已弃用的安全警报

本文列出了 Microsoft Defender for Cloud 中的已弃用安全警报。

已弃用的 Defender for Containers 警报

以下列表包括已弃用的 Defender for Containers 安全警报。

检测到主机防火墙操作

(K8S.NODE_FirewallDisabled)

说明：对容器内运行的或直接在 Kubernetes 节点上运行的进程的分析检测到可能存在对主机上的防火墙的操作。 攻击者通常会禁用防火墙以外泄数据。

MITRE 策略：DefenseEvasion、外泄

严重性：中等

通过 HTTPS 对 DNS 的可疑使用

(K8S.NODE_SuspiciousDNSOverHttps)

说明：对容器内运行的或直接在 Kubernetes 节点上运行的进程的分析检测到有人在以不常见的方式通过 HTTPS 使用 DNS 调用。 攻击者使用此方法隐藏对可疑或恶意网站的调用。

MITRE 策略：DefenseEvasion、外泄

严重性：中等

检测到可能与恶意位置存在连接

(K8S.NODE_ThreatIntelCommandLineSuspectDomain)

说明：对容器内运行的或直接在 Kubernetes 节点上运行的进程的分析检测到与报告为恶意位置或异常位置的位置建立了连接。 这表明可能已经发生了入侵。

MITRE 策略：InitialAccess

严重性：中等

数字货币挖掘活动

(K8S.NODE_CurrencyMining)

说明：对 DNS 事务的分析检测到了数字货币挖掘活动。 此类活动虽然可能是合法的用户行为，但经常在资源遭受入侵后被攻击者执行。 典型的相关攻击者活动可能包括下载和执行常见挖掘工具。

MITRE 策略：外泄

严重性：低

已弃用的 Defender for Servers Linux 警报

VM_AbnormalDaemonTermination

警报显示名称：异常终止

严重性：低

VM_BinaryGeneratedFromCommandLine

警报显示名称：检测到可疑的二进制文件

严重性：中等

VM_CommandlineSuspectDomain Suspicious

警报显示名称：域名参考

严重性：低

VM_CommonBot

警报显示名称：检测到与常见的 Linux 机器人类似的行为

严重性：中等

VM_CompCommonBots

警报显示名称：检测到与常见的 Linux 机器人类似的命令

严重性：中等

VM_CompSuspiciousScript

警报显示名称：检测到 Shell 脚本

严重性：中等

VM_CompTestRule

警报显示名称：复合分析测试警报

严重性：低

VM_CronJobAccess

警报显示名称：检测到对计划任务的操作

严重性：信息

VM_CryptoCoinMinerArtifacts

警报显示名称：检测到与数字货币挖掘有关的进程

严重性：中等

VM_CryptoCoinMinerDownload

警报显示名称：检测到潜在 Cryptocoinminer 下载

严重性：中等

VM_CryptoCoinMinerExecution

警报显示名称：启动了潜在的加密货币挖矿机

严重性：中等

VM_DataEgressArtifacts

警报显示名称：检测到可能的数据外泄

严重性：中等

VM_DigitalCurrencyMining

警报显示名称：检测到数字货币挖掘相关行为

严重性：高

VM_DownloadAndRunCombo

警报显示名称：可疑的先下载后运行活动

严重性：中等

VM_EICAR

警报显示名称：Microsoft Defender for Cloud 测试警报(不是威胁)

严重性：高

VM_ExecuteHiddenFile

警报显示名称：执行隐藏文件

严重性：信息

VM_ExploitAttempt

警报显示名称：可能在尝试利用命令行

严重性：中等

VM_ExposedDocker

警报显示名称：TCP 套接字上公开的 Docker 守护程序

严重性：中等

VM_FairwareMalware

警报显示名称：检测到与 Fairware 勒索软件类似的行为

严重性：中等

VM_FirewallDisabled

警报显示名称：检测到主机防火墙操作

严重性：中等

VM_HadoopYarnExploit

警报显示名称：可能存在 Hadoop Yarn 利用

严重性：中等

VM_HistoryFileCleared

警报显示名称：已清除历史记录文件

严重性：中等

VM_KnownLinuxAttackTool

警报显示名称：检测到可能存在攻击工具

严重性：中等

VM_KnownLinuxCredentialAccessTool

警报显示名称：检测到可能存在凭据访问工具

严重性：中等

VM_KnownLinuxDDoSToolkit

警报显示名称：检测到 DDOS 工具包的相关痕迹

严重性：中等

VM_KnownLinuxScreenshotTool

警报显示名称：在主机上拍摄屏幕截图

严重性：低

VM_LinuxBackdoorArtifact

警报显示名称：检测到可能存在后门程序

严重性：中等

VM_LinuxReconnaissance

警报显示名称：检测到本地主机侦查

严重性：中等

VM_MismatchedScriptFeatures

警报显示名称：检测到脚本扩展不匹配

严重性：中等

VM_MitreCalderaTools

警报显示名称：检测到 MITRE Caldera 代理

严重性：中等

VM_NewSingleUserModeStartupScript

警报显示名称：检测到持久性尝试

严重性：中等

VM_NewSudoerAccount

警报显示名称：帐户添加到 sudo 组

严重性：低

VM_OverridingCommonFiles

警报显示名称：常用文件的潜在重写活动

严重性：中等

VM_PrivilegedContainerArtifacts

警报显示名称：容器在特权模式下运行

严重性：低

VM_PrivilegedExecutionInContainer

警报显示名称：容器中的命令在以高特权模式运行

严重性：低

VM_ReadingHistoryFile

警报显示名称：以异常方式访问了 bash 历史记录文件

严重性：信息

VM_ReverseShell

警报显示名称：检测到潜在的反向 shell

严重性：中等

VM_SshKeyAccess

警报显示名称：检测到进程以异常方式访问 SSH 授权密钥文件

严重性：低

VM_SshKeyAddition

警报显示名称：添加了新的 SSH 密钥

严重性：低

VM_SuspectCompilation

警报显示名称：检测到可疑的编译

严重性：中等

VM_SuspectConnection

警报显示名称：检测到不常见的连接尝试

严重性：中等

VM_SuspectDownload

警报显示名称：检测到自已知恶意来源的文件下载

严重性：中等

VM_SuspectDownloadArtifacts

警报显示名称：检测到可疑的文件下载

严重性：低

VM_SuspectExecutablePath

警报显示名称：检测到可执行文件正在从可疑位置运行

严重性：中等

VM_SuspectHtaccessFileAccess

警报显示名称：检测到对 htaccess 文件的访问

严重性：中等

VM_SuspectInitialShellCommand

警报显示名称：shell 中的第一个命令可疑

严重性：低

VM_SuspectMixedCaseText

警报显示名称：在命令行中检测到大小写字符的异常混用

严重性：中等

VM_SuspectNetworkConnection

警报显示名称：可疑的网络连接

严重性：信息

VM_SuspectNohup

警报显示名称：检测到对 nohup 命令的可疑使用

严重性：中等

VM_SuspectPasswordChange

警报显示名称：检测到可能有人使用 crypt 方法更改密码

严重性：中等

VM_SuspectPasswordFileAccess

警报显示名称：可疑的密码访问

严重性：信息

VM_SuspectPhp

警报显示名称：检测到可疑的 PHP 执行

严重性：中等

VM_SuspectPortForwarding

警报显示名称：对外部 IP 地址的潜在端口转发活动

严重性：中等

VM_SuspectProcessAccountPrivilegeCombo

警报显示名称：在服务帐户中运行的进程意外地成为根进程

严重性：中等

VM_SuspectProcessTermination

警报显示名称：检测到与安全性相关的进程终止

严重性：低

VM_SuspectUserAddition

警报显示名称：检测到对 useradd 命令的可疑使用

严重性：中等

VM_SuspiciousCommandLineExecution

警报显示名称：可疑的命令执行

严重性：高

VM_SuspiciousDNSOverHttps

警报显示名称：通过 HTTPS 对 DNS 进行了可疑的使用

严重性：中等

VM_SystemLogRemoval

警报显示名称：检测到可能存在日志篡改活动

严重性：中等

VM_ThreatIntelCommandLineSuspectDomain

警报显示名称：检测到可能与恶意位置存在连接

严重性：中等

VM_ThreatIntelSuspectLogon

警报显示名称：检测到来自恶意 IP 的登录

严重性：高

VM_TimerServiceDisabled

警报显示名称：检测到尝试停止 apt-daily-upgrade.timer 服务

严重性：信息

VM_TimestampTampering

警报显示名称：可疑文件时间戳修改操作

严重性：低

VM_Webshell

警报显示名称：检测到可能存在恶意的 Web shell

严重性：中等

已弃用的 Defender for Servers Windows 警报

SCUBA_MULTIPLEACCOUNTCREATE

警报显示名称：在多个主机上以可疑的方式创建帐户

严重性：中等

SCUBA_PSINSIGHT_CONTEXT

警报显示名称：检测到对 PowerShell 进行了可疑的使用

严重性：信息

SCUBA_RULE_AddGuestToAdministrators

警报显示名称：向本地管理员组添加来宾帐户

严重性：中等

SCUBA_RULE_Apache_Tomcat_executing_suspicious_commands

警报显示名称：Apache_Tomcat_executing_suspicious_commands

严重性：中等

SCUBA_RULE_KnownBruteForcingTools

警报显示名称：执行了可疑的进程

严重性：高

SCUBA_RULE_KnownCollectionTools

警报显示名称：执行了可疑的进程

严重性：高

SCUBA_RULE_KnownDefenseEvasionTools

警报显示名称：执行了可疑的进程

严重性：高

SCUBA_RULE_KnownExecutionTools

警报显示名称：执行了可疑的进程

严重性：高

SCUBA_RULE_KnownPassTheHashTools

警报显示名称：执行了可疑的进程

严重性：高

SCUBA_RULE_KnownSpammingTools

警报显示名称：执行了可疑的进程

严重性：中等

SCUBA_RULE_Lowering_Security_Settings

警报显示名称：检测到关键服务被禁用

严重性：中等

SCUBA_RULE_OtherKnownHackerTools

警报显示名称：执行了可疑的进程

严重性：高

SCUBA_RULE_RDP_session_hijacking_via_tscon

警报显示名称：涉及 RDP 劫持的可疑完整性级别

严重性：中等

SCUBA_RULE_RDP_session_hijacking_via_tscon_service

警报显示名称：可疑的服务安装

严重性：中等

SCUBA_RULE_Suppress_pesky_unauthorized_use_prohibited_notices

警报显示名称：检测到禁止向登录用户显示法律声明

严重性：低

SCUBA_RULE_WDigest_Enabling

警报显示名称：检测到启用 WDigest UseLogonCredential 注册表项

严重性：中等

VM.Windows_ApplockerBypass

警报显示名称：检测到尝试绕过 AppLocker 的行为

严重性：高

VM.Windows_BariumKnownSuspiciousProcessExecution

警报显示名称：检测到可疑的文件创建操作

严重性：高

VM.Windows_Base64EncodedExecutableInCommandLineParams

警报显示名称：在命令行数据中检测到被编码的可执行文件

严重性：高

VM.Windows_CalcsCommandLineUse

警报显示名称：检测到使用 Cacls 来降低系统安全状态的可疑行为

严重性：中等

VM.Windows_CommandLineStartingAllExe

警报显示名称：检测到用于启动目录中所有可执行文件的可疑命令行

严重性：中等

VM.Windows_DisablingAndDeletingIISLogFiles

警报显示名称：检测到禁用和删除 IIS 日志文件的操作

严重性：中等

VM.Windows_DownloadUsingCertutil

警报显示名称：检测到使用 Certutil 进行可疑下载

严重性：中等

VM.Windows_EchoOverPipeOnLocalhost

警报显示名称：检测到可疑的命名管道通信

严重性：高

VM.Windows_EchoToConstructPowerShellScript

警报显示名称：动态 PowerShell 脚本构造

严重性：中等

VM.Windows_ExecutableDecodedUsingCertutil

警报显示名称：检测到使用内置的 certutil.exe 工具解码可执行文件

严重性：中等

VM.Windows_FileDeletionIsSospisiousLocation

警报显示名称：检测到可疑的文件删除操作

严重性：中等

VM.Windows_KerberosGoldenTicketAttack

警报显示名称：已发现可疑的 Kerberos 黄金票证攻击参数

严重性：中等

VM.Windows_KeygenToolKnownProcessName

警报显示名称：检测到可能在执行 keygen 可执行文件执行了可疑的进程

严重性：中等

VM.Windows_KnownCredentialAccessTools

警报显示名称：执行了可疑的进程

严重性：高

VM.Windows_KnownSuspiciousPowerShellScript

警报显示名称：检测到对 PowerShell 进行了可疑的使用

严重性：高

VM.Windows_KnownSuspiciousSoftwareInstallation

警报显示名称：检测到高风险软件

严重性：中等

VM.Windows_MsHtaAndPowerShellCombination

警报显示名称：检测到 HTA 和 PowerShell 的可疑组合

严重性：中等

VM.Windows_MultipleAccountsQuery

警报显示名称：查询了多个域帐户

严重性：中等

VM.Windows_NewAccountCreation

警报显示名称：检测到帐户创建操作

严重性：信息

VM.Windows_ObfuscatedCommandLine

警报显示名称：检测到混淆的命令行。

严重性：高

VM.Windows_PcaluaUseToLaunchExecutable

警报显示名称：检测到使用 Pcalua.exe 启动可执行代码的可疑行为

严重性：中等

VM.Windows_PetyaRansomware

警报显示名称：检测到 Petya 勒索痕迹

严重性：高

VM.Windows_PowerShellPowerSploitScriptExecution

警报显示名称：执行了可疑的 PowerShell cmdlet

严重性：中等

VM.Windows_RansomwareIndication

警报显示名称：检测到勒索软件痕迹

严重性：高

VM.Windows_SqlDumperUsedSuspiciously

警报显示名称：检测到可能存在凭据转储活动 [出现多次]

严重性：中等

VM.Windows_StopCriticalServices

警报显示名称：检测到关键服务被禁用

严重性：中等

VM.Windows_SubvertingAccessibilityBinary

警报显示名称：检测到粘滞密钥攻击检测到可疑的帐户创建操作检测到中等

VM.Windows_SuspiciousAccountCreation

警报显示名称：检测到可疑的帐户创建操作

严重性：中等

VM.Windows_SuspiciousFirewallRuleAdded

警报显示名称：检测到可疑的新防火墙规则

严重性：中等

VM.Windows_SuspiciousFTPSSwitchUsage

警报显示名称：检测到对 FTP -s 交换机的可疑使用

严重性：中等

VM.Windows_SuspiciousSQLActivity

警报显示名称：可疑的 SQL 活动

严重性：中等

VM.Windows_SVCHostFromInvalidPath

警报显示名称：执行了可疑的进程

严重性：高

VM.Windows_SystemEventLogCleared

警报显示名称：已清除 Windows 安全日志

严重性：信息

VM.Windows_TelegramInstallation

警报显示名称：检测到 Telegram 工具可疑的使用方式

严重性：中等

VM.Windows_UndercoverProcess

警报显示名称：检测到名称可疑的进程

严重性：高

VM.Windows_UserAccountControlBypass

警报显示名称：检测到更改了可能会被滥用于规避 UAC 的注册表项

严重性：中等

VM.Windows_VBScriptEncoding

警报显示名称：检测到执行 VBScript.Encode 命令的方式可疑

严重性：中等

VM.Windows_WindowPositionRegisteryChange

警报显示名称：检测到可疑的 WindowPosition 注册表值

严重性：低

VM.Windows_ZincPortOpenningUsingFirewallRule

警报显示名称：ZINC 服务器植入软件创建了恶意防火墙规则

严重性：高

VM_DigitalCurrencyMining

警报显示名称：检测到数字货币挖掘相关行为

严重性：高

VM_MaliciousSQLActivity

警报显示名称：恶意 SQL 活动

严重性：高

VM_ProcessWithDoubleExtensionExecution

警报显示名称：执行了可疑的双扩展名文件

严重性：高

VM_RegistryPersistencyKey

警报显示名称：检测到 Windows 注册表持久性方法

严重性：低

VM_ShadowCopyDeletion

警报显示名称：可疑的卷影复制活动检测到可执行文件正在从可疑位置运行

严重性：高

VM_SuspectExecutablePath

警报显示名称：发现从可疑的位置运行可执行文件在命令行中检测到大小写字符的异常混用

严重性：信息

中

VM_SuspectPhp

警报显示名称：检测到可疑的 PHP 执行

严重性：中等

VM_SuspiciousCommandLineExecution

警报显示名称：可疑的命令执行

严重性：高

VM_SuspiciousScreenSaverExecution

警报显示名称：执行了可疑的屏幕保护进程

严重性：中等

VM_SvcHostRunInRareServiceGroup

警报显示名称：已执行罕见 SVCHOST 服务组

严重性：信息

VM_SystemProcessInAbnormalContext

警报显示名称：执行了可疑的系统进程

严重性：中等

VM_ThreatIntelCommandLineSuspectDomain

警报显示名称：检测到可能与恶意位置存在连接

严重性：中等

VM_ThreatIntelSuspectLogon

警报显示名称：检测到来自恶意 IP 的登录

严重性：高

VM_VbScriptHttpObjectAllocation

警报显示名称：检测到 VBScript HTTP 对象分配活动

严重性：高

VM_TaskkillBurst

警报显示名称：可疑的进程终止突发

严重性：低

VM_RunByPsExec

警报显示名称：检测到 PsExec 执行

严重性：信息

后续步骤

• Microsoft Defender for Cloud 中的安全警报
• 在 Microsoft Defender for Cloud 中管理和响应安全警报
• 连续导出 Defender for Cloud 数据