تنبيهات لملحقات Azure VM
تسرد هذه المقالة تنبيهات الأمان التي قد تحصل عليها لملحقات Azure VM من Microsoft Defender for Cloud وأي خطط Microsoft Defender قمت بتمكينها. تعتمد التنبيهات المعروضة في بيئتك على الموارد والخدمات التي تحميها، والتكوين المخصص.
إشعار
قد تكون بعض التنبيهات المضافة مؤخرا التي يتم تشغيلها بواسطة تحليل ذكي للمخاطر في Microsoft Defender Microsoft Defender لنقطة النهاية غير مستندة.
تعرف على كيفية الاستجابة لهذه التنبيهات.
تعرف على كيفية تصدير التنبيهات.
إشعار
قد تستغرق التنبيهات من مصادر مختلفة وقتاً مختلفاً للظهور. مثلاً، قد تستغرق التنبيهات التي تتطلب تحليل حركة مرور الشبكة وقتاً أطول من التنبيهات المتعلقة بالعمليات المشبوهة التي تعمل على الأجهزة الظاهرية.
تنبيهات ملحقات Azure VM
تركز هذه التنبيهات على الكشف عن الأنشطة المشبوهة لملحقات جهاز Azure الظاهري وتوفر رؤى حول محاولات المهاجمين للاختراق وتنفيذ الأنشطة الضارة على أجهزتك الظاهرية.
ملحقات الجهاز الظاهري Azure هي تطبيقات صغيرة تقوم بتشغيل ما بعد النشر على الأجهزة الظاهرية وتوفر قدرات مثل التكوين والأتمتة والمراقبة والأمان والمزيد. في حين أن الملحقات هي أداة قوية، يمكن استخدامها من قبل الجهات الفاعلة في التهديد لمختلف الأهداف الضارة، على سبيل المثال:
جمع البيانات ومراقبتها
تنفيذ التعليمات البرمجية ونشر التكوين بامتيازات عالية
إعادة تعيين بيانات الاعتماد وإنشاء مستخدمين إداريين
تشفير الأقراص
تعرف على المزيد حول أحدث الحمايات من Defender for Cloud ضد إساءة استخدام ملحقات Azure VM.
فشل مريب في تثبيت ملحق GPU في اشتراكك (معاينة)
(VM_GPUExtensionSuspiciousFailure)
الوصف: الهدف المشبوه لتثبيت ملحق GPU على الأجهزة الظاهرية غير المدعومة. يجب تثبيت هذا الملحق على الأجهزة الظاهرية المجهزة بمعالج رسومي، وفي هذه الحالة لا تكون الأجهزة الظاهرية مجهزة بهذا. يمكن رؤية هذه الإخفاقات عندما ينفذ الخصوم الضارون عمليات تثبيت متعددة لمثل هذا الملحق لأغراض تعدين التشفير.
تكتيكات MITRE: التأثير
الخطورة: متوسط
تم الكشف عن تثبيت مشبوه لملحق GPU على جهازك الظاهري (معاينة)
(VM_GPUDriverExtensionUnusualExecution)
الوصف: تم الكشف عن التثبيت المشبوه لملحق GPU على جهازك الظاهري عن طريق تحليل عمليات Azure Resource Manager في اشتراكك. قد يستخدم المهاجمون ملحق برنامج تشغيل GPU لتثبيت برامج تشغيل وحدة معالجة الرسومات على جهازك الظاهري عبر Azure Resource Manager لتنفيذ عملية التشفير. ويعتبر هذا النشاط مريبا لأن سلوك المدير يخرج عن أنماطه المعتادة.
تكتيكات MITRE: التأثير
الخطورة: منخفض
تم الكشف عن تشغيل الأمر باستخدام برنامج نصي مريب على جهازك الظاهري (معاينة)
(VM_RunCommandSuspiciousScript)
الوصف: تم الكشف عن أمر تشغيل مع برنامج نصي مريب على جهازك الظاهري عن طريق تحليل عمليات Azure Resource Manager في اشتراكك. قد يستخدم المهاجمون Run Command لتنفيذ تعليمات برمجية ضارة بامتيازات عالية على جهازك الظاهري عبر Azure Resource Manager. يعتبر البرنامج النصي مريبا حيث تم تحديد أجزاء معينة على أنها يحتمل أن تكون ضارة.
تكتيكات MITRE: التنفيذ
الخطورة: عالية
تم الكشف عن استخدام أمر تشغيل غير مصرح به مريب على جهازك الظاهري (معاينة)
(VM_RunCommandSuspiciousFailure)
الوصف: فشل الاستخدام المشبوه غير المصرح به لأمر التشغيل وتم اكتشافه على جهازك الظاهري عن طريق تحليل عمليات Azure Resource Manager في اشتراكك. قد يحاول المهاجمون استخدام أمر التشغيل لتنفيذ تعليمات برمجية ضارة بامتيازات عالية على أجهزتك الظاهرية عبر Azure Resource Manager. يعتبر هذا النشاط مريبا لأنه لم يتم رؤيته بشكل شائع من قبل.
تكتيكات MITRE: التنفيذ
الخطورة: متوسط
تم الكشف عن استخدام أمر التشغيل المشبوه على جهازك الظاهري (معاينة)
(VM_RunCommandSuspiciousUsage)
الوصف: تم الكشف عن الاستخدام المشبوه لأمر التشغيل على جهازك الظاهري عن طريق تحليل عمليات Azure Resource Manager في اشتراكك. قد يستخدم المهاجمون الأمر Run لتنفيذ تعليمات برمجية ضارة بامتيازات عالية على أجهزتك الظاهرية عبر Azure Resource Manager. يعتبر هذا النشاط مريبا لأنه لم يتم رؤيته بشكل شائع من قبل.
تكتيكات MITRE: التنفيذ
الخطورة: منخفض
تم الكشف عن استخدام مشبوه لمراقبة متعددة أو ملحقات جمع البيانات على أجهزتك الظاهرية (معاينة)
(VM_SuspiciousMultiExtensionUsage)
الوصف: تم الكشف عن الاستخدام المشبوه لمراقبة متعددة أو ملحقات جمع البيانات على أجهزتك الظاهرية عن طريق تحليل عمليات Azure Resource Manager في اشتراكك. قد يسيء المهاجمون استخدام هذه الملحقات لجمع البيانات ومراقبة نسبة استخدام الشبكة والمزيد في اشتراكك. يعتبر هذا الاستخدام مريبا لأنه لم يتم رؤيته بشكل شائع من قبل.
تكتيكات MITRE: الاستكشاف
الخطورة: متوسط
تم الكشف عن تثبيت مشبوه لملحقات تشفير القرص على الأجهزة الظاهرية (معاينة)
(VM_DiskEncryptionSuspiciousUsage)
الوصف: تم الكشف عن التثبيت المشبوه لملحقات تشفير القرص على أجهزتك الظاهرية عن طريق تحليل عمليات Azure Resource Manager في اشتراكك. قد يسيء المهاجمون استخدام ملحق تشفير القرص لنشر تشفير القرص الكامل على الأجهزة الظاهرية عبر Azure Resource Manager في محاولة لتنفيذ نشاط برامج الفدية الضارة. يعتبر هذا النشاط مريبا لأنه لم يتم رؤيته بشكل شائع من قبل وبسبب العدد الكبير من عمليات تثبيت الملحقات.
تكتيكات MITRE: التأثير
الخطورة: متوسط
تم الكشف عن الاستخدام المشبوه لملحق VMAccess على أجهزتك الظاهرية (معاينة)
(VM_VMAccessSuspiciousUsage)
الوصف: تم الكشف عن الاستخدام المشبوه لملحق VMAccess على أجهزتك الظاهرية. قد يسيء المهاجمون استخدام ملحق VMAccess للوصول إلى أجهزتك الظاهرية واختراقها بامتيازات عالية عن طريق إعادة تعيين الوصول أو إدارة المستخدمين الإداريين. يعتبر هذا النشاط مريبا لأن سلوك المدير يخرج عن أنماطه المعتادة، وبسبب العدد الكبير من تثبيتات الملحق.
تكتيكات MITRE: الثبات
الخطورة: متوسط
تم الكشف عن ملحق تكوين الحالة المطلوب (DSC) مع برنامج نصي مريب على جهازك الظاهري (معاينة)
(VM_DSCExtensionSuspiciousScript)
الوصف: تم الكشف عن ملحق تكوين الحالة المطلوبة (DSC) مع برنامج نصي مريب على جهازك الظاهري عن طريق تحليل عمليات Azure Resource Manager في اشتراكك. قد يستخدم المهاجمون ملحق تكوين الحالة المطلوبة (DSC) لنشر تكوينات ضارة، مثل آليات الاستمرار والبرامج النصية الضارة والمزيد، بامتيازات عالية، على أجهزتك الظاهرية. يعتبر البرنامج النصي مريبا حيث تم تحديد أجزاء معينة على أنها يحتمل أن تكون ضارة.
تكتيكات MITRE: التنفيذ
الخطورة: عالية
تم الكشف عن الاستخدام المشبوه لملحق Desired State Configuration (DSC) على أجهزتك الظاهرية (معاينة)
(VM_DSCExtensionSuspiciousUsage)
الوصف: تم الكشف عن الاستخدام المشبوه لملحق تكوين الحالة المطلوبة (DSC) على أجهزتك الظاهرية عن طريق تحليل عمليات Azure Resource Manager في اشتراكك. قد يستخدم المهاجمون ملحق تكوين الحالة المطلوبة (DSC) لنشر تكوينات ضارة، مثل آليات الاستمرار والبرامج النصية الضارة والمزيد، بامتيازات عالية، على أجهزتك الظاهرية. يعتبر هذا النشاط مريبا لأن سلوك المدير يخرج عن أنماطه المعتادة، وبسبب العدد الكبير من تثبيتات الملحق.
تكتيكات MITRE: التنفيذ
الخطورة: منخفض
تم الكشف عن ملحق البرنامج النصي المخصص مع برنامج نصي مريب على جهازك الظاهري (معاينة)
(VM_CustomScriptExtensionSuspiciousCmd)
الوصف: تم الكشف عن ملحق البرنامج النصي المخصص مع برنامج نصي مريب على جهازك الظاهري عن طريق تحليل عمليات Azure Resource Manager في اشتراكك. قد يستخدم المهاجمون ملحق البرنامج النصي المخصص لتنفيذ تعليمات برمجية ضارة بامتيازات عالية على جهازك الظاهري عبر Azure Resource Manager. يعتبر البرنامج النصي مريبا حيث تم تحديد أجزاء معينة على أنها يحتمل أن تكون ضارة.
تكتيكات MITRE: التنفيذ
الخطورة: عالية
التنفيذ الفاشل المشبوه لملحق البرنامج النصي المخصص في جهازك الظاهري
(VM_CustomScriptExtensionSuspiciousFailure)
الوصف: تم الكشف عن فشل مريب لملحق برنامج نصي مخصص في جهازك الظاهري عن طريق تحليل عمليات Azure Resource Manager في اشتراكك. قد تكون حالات الفشل هذه مقترنة بنصوص ضارة يتم تشغيلها بواسطة هذا الملحق.
تكتيكات MITRE: التنفيذ
الخطورة: متوسط
الحذف غير العادي لملحق البرنامج النصي المخصص في جهازك الظاهري
(VM_CustomScriptExtensionUnusualDeletion)
الوصف: تم الكشف عن حذف غير عادي لملحق برنامج نصي مخصص في جهازك الظاهري عن طريق تحليل عمليات Azure Resource Manager في اشتراكك. قد يستخدم المهاجمون ملحقات البرامج النصية المخصصة لتنفيذ تعليمات برمجية ضارة على أجهزتك الظاهرية عبر Azure Resource Manager.
تكتيكات MITRE: التنفيذ
الخطورة: متوسط
تنفيذ غير عادي لملحق البرنامج النصي المخصص في جهازك الظاهري
(VM_CustomScriptExtensionUnusualExecution)
الوصف: تم الكشف عن تنفيذ غير عادي لملحق برنامج نصي مخصص في جهازك الظاهري عن طريق تحليل عمليات Azure Resource Manager في اشتراكك. قد يستخدم المهاجمون ملحقات البرامج النصية المخصصة لتنفيذ تعليمات برمجية ضارة على أجهزتك الظاهرية عبر Azure Resource Manager.
تكتيكات MITRE: التنفيذ
الخطورة: متوسط
ملحق البرنامج النصي المخصص مع نقطة إدخال مريبة في جهازك الظاهري
(VM_CustomScriptExtensionSuspiciousEntryPoint)
الوصف: تم الكشف عن ملحق البرنامج النصي المخصص مع نقطة إدخال مشبوهة في جهازك الظاهري عن طريق تحليل عمليات Azure Resource Manager في اشتراكك. تشير نقطة الإدخال إلى مستودع GitHub مريب. قد يستخدم المهاجمون ملحقات البرامج النصية المخصصة لتنفيذ تعليمات برمجية ضارة على أجهزتك الظاهرية عبر Azure Resource Manager.
تكتيكات MITRE: التنفيذ
الخطورة: متوسط
ملحق البرنامج النصي المخصص مع حمولة مشبوهة في جهازك الظاهري
(VM_CustomScriptExtensionSuspiciousPayload)
الوصف: تم الكشف عن ملحق البرنامج النصي المخصص مع حمولة من مستودع GitHub مريب في جهازك الظاهري عن طريق تحليل عمليات Azure Resource Manager في اشتراكك. قد يستخدم المهاجمون ملحقات البرامج النصية المخصصة لتنفيذ تعليمات برمجية ضارة على أجهزتك الظاهرية عبر Azure Resource Manager.
تكتيكات MITRE: التنفيذ
الخطورة: متوسط
إشعار
للتنبيهات في المعاينة: تتضمن شروط Azure Preview التكميلية شروطًا قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو التي لم يتم إصدارها بعد في الإتاحة العامة.