Avvisi per le estensioni della macchina virtuale di Azure
Questo articolo elenca gli avvisi di sicurezza che è possibile ottenere per le estensioni di macchine virtuali di Azure da Microsoft Defender per il cloud ed eventuali piani di Microsoft Defender abilitati. Gli avvisi visualizzati nell'ambiente dipendono dalle risorse e dai servizi protetti e dalla configurazione personalizzata.
Nota
Alcuni degli avvisi aggiunti di recente basati su Microsoft Defender Threat Intelligence e Microsoft Defender per endpoint potrebbero non essere documentati.
Informazioni su come rispondere a questi avvisi.
Informazioni su come esportare gli avvisi.
Nota
Gli avvisi provenienti da origini diverse potrebbero comparire in tempi diversi. Ad esempio, la visualizzazione degli avvisi che richiedono l'analisi del traffico di rete potrebbe richiedere più tempo rispetto agli avvisi correlati a processi sospetti in esecuzione sulle macchine virtuali.
Avvisi delle estensioni delle macchine virtuali di Azure
Questi avvisi si concentrano sul rilevamento di attività sospette delle estensioni delle macchine virtuali di Azure e forniscono informazioni dettagliate sui tentativi di compromissione degli utenti malintenzionati ed eseguire attività dannose nelle macchine virtuali.
Le estensioni delle macchine virtuali di Azure sono applicazioni di piccole dimensioni che eseguono post-distribuzione nelle macchine virtuali e offrono funzionalità come la configurazione, l'automazione, il monitoraggio, la sicurezza e altro ancora. Anche se le estensioni sono uno strumento potente, possono essere usate dagli attori delle minacce per varie finalità dannose, ad esempio:
Raccolta e monitoraggio dei dati
Esecuzione del codice e distribuzione della configurazione con privilegi elevati
Reimpostazione delle credenziali e creazione di utenti amministratori
Crittografia dei dischi
Altre informazioni sulle Defender per il cloud protezioni più recenti contro l'uso improprio delle estensioni delle macchine virtuali di Azure.
Errore sospetto durante l'installazione dell'estensione GPU nella sottoscrizione (anteprima)
(VM_GPUExtensionSuspiciousFailure)
Descrizione: finalità sospetta dell'installazione di un'estensione GPU in macchine virtuali non supportate. Questa estensione deve essere installata nelle macchine virtuali dotate di un processore grafico e in questo caso le macchine virtuali non sono dotate di tale. Questi errori possono essere visualizzati quando avversari dannosi eseguono più installazioni di tale estensione per scopi di crypto mining.
Tattiche MITRE: Impatto
Gravità: medio
È stata rilevata un'installazione sospetta di un'estensione GPU nella macchina virtuale (anteprima)
(VM_GPUDriverExtensionUnusualExecution)
Descrizione: è stata rilevata un'installazione sospetta di un'estensione GPU nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati potrebbero usare l'estensione del driver GPU per installare i driver GPU nella macchina virtuale tramite Azure Resource Manager per eseguire il cryptojacking. Questa attività viene considerata sospetta perché il comportamento dell'entità parte dai modelli consueti.
Tattiche MITRE: Impatto
Gravità: Bassa
Esecuzione del comando con uno script sospetto rilevato nella macchina virtuale (anteprima)
(VM_RunCommandSuspiciousScript)
Descrizione: è stato rilevato un comando di esecuzione con uno script sospetto nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati potrebbero usare Esegui comando per eseguire codice dannoso con privilegi elevati nella macchina virtuale tramite Azure Resource Manager. Lo script viene considerato sospetto perché alcune parti sono state identificate come potenzialmente dannose.
Tattiche MITRE: Esecuzione
Gravità: alta
È stato rilevato un uso sospetto dei comandi di esecuzione non autorizzato nella macchina virtuale (anteprima)
(VM_RunCommandSuspiciousFailure)
Descrizione: l'utilizzo non autorizzato sospetto di Run Command non è riuscito ed è stato rilevato nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati potrebbero tentare di usare Esegui comando per eseguire codice dannoso con privilegi elevati nelle macchine virtuali tramite Azure Resource Manager. Questa attività è considerata sospetta perché non è stata comunemente vista in precedenza.
Tattiche MITRE: Esecuzione
Gravità: medio
È stato rilevato un utilizzo sospetto dei comandi di esecuzione nella macchina virtuale (anteprima)
(VM_RunCommandSuspiciousUsage)
Descrizione: è stato rilevato un uso sospetto di Run Command nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati potrebbero usare Esegui comando per eseguire codice dannoso con privilegi elevati nelle macchine virtuali tramite Azure Resource Manager. Questa attività è considerata sospetta perché non è stata comunemente vista in precedenza.
Tattiche MITRE: Esecuzione
Gravità: Bassa
È stato rilevato un uso sospetto di più estensioni di monitoraggio o raccolta dati nelle macchine virtuali (anteprima)
(VM_SuspiciousMultiExtensionUsage)
Descrizione: è stato rilevato un uso sospetto di più estensioni di monitoraggio o raccolta dati nelle macchine virtuali analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati potrebbero abusare di tali estensioni per la raccolta dei dati, il monitoraggio del traffico di rete e altro ancora nella sottoscrizione. Questo utilizzo è considerato sospetto perché non è stato comunemente visto in precedenza.
Tattiche MITRE: Ricognizione
Gravità: medio
È stata rilevata un'installazione sospetta delle estensioni di crittografia del disco nelle macchine virtuali (anteprima)
(VM_DiskEncryptionSuspiciousUsage)
Descrizione: è stata rilevata un'installazione sospetta delle estensioni di crittografia del disco nelle macchine virtuali analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati potrebbero abusare dell'estensione di crittografia del disco per distribuire le crittografia del disco complete nelle macchine virtuali tramite Azure Resource Manager in un tentativo di eseguire attività ransomware. Questa attività è considerata sospetta perché non è stata comunemente vista in precedenza e a causa del numero elevato di installazioni di estensioni.
Tattiche MITRE: Impatto
Gravità: medio
È stato rilevato un uso sospetto dell'estensione VMAccess nelle macchine virtuali (anteprima)
(VM_VMAccessSuspiciousUsage)
Descrizione: è stato rilevato un uso sospetto dell'estensione VMAccess nelle macchine virtuali. Gli utenti malintenzionati potrebbero abusare dell'estensione VMAccess per ottenere l'accesso e compromettere le macchine virtuali con privilegi elevati reimpostando l'accesso o gestendo gli utenti amministratori. Questa attività è considerata sospetta perché il comportamento dell'entità parte dai modelli consueti e a causa dell'elevato numero di installazioni di estensioni.
Tattiche MITRE: Persistenza
Gravità: medio
Estensione DSC (Desired State Configuration) con uno script sospetto rilevato nella macchina virtuale (anteprima)
(VM_DSCExtensionSuspiciousScript)
Descrizione: l'estensione DSC (Desired State Configuration) con uno script sospetto è stata rilevata nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati potrebbero usare l'estensione DSC (Desired State Configuration) per distribuire configurazioni dannose, ad esempio meccanismi di persistenza, script dannosi e altro ancora, con privilegi elevati nelle macchine virtuali. Lo script viene considerato sospetto perché alcune parti sono state identificate come potenzialmente dannose.
Tattiche MITRE: Esecuzione
Gravità: alta
È stato rilevato un uso sospetto di un'estensione DSC (Desired State Configuration) nelle macchine virtuali (anteprima)
(VM_DSCExtensionSuspiciousUsage)
Descrizione: è stato rilevato un uso sospetto di un'estensione DSC (Desired State Configuration) nelle macchine virtuali analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati potrebbero usare l'estensione DSC (Desired State Configuration) per distribuire configurazioni dannose, ad esempio meccanismi di persistenza, script dannosi e altro ancora, con privilegi elevati nelle macchine virtuali. Questa attività è considerata sospetta perché il comportamento dell'entità parte dai modelli consueti e a causa dell'elevato numero di installazioni di estensioni.
Tattiche MITRE: Esecuzione
Gravità: Bassa
È stata rilevata un'estensione script personalizzata con uno script sospetto nella macchina virtuale (anteprima)
(VM_CustomScriptExtensionSuspiciousCmd)
Descrizione: l'estensione script personalizzata con uno script sospetto è stata rilevata nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati potrebbero usare l'estensione script personalizzata per eseguire codice dannoso con privilegi elevati nella macchina virtuale tramite Azure Resource Manager. Lo script viene considerato sospetto perché alcune parti sono state identificate come potenzialmente dannose.
Tattiche MITRE: Esecuzione
Gravità: alta
Esecuzione sospetta di un'estensione script personalizzata nella macchina virtuale
(VM_CustomScriptExtensionSuspiciousFailure)
Descrizione: è stato rilevato un errore sospetto di un'estensione script personalizzata nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Tali errori potrebbero essere associati a script dannosi eseguiti da questa estensione.
Tattiche MITRE: Esecuzione
Gravità: medio
Eliminazione insolita dell'estensione script personalizzata nella macchina virtuale
(VM_CustomScriptExtensionUnusualDeletion)
Descrizione: l'eliminazione insolita di un'estensione script personalizzata è stata rilevata nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati potrebbero usare estensioni di script personalizzate per eseguire codice dannoso nelle macchine virtuali tramite Azure Resource Manager.
Tattiche MITRE: Esecuzione
Gravità: medio
Esecuzione insolita dell'estensione script personalizzata nella macchina virtuale
(VM_CustomScriptExtensionUnusualExecution)
Descrizione: è stata rilevata un'esecuzione insolita di un'estensione script personalizzata nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati potrebbero usare estensioni di script personalizzate per eseguire codice dannoso nelle macchine virtuali tramite Azure Resource Manager.
Tattiche MITRE: Esecuzione
Gravità: medio
Estensione script personalizzata con punto di ingresso sospetto nella macchina virtuale
(VM_CustomScriptExtensionSuspiciousEntryPoint)
Descrizione: l'estensione di script personalizzata con un punto di ingresso sospetto è stata rilevata nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Il punto di ingresso fa riferimento a un repository GitHub sospetto. Gli utenti malintenzionati potrebbero usare estensioni di script personalizzate per eseguire codice dannoso nelle macchine virtuali tramite Azure Resource Manager.
Tattiche MITRE: Esecuzione
Gravità: medio
Estensione di script personalizzata con payload sospetto nella macchina virtuale
(VM_CustomScriptExtensionSuspiciousPayload)
Descrizione: l'estensione di script personalizzata con un payload da un repository GitHub sospetto è stata rilevata nella macchina virtuale analizzando le operazioni di Azure Resource Manager nella sottoscrizione. Gli utenti malintenzionati potrebbero usare estensioni di script personalizzate per eseguire codice dannoso nelle macchine virtuali tramite Azure Resource Manager.
Tattiche MITRE: Esecuzione
Gravità: medio
Nota
Per gli avvisi in anteprima: le condizioni supplementari di anteprima di Azure includono condizioni legali aggiuntive applicabili alle funzionalità di Azure in versione beta, in anteprima o non ancora rilasciate nella disponibilità generale.