더 이상 사용되지 않는 보안 경고

이 문서에서는 클라우드용 Microsoft Defender 사용되지 않는 보안 경고를 나열합니다.

사용되지 않는 컨테이너용 Defender 경고

다음 목록에는 사용되지 않는 Defender for Containers 보안 경고가 포함됩니다.

호스트 방화벽 조작이 감지됨

(K8S.NODE_FirewallDisabled)

설명: 컨테이너 내에서 실행되거나 Kubernetes 노드에서 직접 실행되는 프로세스의 분석에서 호스트 방화벽의 조작 가능성을 감지했습니다. 공격자는 데이터를 내보내기 위해 이 기능을 사용하지 않도록 설정하는 경우가 많습니다.

MITRE 전술: DefenseEvasion, 반출

심각도: 보통

HTTPS를 통한 DNS의 의심스러운 사용

(K8S.NODE_SuspiciousDNSOverHttps)

설명: 컨테이너 내에서 또는 Kubernetes 노드에서 직접 실행되는 프로세스를 분석한 결과, 일반적인 방식으로 HTTPS를 통한 DNS 호출의 사용을 감지했습니다. 이 기술은 공격자가 의심스럽거나 악의적인 사이트에 대한 호출을 숨기는 데 사용됩니다.

MITRE 전술: DefenseEvasion, 반출

심각도: 보통

악의적인 위치에 대한 가능한 연결이 검색되었습니다.

(K8S.NODE_ThreatIntelCommandLineSuspectDomain)

설명: 컨테이너 내에서 또는 Kubernetes 노드에서 직접 실행되는 프로세스를 분석한 결과 악의적이거나 비정상적인 것으로 보고된 위치에 대한 연결이 검색되었습니다. 이는 손상이 발생했을 수 있음을 나타내는 지표입니다.

MITRE 전술: InitialAccess

심각도: 보통

디지털 통화 마이닝 활동

(K8S. NODE_CurrencyMining)

설명: DNS 트랜잭션을 분석한 결과 디지털 통화 마이닝 작업이 감지되었습니다. 이러한 활동은 합법적인 사용자 동작일 수 있지만, 리소스가 손상된 후에 공격자가 수행하는 경우가 많습니다. 일반적으로 관련된 공격자 활동에는 일반적인 마이닝 도구의 다운로드 및 실행이 포함될 수 있습니다.

MITRE 전술: 반출

심각도: 낮음

서버용 Defender Linux 경고가 사용되지 않음

VM_AbnormalDaemonTermination

경고 표시 이름: 비정상적인 종료

심각도: 낮음

VM_BinaryGeneratedFromCommandLine

경고 표시 이름: 의심스러운 이진 파일이 검색됨

심각도: 보통

의심스러운 VM_CommandlineSuspectDomain

경고 표시 이름: 도메인 이름 참조

심각도: 낮음

VM_CommonBot

경고 표시 이름: 검색된 일반적인 Linux 봇과 유사한 동작

심각도: 보통

VM_CompCommonBots

경고 표시 이름: 검색된 일반적인 Linux 봇과 유사한 명령

심각도: 보통

VM_CompSuspiciousScript

경고 표시 이름: 셸 스크립트가 검색됨

심각도: 보통

VM_CompTestRule

경고 표시 이름: 복합 분석 테스트 경고

심각도: 낮음

VM_CronJobAccess

경고 표시 이름: 예약된 작업 조작이 감지됨

심각도: 정보 제공

VM_CryptoCoinMinerArtifacts

경고 표시 이름: 디지털 통화 마이닝과 관련된 프로세스가 검색됨

심각도: 보통

VM_CryptoCoinMinerDownload

경고 표시 이름: 가능한 Cryptocoinminer 다운로드가 검색됨

심각도: 보통

VM_CryptoCoinMinerExecution

경고 표시 이름: 잠재적인 암호화 동전 광부 시작

심각도: 보통

VM_DataEgressArtifacts

경고 표시 이름: 가능한 데이터 반출이 감지됨

심각도: 보통

VM_DigitalCurrencyMining

경고 표시 이름: 디지털 통화 마이닝 관련 동작이 검색됨

심각도: 높음

VM_DownloadAndRunCombo

경고 표시 이름: 의심스러운 다운로드 후 작업 실행

심각도: 보통

VM_EICAR

경고 표시 이름: 클라우드용 Microsoft Defender 테스트 경고(위협 아님)

심각도: 높음

VM_ExecuteHiddenFile

경고 표시 이름: 숨겨진 파일 실행

심각도: 정보 제공

VM_ExploitAttempt

경고 표시 이름: 가능한 명령줄 악용 시도

심각도: 보통

VM_ExposedDocker

경고 표시 이름: TCP 소켓에 노출된 Docker 디먼

심각도: 보통

VM_FairwareMalware

경고 표시 이름: 페어웨어 랜섬웨어와 유사한 동작이 검색됨

심각도: 보통

VM_FirewallDisabled

경고 표시 이름: 호스트 방화벽 조작이 감지됨

심각도: 보통

VM_HadoopYarnExploit

경고 표시 이름: Hadoop Yarn의 악용 가능성

심각도: 보통

VM_HistoryFileCleared

경고 표시 이름: 기록 파일이 지워졌습니다.

심각도: 보통

VM_KnownLinuxAttackTool

경고 표시 이름: 가능한 공격 도구가 검색됨

심각도: 보통

VM_KnownLinuxCredentialAccessTool

경고 표시 이름: 가능한 자격 증명 액세스 도구가 검색됨

심각도: 보통

VM_KnownLinuxDDoSToolkit

경고 표시 이름: DDOS 도구 키트와 연결된 표시기가 검색됨

심각도: 보통

VM_KnownLinuxScreenshotTool

경고 표시 이름: 호스트에서 찍은 스크린샷

심각도: 낮음

VM_LinuxBackdoorArtifact

경고 표시 이름: 가능한 백도어 검색됨

심각도: 보통

VM_LinuxReconnaissance

경고 표시 이름: 로컬 호스트 정찰이 검색됨

심각도: 보통

VM_MismatchedScriptFeatures

경고 표시 이름: 스크립트 확장 불일치가 검색됨

심각도: 보통

VM_MitreCalderaTools

경고 표시 이름: MITRE 칼데라 에이전트가 검색됨

심각도: 보통

VM_NewSingleUserModeStartupScript

경고 표시 이름: 감지된 지속성 시도

심각도: 보통

VM_NewSudoerAccount

경고 표시 이름: sudo 그룹에 추가된 계정

심각도: 낮음

VM_OverridingCommonFiles

경고 표시 이름: 일반 파일의 잠재적 재정의

심각도: 보통

VM_PrivilegedContainerArtifacts

경고 표시 이름: 권한 있는 모드에서 실행되는 컨테이너

심각도: 낮음

VM_PrivilegedExecutionInContainer

경고 표시 이름: 높은 권한으로 실행되는 컨테이너 내의 명령

심각도: 낮음

VM_ReadingHistoryFile

경고 표시 이름: bash 기록 파일에 대한 비정상적인 액세스

심각도: 정보 제공

VM_ReverseShell

경고 표시 이름: 잠재적인 역방향 셸이 검색됨

심각도: 보통

VM_SshKeyAccess

경고 표시 이름: 비정상적인 방법으로 SSH 권한 있는 키 파일에 액세스하는 프로세스

심각도: 낮음

VM_SshKeyAddition

경고 표시 이름: 새 SSH 키가 추가됨

심각도: 낮음

VM_SuspectCompilation

경고 표시 이름: 의심스러운 컴파일이 검색됨

심각도: 보통

VM_SuspectConnection

경고 표시 이름: 일반적이지 않은 연결 시도가 감지됨

심각도: 보통

VM_SuspectDownload

경고 표시 이름: 알려진 악성 원본에서 검색된 파일 다운로드

심각도: 보통

VM_SuspectDownloadArtifacts

경고 표시 이름: 의심스러운 파일 다운로드가 감지됨

심각도: 낮음

VM_SuspectExecutablePath

경고 표시 이름: 의심스러운 위치에서 실행 중인 실행 파일이 발견되었습니다.

심각도: 보통

VM_SuspectHtaccessFileAccess

경고 표시 이름: htaccess 파일 액세스가 감지됨

심각도: 보통

VM_SuspectInitialShellCommand

경고 표시 이름: 셸의 의심스러운 첫 번째 명령

심각도: 낮음

VM_SuspectMixedCaseText

경고 표시 이름: 명령줄에서 대문자와 소문자의 비정상적인 혼합이 감지됨

심각도: 보통

VM_SuspectNetworkConnection

경고 표시 이름: 의심스러운 네트워크 연결

심각도: 정보 제공

VM_SuspectNohup

경고 표시 이름: nohup 명령의 의심스러운 사용이 감지됨

심각도: 보통

VM_SuspectPasswordChange

경고 표시 이름: crypt-method를 사용하여 암호 변경이 감지됨

심각도: 보통

VM_SuspectPasswordFileAccess

경고 표시 이름: 의심스러운 암호 액세스

심각도: 정보 제공

VM_SuspectPhp

경고 표시 이름: 의심스러운 PHP 실행이 검색됨

심각도: 보통

VM_SuspectPortForwarding

경고 표시 이름: 외부 IP 주소로 잠재적인 포트 전달

심각도: 보통

VM_SuspectProcessAccountPrivilegeCombo

경고 표시 이름: 서비스 계정에서 실행되는 프로세스가 예기치 않게 루트가 되었습니다.

심각도: 보통

VM_SuspectProcessTermination

경고 표시 이름: 보안 관련 프로세스 종료가 검색됨

심각도: 낮음

VM_SuspectUserAddition

경고 표시 이름: useradd 명령의 의심스러운 사용이 감지됨

심각도: 보통

VM_SuspiciousCommandLineExecution

경고 표시 이름: 의심스러운 명령 실행

심각도: 높음

VM_SuspiciousDNSOverHttps

경고 표시 이름: HTTPS를 통한 DNS의 의심스러운 사용

심각도: 보통

VM_SystemLogRemoval

경고 표시 이름: 가능한 로그 변조 작업이 감지됨

심각도: 보통

VM_ThreatIntelCommandLineSuspectDomain

경고 표시 이름: 악의적인 위치에 대한 연결이 검색되었습니다.

심각도: 보통

VM_ThreatIntelSuspectLogon

경고 표시 이름: 악성 IP의 로그온이 검색되었습니다.

심각도: 높음

VM_TimerServiceDisabled

경고 표시 이름: apt-daily-upgrade.timer 서비스를 중지하려고 시도했습니다.

심각도: 정보 제공

VM_TimestampTampering

경고 표시 이름: 의심스러운 파일 타임스탬프 수정

심각도: 낮음

VM_Webshell

경고 표시 이름: 악성 웹 셸이 검색되었을 수 있음

심각도: 보통

사용되지 않는 서버용 Defender Windows 경고

SCUBA_MULTIPLEACCOUNTCREATE

경고 표시 이름: 여러 호스트에서 의심스러운 계정 만들기

심각도: 보통

SCUBA_PSINSIGHT_CONTEXT

경고 표시 이름: PowerShell의 의심스러운 사용이 감지됨

심각도: 정보 제공

SCUBA_RULE_AddGuestToAdministrators

경고 표시 이름: 로컬 관리자 그룹에 게스트 계정 추가

심각도: 보통

SCUBA_RULE_Apache_Tomcat_executing_suspicious_commands

경고 표시 이름: Apache_Tomcat_executing_suspicious_commands

심각도: 보통

SCUBA_RULE_KnownBruteForcingTools

경고 표시 이름: 의심스러운 프로세스가 실행됨

심각도: 높음

SCUBA_RULE_KnownCollectionTools

경고 표시 이름: 의심스러운 프로세스가 실행됨

심각도: 높음

SCUBA_RULE_KnownDefenseEvasionTools

경고 표시 이름: 의심스러운 프로세스가 실행됨

심각도: 높음

SCUBA_RULE_KnownExecutionTools

경고 표시 이름: 의심스러운 프로세스가 실행됨

심각도: 높음

SCUBA_RULE_KnownPassTheHashTools

경고 표시 이름: 의심스러운 프로세스가 실행됨

심각도: 높음

SCUBA_RULE_KnownSpammingTools

경고 표시 이름: 의심스러운 프로세스가 실행됨

심각도: 보통

SCUBA_RULE_Lowering_Security_Settings

경고 표시 이름: 중요한 서비스의 비활성화를 감지했습니다.

심각도: 보통

SCUBA_RULE_OtherKnownHackerTools

경고 표시 이름: 의심스러운 프로세스가 실행됨

심각도: 높음

SCUBA_RULE_RDP_session_hijacking_via_tscon

경고 표시 이름: RDP 하이재킹을 나타내는 주의 무결성 수준

심각도: 보통

SCUBA_RULE_RDP_session_hijacking_via_tscon_service

경고 표시 이름: 의심 서비스 설치

심각도: 보통

SCUBA_RULE_Suppress_pesky_unauthorized_use_prohibited_notices

경고 표시 이름: 로그온 시 사용자에게 표시되는 법적 고지 표시가 감지됨

심각도: 낮음

SCUBA_RULE_WDigest_Enabling

경고 표시 이름: WDigest UseLogonCredential 레지스트리 키 사용이 감지됨

심각도: 보통

VM.Windows_ApplockerBypass

경고 표시 이름: AppLocker를 바이패스하려는 잠재적 시도가 감지됨

심각도: 높음

VM.Windows_BariumKnownSuspiciousProcessExecution

경고 표시 이름: 의심스러운 파일 생성이 감지됨

심각도: 높음

VM.Windows_Base64EncodedExecutableInCommandLineParams

경고 표시 이름: 명령줄 데이터에서 인코딩된 실행 파일이 검색됨

심각도: 높음

VM.Windows_CalcsCommandLineUse

경고 표시 이름: 시스템의 보안 상태를 낮추기 위해 Cacls의 의심스러운 사용이 감지됨

심각도: 보통

VM.Windows_CommandLineStartingAllExe

경고 표시 이름: 디렉터리에서 모든 실행 파일을 시작하는 데 사용되는 의심스러운 명령줄이 검색됨

심각도: 보통

VM.Windows_DisablingAndDeletingIISLogFiles

경고 표시 이름: IIS 로그 파일 사용 안 함을 나타내는 검색된 작업

심각도: 보통

VM.Windows_DownloadUsingCertutil

경고 표시 이름: Certutil을 사용한 의심스러운 다운로드가 감지됨

심각도: 보통

VM.Windows_EchoOverPipeOnLocalhost

경고 표시 이름: 의심스러운 명명된 파이프 통신이 검색됨

심각도: 높음

VM.Windows_EchoToConstructPowerShellScript

경고 표시 이름: 동적 PowerShell 스크립트 생성

심각도: 보통

VM.Windows_ExecutableDecodedUsingCertutil

경고 표시 이름: 기본 제공 certutil.exe 도구를 사용하여 실행 파일의 디코딩이 감지됨

심각도: 보통

VM.Windows_FileDeletionIsSospisiousLocation

경고 표시 이름: 의심스러운 파일 삭제가 검색됨

심각도: 보통

VM.Windows_KerberosGoldenTicketAttack

경고 표시 이름: 의심되는 Kerberos 골든 티켓 공격 매개 변수 관찰됨

심각도: 보통

VM.Windows_KeygenToolKnownProcessName

경고 표시 이름: keygen 실행 파일 의심스러운 프로세스가 실행될 수 있는 실행이 감지됨

심각도: 보통

VM.Windows_KnownCredentialAccessTools

경고 표시 이름: 의심스러운 프로세스가 실행됨

심각도: 높음

VM.Windows_KnownSuspiciousPowerShellScript

경고 표시 이름: PowerShell의 의심스러운 사용이 감지됨

심각도: 높음

VM.Windows_KnownSuspiciousSoftwareInstallation

경고 표시 이름: 위험 수준이 높은 소프트웨어가 검색됨

심각도: 보통

VM.Windows_MsHtaAndPowerShellCombination

경고 표시 이름: HTA와 PowerShell의 의심스러운 조합이 검색됨

심각도: 보통

VM.Windows_MultipleAccountsQuery

경고 표시 이름: 쿼리된 여러 도메인 계정

심각도: 보통

VM.Windows_NewAccountCreation

경고 표시 이름: 계정 만들기가 검색됨

심각도: 정보 제공

VM.Windows_ObfuscatedCommandLine

경고 표시 이름: 난독 제거된 명령줄이 검색되었습니다.

심각도: 높음

VM.Windows_PcaluaUseToLaunchExecutable

경고 표시 이름: 실행 코드를 시작하는 데 Pcalua.exe 의심스러운 사용이 감지됨

심각도: 보통

VM.Windows_PetyaRansomware

경고 표시 이름: 감지된 Petya 랜섬웨어 표시기

심각도: 높음

VM.Windows_PowerShellPowerSploitScriptExecution

경고 표시 이름: 의심스러운 PowerShell cmdlet이 실행됨

심각도: 보통

VM.Windows_RansomwareIndication

경고 표시 이름: 랜섬웨어 표시기가 검색됨

심각도: 높음

VM.Windows_SqlDumperUsedSuspiciously

경고 표시 이름: 가능한 자격 증명 덤프가 검색됨[여러 번 확인됨]

심각도: 보통

VM.Windows_StopCriticalServices

경고 표시 이름: 중요한 서비스의 비활성화를 감지했습니다.

심각도: 보통

VM.Windows_SubvertingAccessibilityBinary

경고 표시 이름: 고정 키 공격으로 의심스러운 계정 생성이 검색된 중간

VM.Windows_SuspiciousAccountCreation

경고 표시 이름: 의심스러운 계정 생성이 감지됨

심각도: 보통

VM.Windows_SuspiciousFirewallRuleAdded

경고 표시 이름: 의심스러운 새 방화벽 규칙이 검색됨

심각도: 보통

VM.Windows_SuspiciousFTPSSwitchUsage

경고 표시 이름: FTP -s 스위치의 의심스러운 사용이 감지됨

심각도: 보통

VM.Windows_SuspiciousSQLActivity

경고 표시 이름: 의심스러운 SQL 활동

심각도: 보통

VM.Windows_SVCHostFromInvalidPath

경고 표시 이름: 의심스러운 프로세스가 실행됨

심각도: 높음

VM.Windows_SystemEventLogCleared

경고 표시 이름: Windows 보안 로그가 지워진 경우

심각도: 정보 제공

VM.Windows_TelegramInstallation

경고 표시 이름: 잠재적으로 의심스러운 Telegram 도구 사용이 감지됨

심각도: 보통

VM.Windows_UndercoverProcess

경고 표시 이름: 의심스러운 명명된 프로세스가 검색됨

심각도: 높음

VM.Windows_UserAccountControlBypass

경고 표시 이름: UAC를 우회하기 위해 악용될 수 있는 레지스트리 키 변경이 감지됨

심각도: 보통

VM.Windows_VBScriptEncoding

경고 표시 이름: VBScript.Encode 명령의 의심스러운 실행이 감지됨

심각도: 보통

VM.Windows_WindowPositionRegisteryChange

경고 표시 이름: 의심스러운 WindowPosition 레지스트리 값이 검색됨

심각도: 낮음

VM.Windows_ZincPortOpenningUsingFirewallRule

경고 표시 이름: ZINC 서버 임플란트에서 만든 악성 방화벽 규칙

심각도: 높음

VM_DigitalCurrencyMining

경고 표시 이름: 디지털 통화 마이닝 관련 동작이 검색됨

심각도: 높음

VM_MaliciousSQLActivity

경고 표시 이름: 악의적인 SQL 작업

심각도: 높음

VM_ProcessWithDoubleExtensionExecution

경고 표시 이름: 의심스러운 이중 확장 파일이 실행됨

심각도: 높음

VM_RegistryPersistencyKey

경고 표시 이름: Windows 레지스트리 지속성 메서드가 검색됨

심각도: 낮음

VM_ShadowCopyDeletion

경고 표시 이름: 의심스러운 위치에서 실행 중인 의심스러운 볼륨 섀도 복사 작업 실행 파일

심각도: 높음

VM_SuspectExecutablePath

경고 표시 이름: 의심스러운 위치에서 실행 중인 실행 파일이 명령줄에서 대문자와 소문자의 비정상적인 혼합을 감지했습니다.

심각도: 정보 제공

중간

VM_SuspectPhp

경고 표시 이름: 의심스러운 PHP 실행이 검색됨

심각도: 보통

VM_SuspiciousCommandLineExecution

경고 표시 이름: 의심스러운 명령 실행

심각도: 높음

VM_SuspiciousScreenSaverExecution

경고 표시 이름: 의심스러운 화면 보호기 프로세스가 실행됨

심각도: 보통

VM_SvcHostRunInRareServiceGroup

경고 표시 이름: 실행된 드문 SVCHOST 서비스 그룹

심각도: 정보 제공

VM_SystemProcessInAbnormalContext

경고 표시 이름: 의심스러운 시스템 프로세스가 실행됨

심각도: 보통

VM_ThreatIntelCommandLineSuspectDomain

경고 표시 이름: 악의적인 위치에 대한 연결이 검색되었습니다.

심각도: 보통

VM_ThreatIntelSuspectLogon

경고 표시 이름: 악성 IP의 로그온이 검색되었습니다.

심각도: 높음

VM_VbScriptHttpObjectAllocation

경고 표시 이름: VBScript HTTP 개체 할당이 검색됨

심각도: 높음

VM_TaskkillBurst

경고 표시 이름: 의심스러운 프로세스 종료 버스트

심각도: 낮음

VM_RunByPsExec

경고 표시 이름: PsExec 실행이 검색됨

심각도: 정보 제공

다음 단계

• 클라우드용 Microsoft Defender의 보안 경고
• 클라우드용 Microsoft Defender의 보안 경고 관리 및 대응
• Defender for Cloud 데이터를 지속적으로 내보내기