Resource Manager에 대한 경고

이 문서에서는 클라우드용 Microsoft Defender Resource Manager에 대해 얻을 수 있는 보안 경고와 사용하도록 설정한 모든 Microsoft Defender 계획을 나열합니다. 사용자 환경에 표시되는 경고는 보호하는 리소스 및 서비스와 사용자 지정된 구성에 따라 다릅니다.

이러한 경고에 대응하는 방법을 알아봅니다.

경고를 내보내는 방법을 알아봅니다.

Resource Manager 경고

추가 세부 정보 및 참고 사항

의심스러운 IP 주소에서 Azure Resource Manager 작업

(ARM_OperationFromSuspiciousIP)

설명: Microsoft Defender for Resource Manager는 위협 인텔리전스 피드에서 의심스러운 것으로 표시된 IP 주소에서 작업을 검색했습니다.

MITRE 전술: 실행

심각도: 보통

의심스러운 프록시 IP 주소에서 Azure Resource Manager 작업

(ARM_OperationFromSuspiciousProxyIP)

설명: Resource Manager용 Microsoft Defender가 TOR과 같은 프록시 서비스와 연결된 IP 주소에서 리소스 관리 작업을 검색했습니다. 이 동작은 합법적일 수 있지만 위협 행위자가 원본 IP를 숨기려고 할 때 악의적인 활동에서 자주 볼 수 있습니다.

MITRE 전술: 방어 회피

심각도: 보통

구독에서 리소스를 열거하는 데 사용된 MicroBurst 악용 도구 키트

(ARM_MicroBurst.AzDomainInfo)

설명: PowerShell 스크립트가 구독에서 실행되었으며 리소스, 권한 및 네트워크 구조를 검색하기 위해 정보 수집 작업을 실행하는 의심스러운 패턴을 수행했습니다. 위협 행위자가 MicroBurst와 같은 자동화된 스크립트를 사용하여 악의적인 활동에 대한 정보를 수집합니다. 이는 구독에서 Azure Resource Manager 작업을 분석하면서 검색되었습니다. 이 작업은 조직의 ID가 침해되었으며 위협 행위자가 악의적인 의도로 환경을 손상하려고 함을 나타낼 수 있습니다.

MITRE 전술: -

심각도: 낮음

구독에서 리소스를 열거하는 데 사용된 MicroBurst 악용 도구 키트

(ARM_MicroBurst.AzureDomainInfo)

설명: PowerShell 스크립트가 구독에서 실행되었으며 리소스, 권한 및 네트워크 구조를 검색하기 위해 정보 수집 작업을 실행하는 의심스러운 패턴을 수행했습니다. 위협 행위자가 MicroBurst와 같은 자동화된 스크립트를 사용하여 악의적인 활동에 대한 정보를 수집합니다. 이는 구독에서 Azure Resource Manager 작업을 분석하면서 검색되었습니다. 이 작업은 조직의 ID가 침해되었으며 위협 행위자가 악의적인 의도로 환경을 손상하려고 함을 나타낼 수 있습니다.

MITRE 전술: -

심각도: 낮음

가상 머신에서 코드를 실행하는 데 사용되는 MicroBurst 악용 도구 키트

(ARM_MicroBurst.AzVMBulkCMD)

설명: PowerShell 스크립트가 구독에서 실행되었으며 VM 또는 VM 목록에서 코드를 실행하는 의심스러운 패턴을 수행했습니다. 위협 행위자가 MicroBurst와 같은 자동화된 스크립트를 사용하여 악의적인 활동을 위해 VM에서 스크립트를 실행합니다. 이는 구독에서 Azure Resource Manager 작업을 분석하면서 검색되었습니다. 이 작업은 조직의 ID가 침해되었으며 위협 행위자가 악의적인 의도로 환경을 손상하려고 함을 나타낼 수 있습니다.

MITRE 전술: 실행

심각도: 높음

가상 머신에서 코드를 실행하는 데 사용되는 MicroBurst 악용 도구 키트

(RM_MicroBurst.AzureRmVMBulkCMD)

설명: MicroBurst의 악용 도구 키트는 가상 머신에서 코드를 실행하는 데 사용되었습니다. 이는 구독에서 Azure Resource Manager 작업을 분석하면서 검색되었습니다.

MITRE 전술: -

심각도: 높음

Azure Key Vault에서 키를 추출하는 데 사용되는 MicroBurst 악용 도구 키트

(ARM_MicroBurst.AzKeyVaultKeysREST)

설명: PowerShell 스크립트가 구독에서 실행되었으며 Azure Key Vault에서 키를 추출하는 의심스러운 패턴을 수행했습니다. 위협 행위자가 MicroBurst와 같은 자동화된 스크립트를 사용하여 키를 나열하고 이를 사용하여 중요한 데이터에 액세스하거나 횡적 이동을 수행합니다. 이는 구독에서 Azure Resource Manager 작업을 분석하면서 검색되었습니다. 이 작업은 조직의 ID가 침해되었으며 위협 행위자가 악의적인 의도로 환경을 손상하려고 함을 나타낼 수 있습니다.

MITRE 전술: -

심각도: 높음

스토리지 계정에 키를 추출하는 데 사용되는 MicroBurst 악용 도구 키트

(ARM_MicroBurst.AZStorageKeysREST)

설명: PowerShell 스크립트가 구독에서 실행되었으며 스토리지 계정에 키를 추출하는 의심스러운 패턴을 수행했습니다. 위협 행위자가 MicroBurst와 같은 자동화된 스크립트를 사용하여 키를 나열하고 이를 사용하여 스토리지 계정의 중요한 데이터에 액세스합니다. 이는 구독에서 Azure Resource Manager 작업을 분석하면서 검색되었습니다. 이 작업은 조직의 ID가 침해되었으며 위협 행위자가 악의적인 의도로 환경을 손상하려고 함을 나타낼 수 있습니다.

MITRE 전술: 컬렉션

심각도: 높음

Azure Key Vault에서 비밀을 추출하는 데 사용되는 MicroBurst 악용 도구 키트

(ARM_MicroBurst.AzKeyVaultSecretsREST)

설명: PowerShell 스크립트가 구독에서 실행되었으며 Azure Key Vault에서 비밀을 추출하는 의심스러운 패턴을 수행했습니다. 위협 행위자가 MicroBurst와 같은 자동화된 스크립트를 사용하여 비밀을 나열하고 이를 사용하여 중요한 데이터에 액세스하거나 횡적 이동을 수행합니다. 이는 구독에서 Azure Resource Manager 작업을 분석하면서 검색되었습니다. 이 작업은 조직의 ID가 침해되었으며 위협 행위자가 악의적인 의도로 환경을 손상하려고 함을 나타낼 수 있습니다.

MITRE 전술: -

심각도: 높음

Azure AD에서 Azure로 액세스를 상승시키는 데 사용되는 PowerZure 악용 도구 키트

(ARM_PowerZure.AzureElevatedPrivileges)

설명: PowerZure 악용 도구 키트는 AzureAD에서 Azure로의 액세스를 상승시키는 데 사용되었습니다. 이는 테넌트에서 Azure Resource Manager 작업을 분석하면서 검색되었습니다.

MITRE 전술: -

심각도: 높음

리소스를 열거하는 데 PowerZure 악용 도구 키트가 사용됨

(ARM_PowerZure.GetAzureTargets)

설명: PowerZure 악용 도구 키트는 조직의 합법적인 사용자 계정을 대신하여 리소스를 열거하는 데 사용되었습니다. 이는 구독에서 Azure Resource Manager 작업을 분석하면서 검색되었습니다.

MITRE 전술: 컬렉션

심각도: 높음

스토리지 컨테이너, 공유 및 테이블을 열거하는 데 사용되는 PowerZure 악용 도구 키트

(ARM_PowerZure.ShowStorageContent)

설명: PowerZure 악용 도구 키트는 스토리지 공유, 테이블 및 컨테이너를 열거하는 데 사용되었습니다. 이는 구독에서 Azure Resource Manager 작업을 분석하면서 검색되었습니다.

MITRE 전술: -

심각도: 높음

구독에서 Runbook을 실행하는 데 사용되는 PowerZure 악용 도구 키트

(ARM_PowerZure.StartRunbook)

설명: PowerZure 악용 도구 키트는 Runbook을 실행하는 데 사용되었습니다. 이는 구독에서 Azure Resource Manager 작업을 분석하면서 검색되었습니다.

MITRE 전술: -

심각도: 높음

Runbook 콘텐츠를 추출하는 데 사용되는 PowerZure 악용 도구 키트

(ARM_PowerZure.AzureRunbookContent)

설명: PowerZure 악용 도구 키트는 Runbook 콘텐츠를 추출하는 데 사용되었습니다. 이는 구독에서 Azure Resource Manager 작업을 분석하면서 검색되었습니다.

MITRE 전술: 컬렉션

심각도: 높음

미리 보기 - Azurite 도구 키트 실행이 검색됨

(ARM_Azurite)

설명: 사용자 환경에서 알려진 클라우드 환경 정찰 도구 키트 실행이 검색되었습니다. Azurite 도구는 공격자(또는 침투 테스터)가 구독 리소스를 매핑하고 안전하지 않은 구성을 식별하는 데 사용할 수 있습니다.

MITRE 전술: 컬렉션

심각도: 높음

미리 보기 - 의심스러운 컴퓨팅 리소스 만들기가 탐지됨

(ARM_SuspiciousComputeCreation)

설명: Resource Manager용 Microsoft Defender는 Virtual Machines/Azure Scale Set을 사용하여 구독에서 컴퓨팅 리소스를 만드는 의심스러운 생성을 확인했습니다. 식별된 작업은 관리자가 필요할 때 새로운 리소스를 배포하여 환경을 효율적으로 관리할 수 있도록 설계되었습니다. 이 활동은 합법적일 수 있지만 위협 행위자가 이러한 작업을 활용하여 암호화 마이닝을 수행할 수 있습니다. 이 작업은 컴퓨팅 리소스 규모가 이전에 구독에서 관찰된 것보다 높으므로 의심스러운 것으로 간주됩니다. 이는 보안 주체가 손상되어 악의적인 의도로 사용되고 있음을 나타낼 수 있습니다.

MITRE 전술: 영향

심각도: 보통

미리 보기 - 의심스러운 키 자격 증명 모음 복구가 검색됨

(Arm_Suspicious_Vault_Recovering)

설명: Microsoft Defender for Resource Manager에서 일시 삭제된 키 자격 증명 모음 리소스에 대한 의심스러운 복구 작업을 검색했습니다. 리소스를 복구하는 사용자는 리소스를 삭제한 사용자와 다릅니다. 사용자가 이러한 작업을 거의 호출하지 않으므로 이는 매우 의심스럽습니다. 또한 사용자는 MFA(다단계 인증) 없이 로그온했습니다. 이는 사용자가 손상되어 중요한 리소스에 액세스하거나 네트워크를 통해 횡적 이동을 수행하기 위해 비밀 및 키를 검색하려고 시도 중임을 나타낼 수 있습니다.

MITRE 전술: 횡적 이동

심각도: 중간/높음

미리 보기 - 비활성 계정을 사용하는 의심스러운 관리 세션이 검색됨

(ARM_UnusedAccountPersistence)

설명: 구독 활동 로그 분석에서 의심스러운 동작을 감지했습니다. 오랫동안 사용하지 않는 보안 주체는 이제 공격자의 지속성을 보호할 수 있는 작업을 수행하고 있습니다.

MITRE 전술: 지속성

심각도: 보통

미리 보기 - 검색된 서비스 주체에 의한 고위험 '자격 증명 액세스' 작업의 의심스러운 호출

(ARM_AnomalousServiceOperation.CredentialAccess)

설명: Resource Manager용 Microsoft Defender는 구독에서 위험 수준이 높은 작업의 의심스러운 호출을 확인했습니다. 이는 자격 증명에 액세스하려는 시도를 나타낼 수 있습니다. 식별된 작업은 관리자가 환경을 효율적으로 관리할 수 있도록 설계되었습니다. 이 활동은 합법적일 수 있지만 위협 행위자가 이러한 작업을 활용하여 제한된 자격 증명에 액세스하고 사용자 환경에서 리소스를 손상시킬 수 있습니다. 이는 서비스 주체가 손상되어 악의적인 의도로 사용되고 있음을 나타낼 수 있습니다.

MITRE 전술: 자격 증명 액세스

심각도: 보통

미리 보기 - 검색된 서비스 주체에 의한 고위험 '데이터 수집' 작업의 의심스러운 호출

(ARM_AnomalousServiceOperation.Collection)

설명: Resource Manager용 Microsoft Defender는 구독에서 위험 수준이 높은 작업의 의심스러운 호출을 확인했습니다. 이는 데이터 수집 시도를 나타낼 수 있습니다. 식별된 작업은 관리자가 환경을 효율적으로 관리할 수 있도록 설계되었습니다. 이 활동은 합법적일 수 있지만 위협 행위자가 이러한 작업을 활용하여 사용자 환경의 리소스에 대한 중요한 데이터를 수집할 수 있습니다. 이는 서비스 주체가 손상되어 악의적인 의도로 사용되고 있음을 나타낼 수 있습니다.

MITRE 전술: 컬렉션

심각도: 보통

미리 보기 - 검색된 서비스 주체에 의한 고위험 '방어 회피' 작업의 의심스러운 호출

(ARM_AnomalousServiceOperation.DefenseEvasion)

설명: Resource Manager용 Microsoft Defender는 구독에서 위험 수준이 높은 작업의 의심스러운 호출을 확인했습니다. 이는 방어를 회피하려는 시도를 나타낼 수 있습니다. 식별된 작업은 관리자가 환경의 보안 태세를 효율적으로 관리할 수 있도록 설계되었습니다. 이 활동은 합법적일 수 있지만 위협 행위자가 이러한 작업을 활용하여 사용자 환경의 리소스를 손상시키는 동안 검색되지 않도록 할 수 있습니다. 이는 서비스 주체가 손상되어 악의적인 의도로 사용되고 있음을 나타낼 수 있습니다.

MITRE 전술: 방어 회피

심각도: 보통

미리 보기 - 검색된 서비스 주체에 의한 고위험 '실행' 작업의 의심스러운 호출

(ARM_AnomalousServiceOperation.Execution)

설명: Resource Manager용 Microsoft Defender는 구독의 컴퓨터에서 위험 수준이 높은 작업의 의심스러운 호출을 확인했습니다. 이는 코드를 실행하려는 시도를 나타낼 수 있습니다. 식별된 작업은 관리자가 환경을 효율적으로 관리할 수 있도록 설계되었습니다. 이 활동은 합법적일 수 있지만 위협 행위자가 이러한 작업을 활용하여 제한된 자격 증명에 액세스하고 사용자 환경에서 리소스를 손상시킬 수 있습니다. 이는 서비스 주체가 손상되어 악의적인 의도로 사용되고 있음을 나타낼 수 있습니다.

MITRE 전술: 방어 실행

심각도: 보통

미리 보기 - 검색된 서비스 주체에 의한 고위험 '영향' 작업의 의심스러운 호출

(ARM_AnomalousServiceOperation.Impact)

설명: Resource Manager용 Microsoft Defender는 구독에서 위험 수준이 높은 작업의 의심스러운 호출을 확인했습니다. 이는 구성 변경을 시도했음을 나타낼 수 있습니다. 식별된 작업은 관리자가 환경을 효율적으로 관리할 수 있도록 설계되었습니다. 이 활동은 합법적일 수 있지만 위협 행위자가 이러한 작업을 활용하여 제한된 자격 증명에 액세스하고 사용자 환경에서 리소스를 손상시킬 수 있습니다. 이는 서비스 주체가 손상되어 악의적인 의도로 사용되고 있음을 나타낼 수 있습니다.

MITRE 전술: 영향

심각도: 보통

미리 보기 - 검색된 서비스 주체에 의한 고위험 '초기 액세스' 작업의 의심스러운 호출

(ARM_AnomalousServiceOperation.InitialAccess)

설명: 리소스 관리자용 Microsoft Defender는 구독에서 위험 수준이 높은 작업의 의심스러운 호출을 확인했습니다. 이는 제한된 리소스에 액세스하려는 시도를 나타낼 수 있습니다. 식별된 작업은 관리자가 해당 환경에 효율적으로 액세스할 수 있도록 설계되었습니다. 이 활동은 합법적일 수 있지만 위협 행위자는 이러한 작업을 활용하여 사용자 환경의 제한된 리소스에 대한 초기 액세스를 얻을 수 있습니다. 이는 서비스 주체가 손상되어 악의적인 의도로 사용되고 있음을 나타낼 수 있습니다.

MITRE 전술: 초기 액세스

심각도: 보통

미리 보기 - 검색된 서비스 주체에 의한 고위험 '횡적 이동 액세스' 작업의 의심스러운 호출

(ARM_AnomalousServiceOperation.LateralMovement)

설명: Resource Manager용 Microsoft Defender는 구독에서 위험 수준이 높은 작업의 의심스러운 호출을 확인했습니다. 이는 횡적 이동을 수행하려는 시도를 나타낼 수 있습니다. 식별된 작업은 관리자가 환경을 효율적으로 관리할 수 있도록 설계되었습니다. 이 활동은 합법적일 수 있지만 위협 행위자가 이러한 작업을 활용하여 사용자 환경에서 더 많은 리소스를 손상시킬 수 있습니다. 이는 서비스 주체가 손상되어 악의적인 의도로 사용되고 있음을 나타낼 수 있습니다.

MITRE 전술: 횡적 이동

심각도: 보통

미리 보기 - 검색된 서비스 주체에 의한 고위험 '지속성' 작업의 의심스러운 호출

(ARM_AnomalousServiceOperation.Persistence)

설명: Resource Manager용 Microsoft Defender는 구독에서 위험 수준이 높은 작업의 의심스러운 호출을 확인했습니다. 이는 지속성을 설정하려는 시도를 나타낼 수 있습니다. 식별된 작업은 관리자가 환경을 효율적으로 관리할 수 있도록 설계되었습니다. 이 활동은 합법적일 수 있지만 위협 행위자가 이러한 작업을 활용하여 사용자 환경에서 지속성을 설정할 수 있습니다. 이는 서비스 주체가 손상되어 악의적인 의도로 사용되고 있음을 나타낼 수 있습니다.

MITRE 전술: 지속성

심각도: 보통

미리 보기 - 검색된 서비스 주체에 의한 고위험 '권한 에스컬레이션' 작업의 의심스러운 호출

(ARM_AnomalousServiceOperation.PrivilegeEscalation)

설명: Resource Manager용 Microsoft Defender는 구독에서 위험 수준이 높은 작업의 의심스러운 호출을 확인했습니다. 이는 권한을 확대하려는 시도를 나타낼 수 있습니다. 식별된 작업은 관리자가 환경을 효율적으로 관리할 수 있도록 설계되었습니다. 이 활동은 합법적일 수 있지만 위협 행위자가 이러한 작업을 활용하여 사용자 환경의 리소스를 손상시키면서 권한을 에스컬레이션할 수 있습니다. 이는 서비스 주체가 손상되어 악의적인 의도로 사용되고 있음을 나타낼 수 있습니다.

MITRE 전술: 권한 상승

심각도: 보통

미리 보기 - 비활성 계정을 사용하는 의심스러운 관리 세션이 검색됨

(ARM_UnusedAccountPersistence)

설명: 구독 활동 로그 분석에서 의심스러운 동작을 감지했습니다. 오랫동안 사용하지 않는 보안 주체는 이제 공격자의 지속성을 보호할 수 있는 작업을 수행하고 있습니다.

MITRE 전술: 지속성

심각도: 보통

미리 보기 - PowerShell을 사용한 의심스러운 관리 세션이 감지됨

(ARM_UnusedAppPowershellPersistence)

설명: 구독 활동 로그 분석에서 의심스러운 동작을 감지했습니다. 구독 환경을 관리하는 데 정기적으로 PowerShell을 사용하지 않는 보안 주체가 현재 PowerShell을 사용하고 공격자의 지속성을 보호할 수 있는 작업을 수행하고 있습니다.

MITRE 전술: 지속성

심각도: 보통

미리 보기" Azure Portal을 사용하는 의심스러운 관리 세션이 검색됨

(ARM_UnusedAppIbizaPersistence)

설명: 구독 활동 로그를 분석한 결과 의심스러운 동작이 감지되었습니다. Azure Portal(Ibiza)을 정기적으로 사용하여 구독 환경을 관리하지 않는 보안 주체(지난 45일 동안 Azure Portal을 사용하여 관리하지 않았거나 적극적으로 관리 중인 구독)는 이제 Azure Portal을 사용하고 공격자의 지속성을 보호할 수 있는 작업을 수행하고 있습니다.

MITRE 전술: 지속성

심각도: 보통

의심스러운 방식으로 구독에 대해 생성된 권한 있는 사용자 지정 역할(미리 보기)

(ARM_PrivilegedRoleDefinitionCreation)

설명: Resource Manager용 Microsoft Defender에서 구독에서 권한 있는 사용자 지정 역할 정의의 의심스러운 생성을 감지했습니다. 조직의 합법적인 사용자가 이 작업을 수행했을 수 있습니다. 또는 조직의 계정이 위반되었으며 위협 행위자가 향후 탐지를 회피하는 데 사용할 권한 있는 역할을 만들려고 시도 중임을 나타낼 수 있습니다.

MITRE 전술: 권한 상승, 방어 회피

심각도: 정보 제공

의심스러운 Azure 역할 할당 검색됨(미리 보기)

(ARM_AnomalousRBACRoleAssignment)

설명: Microsoft Defender for Resource Manager는 테넌트에서 PIM(Privileged Identity Management)을 사용하여 수행된 의심스러운 Azure 역할 할당을 식별했습니다. 이는 조직의 계정이 손상되었음을 나타낼 수 있습니다. 식별된 작업은 관리자가 주체에게 Azure 리소스에 대한 액세스 권한을 부여할 수 있도록 설계되었습니다. 이 활동은 합법적일 수 있지만 위협 행위자가 역할 할당을 활용하여 공격을 진행할 수 있도록 권한을 에스컬레이션할 수 있습니다.

MITRE 전술: 횡적 이동, 방어 회피

심각도: 낮음(PIM) / 높음

위험 수준이 높은 ‘자격 증명 액세스’ 작업의 의심스러운 호출 감지됨(미리 보기)

(ARM_AnomalousOperation.CredentialAccess)

설명: Resource Manager용 Microsoft Defender는 구독에서 위험 수준이 높은 작업의 의심스러운 호출을 확인했습니다. 이는 자격 증명에 액세스하려는 시도를 나타낼 수 있습니다. 식별된 작업은 관리자가 해당 환경에 효율적으로 액세스할 수 있도록 설계되었습니다. 이 활동은 합법적일 수 있지만 위협 행위자가 이러한 작업을 활용하여 제한된 자격 증명에 액세스하고 사용자 환경에서 리소스를 손상시킬 수 있습니다. 이는 계정이 손상되어 악의적인 의도로 사용되고 있음을 나타낼 수 있습니다.

MITRE 전술: 자격 증명 액세스

심각도: 보통

고위험 '데이터 컬렉션' 작업의 의심스러운 호출이 검색됨(미리 보기)

(ARM_AnomalousOperation.Collection)

설명: Resource Manager용 Microsoft Defender는 구독에서 위험 수준이 높은 작업의 의심스러운 호출을 확인했습니다. 이는 데이터 수집 시도를 나타낼 수 있습니다. 식별된 작업은 관리자가 환경을 효율적으로 관리할 수 있도록 설계되었습니다. 이 활동은 합법적일 수 있지만 위협 행위자가 이러한 작업을 활용하여 사용자 환경의 리소스에 대한 중요한 데이터를 수집할 수 있습니다. 이는 계정이 손상되어 악의적인 의도로 사용되고 있음을 나타낼 수 있습니다.

MITRE 전술: 컬렉션

심각도: 보통

고위험 '방어 회피' 작업의 의심스러운 호출이 검색됨(미리 보기)

(ARM_AnomalousOperation.DefenseEvasion)

설명: Resource Manager용 Microsoft Defender는 구독에서 위험 수준이 높은 작업의 의심스러운 호출을 확인했습니다. 이는 방어를 회피하려는 시도를 나타낼 수 있습니다. 식별된 작업은 관리자가 환경의 보안 태세를 효율적으로 관리할 수 있도록 설계되었습니다. 이 활동은 합법적일 수 있지만 위협 행위자가 이러한 작업을 활용하여 사용자 환경의 리소스를 손상시키는 동안 검색되지 않도록 할 수 있습니다. 이는 계정이 손상되어 악의적인 의도로 사용되고 있음을 나타낼 수 있습니다.

MITRE 전술: 방어 회피

심각도: 보통

고위험 '실행' 작업의 의심스러운 호출이 검색됨(미리 보기)

(ARM_AnomalousOperation.Execution)

설명: Resource Manager용 Microsoft Defender는 구독의 컴퓨터에서 위험 수준이 높은 작업의 의심스러운 호출을 확인했습니다. 이는 코드를 실행하려는 시도를 나타낼 수 있습니다. 식별된 작업은 관리자가 환경을 효율적으로 관리할 수 있도록 설계되었습니다. 이 활동은 합법적일 수 있지만 위협 행위자가 이러한 작업을 활용하여 제한된 자격 증명에 액세스하고 사용자 환경에서 리소스를 손상시킬 수 있습니다. 이는 계정이 손상되어 악의적인 의도로 사용되고 있음을 나타낼 수 있습니다.

MITRE 전술: 실행

심각도: 보통

고위험 '영향' 작업의 의심스러운 호출이 검색됨(미리 보기)

(ARM_AnomalousOperation.Impact)

설명: Resource Manager용 Microsoft Defender는 구독에서 위험 수준이 높은 작업의 의심스러운 호출을 확인했습니다. 이는 구성 변경을 시도했음을 나타낼 수 있습니다. 식별된 작업은 관리자가 환경을 효율적으로 관리할 수 있도록 설계되었습니다. 이 활동은 합법적일 수 있지만 위협 행위자가 이러한 작업을 활용하여 제한된 자격 증명에 액세스하고 사용자 환경에서 리소스를 손상시킬 수 있습니다. 이는 계정이 손상되어 악의적인 의도로 사용되고 있음을 나타낼 수 있습니다.

MITRE 전술: 영향

심각도: 보통

위험 수준이 높은 ‘초기 액세스’ 작업의 의심스러운 호출 감지됨(미리 보기)

(ARM_AnomalousOperation.InitialAccess)

설명: 리소스 관리자용 Microsoft Defender는 구독에서 위험 수준이 높은 작업의 의심스러운 호출을 확인했습니다. 이는 제한된 리소스에 액세스하려는 시도를 나타낼 수 있습니다. 식별된 작업은 관리자가 해당 환경에 효율적으로 액세스할 수 있도록 설계되었습니다. 이 활동은 합법적일 수 있지만 위협 행위자는 이러한 작업을 활용하여 사용자 환경의 제한된 리소스에 대한 초기 액세스를 얻을 수 있습니다. 이는 계정이 손상되어 악의적인 의도로 사용되고 있음을 나타낼 수 있습니다.

MITRE 전술: 초기 액세스

심각도: 보통

고위험 '측면 이동' 작업의 의심스러운 호출이 검색됨(미리 보기)

(ARM_AnomalousOperation.LateralMovement)

설명: Resource Manager용 Microsoft Defender는 구독에서 위험 수준이 높은 작업의 의심스러운 호출을 확인했습니다. 이는 횡적 이동을 수행하려는 시도를 나타낼 수 있습니다. 식별된 작업은 관리자가 환경을 효율적으로 관리할 수 있도록 설계되었습니다. 이 활동은 합법적일 수 있지만 위협 행위자가 이러한 작업을 활용하여 사용자 환경에서 더 많은 리소스를 손상시킬 수 있습니다. 이는 계정이 손상되어 악의적인 의도로 사용되고 있음을 나타낼 수 있습니다.

MITRE 전술: 횡적 이동

심각도: 보통

의심스러운 권한 상승 액세스 작업(미리 보기)(ARM_AnomalousElevateAccess)

설명: Resource Manager용 Microsoft Defender에서 의심스러운 "액세스 권한 상승" 작업을 확인했습니다. 이 보안 주체는 이러한 작업을 거의 호출하지 못하므로 활동이 의심스러운 것으로 간주됩니다. 이 활동은 합법적일 수 있지만 위협 행위자가 "액세스 권한 상승" 작업을 활용하여 손상된 사용자에 대한 권한 에스컬레이션을 수행할 수 있습니다.

MITRE 전술: 권한 상승

심각도: 보통

고위험 '지속성' 작업의 의심스러운 호출이 검색됨(미리 보기)

(ARM_AnomalousOperation.Persistence)

설명: Resource Manager용 Microsoft Defender는 구독에서 위험 수준이 높은 작업의 의심스러운 호출을 확인했습니다. 이는 지속성을 설정하려는 시도를 나타낼 수 있습니다. 식별된 작업은 관리자가 환경을 효율적으로 관리할 수 있도록 설계되었습니다. 이 활동은 합법적일 수 있지만 위협 행위자가 이러한 작업을 활용하여 사용자 환경에서 지속성을 설정할 수 있습니다. 이는 계정이 손상되어 악의적인 의도로 사용되고 있음을 나타낼 수 있습니다.

MITRE 전술: 지속성

심각도: 보통

고위험 '권한 상승' 작업의 의심스러운 호출이 검색됨(미리 보기)

(ARM_AnomalousOperation.PrivilegeEscalation)

설명: Resource Manager용 Microsoft Defender는 구독에서 위험 수준이 높은 작업의 의심스러운 호출을 확인했습니다. 이는 권한을 확대하려는 시도를 나타낼 수 있습니다. 식별된 작업은 관리자가 환경을 효율적으로 관리할 수 있도록 설계되었습니다. 이 활동은 합법적일 수 있지만 위협 행위자가 이러한 작업을 활용하여 사용자 환경의 리소스를 손상시키면서 권한을 에스컬레이션할 수 있습니다. 이는 계정이 손상되어 악의적인 의도로 사용되고 있음을 나타낼 수 있습니다.

MITRE 전술: 권한 상승

심각도: 보통

MicroBurst 악용 도구 키트를 사용하여 임의 코드를 실행하거나 Azure Automation 계정 자격 증명을 유출

(ARM_MicroBurst.RunCodeOnBehalf)

설명: PowerShell 스크립트가 구독에서 실행되었으며 임의의 코드를 실행하거나 Azure Automation 계정 자격 증명을 유출하는 의심스러운 패턴을 수행했습니다. 위협 행위자가 MicroBurst와 같은 자동화된 스크립트를 사용하여 악의적인 활동에 대해 임의의 코드를 실행합니다. 이는 구독에서 Azure Resource Manager 작업을 분석하면서 검색되었습니다. 이 작업은 조직의 ID가 침해되었으며 위협 행위자가 악의적인 의도로 환경을 손상하려고 함을 나타낼 수 있습니다.

MITRE 전술: 지속성, 자격 증명 액세스

심각도: 높음

Azure 환경에서 지속성을 유지하기 위한 NetSPI 기술 사용

(ARM_NetSPI.MaintainPersistence)

설명: NetSPI 지속성 기술을 사용하여 웹후크 백도어 만들기 및 Azure 환경에서 지속성 유지 관리 이는 구독에서 Azure Resource Manager 작업을 분석하면서 검색되었습니다.

MITRE 전술: -

심각도: 높음

임의 코드를 실행하거나 Azure Automation 계정 자격 증명을 반출하기 위해 PowerZure 악용 도구 키트 사용

(ARM_PowerZure.RunCodeOnBehalf)

설명: PowerZure 악용 도구 키트가 코드를 실행하거나 Azure Automation 계정 자격 증명을 유출하려고 시도하는 것을 감지했습니다. 이는 구독에서 Azure Resource Manager 작업을 분석하면서 검색되었습니다.

MITRE 전술: -

심각도: 높음

Azure 환경에서 지속성을 유지하기 위해 PowerZure 함수 사용

(ARM_PowerZure.MaintainPersistence)

설명: PowerZure 악용 도구 키트가 Azure 환경에서 지속성을 유지하기 위해 웹후크 백도어를 만드는 것을 감지했습니다. 이는 구독에서 Azure Resource Manager 작업을 분석하면서 검색되었습니다.

MITRE 전술: -

심각도: 높음

의심스러운 클래식 역할 할당 검색됨(미리 보기)

(ARM_AnomalousClassicRoleAssignment)

설명: Resource Manager용 Microsoft Defender는 테넌트에서 의심스러운 클래식 역할 할당을 식별했는데, 이는 조직의 계정이 손상되었음을 나타낼 수 있습니다. 식별된 작업은 더 이상 일반적으로 사용되지 않는 이전 클래식 역할과의 호환성을 제공하도록 설계되었습니다. 이 활동은 합법적일 수 있지만 위협 행위자가 이러한 할당을 활용하여 제어하는 다른 사용자 계정에 권한을 부여할 수 있습니다.

MITRE 전술: 횡적 이동, 방어 회피

심각도: 높음

다음 단계

• 클라우드용 Microsoft Defender의 보안 경고
• 클라우드용 Microsoft Defender의 보안 경고 관리 및 대응
• Defender for Cloud 데이터를 지속적으로 내보내기