Partager via


Alertes de sécurité déconseillées

Cet article répertorie les alertes de sécurité déconseillées dans Microsoft Defender pour le cloud.

Alertes Defender pour conteneurs déconseillées

Les listes suivantes incluent les alertes de sécurité Defender pour conteneurs qui ont été déconseillées.

Détection d’une manipulation du pare-feu sur l’hôte

(K8S.NODE_FirewallDisabled)

Description : l’analyse des processus exécutés dans un conteneur ou directement sur un nœud Kubernetes a détecté une manipulation possible du pare-feu hôte. Les attaquants le désactivent souvent pour exfiltrer des données.

Tactiques MITRE : DefenseEvasion, Exfiltration

Gravité : moyenne

Utilisation suspecte de DNS sur HTTPS

(K8S.NODE_SuspiciousDNSOverHttps)

Description : l’analyse des processus s’exécutant dans un conteneur ou directement sur un nœud Kubernetes a détecté l’utilisation d’un appel DNS via HTTPS de manière rare. Cette technique est utilisée par les attaquants pour masquer les appels à des sites suspects ou malveillants.

Tactiques MITRE : DefenseEvasion, Exfiltration

Gravité : moyenne

Une connexion possible à un emplacement malveillant a été détectée

(K8S.NODE_ThreatIntelCommandLineSuspectDomain)

Description : l’analyse des processus exécutés dans un conteneur ou directement sur un nœud Kubernetes a détecté une connexion à un emplacement signalé comme malveillant ou inhabituel. Il s’agit d’un indicateur indiquant qu’une compromission a pu se produire.

Tactiques MITRE : InitialAccess

Gravité : moyenne

Activité d’exploration de données monétaires numériques

(K8S. NODE_CurrencyMining)

Description : Analyse des transactions DNS détectées dans l’activité d’exploration de données monétaires numériques. Une telle activité, bien qu’elle puisse être un comportement légitime de l’utilisateur, est souvent le fait d’attaquants après la compromission des ressources. L’activité associée type des attaquants est susceptible d’inclure le téléchargement et l’exécution d’outils d’exploration de données courants.

Tactiques MITRE : Exfiltration

Gravité : faible

Alertes Defender pour serveurs Linux déconseillées

VM_AbnormalDaemonTermination

Nom complet de l’alerte : arrêt anormal

Gravité : faible

VM_BinaryGeneratedFromCommandLine

Nom complet de l’alerte : binaire suspect détecté

Gravité : moyenne

VM_CommandlineSuspectDomain Suspicious

Nom complet de l’alerte : référence de nom de domaine

Gravité : faible

VM_CommonBot

Nom complet de l’alerte : comportement similaire aux bots Linux courants détectés

Gravité : moyenne

VM_CompCommonBots

Nom complet de l’alerte : commandes similaires aux bots Linux courants détectés

Gravité : moyenne

VM_CompSuspiciousScript

Nom complet de l’alerte : Script shell détecté

Gravité : moyenne

VM_CompTestRule

Nom complet de l’alerte : alerte de test analytique composite

Gravité : faible

VM_CronJobAccess

Nom complet de l’alerte : manipulation des tâches planifiées détectées

Gravité : Information

VM_CryptoCoinMinerArtifacts

Nom complet de l’alerte : processus associé à l’exploration de données monétaire numérique détectée

Gravité : moyenne

VM_CryptoCoinMinerDownload

Nom complet de l’alerte : téléchargement possible de Cryptocoinminer détecté

Gravité : moyenne

VM_CryptoCoinMinerExecution

Nom d’affichage de l’alerte : le mineur potentiel de jeton de chiffrement a démarré

Gravité : moyenne

VM_DataEgressArtifacts

Nom complet de l’alerte : détection d’exfiltration de données possibles

Gravité : moyenne

VM_DigitalCurrencyMining

Nom complet de l’alerte : comportement lié à l’exploration de données monétaire numérique détecté

Gravité : élevée

VM_DownloadAndRunCombo

Nom complet de l’alerte : Téléchargement suspect, puis activité d’exécution

Gravité : moyenne

VM_EICAR

Nom complet de l’alerte : alerte de test Microsoft Defender pour le cloud (pas une menace)

Gravité : élevée

VM_ExecuteHiddenFile

Nom d’affichage de l’alerte : exécution du fichier masqué

Gravité : Information

VM_ExploitAttempt

Nom complet de l’alerte : tentative d’exploitation de ligne de commande possible

Gravité : moyenne

VM_ExposedDocker

Nom complet de l’alerte : Démon Docker exposé sur le socket TCP

Gravité : moyenne

VM_FairwareMalware

Nom complet de l’alerte : comportement similaire au ransomware Fairware détecté

Gravité : moyenne

VM_FirewallDisabled

Nom complet de l’alerte : manipulation du pare-feu hôte détectée

Gravité : moyenne

VM_HadoopYarnExploit

Nom complet de l’alerte : exploitation possible de Hadoop Yarn

Gravité : moyenne

VM_HistoryFileCleared

Nom complet de l’alerte : un fichier d’historique a été effacé

Gravité : moyenne

VM_KnownLinuxAttackTool

Nom complet de l’alerte : outil d’attaque possible détecté

Gravité : moyenne

VM_KnownLinuxCredentialAccessTool

Nom complet de l’alerte : outil d’accès aux informations d’identification possible détecté

Gravité : moyenne

VM_KnownLinuxDDoSToolkit

Nom complet de l’alerte : indicateurs associés au kit de ressources DDOS détectés

Gravité : moyenne

VM_KnownLinuxScreenshotTool

Nom complet de l’alerte : capture d’écran prise sur l’hôte

Gravité : faible

VM_LinuxBackdoorArtifact

Nom complet de l’alerte : Détection possible d’une porte dérobée

Gravité : moyenne

VM_LinuxReconnaissance

Nom complet de l’alerte : reconnaissance de l’hôte local détectée

Gravité : moyenne

VM_MismatchedScriptFeatures

Nom complet de l’alerte : incompatibilité de l’extension de script détectée

Gravité : moyenne

VM_MitreCalderaTools

Nom complet de l’alerte : agent MITRE Caldera détecté

Gravité : moyenne

VM_NewSingleUserModeStartupScript

Nom complet de l’alerte : tentative de persistance détectée

Gravité : moyenne

VM_NewSudoerAccount

Nom complet de l’alerte : compte ajouté au groupe sudo

Gravité : faible

VM_OverridingCommonFiles

Nom complet de l’alerte : substitution potentielle de fichiers communs

Gravité : moyenne

VM_PrivilegedContainerArtifacts

Nom complet de l’alerte : conteneur s’exécutant en mode privilégié

Gravité : faible

VM_PrivilegedExecutionInContainer

Nom complet de l’alerte : commande au sein d’un conteneur s’exécutant avec des privilèges élevés

Gravité : faible

VM_ReadingHistoryFile

Nom complet de l’alerte : accès inhabituel au fichier d’historique bash

Gravité : Information

VM_ReverseShell

Nom complet de l’alerte : interpréteur de commandes inversé potentiel détecté

Gravité : moyenne

VM_SshKeyAccess

Nom complet de l’alerte : processus vu accéder au fichier de clés autorisées SSH de manière inhabituelle

Gravité : faible

VM_SshKeyAddition

Nom complet de l’alerte : nouvelle clé SSH ajoutée

Gravité : faible

VM_SuspectCompilation

Nom complet de l’alerte : compilation suspecte détectée

Gravité : moyenne

VM_SuspectConnection

Nom complet de l’alerte : une tentative de connexion rare détectée

Gravité : moyenne

VM_SuspectDownload

Nom complet de l’alerte : téléchargement de fichier détecté à partir d’une source malveillante connue

Gravité : moyenne

VM_SuspectDownloadArtifacts

Nom d’affichage de l’alerte : téléchargement de fichiers suspect détecté

Gravité : faible

VM_SuspectExecutablePath

Nom complet de l’alerte : exécutable trouvé en cours d’exécution à partir d’un emplacement suspect

Gravité : moyenne

VM_SuspectHtaccessFileAccess

Nom complet de l’alerte : accès au fichier htaccess détecté

Gravité : moyenne

VM_SuspectInitialShellCommand

Nom complet de l’alerte : première commande suspecte dans l’interpréteur de commandes

Gravité : faible

VM_SuspectMixedCaseText

Nom complet de l’alerte : combinaison anormale de caractères majuscules et minuscules détectés dans la ligne de commande

Gravité : moyenne

VM_SuspectNetworkConnection

Nom complet de l’alerte : connexion réseau suspecte

Gravité : Information

VM_SuspectNohup

Nom complet de l’alerte : détection d’une utilisation suspecte de la commande nohup

Gravité : moyenne

VM_SuspectPasswordChange

Nom complet de l’alerte : modification possible du mot de passe à l’aide de la méthode de chiffrement détectée

Gravité : moyenne

VM_SuspectPasswordFileAccess

Nom complet de l’alerte : accès suspect au mot de passe

Gravité : Information

VM_SuspectPhp

Nom complet de l’alerte : exécution PHP suspecte détectée

Gravité : moyenne

VM_SuspectPortForwarding

Nom complet de l’alerte : transfert de port potentiel vers une adresse IP externe

Gravité : moyenne

VM_SuspectProcessAccountPrivilegeCombo

Nom complet de l’alerte : le processus en cours d’exécution dans un compte de service est devenu racine de manière inattendue

Gravité : moyenne

VM_SuspectProcessTermination

Nom complet de l’alerte : arrêt du processus lié à la sécurité détecté

Gravité : faible

VM_SuspectUserAddition

Nom complet de l’alerte : détection d’une utilisation suspecte de la commande useradd

Gravité : moyenne

VM_SuspiciousCommandLineExecution

Nom d’affichage de l’alerte : exécution de commande suspecte

Gravité : élevée

VM_SuspiciousDNSOverHttps

Nom complet de l’alerte : utilisation suspecte du DNS via HTTPS

Gravité : moyenne

VM_SystemLogRemoval

Nom complet de l’alerte : activité de falsification de journal possible détectée

Gravité : moyenne

VM_ThreatIntelCommandLineSuspectDomain

Nom complet de l’alerte : une connexion possible à un emplacement malveillant a été détectée

Gravité : moyenne

VM_ThreatIntelSuspectLogon

Nom complet de l’alerte : une ouverture de session à partir d’une adresse IP malveillante a été détectée

Gravité : élevée

VM_TimerServiceDisabled

Nom complet de l’alerte : tentative d’arrêt du service apt-daily-upgrade.timer détecté

Gravité : Information

VM_TimestampTampering

Nom d’affichage de l’alerte : modification suspecte de l’horodatage du fichier

Gravité : faible

VM_Webshell

Nom d’affichage de l’alerte : interpréteur de commandes web malveillant possible détecté

Gravité : moyenne

Alertes Windows déconseillées de Defender pour serveurs

SCUBA_MULTIPLEACCOUNTCREATE

Nom complet de l’alerte : création suspecte de comptes sur plusieurs hôtes

Gravité : moyenne

SCUBA_PSINSIGHT_CONTEXT

Nom complet de l’alerte : Utilisation suspecte de PowerShell détectée

Gravité : Information

SCUBA_RULE_AddGuestToAdministrators

Nom complet de l’alerte : ajout d’un compte invité au groupe Administrateurs locaux

Gravité : moyenne

SCUBA_RULE_Apache_Tomcat_executing_suspicious_commands

Nom complet de l’alerte : Apache_Tomcat_executing_suspicious_commands

Gravité : moyenne

SCUBA_RULE_KnownBruteForcingTools

Nom complet de l’alerte : processus suspect exécuté

Gravité : élevée

SCUBA_RULE_KnownCollectionTools

Nom complet de l’alerte : processus suspect exécuté

Gravité : élevée

SCUBA_RULE_KnownDefenseEvasionTools

Nom complet de l’alerte : processus suspect exécuté

Gravité : élevée

SCUBA_RULE_KnownExecutionTools

Nom complet de l’alerte : processus suspect exécuté

Gravité : élevée

SCUBA_RULE_KnownPassTheHashTools

Nom complet de l’alerte : processus suspect exécuté

Gravité : élevée

SCUBA_RULE_KnownSpammingTools

Nom complet de l’alerte : processus suspect exécuté

Gravité : moyenne

SCUBA_RULE_Lowering_Security_Settings

Nom complet de l’alerte : détection de la désactivation des services critiques

Gravité : moyenne

SCUBA_RULE_OtherKnownHackerTools

Nom complet de l’alerte : processus suspect exécuté

Gravité : élevée

SCUBA_RULE_RDP_session_hijacking_via_tscon

Nom complet de l’alerte : niveau d’intégrité suspect indiquant le détournement RDP

Gravité : moyenne

SCUBA_RULE_RDP_session_hijacking_via_tscon_service

Nom complet de l’alerte : Installation suspecte du service

Gravité : moyenne

SCUBA_RULE_Suppress_pesky_unauthorized_use_prohibited_notices

Nom complet de l’alerte : détection de la suppression de mentions légales affichées aux utilisateurs lors de l’ouverture de session

Gravité : faible

SCUBA_RULE_WDigest_Enabling

Nom complet de l’alerte : détection de l’activation de la clé de Registre WDigest UseLogonCredential

Gravité : moyenne

VM.Windows_ApplockerBypass

Nom complet de l’alerte : tentative potentielle de contournement d’AppLocker détectée

Gravité : élevée

VM.Windows_BariumKnownSuspiciousProcessExecution

Nom complet de l’alerte : détection d’une création de fichier suspecte

Gravité : élevée

VM.Windows_Base64EncodedExecutableInCommandLineParams

Nom d’affichage de l’alerte : exécutable encodé détecté dans les données de ligne de commande

Gravité : élevée

VM.Windows_CalcsCommandLineUse

Nom complet de l’alerte : Détection d’une utilisation suspecte de cacls pour réduire l’état de sécurité du système

Gravité : moyenne

VM.Windows_CommandLineStartingAllExe

Nom complet de l’alerte : ligne de commande suspecte détectée utilisée pour démarrer tous les exécutables dans un répertoire

Gravité : moyenne

VM.Windows_DisablingAndDeletingIISLogFiles

Nom complet de l’alerte : actions détectées indiquant la désactivation et la suppression des fichiers journaux IIS

Gravité : moyenne

VM.Windows_DownloadUsingCertutil

Nom complet de l’alerte : téléchargement suspect à l’aide de Certutil détecté

Gravité : moyenne

VM.Windows_EchoOverPipeOnLocalhost

Nom complet de l’alerte : détection de communications suspectes nommées de canal

Gravité : élevée

VM.Windows_EchoToConstructPowerShellScript

Nom complet de l’alerte : construction de script PowerShell dynamique

Gravité : moyenne

VM.Windows_ExecutableDecodedUsingCertutil

Nom complet de l’alerte : décodage détecté d’un exécutable à l’aide de l’outil intégré certutil.exe

Gravité : moyenne

VM.Windows_FileDeletionIsSospisiousLocation

Nom d’affichage de l’alerte : suppression suspecte de fichier détectée

Gravité : moyenne

VM.Windows_KerberosGoldenTicketAttack

Nom complet de l’alerte : paramètres d’attaque Kerberos Golden Ticket observés

Gravité : moyenne

VM.Windows_KeygenToolKnownProcessName

Nom d’affichage de l’alerte : détection de l’exécution possible d’un processus suspect exécutable keygen exécuté

Gravité : moyenne

VM.Windows_KnownCredentialAccessTools

Nom complet de l’alerte : processus suspect exécuté

Gravité : élevée

VM.Windows_KnownSuspiciousPowerShellScript

Nom complet de l’alerte : Utilisation suspecte de PowerShell détectée

Gravité : élevée

VM.Windows_KnownSuspiciousSoftwareInstallation

Nom complet de l’alerte : logiciel à haut risque détecté

Gravité : moyenne

VM.Windows_MsHtaAndPowerShellCombination

Nom complet de l’alerte : combinaison suspecte détectée d’HTA et de PowerShell

Gravité : moyenne

VM.Windows_MultipleAccountsQuery

Nom complet de l’alerte : plusieurs comptes de domaine interrogés

Gravité : moyenne

VM.Windows_NewAccountCreation

Nom complet de l’alerte : création de compte détectée

Gravité : Information

VM.Windows_ObfuscatedCommandLine

Nom complet de l’alerte : ligne de commande masquée détectée.

Gravité : élevée

VM.Windows_PcaluaUseToLaunchExecutable

Nom complet de l’alerte : détection d’une utilisation suspecte de Pcalua.exe pour lancer le code exécutable

Gravité : moyenne

VM.Windows_PetyaRansomware

Nom complet de l’alerte : indicateurs de ransomware Petya détectés

Gravité : élevée

VM.Windows_PowerShellPowerSploitScriptExecution

Nom complet de l’alerte : applets de commande PowerShell suspectes exécutées

Gravité : moyenne

VM.Windows_RansomwareIndication

Nom d’affichage de l’alerte : indicateurs de ransomware détectés

Gravité : élevée

VM.Windows_SqlDumperUsedSuspiciously

Nom d’affichage de l’alerte : vidage possible des informations d’identification détectées [vues plusieurs fois]

Gravité : moyenne

VM.Windows_StopCriticalServices

Nom complet de l’alerte : détection de la désactivation des services critiques

Gravité : moyenne

VM.Windows_SubvertingAccessibilityBinary

Nom d’affichage de l’alerte : attaque de clés sticky détectée à la création d’un compte suspect détectée moyen

VM.Windows_SuspiciousAccountCreation

Nom complet de l’alerte : Détection de la création suspecte d’un compte

Gravité : moyenne

VM.Windows_SuspiciousFirewallRuleAdded

Nom complet de l’alerte : détection d’une nouvelle règle de pare-feu suspecte

Gravité : moyenne

VM.Windows_SuspiciousFTPSSwitchUsage

Nom complet de l’alerte : Détection d’une utilisation suspecte du commutateur FTP-s

Gravité : moyenne

VM.Windows_SuspiciousSQLActivity

Nom complet de l’alerte : activité SQL suspecte

Gravité : moyenne

VM.Windows_SVCHostFromInvalidPath

Nom complet de l’alerte : processus suspect exécuté

Gravité : élevée

VM.Windows_SystemEventLogCleared

Nom complet de l’alerte : le journal Sécurité Windows a été effacé

Gravité : Information

VM.Windows_TelegramInstallation

Nom complet de l’alerte : détection d’une utilisation potentiellement suspecte de l’outil Telegram

Gravité : moyenne

VM.Windows_UndercoverProcess

Nom complet de l’alerte : processus nommé suspectement détecté

Gravité : élevée

VM.Windows_UserAccountControlBypass

Nom complet de l’alerte : détection d’une modification d’une clé de Registre qui peut être abusée pour contourner l’UAC

Gravité : moyenne

VM.Windows_VBScriptEncoding

Nom d’affichage de l’alerte : exécution suspecte détectée de la commande VBScript.Encode

Gravité : moyenne

VM.Windows_WindowPositionRegisteryChange

Nom d’affichage de l’alerte : valeur de Registre WindowPosition suspecte détectée

Gravité : faible

VM.Windows_ZincPortOpenningUsingFirewallRule

Nom complet de l’alerte : règle de pare-feu malveillante créée par l’implant de serveur ZINC

Gravité : élevée

VM_DigitalCurrencyMining

Nom complet de l’alerte : comportement lié à l’exploration de données monétaire numérique détecté

Gravité : élevée

VM_MaliciousSQLActivity

Nom complet de l’alerte : activité SQL malveillante

Gravité : élevée

VM_ProcessWithDoubleExtensionExecution

Nom complet de l’alerte : fichier d’extension double suspect exécuté

Gravité : élevée

VM_RegistryPersistencyKey

Nom complet de l’alerte : méthode de persistance du Registre Windows détectée

Gravité : faible

VM_ShadowCopyDeletion

Nom complet de l’alerte : exécutable d’activité de cliché instantané de volume suspect trouvé en cours d’exécution à partir d’un emplacement suspect

Gravité : élevée

VM_SuspectExecutablePath

Nom complet de l’alerte : exécutable trouvé en cours d’exécution à partir d’un emplacement suspect Détecté une combinaison anormale de caractères majuscules et minuscules dans la ligne de commande

Gravité : Information

Moyenne

VM_SuspectPhp

Nom complet de l’alerte : exécution PHP suspecte détectée

Gravité : moyenne

VM_SuspiciousCommandLineExecution

Nom d’affichage de l’alerte : exécution de commande suspecte

Gravité : élevée

VM_SuspiciousScreenSaverExecution

Nom d’affichage de l’alerte : processus de filtre d’écran suspect exécuté

Gravité : moyenne

VM_SvcHostRunInRareServiceGroup

Nom complet de l’alerte : Groupe de services SVCHOST rare exécuté

Gravité : Information

VM_SystemProcessInAbnormalContext

Nom complet de l’alerte : processus système suspect exécuté

Gravité : moyenne

VM_ThreatIntelCommandLineSuspectDomain

Nom complet de l’alerte : une connexion possible à un emplacement malveillant a été détectée

Gravité : moyenne

VM_ThreatIntelSuspectLogon

Nom complet de l’alerte : une ouverture de session à partir d’une adresse IP malveillante a été détectée

Gravité : élevée

VM_VbScriptHttpObjectAllocation

Nom complet de l’alerte : allocation d’objets HTTP VBScript détectée

Gravité : élevée

VM_TaskkillBurst

Nom complet de l’alerte : rafale d’arrêt de processus suspect

Gravité : faible

VM_RunByPsExec

Nom complet de l’alerte : exécution PsExec détectée

Gravité : Information

Remarque

Pour les alertes en préversion : Les Conditions supplémentaires pour les préversions Azure comprennent des conditions juridiques supplémentaires s’appliquant aux fonctionnalités Azure qui sont en version bêta, en préversion ou qui ne sont pas encore en disponibilité générale.

Étapes suivantes