事件 - 参考指南
注意
对于处于预览状态的事件:Azure 预览版补充条款包含适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。
本文列出了你可能从 Microsoft Defender for Cloud 以及你已启用的任何 Microsoft Defender 计划获得的事件。 环境中显示的事件取决于要保护的资源和服务以及自定义的配置。
安全事件是警报与共享实体的攻击情景的关联。 例如,资源、IP 地址、用户或共享攻击链模式。
可以选择一个事件来查看与该事件相关的所有警报并获取详细信息。
了解如何管理安全事件。
注意
同一个警报可以作为事件的一部分存在,也可以作为独立警报显示。
安全事件
| 警报 | 说明 | 严重性 |
|---|---|---|
| 安全事件检测到可疑的虚拟机活动 | 此事件表明你的虚拟机上有可疑活动。 触发了来自不同 Defender for Cloud 计划的多个警报,显示你的虚拟机上的类似模式。 这可能表明有威胁行动者未经授权访问了你的环境,并且正在试图入侵它。 | 中/高 |
| 安全事件检测到可疑的源 IP 活动 | 此事件表明在同一源 IP 上检测到了可疑活动。 针对同一 IP 地址触发了来自不同 Defender for Cloud 计划的多个警报,这样可更准确地查看你的环境中的恶意活动。 同一 IP 地址上出现可疑活动可能表明有攻击者已未经授权访问你的环境并在试图入侵它。 | 中/高 |
| 在多个资源上检测到安全事件 | 此事件表明在你的云资源上检测到了可疑活动。 触发了来自不同 Defender for Cloud 计划的多个警报,显示对你的云资源采取了类似的攻击方法。 这可能表明有威胁行动者未经授权访问了你的环境,并且正在试图入侵它。 | 中/高 |
| 安全事件检测到可疑的用户活动(预览) | 此事件表明你的环境中有可疑的用户操作。 此用户触发了来自不同 Defender for Cloud 计划的多个警报,这样可更准确地查看你的环境中的恶意活动。 虽然此活动可能是合法的,但威胁行动者可能会利用此类操作来入侵你环境中的资源。 这可能表明该帐户已泄露并且正在被恶意使用。 | 高 |
| 安全事件检测到可疑的服务主体活动(预览) | 此事件表明你的环境中有可疑的服务主体操作。 此服务主体触发了来自不同 Defender for Cloud 计划的多个警报,这样可更准确地查看你的环境中的恶意活动。 虽然此活动可能是合法的,但威胁行动者可能会利用此类操作来入侵你环境中的资源。 这可能表明该服务主体已泄露并且正在被恶意使用。 | 高 |
| 安全事件检测到可疑的加密挖掘活动(预览) | 场景 1:此事件表明在可疑用户或服务主体活动之后检测到可疑的加密挖掘活动。 针对同一资源触发了来自不同 Defender for Cloud 计划的多个警报,这样可更准确地查看你的环境中的恶意活动。 可疑的帐户活动可能表明有威胁行动者未经授权访问了你的环境,而后续的加密挖掘活动可能表明他们成功入侵了你的资源,并且正在用它来挖掘加密货币,这可能会导致你的组织成本增加。 场景 2:此事件表明在同一虚拟机资源遭到暴力攻击后检测到可疑的加密挖掘活动。 针对同一资源触发了来自不同 Defender for Cloud 计划的多个警报,这样可更准确地查看你的环境中的恶意活动。 虚拟机遭受暴力攻击可能表明有威胁行动者正在试图未经授权地访问你的环境,而后续的加密挖掘活动可能表明他们成功入侵了你的资源,并且正在用它来挖掘加密货币,这可能会导致你的组织成本增加。 |
高 |
| 安全事件检测到可疑的 Key Vault 活动(预览) | 场景 1:此事件表明在你的环境中检测到与使用 Key Vault 相关的可疑活动。 此用户或服务主体触发了来自不同 Defender for Cloud 计划的多个警报,这样可更准确地查看你的环境中的恶意活动。 可疑的 Key Vault 活动可能表明有威胁行动者正在试图获取对你的敏感数据(例如密钥、机密和证书)的访问权限,而且帐户遭到入侵,并正在被恶意使用。 场景 2:此事件表明在你的环境中检测到与使用 Key Vault 相关的可疑活动。 从同一 IP 地址触发了来自不同 Defender for Cloud 计划的多个警报,这样可更准确地查看你的环境中的恶意活动。 可疑的 Key Vault 活动可能表明有威胁行动者正在试图获取对你的敏感数据(例如密钥、机密和证书)的访问权限,而且帐户遭到入侵,并正在被恶意使用。 场景 3:此事件表明在你的环境中检测到与使用 Key Vault 相关的可疑活动。 针对同一资源触发了来自不同 Defender for Cloud 计划的多个警报,这样可更准确地查看你的环境中的恶意活动。 可疑的 Key Vault 活动可能表明有威胁行动者正在试图获取对你的敏感数据(例如密钥、机密和证书)的访问权限,而且帐户遭到入侵,并正在被恶意使用。 |
高 |
| 安全事件检测到可疑的 SAS 活动(预览) | 此事件表明在 SAS 令牌可能被滥用后检测到可疑活动。 针对同一资源触发了来自不同 Defender for Cloud 计划的多个警报,这样可更准确地查看你的环境中的恶意活动。 SAS 令牌被使用可能表明有威胁行动者已未经授权地访问了你的存储帐户,并且正在试图访问或泄露敏感数据。 | 高 |
| 安全事件检测到异常的地理位置活动(预览) | 场景 1:此事件表明在你的环境中检测到异常的地理位置活动。 针对同一资源触发了来自不同 Defender for Cloud 计划的多个警报,这样可更准确地查看你的环境中的恶意活动。 源自异常位置的可疑活动可能表明有威胁行动者未经授权访问了你的环境,并且正在试图入侵它。 场景 2:此事件表明在你的环境中检测到异常的地理位置活动。 从同一 IP 地址触发了来自不同 Defender for Cloud 计划的多个警报,这样可更准确地查看你的环境中的恶意活动。 源自异常位置的可疑活动可能表明有威胁行动者未经授权访问了你的环境,并且正在试图入侵它。 |
高 |
| 安全事件检测到可疑的 IP 活动(预览) | 场景 1:此事件表明检测到源自可疑 IP 地址的可疑活动。 从同一 IP 地址触发了来自不同 Defender for Cloud 计划的多个警报,这样可更准确地查看你的环境中的恶意活动。 源自可疑 IP 地址的可疑活动可能表明有攻击者已未经授权访问你的环境,并且正在试图入侵它。 场景 2:此事件表明检测到源自可疑 IP 地址的可疑活动。 针对同一用户或服务主体触发了来自不同 Defender for Cloud 计划的多个警报,这样可更准确地查看你的环境中的恶意活动。 源自可疑 IP 地址的可疑活动可能表明有攻击者未经授权访问了你的环境,并且正在试图入侵它。 |
高 |
| 安全事件检测到可疑的无文件攻击活动(预览) | 此事件表明同一资源遭到潜在攻击尝试后在虚拟机上检测到无文件攻击工具包。 针对同一虚拟机触发了来自不同 Defender for Cloud 计划的多个警报,这样可更准确地查看你的环境中的恶意活动。 虚拟机上存在无文件攻击工具包可能表明有威胁行动者未经授权访问了你的环境,并且试图在执行进一步的恶意活动时逃避检测。 | 高 |
| 安全事件检测到可疑的 DDOS 活动(预览) | 此事件表明在你的环境中检测到可疑的分布式拒绝服务 (DDOS) 活动。 DDOS 攻击旨在通过大量流量使你的网络或应用程序不堪重负,从而导致合法用户无法使用。 针对同一 IP 地址触发了来自不同 Defender for Cloud 计划的多个警报,这样可更准确地查看你的环境中的恶意活动。 | 高 |
| 安全事件检测到可疑的数据外泄活动(预览) | 场景 1:此事件表明在可疑用户或服务主体活动之后检测到可疑的数据外泄活动。 针对同一资源触发了来自不同 Defender for Cloud 计划的多个警报,这样可更准确地查看你的环境中的恶意活动。 可疑的帐户活动可能表明有威胁行动者未经授权访问了你的环境,而后续的数据外泄活动可能表明他们试图窃取敏感信息。 场景 2:此事件表明在可疑用户或服务主体活动之后检测到可疑的数据外泄活动。 从同一 IP 地址触发了来自不同 Defender for Cloud 计划的多个警报,这样可更准确地查看你的环境中的恶意活动。 可疑的帐户活动可能表明有威胁行动者未经授权访问了你的环境,而后续的数据外泄活动可能表明他们试图窃取敏感信息。 场景 3:此事件表明在虚拟机上出现异常的密码重置后检测到可疑的数据外泄活动。 从同一 IP 地址触发了来自不同 Defender for Cloud 计划的多个警报,这样可更准确地查看你的环境中的恶意活动。 可疑的帐户活动可能表明有威胁行动者未经授权访问了你的环境,而后续的数据外泄活动可能表明他们试图窃取敏感信息。 |
高 |
| 安全事件检测到可疑的 API 活动(预览) | 此事件表明检测到可疑的 API 活动。 针对同一资源触发了来自 Defender for Cloud 的多个警报,这样可更准确地查看你的环境中的恶意活动。 可疑的 API 使用可能表明有威胁行动者正在试图访问敏感信息或执行未经授权的操作。 | 高 |
| 安全事件检测到可疑的 Kubernetes 群集活动(预览) | 此事件表明在出现可疑用户活动后在 Kubernetes 群集上检测到可疑活动。 针对同一群集触发了来自不同 Defender for Cloud 计划的多个警报,这样可更准确地查看你的环境中的恶意活动。 Kubernetes 群集上出现的可疑活动可能表明有威胁行动者未经授权访问了你的环境,并且正在试图入侵它。 | 高 |
| 安全事件检测到可疑的存储活动(预览) | 场景 1:此事件表明在可疑用户或服务主体活动之后检测到可疑的存储活动。 针对同一资源触发了来自不同 Defender for Cloud 计划的多个警报,这样可更准确地查看你的环境中的恶意活动。 可疑的帐户活动可能表明有威胁行动者未经授权访问了你的环境,而后续的存储活动可能表明他们试图访问潜在敏感数据。 场景 2:此事件表明在可疑用户或服务主体活动之后检测到可疑的存储活动。 从同一 IP 地址触发了来自不同 Defender for Cloud 计划的多个警报,这样可更准确地查看你的环境中的恶意活动。 可疑的帐户活动可能表明有威胁行动者未经授权访问了你的环境,而后续的存储活动可能表明他们试图访问潜在敏感数据。 |
高 |
| 安全事件检测到可疑的 Azure 工具包活动(预览) | 此事件表明在 Azure 工具包被潜在使用后检测到可疑活动。 针对同一用户或服务主体触发了来自不同 Defender for Cloud 计划的多个警报,这样可更准确地查看你的环境中的恶意活动。 Azure 工具包被使用可能表明有攻击者未经授权访问了你的环境,并且正在试图入侵它。 | 高 |
| 安全事件检测到可疑 DNS 活动(预览版) | 方案 1:此事件指示检测到可疑的 DNS 活动。 针对同一资源触发了来自不同 Defender for Cloud 计划的多个警报,这样可更准确地查看你的环境中的恶意活动。 可疑的 DNS 活动可能表明威胁行动者在未经授权的情况下访问了你的环境,并试图入侵它。 方案 2:此事件指示检测到可疑的 DNS 活动。 从同一 IP 地址触发了来自不同 Defender for Cloud 计划的多个警报,这样可更准确地查看你的环境中的恶意活动。 可疑的 DNS 活动可能表明威胁行动者在未经授权的情况下访问了你的环境,并试图入侵它。 |
中 |
| 安全事件检测到可疑 SQL 活动(预览版) | 方案 1:此事件指示检测到可疑的 SQL 活动。 从同一 IP 地址触发了来自不同 Defender for Cloud 计划的多个警报,这样可更准确地查看你的环境中的恶意活动。 可疑的 SQL 活动可能表明威胁行动者正在以你的 SQL 服务器为目标,并试图入侵它。 方案 2:此事件指示检测到可疑的 SQL 活动。 针对同一资源触发了来自不同 Defender for Cloud 计划的多个警报,这样可更准确地查看你的环境中的恶意活动。 可疑的 SQL 活动可能表明威胁行动者正在以你的 SQL 服务器为目标,并试图入侵它。 |
高 |
| 安全事件检测到可疑的应用服务活动(预览) | 场景 1:此事件表明在你的应用服务环境中检测到了可疑活动。 针对同一资源触发了来自不同 Defender for Cloud 计划的多个警报,这样可更准确地查看你的环境中的恶意活动。 可疑的应用服务活动可能表明威胁行动者正以你的应用程序为目标,并可能试图破坏它。 场景 2:此事件表明在你的应用服务环境中检测到了可疑活动。 从同一 IP 地址触发了来自不同 Defender for Cloud 计划的多个警报,这样可更准确地查看你的环境中的恶意活动。 可疑的应用服务活动可能表明威胁行动者正以你的应用程序为目标,并可能试图破坏它。 |
高 |
| 安全事件检测到一台遭到入侵的计算机 | 此事件表明你的一台或多台虚拟机上有可疑活动。 遵循 MITRE ATT&CK 框架,来自不同 Defender for Cloud 计划的多个警报已按时间顺序对同一资源触发。 这可能表明有威胁行动者未经授权访问了你的环境,并且已经成功地入侵了此计算机。 | 中/高 |
| 安全事件检测到一台遭到入侵的存在僵尸网络通信的计算机 | 此事件表明你的一台虚拟机上有可疑的僵尸网络活动。 遵循 MITRE ATT&CK 框架,来自不同 Defender for Cloud 计划的多个警报已按时间顺序对同一资源触发。 这可能表明有威胁行动者未经授权访问了你的环境,并且正在试图入侵它。 | 中/高 |
| 安全事件检测到多台遭到入侵的存在僵尸网络通信的计算机 | 此事件表明你的多台虚拟机上有可疑的僵尸网络活动。 遵循 MITRE ATT&CK 框架,来自不同 Defender for Cloud 计划的多个警报已按时间顺序对同一资源触发。 这可能表明有威胁行动者未经授权访问了你的环境,并且正在试图入侵它。 | 中/高 |
| 安全事件检测到一台遭到入侵的存在恶意传出活动的计算机 | 此事件表明你的虚拟机上有可疑的传出活动。 遵循 MITRE ATT&CK 框架,来自不同 Defender for Cloud 计划的多个警报已按时间顺序对同一资源触发。 这可能表明有威胁行动者未经授权访问了你的环境,并且正在试图入侵它。 | 中/高 |
| 安全事件检测到多台遭到入侵的计算机 | 此事件表明你的一台或多台虚拟机上有可疑活动。 遵循 MITRE ATT&CK 框架,来自不同 Defender for Cloud 计划的多个警报已按时间顺序对相同资源触发。 这可能表明有威胁行动者未经授权访问了你的环境,并且已经成功地入侵了这些计算机。 | 中/高 |
| 安全事件检测到多台遭到入侵的存在恶意传出活动的计算机 | 此事件表明来自你的虚拟机上的可疑传出活动。 遵循 MITRE ATT&CK 框架,来自不同 Defender for Cloud 计划的多个警报已按时间顺序对相同资源触发。 这可能表明有威胁行动者未经授权访问了你的环境,并且正在试图入侵它。 | 中/高 |
| 在多台计算机上检测到安全事件 | 此事件表明你的一台或多台虚拟机上有可疑活动。 遵循 MITRE ATT&CK 框架,来自不同 Defender for Cloud 计划的多个警报已按时间顺序对同一资源触发。 这可能表明有威胁行动者未经授权访问了你的环境,并且正在试图入侵它。 | 中/高 |
| 检测到共享进程的安全事件 | 场景 1:此事件表明你的一台虚拟机上有可疑活动。 触发了来自不同 Defender for Cloud 计划的多个警报,共享同一进程。 这可能表明有威胁行动者未经授权访问了你的环境,并且正在试图入侵它。 场景 2:此事件表明你的多台虚拟机上有可疑活动。 触发了来自不同 Defender for Cloud 计划的多个警报,共享同一进程。 这可能表明有威胁行动者未经授权访问了你的环境,并且正在试图入侵它。 |
中/高 |