该服务主体已泄露并且正在被恶意使用。

MITRE 战术:防御执行

严重性:中等

预览版 - 检测到服务主体对高风险“影响”操作的可疑调用

(ARM_AnomalousServiceOperation.Impact)

说明:适用于资源管理器的 Microsoft Defender 在你的订阅中检测到对高风险操作的可疑调用,这可能表示有人试图更改配置。 所发现操作的设计意图是为了让管理员能够有效地管理其环境。 虽然此活动可能是合法的,但威胁行动者可能会利用此类操作来访问受限凭据并泄露你的环境中的资源。 这可能表示该服务主体已泄露并且正在被恶意使用。

MITRE 策略:影响

严重性:中等

预览版 - 检测到服务主体对高风险“初始访问”操作的可疑调用

(ARM_AnomalousServiceOperation.InitialAccess)

说明:适用于资源管理器的 Microsoft Defender 在你的订阅中检测到对高风险操作的可疑调用,这可能表示有人试图访问受限资源。 所发现操作的设计意图是为了让管理员能够有效地访问其环境。 虽然此活动可能是合法的,但威胁行动者可能会利用此类操作来获取对你的环境中的受限资源的初始访问。 这可能表示该服务主体已泄露并且正在被恶意使用。

MITRE 策略:初始访问

严重性:中等

预览版 - 检测到服务主体对高风险“横向移动访问”操作的可疑调用

(ARM_AnomalousServiceOperation.LateralMovement)

说明:适用于资源管理器的 Microsoft Defender 在你的订阅中检测到对高风险操作的可疑调用,这可能表示有人试图执行横向移动。 所发现操作的设计意图是为了让管理员能够有效地管理其环境。 虽然此活动可能是合法的,但威胁行动者可能会利用此类操作来泄露你的环境中的更多资源。 这可能表示该服务主体已泄露并且正在被恶意使用。

MITRE 策略:横向移动

严重性:中等

预览版 - 检测到服务主体对高风险“持久化”操作的可疑调用

(ARM_AnomalousServiceOperation.Persistence)

说明:适用于资源管理器的 Microsoft Defender 在你的订阅中检测到对高风险操作的可疑调用,这可能表示有人试图建立持久性。 所发现操作的设计意图是为了让管理员能够有效地管理其环境。 虽然此活动可能是合法的,但威胁行动者可能会利用此类操作在你的环境中建立持久性。 这可能表示该服务主体已泄露并且正在被恶意使用。

MITRE 策略:持久性

严重性:中等

预览版 - 检测到服务主体对高风险“特权提升”操作的可疑调用

(ARM_AnomalousServiceOperation.PrivilegeEscalation)

说明:适用于资源管理器的 Microsoft Defender 在你的订阅中检测到对高风险操作的可疑调用,这可能表示有人试图提升特权。 所发现操作的设计意图是为了让管理员能够有效地管理其环境。 虽然此活动可能是合法的,但威胁行动者可能会利用此类操作在泄露你的环境中的资源时提升特权。 这可能表示该服务主体已泄露并且正在被恶意使用。

MITRE 策略:特权提升

严重性:中等

预览版 - 检测到使用非活动帐户的可疑管理会话

(ARM_UnusedAccountPersistence)

说明:订阅活动日志分析检测到可疑行为。 很长时间没有使用的某个主体现在正在执行可保护攻击者持久性的操作。

MITRE 策略:持久性

严重性:中等

预览版 - 检测到使用 PowerShell 的可疑管理会话

(ARM_UnusedAppPowershellPersistence)

说明:订阅活动日志分析检测到可疑行为。 一个不经常使用 PowerShell 来管理订阅环境的主体现在正在使用 PowerShell 执行可保护攻击者持久性的操作。

MITRE 策略:持久性

严重性:中等

预览 – 检测到使用 Azure 门户的可疑管理会话

(ARM_UnusedAppIbizaPersistence)

说明:订阅活动日志分析检测到可疑行为。 不经常使用 Azure 门户 (Ibiza) 管理订阅环境的主体(最近 45 天都没有使用 Azure 门户进行管理,也没有会主动管理的订阅)现在正在使用 Azure 门户执行可保护攻击者持久性的操作。

MITRE 策略:持久性

严重性:中等

以可疑方式为订阅创建的特权自定义角色(预览)

(ARM_PrivilegedRoleDefinitionCreation)

说明:适用于资源管理器的 Microsoft Defender 在你的订阅中检测到创建特权自定义角色定义的可疑行为。 此操作可能是由你的组织中的合法用户执行的。 或者,这可能表明你的组织中的帐户被入侵,并且威胁方正在尝试创建特权角色,以在将来用于规避检测。

MITRE 策略:特权提升、防御规避

严重性:信息性

检测到可疑的 Azure 角色分配(预览版)

(ARM_AnomalousRBACRoleAssignment)

说明:适用于资源管理器的 Microsoft Defender 在你的租户中检测到使用 PIM (Privileged Identity Management) 进行的可疑 Azure 角色分配,这可能表示你的组织中的一个帐户遭到入侵。 标识的操作旨在让管理员能够向主体授予对 Azure 资源的访问权限。 虽然此活动可能是合法的,但威胁行动者可能会利用此类操作来提升其权限,使得他们能够推进攻击。

MITRE 策略:持久性、横向移动、防御规避

严重性: 低 (PIM)/高

检测到对高风险“凭据访问”操作的可疑调用(预览版)

(ARM_AnomalousOperation.CredentialAccess)

说明:适用于资源管理器的 Microsoft Defender 在你的订阅中检测到对高风险操作的可疑调用,这可能表示有人试图访问凭据。 所发现操作的设计意图是为了让管理员能够有效地访问其环境。 虽然此活动可能是合法的,但威胁行动者可能会利用此类操作来访问受限凭据并泄露你的环境中的资源。 这可能表示该帐户已泄露并且正在被恶意使用。

MITRE 策略:凭据访问

严重性:中等

检测到对高风险“数据收集”操作的可疑调用(预览版)

(ARM_AnomalousOperation.Collection)

说明:适用于资源管理器的 Microsoft Defender 在你的订阅中检测到对高风险操作的可疑调用,这可能表示有人试图收集数据。 所发现操作的设计意图是为了让管理员能够有效地管理其环境。 虽然此活动可能是合法的,但威胁行动者可能会利用此类操作来收集有关你的环境中的资源的敏感数据。 这可能表示该帐户已泄露并且正在被恶意使用。

MITRE 策略:集合

严重性:中等

检测到对高风险“防御规避”操作的可疑调用(预览版)

(ARM_AnomalousOperation.DefenseEvasion)

说明:适用于资源管理器的 Microsoft Defender 在你的订阅中检测到对高风险操作的可疑调用,这可能表示有人试图逃避防御。 所发现操作的设计意图是为了让管理员能够有效地管理其环境的安全状况。 虽然此活动可能是合法的,但威胁行动者可能会利用此类操作来避免在泄露你的环境中的资源时被检测到。 这可能表示该帐户已泄露并且正在被恶意使用。

MITRE 策略:防御规避

严重性:中等

检测到对高风险“执行”操作的可疑调用(预览版)

(ARM_AnomalousOperation.Execution)

说明:适用于资源管理器的 Microsoft Defender 在你的订阅中检测到对计算机上的高风险操作的可疑调用,这可能表示有人试图执行代码。 所发现操作的设计意图是为了让管理员能够有效地管理其环境。 虽然此活动可能是合法的,但威胁行动者可能会利用此类操作来访问受限凭据并泄露你的环境中的资源。 这可能表示该帐户已泄露并且正在被恶意使用。

MITRE 策略:执行

严重性:中等

检测到对高风险“造成影响”操作的可疑调用(预览版)

(ARM_AnomalousOperation.Impact)

说明:适用于资源管理器的 Microsoft Defender 在你的订阅中检测到对高风险操作的可疑调用,这可能表示有人试图更改配置。 所发现操作的设计意图是为了让管理员能够有效地管理其环境。 虽然此活动可能是合法的,但威胁行动者可能会利用此类操作来访问受限凭据并泄露你的环境中的资源。 这可能表示该帐户已泄露并且正在被恶意使用。

MITRE 策略:影响

严重性:中等

检测到对高风险“初始访问”操作的可疑调用(预览版)

(ARM_AnomalousOperation.InitialAccess)

说明:适用于资源管理器的 Microsoft Defender 在你的订阅中检测到对高风险操作的可疑调用,这可能表示有人试图访问受限资源。 所发现操作的设计意图是为了让管理员能够有效地访问其环境。 虽然此活动可能是合法的,但威胁行动者可能会利用此类操作来获取对你的环境中的受限资源的初始访问。 这可能表示该帐户已泄露并且正在被恶意使用。

MITRE 策略:初始访问

严重性:中等

检测到对高风险“横向移动”操作的可疑调用(预览版)

(ARM_AnomalousOperation.LateralMovement)

说明:适用于资源管理器的 Microsoft Defender 在你的订阅中检测到对高风险操作的可疑调用,这可能表示有人试图执行横向移动。 所发现操作的设计意图是为了让管理员能够有效地管理其环境。 虽然此活动可能是合法的,但威胁行动者可能会利用此类操作来泄露你的环境中的更多资源。 这可能表示该帐户已泄露并且正在被恶意使用。

MITRE 策略:横向移动

严重性:中等

可疑提升访问权限操作(预览版)(ARM_AnomalousElevateAccess)

说明:适用于资源管理器的 Microsoft Defender 检测到可疑的“提升访问”操作。 该活动被视为可疑活动,因为此主体很少调用此类操作。 虽然此活动可能是合法的,但威胁行动者可能会利用“提升访问”操作来对被入侵的用户执行特权提升。

MITRE 策略:特权提升

严重性:中等

检测到对高风险“持久保留”操作的可疑调用(预览版)

(ARM_AnomalousOperation.Persistence)

说明:适用于资源管理器的 Microsoft Defender 在你的订阅中检测到对高风险操作的可疑调用,这可能表示有人试图建立持久性。 所发现操作的设计意图是为了让管理员能够有效地管理其环境。 虽然此活动可能是合法的,但威胁行动者可能会利用此类操作在你的环境中建立持久性。 这可能表示该帐户已泄露并且正在被恶意使用。

MITRE 策略:持久性

严重性:中等

检测到对高风险“特权提升”操作的可疑调用(预览版)

(ARM_AnomalousOperation.PrivilegeEscalation)

说明:适用于资源管理器的 Microsoft Defender 在你的订阅中检测到对高风险操作的可疑调用,这可能表示有人试图提升特权。 所发现操作的设计意图是为了让管理员能够有效地管理其环境。 虽然此活动可能是合法的,但威胁行动者可能会利用此类操作在泄露你的环境中的资源时提升特权。 这可能表示该帐户已泄露并且正在被恶意使用。

MITRE 策略:特权提升

严重性:中等

使用 MicroBurst 漏洞利用工具包运行任意代码或盗取 Azure 自动化帐户凭据

(ARM_MicroBurst.RunCodeOnBehalf)

说明:你的订阅中运行了一个 PowerShell 脚本,该脚本执行了执行任意代码或外泄 Azure 自动化帐户凭据的可疑模式。 威胁行动者使用自动化脚本(如 MicroBurst)在 VM 上为恶意活动运行任意代码。 通过分析订阅中的 Azure 资源管理器操作,检测到此情况。 此操作可能表明你组织中的某个身份遭到入侵,并且威胁行动者正在尝试破坏环境,以实现恶意目的。

MITRE 策略:持久性、凭据访问

严重性:高

使用 NetSPI 技术在 Azure 环境中保持持久性

(ARM_NetSPI.MaintainPersistence)

说明:使用 NetSPI 持久性技术来创建 Webhook 后门程序,并在 Azure 环境中保持持久性。 通过分析订阅中的 Azure 资源管理器操作,检测到此情况。

MITRE 策略:-

严重性:高

使用 PowerZure 漏洞利用工具包运行任意代码或盗取 Azure 自动化帐户凭据

(ARM_PowerZure.RunCodeOnBehalf)

说明:检测到 PowerZure 漏洞利用工具包试图运行代码或盗取 Azure 自动化帐户凭据。 通过分析订阅中的 Azure 资源管理器操作,检测到此情况。

MITRE 策略:-

严重性:高

使用 PowerZure 函数在 Azure 环境中保持持久性

(ARM_PowerZure.MaintainPersistence)

说明:检测到 PowerZure 漏洞利用工具包创建 Webhook 后门程序以在 Azure 环境中保持持久性。 通过分析订阅中的 Azure 资源管理器操作,检测到此情况。

MITRE 策略:-

严重性:高

检测到可疑的经典角色分配(预览版)

(ARM_AnomalousClassicRoleAssignment)

说明:适用于资源管理器的 Microsoft Defender 在你的租户中检测到可疑的经典角色分配,这可能表示你的组织中的一个帐户遭到入侵。 标识的操作旨在提供与不再常用的经典角色的后向兼容性。 虽然此活动可能是合法的,但威胁行动者可能会利用此类分配向其控制下的另一个用户帐户授予权限。

MITRE 策略:持久性、横向移动、防御规避

严重性:高

注意

对于处于预览状态的警报:Azure 预览版补充条款包含适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。

后续步骤