安全警报 - 参考指南
本文列出了可能从 Microsoft Defender for Cloud,以及从所启用的任何 Microsoft Defender 计划中获取的安全警报。 环境中显示的警报取决于要保护的资源和服务以及自定义的配置。
本页底部的表描述了与 MITRE ATT&CK 矩阵版本 9 一致的 Microsoft Defender for Cloud 终止链。
注意
来自不同源的警报可能在不同的时间后出现。 例如,需要分析网络流量的警报的出现时间,可能比虚拟机上运行的可疑进程的相关警报要晚一些。
Windows 计算机警报
| 警报(警报类型) | 说明 | MITRE 技巧 (了解详细信息) |
严重性 |
|---|---|---|---|
| 检测到来自恶意 IP 的登录 | 已成功为帐户 [account] 和进程 [process] 进行远程身份验证,但登录 IP 地址 (x.x.x.x) 之前被报告为恶意或高度异常。 可能已受到攻击。 | - | 高 |
| 检测到来自恶意 IP 的登录。 [出现多次] | 已成功为帐户 [account] 和进程 [process] 进行远程身份验证,但登录 IP 地址 (x.x.x.x) 之前被报告为恶意或高度异常。 可能已受到攻击。 扩展名为 .scr 的文件是屏幕保护程序文件,通常位于 Windows 系统目录中并从该目录执行。 | - | 高 |
| 向本地管理员组添加来宾帐户 | 主机数据分析已检测到,%{Compromised Host} 上的本地管理员组中添加了内置来宾帐户,这与攻击者活动密切相关。 | - | 中型 |
| 事件日志被清除 | 计算机日志指示存在可疑的事件日志清除操作,操作者是计算机“%{CompromisedEntity}”中的用户“%{user name}”。 %{log channel} 日志被清除。 | - | 信息 |
| 已执行反恶意软件操作 | 适用于 Azure 的 Microsoft Antimalware 已执行操作,以保护此计算机免受恶意软件或其他可能不需要的软件的侵害。 | - | 中型 |
| 反恶意软件操作失败 | Microsoft Antimalware 在对恶意软件或其他可能不需要的软件执行操作时遇到错误。 | - | 中型 |
| 检测到 Petya 勒索软件指标 | %{Compromised Host} 上的主机数据分析检测到与 Petya 勒索软件关联的指标。 有关详细信息,请参阅https://blogs.technet.microsoft.com/mmpc/2017/06/27/new-ransomware-old-techniques-petya-adds-worm-capabilities/。 查看此警报中关联的命令行,并将此警报上报至安全团队。 | - | 高 |
| 检测到指示禁用和删除 IIS 日志文件的操作 | 主机数据分析检测到显示正在禁用和/或删除 IIS 日志文件的操作。 | - | 中型 |
| 在命令行中检测到大小写字符的异常混用 | %{Compromised Host} 上的主机数据分析检测到命令行中存在大小写字符的异常混用。 虽然这种模式可能是良性的,但它也是典型的攻击活动,当攻击者在遭到入侵的主机上执行管理任务时,他们会试图借此避开区分大小写或基于哈希的规则匹配。 | - | 中型 |
| 检测到更改了可能被滥用于绕过 UAC 的注册表项 | %{Compromised Host} 上的主机数据分析检测到,可能被滥用于绕过 UAC(用户帐户控制)的注册表项已更改。 虽然这种配置可能是良性的,但它也是典型的攻击活动,在遭到入侵的主机上,攻击者试图借此从非特权(标准用户)访问迁移为特权(例如管理员)访问。 | - | 中型 |
| 检测到使用内置 certutil.exe 工具解码可执行文件 | %{Compromised Host} 上的主机数据分析检测到,内置管理员实用工具 certutil.exe 并未用于与操作证书和证书数据相关的主流用途,而是被用于解码可执行文件。 我们知道,攻击者可以滥用合法的管理员工具的功能来执行恶意操作,例如,使用 certutil.exe 之类的工具来解码恶意的可执行文件,随后执行该文件。 | - | 高 |
| 检测到启用 WDigest UseLogonCredential 注册表项 | 主机数据分析检测到注册表项 HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest\ "UseLogonCredential" 中存在更改。 具体而言,此注册表项已更新为允许采用明文形式在 LSA 内存中存储登录凭据。 启用后,攻击者可以使用 Mimikatz 等凭据捕获工具从 LSA 内存中转储明文密码。 | - | 中型 |
| 在命令行数据中检测到编码的可执行文件 | %{Compromised Host} 上的主机数据分析检测到 base-64 编码的可执行文件。 此警报之前与攻击者的以下行为相关:试图通过一系列命令动态构造可执行文件,以及试图通过确保任何单个命令都不会触发警报来避开入侵检测系统。 这可能是合法活动,也可能指示主机遭到入侵。 | - | 高 |
| 检测到混淆的命令行 | 攻击者使用越来越复杂的混淆技术来避开针对基础数据的检测。 %{Compromised Host} 上的主机数据分析检测到与命令行混淆有关的可疑指标。 | - | 信息 |
| 检测到可能执行了 keygen 可执行文件 | %{Compromised Host} 上的主机数据分析检测到,有人执行了名称指示 keygen 工具的进程;此类工具通常用于破解软件许可机制,但其下载通常捆绑了其他恶意软件。 我们知道,活动组 GOLD 会利用此类 keygen 偷偷获取对其入侵的主机的后门访问权限。 | - | 中型 |
| 检测到可能执行了植入程序这种恶意软件 | %{Compromised Host} 上的主机数据分析检测到之前与活动组 GOLD 在受害主机上安装恶意软件的某个方法关联的文件名。 | - | 高 |
| 检测到可能存在本地侦查活动 | %{Compromised Host} 上的主机数据分析检测到之前与活动组 GOLD 执行侦查活动的某个方法关联的 systeminfo 命令组合。 虽然“systeminfo.exe”是合法的 Windows 工具,但此处这样的使用方式(即连续执行该工具两次)是很罕见的。 | - | |
| 检测到可疑的 Telegram 工具使用方式 | 主机数据分析表明安装了 Telegram,这是一种基于云的免费即时消息服务,可用于移动和桌面系统。 我们知道,攻击者会滥用此服务将恶意二进制文件传输到任何其他计算机、手机或平板电脑。 | - | 中型 |
| 检测到禁止向登录用户显示法律声明 | %{Compromised Host} 上的主机数据分析检测到,控制是否在用户登录时向其显示法律声明的注册表项已更改。 Microsoft 安全分析已判定这是攻击者在入侵主机后进行的常见活动。 | - | 低 |
| 检测到 HTA 和 PowerShell 的可疑组合 | mshta.exe(Microsoft HTML 应用程序主机)是经过签名的 Microsoft 二进制文件,攻击者正在使用它来启动恶意 PowerShell 命令。 攻击者通常使用带有内联 VBScript 的 HTA 文件。 当受害者浏览到 HTA 文件并选择运行它时,将执行其中包含的 PowerShell 命令和脚本。 %{Compromised Host} 上的主机数据分析检测到 mshta.exe 正在启动 PowerShell 命令。 | - | 中型 |
| 检测到可疑的命令行参数 | %{Compromised Host} 上的主机数据分析检测到可疑的命令行参数,这些参数曾与活动组 HYDROGEN 使用的反向 shell 结合使用。 | - | 高 |
| 检测到用于启动目录中的所有可执行文件的可疑命令行 | 主机数据分析检测到在 %{Compromised Host} 上运行的可疑进程。 命令行指示启动可能驻留在某个目录中的所有可执行文件 (*.exe) 的尝试。 这可能指示主机遭到入侵。 | - | 中型 |
| 在命令行中检测到可疑凭据 | %{Compromised Host} 上的主机数据分析检测到活动组 BORON 用于执行文件的可疑密码。 我们知道,此活动组使用此密码在受害主机上执行 Pirpi 恶意软件。 | - | 高 |
| 检测到可疑文档凭据 | %{Compromised Host} 上的主机数据分析检测到,恶意软件使用的可疑常用预计算密码哈希被用于执行某个文件。 我们知道,活动组 HYDROGEN 使用此密码在受害主机上执行恶意软件。 | - | 高 |
| 检测到执行 VBScript.Encode 命令的方式可疑 | %{Compromised Host} 上的主机数据分析检测到 VBScript.Encode 命令的执行。 这会将脚本编码为不可读文本,增加用户检查代码的难度。 Microsoft 威胁研究表明,攻击者通常会在攻击过程中使用编码的 VBscript 文件来避开检测系统。 这可能是合法活动,也可能指示主机遭到入侵。 | - | 中型 |
| 检测到通过 rundll32.exe 执行的可疑操作 | %{Compromised Host} 上的主机数据分析检测到,使用 rundll32.exe 执行的进程具有不常见的名称,这与之前活动组 GOLD 在遭到入侵的计算机上安装第一阶段植入软件时所使用的进程命名方案一致。 | - | 高 |
| 检测到可疑的文件清除命令 | %{Compromised Host} 上的主机数据分析检测到之前与活动组 GOLD 执行入侵后自清除活动的某个方法关联的 systeminfo 命令组合。 虽然“systeminfo.exe”是合法的 Windows 工具,但此处这样的使用方式(即连续执行该工具两次,然后使用删除命令)是很罕见的。 | - | 高 |
| 检测到可疑的文件创建操作 | %{Compromised Host} 上的主机数据分析检测到,有人创建或执行了之前指示活动组 BARIUM 在受害主机上执行的入侵后操作的某个进程。 我们知道,此活动组使用此方法在用户打开网络钓鱼文档中的某个附件后将其他恶意软件下载到遭到入侵的主机。 | - | 高 |
| 检测到可疑的命名管道通信 | %{Compromised Host} 上的主机数据分析检测到,数据正在通过 Windows 控制台命令写入本地命名管道。 我们知道,攻击者可以通过命名管道为恶意植入软件分配任务以及与恶意植入软件通信。 这可能是合法活动,也可能指示主机遭到入侵。 | - | 高 |
| 检测到可疑的网络活动 | 对 %{Compromised Host} 中的网络流量进行分析时检测到可疑的网络活动。 虽然此类流量可能是良性的,但攻击者通常使用它与恶意服务器通信,以进行工具下载、命令和控制以及数据外泄。 典型的相关攻击者活动包括将远程管理工具复制到遭到入侵的主机,并从中外泄用户数据。 | - | 低 |
| 检测到可疑的新防火墙规则 | 主机数据分析检测到,有人通过 netsh.exe 添加了新的防火墙规则,以允许来自可疑位置的可执行文件的流量。 | - | 中型 |
| 检测到使用 Cacls 来降低系统安全状态的可疑行为 | 攻击者使用暴力攻击、鱼叉式网络钓鱼等多种方式来完成初始入侵并在网络中立足。 一旦完成初始入侵,他们通常就会采取措施来降低系统的安全设置级别。 Cacls(“更改访问控制列表”的缩写)是 Microsoft Windows 本机命令行实用工具,通常用于修改文件夹和文件的安全权限。 攻击者很多时候会使用二进制文件来降低系统的安全设置级别。 他们通过授予所有人对部分系统二进制文件(例如 ftp.exe、net.exe、wscript.exe 等)的完全访问权限来实现此目的。%{Compromised Host} 上的主机数据分析检测到使用 Cacls 降低系统安全设置级别的可疑行为。 | - | 中型 |
| 检测到可疑的 FTP -s 开关使用方式 | %{Compromised Host} 中的进程创建数据分析检测到,有人使用了 FTP 的“-s:filename”开关。 此开关用于指定客户端要运行的 FTP 脚本文件。 我们知道,恶意软件或恶意进程会使用此 FTP 开关 (-s:filename) 指向配置为连接到远程 FTP 服务器的脚本文件,并下载其他恶意二进制文件。 | - | 中型 |
| 检测到使用 Pcalua.exe 启动可执行代码的可疑行为 | %{Compromised Host} 上的主机数据分析检测到,有人使用 pcalua.exe 来启动可执行代码。 Pcalua.exe 是 Microsoft Windows“程序兼容性助手”的组件,该组件可在程序的安装或执行过程中检测兼容性问题。 我们知道,攻击者会滥用合法 Windows 系统工具的功能来执行恶意操作,例如,将 pcalua.exe 与 -a 开关配合使用,以在本地或从远程共享启动恶意可执行文件。 | - | 中型 |
| 检测到关键服务被禁用 | %{Compromised Host} 上的主机数据分析检测到,有人执行“net.exe stop”命令来停止关键服务,如 SharedAccess 或 Windows 安全中心。 停止其中任何一项服务都可能指示存在恶意行为。 | - | 中型 |
| 检测到数字货币挖掘相关行为 | %{Compromised Host} 上的主机数据分析检测到通常与数字货币挖掘关联的进程或命令的执行。 | - | 高 |
| 动态构造 PS 脚本 | %{Compromised Host} 上的主机数据分析检测到正在动态构造 PowerShell 脚本。 攻击者有时会使用这种逐步生成脚本的方法来避开 IDS 系统。 这可能是合法活动,也可能指示某台计算机已遭到入侵。 | - | 中型 |
| 检测到可执行文件正在从可疑位置运行 | 主机数据分析检测到 %{Compromised Host} 上的某个可执行文件正在从具有已知可疑文件的位置运行。 此可执行文件可能是合法活动,也可能指示主机遭到入侵。 | - | 高 |
| 检测到高风险软件 | %{Compromised Host} 上的主机数据分析检测到,有人使用与恶意软件安装关联的软件。 在恶意软件分发过程中,攻击者使用的一种常用方法是将其打包在其他良性工具中,如此警报中所示。 使用这些工具时,恶意软件可以在后台无提示安装。 | - | 中型 |
| 已枚举本地管理员组成员 | 计算机日志指示有人对组 %{Enumerated Group Domain Name}%{Enumerated Group Name} 成功进行了枚举。 具体而言,%{Enumerating User Domain Name}%{Enumerating User Name} 远程枚举了 %{Enumerated Group Domain Name}%{Enumerated Group Name} 组的成员。 此活动可能是合法活动,也可能指示组织中的某台计算机已遭到入侵并被用于侦查 %{vmname}。 | - | 信息 |
| 恶意 SQL 活动 | 计算机日志指示帐户 %{user name} 执行了“%{process name}”。 此活动被视为恶意活动。 | - | 高 |
| ZINC 服务器植入软件创建了恶意防火墙规则[出现多次] | 有人使用与已知执行组件 ZINC 匹配的方法创建了防火墙规则。 该规则可能已用于打开 %{Compromised Host} 上的端口,以允许进行命令和控制通信。 今天在下列计算机上出现了 [x] 次此行为:[Machine names] | - | 高 |
| 查询了多个域帐户 | 主机数据分析已判定 %{Compromised Host} 中短时间内对不同域帐户的查询次数异常。 这种活动可能是合法活动,但也可能指示系统已遭到入侵。 | - | 中型 |
| 检测到可能存在凭据转储活动[出现多次] | 主机数据分析检测到,有人使用本机 Windows 工具(例如,sqldumper.exe)的方式允许从内存提取凭据。 攻击者通常会使用这些方法来提取凭据,这些凭据随后会进一步用于横向移动和特权提升。 今天在下列计算机上出现了 [x] 次此行为:[Machine names] | - | 中型 |
| 检测到可能尝试绕过 AppLocker 的行为 | %{Compromised Host} 上的主机数据分析检测到,有人可能尝试绕过 AppLocker 限制。 可以配置 AppLocker 以实现限制策略,对可在 Windows 系统上运行的可执行文件进行限制。 与此警报中确定的命令行模式类似的模式之前与攻击者的以下行为相关:通过使用受信任的可执行文件(AppLocker 策略允许)来执行不受信任的代码,从而尝试绕过 AppLocker 策略。 这可能是合法活动,也可能指示主机遭到入侵。 | - | 高 |
| 检测到 PsExec 执行 | 主机数据分析指示,进程 %{Process Name} 由 PsExec 实用工具执行。 PsExec 可用于远程运行进程。 此方法可能会用于恶意目的。 | - | 信息 |
| 检测到勒索软件指标[出现多次] | 主机数据分析指示,存在通常与锁屏和加密勒索软件相关的可疑活动。 锁屏勒索软件会显示一条全屏消息以阻止用户与主机进行交互及访问其文件。 加密勒索软件会通过加密数据文件来阻止访问。 在这两种情况下,通常都会显示一条勒索赎金的消息,要求用户付款以恢复文件访问。 今天在下列计算机上出现了 [x] 次此行为:[Machine names] | - | 高 |
| 检测到勒索软件指标 | 主机数据分析指示,存在通常与锁屏和加密勒索软件相关的可疑活动。 锁屏勒索软件会显示一条全屏消息以阻止用户与主机进行交互及访问其文件。 加密勒索软件会通过加密数据文件来阻止访问。 在这两种情况下,通常都会显示一条勒索赎金的消息,要求用户付款以恢复文件访问。 | - | 高 |
| 已执行罕见的 SVCHOST 服务组 | 观察到系统进程 SVCHOST 在罕见的服务组中运行。 恶意软件通常使用 SVCHOST 来掩饰恶意活动。 | - | 信息 |
| 检测到粘滞键攻击 | 主机数据分析指示,攻击者可能会通过破坏辅助功能二进制文件(例如粘滞键、屏幕键盘、讲述人)来提供对主机 %{Compromised Host} 的后门访问权限。 | - | 中型 |
| 成功的暴力攻击 | 检测到来自同一源的多个登录尝试。 其中一些已成功通过主机身份验证。 这类似于突发攻击,攻击者会尝试多次进行身份验证以找到有效帐户凭据。 |
- | 中/高 |
| 指示 RDP 劫持的可疑完整性级别 | 主机数据分析检测到,有人使用系统特权运行 tscon.exe,这可能指示攻击者滥用此二进制文件,以便将上下文切换到此主机上的任何其他已登录用户;这是一种已知的攻击方法,用于入侵其他用户帐户并在网络中横向移动。 | - | 中型 |
| 可疑的服务安装 | 主机数据分析检测到 tscon.exe 以服务形式安装:此二进制文件作为服务启动,可能会允许攻击者通过劫持 RDP 连接来完全切换到此主机上的任何其他已登录用户;这是一种已知的攻击方法,用于入侵其他用户帐户并在网络中横向移动。 | - | 中型 |
| 观察到可疑的 Kerberos 黄金票证攻击参数 | 主机数据分析检测到符合 Kerberos 黄金票证攻击特征的命令行参数。 | - | 中型 |
| 检测到可疑的帐户创建操作 | %{Compromised Host} 上的主机数据分析检测到,有人创建或使用了本地帐户 %{Suspicious account name},此帐户名称与标准 Windows 帐户或组名“%{Similar To Account Name}”非常相似。 这可能是攻击者创建的恶意帐户,使用此命名方式的目的在于不让人工管理员注意到。 | - | 中型 |
| 检测到可疑活动 | 主机数据分析检测到在 %{machine name} 上运行的曾与恶意活动相关的一个或多个进程的序列。 虽然单个命令看起来可能是良性的,但警报的评分是基于这些命令的聚合。 这可能是合法活动,也可能指示主机遭到入侵。 | - | 中型 |
| 检测到可疑的 PowerShell 活动 | 主机数据分析检测到,%{Compromised Host} 上运行的某个 PowerShell 脚本具有与已知可疑脚本相同的特征。 此脚本可能是合法活动,也可能指示主机遭到入侵。 | - | 高 |
| 执行了可疑的 PowerShell cmdlet | 主机数据分析指示有人执行了已知恶意的 PowerShell PowerSploit cmdlet。 | - | 中型 |
| 可疑的 SQL 活动 | 计算机日志指示帐户 %{user name} 执行了“%{process name}”。 此活动在此帐户中不常见。 | - | 中型 |
| 执行了可疑的 SVCHOST 进程 | 观察到系统进程 SVCHOST 在异常上下文中运行。 恶意软件通常使用 SVCHOST 来掩饰恶意活动。 | - | 高 |
| 执行了可疑的屏幕保护程序进程 | 观察到进程“%{process name}”从不常见的位置执行。 扩展名为 .scr 的文件是屏幕保护程序文件,通常位于 Windows 系统目录中并从该目录执行。 | - | 中型 |
| 可疑的卷影复制活动 | 主机数据分析检测到资源上存在影子副本删除活动。 卷影复制 (VSC) 是重要的项目,用于存储数据快照。 某些恶意软件,尤其是勒索软件,会针对 VSC 以破坏备份策略。 | - | 高 |
| 检测到可疑的 WindowPosition 注册表值 | %{Compromised Host} 上的主机数据分析检测到攻击者尝试更改 WindowPosition 注册表配置,这可能指示攻击者想将应用程序窗口隐藏在桌面的不可见部分。 这可能是合法活动,也可能指示计算机遭到入侵:此类活动与之前已知的广告软件或不需要的软件(例如 Win32/OneSystemCare 和 Win32/SystemHealer)以及恶意软件(例如 Win32/Creprote)相关。 当 WindowPosition 值设置为 201329664 时(十六进制值:0x0c00 0c00,即 X 轴 = 0c00,Y 轴 = 0c00),这会将控制台应用的窗口置于用户屏幕中的不可见的部分,该区域隐藏在可见的“开始”菜单/任务栏下。 已知的可疑十六进制值包括但不限于 c000c000 | - | 低 |
| 可疑的身份验证活动 | 虽然这些活动都没有成功,但它们使用的某些帐户已被主机识别。 这类似于字典攻击,在这种攻击中,攻击者使用由预定义的帐户名和密码构成的字典执行大量身份验证尝试操作,以便找出有效凭据来访问主机。 这指示某些主机帐户名可能存在于某个流传甚广的帐户名字典中。 | - | 中型 |
| 可疑的命令执行活动 | 计算机日志指示用户 %{user name} 进行了可疑的命令行执行操作。 | - | |
| 执行了可疑的双扩展名文件 | 主机数据分析指示有人执行了具有可疑的双扩展名的进程。 此扩展名可能会诱使用户认为打开文件是安全的,并且可能指示系统上存在恶意软件。 | - | 高 |
| 检测到使用 Certutil 进行可疑下载[出现多次] | %{Compromised Host} 上的主机数据分析检测到,内置管理员实用工具 certutil.exe 并未用于与操作证书和证书数据相关的主流用途,而是被用于下载二进制文件。 我们知道,攻击者会滥用合法管理员工具的功能来执行恶意操作,例如,使用 certutil.exe 来下载和解码恶意的可执行文件,随后执行该文件。 今天在下列计算机上出现了 [x] 次此行为:[Machine names] | - | 中型 |
| 检测到使用 Certutil 进行可疑下载 | %{Compromised Host} 上的主机数据分析检测到,内置管理员实用工具 certutil.exe 并未用于与操作证书和证书数据相关的主流用途,而是被用于下载二进制文件。 我们知道,攻击者会滥用合法管理员工具的功能来执行恶意操作,例如,使用 certutil.exe 来下载和解码恶意的可执行文件,随后执行该文件。 | - | 中型 |
| 执行了可疑进程[出现多次] | 计算机日志指示计算机上运行了可疑进程“%{Suspicious Process}”,该进程通常与攻击者尝试访问凭据关联。 今天在下列计算机上出现了 [x] 次此行为:[Machine names] | - | 高 |
| 执行了可疑进程 | 计算机日志指示计算机上运行了可疑进程“%{Suspicious Process}”,该进程通常与攻击者尝试访问凭据关联。 | - | 高 |
| 检测到可疑的进程名称[出现多次] | %{Compromised Host} 上的主机数据分析检测到名称可疑的进程,例如,对应于某个已知的攻击者工具,或命名方式暗示试图在众目睽睽下隐藏的攻击者工具。 此进程可能是合法活动,也可能指示某台计算机已遭到入侵。 今天在下列计算机上出现了 [x] 次此行为:[Machine names] | - | 中型 |
| 检测到可疑的进程名称 | %{Compromised Host} 上的主机数据分析检测到名称可疑的进程,例如,对应于某个已知的攻击者工具,或命名方式暗示试图在众目睽睽下隐藏的攻击者工具。 此进程可能是合法活动,也可能指示某台计算机已遭到入侵。 | - | 中型 |
| 可疑的进程终止突发 | 主机数据分析指示 %{Machine Name} 中存在可疑的进程终止突发。 具体而言,在 %{Begin} 到 %{Ending} 之间有 %{NumberOfCommands} 个进程被终止。 | - | 低 |
| 执行了可疑的系统进程 | 观察到系统进程 %{process name} 在异常上下文中运行。 恶意软件通常使用此进程名称来掩饰恶意活动。 | - | 高 |
| 检测到名称可疑的进程 | %{Compromised Host} 上的主机数据分析检测到名称可疑的进程,该进程的名称非常类似于极常运行的进程 (%{Similar To Process Name}),但又与之不同。 尽管此进程可能是良性的,但我们知道,攻击者有时会将恶意工具命名为与合法进程的名称相似,从而在众目睽睽之下隐藏。 | - | 中型 |
| 检测到异常的进程执行活动 | %{Compromised Host} 上的主机数据分析检测到 %{User Name} 存在异常的进程执行活动。 %{User Name} 这样的帐户所执行的操作受限,此执行活动被判定为不符合限制并且可能可疑。 | - | 高 |
| 检测到 VBScript HTTP 对象分配活动 | 检测到有人使用命令提示符创建 VBScript 文件。 以下脚本包含 HTTP 对象分配命令。 此操作可能被用于下载恶意文件。 | - | 高 |
| 检测到 Windows 注册表持久性方法 | 主机数据分析检测到攻击者尝试在 Windows 注册表中持久保留某个可执行文件。 恶意软件通常使用这种方法,因此在计算机启动后仍然存在。 | - | 低 |
Linux 计算机警报
| 警报(警报类型) | 说明 | MITRE 技巧 (了解详细信息) |
严重性 |
|---|---|---|---|
| 检测到对 htaccess 文件的访问 | %{Compromised Host} 上的主机数据分析检测到有人可能对 htaccess 文件进行了操作。 Htaccess 是一个功能强大的配置文件,允许对运行 Apache Web 软件的 Web 服务器进行多项更改,包括基本的重定向功能以及基本密码保护等更高级的功能。 攻击者通常会在入侵的计算机上修改 htaccess 文件,以实现持久入侵。 | - | 中型 |
| 已清除历史记录文件 | 主机数据分析指示有人清除了命令历史记录日志文件。 攻击者可能会为了掩盖入侵痕迹而这样做。 操作由用户“%{user name}”执行。 | - | 中型 |
| 检测到试图停止 apt-daily-upgrade.timer 服务[出现多次] | %{Compromised Host} 上的主机数据分析检测到有人试图停止 apt-daily-upgrade.timer 服务。 在最近的一些攻击中,我们观察到攻击者会停止此服务,以下载恶意文件并授予执行特权以达到其攻击目的。 今天在下列计算机上出现了 [x] 次此行为:[Machine names] | - | 低 |
| 检测到试图停止 apt-daily-upgrade.timer 服务 | %{Compromised Host} 上的主机数据分析检测到有人试图停止 apt-daily-upgrade.timer 服务。 在最近的一些攻击中,我们观察到攻击者会停止此服务,以下载恶意文件并授予执行特权以达到其攻击目的。 | - | 低 |
| 检测到与常见的 Linux 机器人类似的行为[出现多次] | %{Compromised Host} 上的主机数据分析检测到有人执行了通常与常见的 Linux 僵尸网络关联的进程。 今天在下列计算机上出现了 [x] 次此行为:[Machine names] | - | 中型 |
| 检测到与常见的 Linux 机器人类似的行为 | %{Compromised Host} 上的主机数据分析检测到有人执行了通常与常见的 Linux 僵尸网络关联的进程。 | - | 中型 |
| 检测到与 Fairware 勒索软件类似的行为[出现多次] | %{Compromised Host} 上的主机数据分析检测到有人针对可疑位置执行了 rm -rf 命令。 由于 rm -rf 会以递归方式删除文件,其通常用于离散文件夹。 在这种情况下,它会用于可能删除大量数据的位置。 我们知道,Fairware 勒索软件会在此文件夹中执行 rm -rf 命令。 今天在下列计算机上出现了 [x] 次此行为:[Machine names] | - | 中型 |
| 检测到与 Fairware 勒索软件类似的行为 | %{Compromised Host} 上的主机数据分析检测到有人针对可疑位置执行了 rm -rf 命令。 由于 rm -rf 会以递归方式删除文件,其通常用于离散文件夹。 在这种情况下,它会用于可能删除大量数据的位置。 我们知道,Fairware 勒索软件会在此文件夹中执行 rm -rf 命令。 | - | 中型 |
| 检测到与勒索软件类似的行为[出现多次] | %{Compromised Host} 上的主机数据分析检测到与已知勒索软件相似的文件执行活动,这种勒索软件可能阻止用户访问系统或个人文件,并要求支付赎金才能恢复正常访问。 今天在下列计算机上出现了 [x] 次此行为:[Machine names] | - | 高 |
| 检测到带有挖掘器映像的容器 | 计算机日志指示执行了运行与数字货币挖掘关联的映像的 Docker 容器。 此行为可能指示资源被攻击者滥用。 | - | 高 |
| 在命令行中检测到大小写字符的异常混用 | %{Compromised Host} 上的主机数据分析检测到命令行中存在大小写字符的异常混用。 虽然这种模式可能是良性的,但它也是典型的攻击活动,当攻击者在遭到入侵的主机上执行管理任务时,他们会试图借此避开区分大小写或基于哈希的规则匹配。 | - | 中型 |
| 检测到来自已知恶意来源的文件下载[出现多次] | 主机数据分析检测到在 %{Compromised Host} 上从已知恶意来源下载了文件。 今天在下列计算机上出现了超过 [x] 次此行为:[Machine names] | - | 中型 |
| 检测到来自已知恶意来源的文件下载 | 主机数据分析检测到在 %{Compromised Host} 上从已知恶意来源下载了文件。 | - | 中型 |
| 检测到持久性尝试[出现多次] | %{Compromised Host} 上的主机数据分析检测到安装了单用户模式的启动脚本。 很少有合法进程需要以这种模式执行,因此,这可能指示攻击者已将恶意进程添加到每个运行级别来保证持久性。 今天在下列计算机上出现了 [x] 次此行为:[Machine names] | - | 中型 |
| 检测到持久性尝试 | 主机数据分析检测到安装了单用户模式的启动脚本。 因为很少有合法进程需要以这种模式执行,所以这可能指示攻击者已将恶意进程添加到每个运行级别来保证持久性。 |
持久性 | 中型 |
| 检测到可疑的文件下载[出现多次] | 主机数据分析检测到有人在 %{Compromised Host} 上进行了可疑的远程文件下载。 今天在下列计算机上出现了 10 次此行为:[Machine name] | - | 低 |
| 检测到可疑的文件下载 | 主机数据分析检测到有人在 %{Compromised Host} 上进行了可疑的远程文件下载。 | - | 低 |
| 检测到可疑的网络活动 | 对 %{Compromised Host} 中的网络流量进行分析时检测到可疑的网络活动。 虽然此类流量可能是良性的,但攻击者通常使用它与恶意服务器通信,以进行工具下载、命令和控制以及数据外泄。 典型的相关攻击者活动包括将远程管理工具复制到遭到入侵的主机,并从中外泄用户数据。 | - | 低 |
| 检测到对 useradd 命令的可疑使用[出现多次] | 主机数据分析检测到 %{Compromised Host} 上存在可疑的 useradd 命令使用情况。 今天在下列计算机上出现了 [x] 次此行为:[Machine names] | - | 中型 |
| 检测到对 useradd 命令的可疑使用 | 主机数据分析检测到 %{Compromised Host} 上存在可疑的 useradd 命令使用情况。 | - | 中型 |
| 检测到数字货币挖掘相关行为 | %{Compromised Host} 上的主机数据分析检测到通常与数字货币挖掘关联的进程或命令的执行。 | - | 高 |
| 审核日志记录被禁用[出现多次] | Linux 审核系统提供用于跟踪系统上与安全相关的信息的方法。 它尽可能多地记录系统事件的相关信息。 禁用审核日志记录可能妨碍系统安全策略违反行为的发现。 今天在下列计算机上出现了 [x] 次此行为:[Machine names] | - | 低 |
| 检测到可执行文件正在从可疑位置运行 | 主机数据分析检测到 %{Compromised Host} 上的某个可执行文件正在从具有已知可疑文件的位置运行。 此可执行文件可能是合法活动,也可能指示主机遭到入侵。 | - | 高 |
| 利用 Xorg 漏洞[出现多次] | %{Compromised Host} 上的主机数据分析检测到具有可疑参数的 Xorg 用户。 攻击者可能会在尝试提升特权时使用此方法。 今天在下列计算机上出现了 [x] 次此行为:[Machine names] | - | 中型 |
| 检测到公开的 Docker 守护程序 | 计算机日志指示 Docker 守护程序 (dockerd) 公开了一个 TCP 套接字。 默认情况下,启用 TCP 套接字时,Docker 配置不会使用加密或身份验证。 这样一来,任何有权访问相关端口的用户都会获得 Docker 守护程序的完全访问权限。 | - | 中型 |
| 失败的 SSH 暴力攻击 | 检测到失败的暴力攻击,攻击者为 %{Attackers}。 攻击者尝试使用以下用户名访问主机:%{Accounts used on failed sign in to host attempts}。 | - | 中型 |
| 检测到隐藏文件执行活动 | 主机数据分析指示 %{user name} 执行了隐藏文件。 此活动可能是合法活动,也可能指示主机遭到入侵。 | - | 信息 |
| 检测到与 DDOS 工具包关联的指标[出现多次] | %{Compromised Host} 上的主机数据分析检测到属于与恶意软件关联的工具包的一部分的文件名,该恶意软件能够启动 DDoS 攻击、打开端口和服务并完全控制受感染的系统。 这也可能是合法活动。 今天在下列计算机上出现了 [x] 次此行为:[Machine names] | - | 中型 |
| 检测到与 DDOS 工具包关联的指标 | %{Compromised Host} 上的主机数据分析检测到属于与恶意软件关联的工具包的一部分的文件名,该恶意软件能够启动 DDoS 攻击、打开端口和服务并完全控制受感染的系统。 这也可能是合法活动。 | - | 中型 |
| 检测到本地主机侦查[出现多次] | %{Compromised Host} 上的主机数据分析检测到有人执行了通常与常见的 Linux 机器人侦查关联的命令。 今天在下列计算机上出现了 [x] 次此行为:[Machine names] | - | 中型 |
| 检测到本地主机侦查 | %{Compromised Host} 上的主机数据分析检测到有人执行了通常与常见的 Linux 机器人侦查关联的命令。 | - | 中型 |
| 检测到主机防火墙操作[出现多次] | %{Compromised Host} 上的主机数据分析检测到有人可能对主机上的防火墙进行了操作。 攻击者通常会禁用防火墙以外泄数据。 今天在下列计算机上出现了 [x] 次此行为:[Machine names] | - | 中型 |
| 检测到主机防火墙操作 | %{Compromised Host} 上的主机数据分析检测到有人可能对主机上的防火墙进行了操作。 攻击者通常会禁用防火墙以外泄数据。 | - | 中型 |
| 检测到 MITRE Caldera 代理 (VM_MitreCalderaTools) |
计算机日志指示可疑进程“%{Suspicious Process}”在 %{Compromised Host} 上运行。 这通常与 MITER 54ndc47 代理相关联,该代理可能被恶意用于以某种方式攻击其他计算机。 | 全部 | 中型 |
| 添加了新的 SSH 密钥[出现多次] | 授权密钥文件中添加了新的 SSH 密钥。 今天在下列计算机上出现了 [x] 次此行为:[Machine names] | - | 低 |
| 添加了新的 SSH 密钥 | 授权密钥文件中添加了新的 SSH 密钥 | - | 低 |
| 检测到可能存在攻击工具[出现多次] | 计算机日志指示可疑进程“%{Suspicious Process}”在 %{Compromised Host} 上运行。 此工具通常与恶意用户以某种方式攻击其他计算机的行为关联。 今天在下列计算机上出现了 [x] 次此行为:[Machine names] | - | 中型 |
| 检测到可能存在攻击工具 | 计算机日志指示可疑进程“%{Suspicious Process}”在 %{Compromised Host} 上运行。 此工具通常与恶意用户以某种方式攻击其他计算机的行为关联。 | - | 中型 |
| 检测到可能存在后门[出现多次] | 主机数据分析检测到,订阅中的 %{Compromised Host} 上下载并运行了可疑的文件。 此活动之前与后门安装关联。 今天在下列计算机上出现了 [x] 次此行为:[Machine names] | - | 中型 |
| 检测到可能存在凭据访问工具[出现多次] | 计算机日志指示进程“%{Suspicious Process}”在 %{Compromised Host} 上启动并运行了可能的已知凭据访问工具。 此工具通常与尝试访问凭据的攻击者关联。 今天在下列计算机上出现了 [x] 次此行为:[Machine names] | - | 中型 |
| 检测到可能存在凭据访问工具 | 计算机日志指示进程“%{Suspicious Process}”在 %{Compromised Host} 上启动并运行了可能的已知凭据访问工具。 此工具通常与尝试访问凭据的攻击者关联。 | - | 中型 |
| 可能存在 Hadoop Yarn 利用 | %{Compromised Host} 上的主机数据分析检测到可能有人利用了 Hadoop Yarn 服务。 | - | 中型 |
| 检测到邮件服务器可能被利用 (VM_MailserverExploitation) |
分析 %{Compromised Host} 上的主机数据时检测到邮件服务器帐户下存在异常执行 | 利用 | 中型 |
| 检测到可能的日志篡改活动[出现多次] | %{Compromised Host} 上的主机数据分析检测到,在某项用户活动的操作过程中,有人可能删除了跟踪该活动的文件。 攻击者通常会通过删除此类日志文件来避开检测以及清除恶意活动的痕迹。 今天在下列计算机上出现了 [x] 次此行为:[Machine names] | - | 中型 |
| 检测到可能的日志篡改活动 | %{Compromised Host} 上的主机数据分析检测到,在某项用户活动的操作过程中,有人可能删除了跟踪该活动的文件。 攻击者通常会通过删除此类日志文件来避开检测以及清除恶意活动的痕迹。 | - | 中型 |
| 检测到可能存在数据丢失[出现多次] | %{Compromised Host} 上的主机数据分析检测到可能存在数据流出的情况。 攻击者通常会从入侵的计算机中流出数据。 今天在下列计算机上出现了 [x]] 次此行为:[Machine names] | - | 中型 |
| 检测到可能存在数据丢失 | %{Compromised Host} 上的主机数据分析检测到可能存在数据流出的情况。 攻击者通常会从入侵的计算机中流出数据。 | - | 中型 |
| 检测到可能存在恶意的 Web shell [出现多次] | %{Compromised Host} 上的主机数据分析检测到可能存在 Web shell。 攻击者通常会将 Web shell 上传到入侵的计算机以实现持久性,从而进一步加以利用。 今天在下列计算机上出现了 [x] 次此行为:[Machine names] | - | 中型 |
| 检测到可能存在恶意的 Web shell | %{Compromised Host} 上的主机数据分析检测到可能存在 Web shell。 攻击者通常会将 Web shell 上传到入侵的计算机以实现持久性,从而进一步加以利用。 | - | 中型 |
| 检测到可能有人使用 crypt 方法更改密码[出现多次] | %{Compromised Host} 上的主机数据分析检测到有人使用 crypt 方法更改了密码。 攻击者可能会为了继续访问并在入侵后实现持久性而进行此更改。 今天在下列计算机上出现了 [x] 次此行为:[Machine names] | - | 中型 |
| 常见文件的潜在替代活动[出现多次] | 主机数据分析检测到 %{Compromised Host} 上存在覆盖常见可执行文件的情况。 攻击者将覆盖常见文件,以便遮掩他们的操作或实现持久性。 今天在下列计算机上出现了 [x] 次此行为:[Machine names] | - | 中型 |
| 常见文件的潜在替代活动 | 主机数据分析检测到 %{Compromised Host} 上存在覆盖常见可执行文件的情况。 攻击者将覆盖常见文件,以便遮掩他们的操作或实现持久性。 | - | 中型 |
| 对外部 IP 地址的潜在端口转发活动[出现多次] | %{Compromised Host} 上的主机数据分析检测到有人发起对外部 IP 地址的端口转发。 今天在下列计算机上出现了 [x] 次此行为:[Machine names] | - | 中型 |
| 对外部 IP 地址的潜在端口转发活动 | 主机数据分析检测到有人发起对外部 IP 地址的端口转发。 | 外泄/命令和控制 | 中型 |
| 检测到潜在的反向 shell [出现多次] | %{Compromised Host} 上的主机数据分析检测到潜在的反向 shell。 它们用于让遭到入侵的计算机回调到攻击者拥有的计算机中。 今天在下列计算机上出现了 [x] 次此行为:[Machine names] | - | 中型 |
| 检测到潜在的反向 shell | %{Compromised Host} 上的主机数据分析检测到潜在的反向 shell。 它们用于让遭到入侵的计算机回调到攻击者拥有的计算机中。 | - | 中型 |
| 在容器中运行特权命令 | 计算机日志指示有人在 Docker 容器中运行特权命令。 特权命令在主机上具有扩展特权。 | - | 低 |
| 检测到特权容器 | 计算机日志指示有特权 Docker 容器正在运行。 特权容器对主机的资源具有完全访问权限。 如果遭到入侵,攻击者可以使用特权容器获取对主机的访问权限。 | - | 低 |
| 检测到与数字货币挖掘关联的进程[出现多次] | %{Compromised Host} 上的主机数据分析检测到通常与数字货币挖掘关联的进程的执行。 今天在下列计算机上出现了超过 100 次此行为:[Machine name] | - | 中型 |
| 检测到与数字货币挖掘关联的进程 | 主机数据分析检测到通常与数字货币挖掘关联的进程的执行。 | 利用/执行 | 中型 |
| 检测到进程以异常方式访问 SSH 授权密钥文件 | 有人通过与已知恶意软件活动类似的方法访问了 SSH 授权密钥文件。 此访问可能指示攻击者正在尝试获取对计算机的持久访问权限。 | - | |
| 检测到 Python 编码下载器[出现多次] | %{Compromised Host} 上的主机数据分析检测到有人执行编码的 Python 来从远程位置下载和运行代码。 这可能指示存在恶意活动。 今天在下列计算机上出现了 [x] 次此行为:[Machine names] | - | 低 |
| 在主机上拍摄屏幕截图[出现多次] | %{Compromised Host} 上的主机数据分析检测到有用户使用屏幕捕获工具。 攻击者可能会使用这些工具来访问专用数据。 今天在下列计算机上出现了 [x] 次此行为:[Machine names] | - | 低 |
| 检测到脚本扩展名不匹配[出现多次] | %{Compromised Host} 上的主机数据分析检测到脚本解释器和作为输入提供的脚本文件的扩展名不匹配。 这通常与攻击者脚本执行活动关联。 今天在下列计算机上出现了 [x] 次此行为:[Machine names] | - | 中型 |
| 检测到脚本扩展名不匹配 | %{Compromised Host} 上的主机数据分析检测到脚本解释器和作为输入提供的脚本文件的扩展名不匹配。 这通常与攻击者脚本执行活动关联。 | - | 中型 |
| 检测到 Shellcode [出现多次] | %{Compromised Host} 上的主机数据分析检测到命令行中生成了 shellcode。 此进程可能是合法活动,也可能指示某台计算机已遭到入侵。 今天在下列计算机上出现了 [x] 次此行为:[Machine names] | - | 中型 |
| SSH 服务器在容器中运行 | 计算机日志指示有 SSH 服务器在 Docker 容器中运行。 尽管此行为可能是故意的,但它通常指示容器配置不正确或者遭到破坏。 | - | 中型 |
| 成功的 SSH 暴力攻击 | 主机数据分析检测到成功的暴力攻击。 发现 IP %{Attacker source IP} 进行了多次登录尝试。 来自该 IP 的成功登录使用以下用户身份完成:%{Accounts used to successfully sign in to host}。 这意味着主机可能遭到恶意执行组件的入侵和控制。 | - | 高 |
| 检测到可疑的帐户创建操作 | %{Compromised Host} 上的主机数据分析检测到,有人创建或使用了本地帐户 %{Suspicious account name},此帐户名称与标准 Windows 帐户或组名“%{Similar To Account Name}”非常相似。 这可能是攻击者创建的恶意帐户,使用此命名方式的目的在于不让人工管理员注意到。 | - | 中型 |
| 检测到可疑的编译[出现多次] | %{Compromised Host} 上的主机数据分析检测到可疑的编译。 攻击者通常会在已入侵的计算机上编译利用漏洞的内容以提升特权。 今天在下列计算机上出现了 [x] 次此行为:[Machine names] | - | 中型 |
| 检测到可疑的编译 | %{Compromised Host} 上的主机数据分析检测到可疑的编译。 攻击者通常会在已入侵的计算机上编译利用漏洞的内容以提升特权。 | - | 中型 |
| 检测到可疑的内核模块[出现多次] | %{Compromised Host} 上的主机数据分析检测到有人将共享对象文件作为内核模块加载。 这可能是合法活动,也可能指示某台计算机已遭到入侵。 今天在下列计算机上出现了 [x] 次此行为:[Machine names] | - | 中型 |
| 可疑的密码访问[出现多次] | 主机数据分析检测到 %{Compromised Host} 上存在对加密用户密码的可疑访问行为。 今天在下列计算机上出现了 [x] 次此行为:[Machine names] | - | 信息 |
| 可疑的密码访问 | 主机数据分析检测到 %{Compromised Host} 上存在对加密用户密码的可疑访问行为。 | - | 信息 |
| 检测到可疑 PHP 执行活动 | 计算机日志指示有可疑的 PHP 进程正在运行。 该操作包含尝试使用 PHP 进程从命令行运行 OS 命令或 PHP 代码。 虽然这种行为可能合法,但在 Web 应用中,这种行为也会出现在恶意活动中,例如试图利用 Web shell 感染网站。 | - | 中型 |
| 对 Kubernetes API 的可疑请求 | 计算机日志指示有人对 Kubernetes API 发出了可疑的请求。 该请求发送自 Kubernetes 节点,可能来自节点中运行的某个容器。 尽管此行为可能是故意的,但它可能指示节点运行的某个容器遭到入侵。 | - | 中型 |
容器警报 - Kubernetes 群集
| 警报 | 说明 | MITRE 技巧 (了解详细信息) |
严重性 |
|---|---|---|---|
| 检测到存在敏感卷装载活动的容器 | Kubernetes 审核日志分析检测到存在敏感卷装载活动的新容器。 检测到的卷属于 hostPath 类型,其会将敏感文件或者文件夹从节点装载到容器。 如果容器已遭入侵,则攻击者可以通过此装载活动获取对节点的访问权限。 | 特权提升 | 中型 |
| 检测到数字货币挖掘容器 | Kubernetes 审核日志分析检测到带有与数字货币挖掘工具关联的映像的容器。 | 执行 | 高 |
| 在 kube-system 命名空间中检测到新容器 | Kubernetes 审核日志分析在 kube-system 命名空间中检测到新容器,该容器不是通常在此命名空间中运行的容器。 Kube-system 命名空间不应包含用户资源。 攻击者可以使用此命名空间来隐藏恶意组件。 | 持久性 | 低 |
| 检测到新的高特权角色 | Kubernetes 审核日志分析检测到新的高特权角色。 与具有高特权的角色绑定可为用户/组提供群集中的提升特权。 不必要地提升特权可能会导致群集中出现特权提升问题。 | 持久性 | 低 |
| 检测到特权容器 | Kubernetes 审核日志分析检测到新的特权容器。 特权容器可以访问节点的资源,并打破容器之间的隔离。 如果遭到入侵,攻击者可以使用特权容器获取对节点的访问权限。 | 特权提升 | 低 |
| 检测到对群集管理员角色的角色绑定 | Kubernetes 审核日志分析检测到新的群集管理员角色绑定,这会使其获得管理员特权。 不必要地提供管理员特权可能会导致群集中出现特权提升问题。 | 持久性 | 低 |
| 检测到公开的 Kubeflow 仪表板 | Kubernetes 审核日志分析检测到,运行 Kubeflow 的群集中的负载均衡器公开了 Istio 入口。 此操作可能会向 Internet 公开 Kubeflow 仪表板。 如果向 Internet 公开了该仪表板,则攻击者可以访问该仪表板,并在群集上运行恶意容器或代码。 有关详细信息,请参阅错误配置的 Kubeflow 工作负荷存在安全风险。 |
初始访问 | 中型 |
| 检测到 AKS 中存在公开的 Redis 服务 | Kubernetes 审核日志分析检测到,负载均衡器公开了 Redis 服务。 如果该服务不需要身份验证,则向 Internet 公开该服务会带来安全风险。 |
初始访问 | 中型 |
| 检测到公开的 Kubernetes 服务 | Kubernetes 审核日志分析检测到,负载均衡器公开了服务。 此服务与一个敏感应用程序相关,该应用程序允许在群集中执行影响较大的操作,如在节点上运行进程或创建新的容器。 在某些情况下,此服务不需要身份验证。 如果该服务不需要身份验证,则向 Internet 公开该服务会带来安全风险。 |
初始访问 | 中型 |
容器警报 - 主机级别
| 警报 | 说明 | MITRE 技巧 (了解详细信息) |
严重性 |
|---|---|---|---|
| 检测到特权容器 | 计算机日志指示有特权 Docker 容器正在运行。 特权容器对主机的资源具有完全访问权限。 如果遭到入侵,攻击者可以使用特权容器获取对主机的访问权限。 | 特权提升/执行 | 低 |
| 在容器中运行特权命令 | 计算机日志指示有人在 Docker 容器中运行特权命令。 特权命令在主机上具有扩展特权。 | 特权提升 | 低 |
| 检测到公开的 Docker 守护程序 | 计算机日志指示 Docker 守护程序 (dockerd) 公开了一个 TCP 套接字。 默认情况下,启用 TCP 套接字时,Docker 配置不会使用加密或身份验证。 任何有权访问相关端口的用户都可获得 Docker 守护程序的完全访问权限。 | 利用/执行 | 中型 |
| SSH 服务器在容器中运行 | 计算机日志指示有 SSH 服务器在 Docker 容器中运行。 尽管此行为可能是故意的,但它通常指示容器配置不正确或者遭到破坏。 | 执行 | 中型 |
| 检测到带有挖掘器映像的容器 | 计算机日志指示执行了运行与数字货币挖掘关联的映像的 Docker 容器。 此行为可能指示资源被滥用。 | 执行 | 高 |
| 对 Kubernetes API 的可疑请求 | 计算机日志指示有人对 Kubernetes API 发出了可疑的请求。 该请求发送自 Kubernetes 节点,可能来自节点中运行的某个容器。 尽管此行为可能是故意的,但它可能指示节点运行的某个容器遭到入侵。 | 执行 | 中型 |
| 对 Kubernetes 仪表板的可疑请求 | 计算机日志指示有人对 Kubernetes 仪表板发出了可疑的请求。 该请求发送自 Kubernetes 节点,可能来自节点中运行的某个容器。 尽管此行为可能是故意的,但它可能指示节点运行的某个容器遭到入侵。 | 横向移动 | 中型 |
针对 SQL 数据库和 Azure Synapse Analytics 的警报
| 警报 | 说明 | MITRE 技巧 (了解详细信息) |
严重性 |
|---|---|---|---|
| 可能存在易受 SQL 注入攻击的漏洞 | 某个应用程序在数据库中生成了错误的 SQL 语句。 此警报指示可能存在易受 SQL 注入攻击的漏洞。 生成错误语句的可能原因有两个。 应用程序代码中的缺陷可能会导致构造出错误的 SQL 语句。 或者,应用程序代码或存储过程在构造错误的 SQL 语句时未清理用户输入,使该语句被 SQL 注入攻击利用。 | - | 中型 |
| 潜在 SQL 注入 | 攻击者主动利用已确定的应用程序漏洞进行 SQL 注入攻击。 这意味着,攻击者正在尝试使用有漏洞的应用程序代码或存储过程注入恶意 SQL 语句。 | - | 高 |
安全事件警报
| 警报 | 说明 | MITRE 技巧 (了解详细信息) |
严重性 |
|---|---|---|---|
| 检测到共享进程的安全事件 | 最近在 {Detected Time (UTC)} 检测到的从 {Start Time (UTC)} 开始的事件指示攻击者已经{Action taken}了你的资源 {Host} | - | 高 |
| 在多个资源上检测到安全事件 | 最近在 {Detected Time (UTC)} 检测到的从 {Start Time (UTC)} 开始的事件指示有人在你的云资源 {Host} 上执行了类似的攻击方法 | - | 中型 |
| 从同一源检测到安全事件 | 最近在 {Detected Time (UTC)} 检测到的从 {Start Time (UTC)} 开始的事件指示攻击者已经{Action taken}了你的资源 {Host} | - | 高 |
| 在多台计算机上检测到安全事件 | 最近在 {Detected Time (UTC)} 检测到的从 {Start Time (UTC)} 开始的事件指示攻击者已经{Action taken}了你的资源 {Host} | - | 中型 |
MITRE ATT&CK 技巧
了解攻击意图有助于更轻松地调查和报告事件。 为了帮助完成这些工作,Microsoft Defender for Cloud 警报包括带有许多警报的 MITRE 策略。
描述网络攻击过程(从侦查到数据外泄)的一系列步骤通常被称为“杀伤链”。
Defender for Cloud 支持的攻击链意图基于 MITRE ATT&CK 矩阵版本 7,下表对其进行了描述。
| 技巧 | 说明 | |
|---|---|---|
| 预攻击 | 预攻击可能是对某个资源的访问尝试,而不考虑恶意意图,也可能是在利用之前访问目标系统以收集信息的失败尝试。 此步骤通常被检测为源自网络外部的尝试,目的是扫描目标系统并标识入口点。 | |
| 初始访问 | 初始访问是攻击者设法在受到攻击的资源上建立据点的阶段。 此阶段与计算主机和资源(例如用户帐户、证书等)相关。在此阶段之后,威胁参与者通常能控制资源。 | |
| 持久性 | 持久性指为了让威胁参与者在系统上持久存在而对该系统进行的任何访问、操作或配置更改。 威胁参与者通常需要通过中断操作来维持自己对系统的访问,这些中断操作包括系统重启、丢失凭据或其他可能需要远程访问工具重启的故障,或者提供备用后门来重新获得访问权限。 | |
| 特权提升 | 特权提升指允许攻击者在系统或网络上获得更高级别权限的操作的结果。 某些工具或操作需要更高级别的特权才能正常运行,并且在操作过程中的很多个时间点它们都是必需的。 有权访问特定系统或执行攻击者所需的特定函数的用户帐户也可能被视为特权提升。 | |
| 防御规避 | 防御规避策略包含攻击者可用于避开检测或其他防御措施的方法。 在某些情况下,这些操作与其他类别中的方法相同(或者是它们的变体),这些方法还能破坏特定防御措施或缓解工具。 | |
| 凭据访问 | 凭据访问指能够访问或控制企业环境中使用的系统、域或服务凭据的方法。 攻击者可能会尝试通过用户或管理员帐户(本地系统管理员或具有管理员权限的域用户)获取合法凭据,以便在网络中使用。 当攻击者在网络中具备足够的访问权限时,他们就可以创建帐户以供之后在环境中使用。 | |
| 发现 | 发现策略包含允许攻击者了解系统和内部网络的方法。 当攻击者获得对新系统的访问权限时,在入侵期间,他们必须适应自己现在能控制的内容,并了解从该系统执行操作对他们的当前目标或总体目标有什么好处。 操作系统提供许多对这一入侵后信息收集阶段有帮助的本机工具。 | |
| 横向移动 | 横向移动包含的方法让攻击者能够访问并控制网络上的远程系统,但不一定包括在远程系统上执行工具。 攻击者可利用这些横向移动方法从系统收集信息,而无需其他工具,例如远程访问工具。 攻击者可以使用横向移动来实现多种目的,包括远程执行工具、转到其他系统、访问特定信息或文件、访问其他凭据或造成某种影响。 | |
| 执行 | 执行策略表示允许在本地系统或远程系统上执行受攻击者控制的代码的方法。 这一策略通常与横向移动结合使用,目的是扩展网络上的远程系统访问权限。 | |
| 集合 | 收集包含的方法让攻击者能在外泄之前标识和收集目标网络中的信息,例如敏感文件。 此类别还涉及系统和网络上的一些位置,攻击者会在这些位置中查找要外泄的信息。 | |
| 外泄 | 外泄策略指允许或有助于攻击者从目标网络中删除文件和信息的方法和特性。 此类别还涉及系统和网络上的一些位置,攻击者会在这些位置中查找要外泄的信息。 | |
| 命令和控制 | 命令和控制策略表示攻击者如何在目标网络中与其控制的系统通信。 | |
| 影响 | 影响事件主要尝试直接降低系统、服务或网络的可用性或完整性;包括为了影响业务或操作过程而进行的数据操作活动。 这通常指勒索软件、篡改、数据操作等方法。 | |
后续步骤
若要详细了解 Microsoft Defender for Cloud 安全警报,请参阅以下文章: