تنبيهات Resource Manager

تسرد هذه المقالة تنبيهات الأمان التي قد تحصل عليها ل Resource Manager من Microsoft Defender for Cloud وأي خطط Microsoft Defender قمت بتمكينها. تعتمد التنبيهات المعروضة في بيئتك على الموارد والخدمات التي تحميها، والتكوين المخصص.

تعرف على كيفية الاستجابة لهذه التنبيهات.

تعرف على كيفية تصدير التنبيهات.

تنبيهات Resource Manager

مزيد من التفاصيل والملاحظات

عملية Azure Resource Manager من عنوان IP مشبوه

(ARM_OperationFromSuspiciousIP)

الوصف: اكتشف Microsoft Defender for Resource Manager عملية من عنوان IP تم وضع علامة عليه على أنه مريب في موجزات التحليل الذكي للمخاطر.

تكتيكات MITRE: التنفيذ

الخطورة: متوسط

عملية Azure Resource Manager من عنوان IP مشبوه للوكيل

(ARM_OperationFromSuspiciousProxyIP)

الوصف: اكتشف Microsoft Defender for Resource Manager عملية إدارة الموارد من عنوان IP المقترن بخدمات الوكيل، مثل TOR. في حين أن هذا السلوك يمكن أن يكون شرعياً، غالباً ما يُنظَر إليه من ضمن الأنشطة الضارة، عندما يحاول ممثلو التهديد إخفاء عنوان IP المصدر.

تكتيكات MITRE: التهرب الدفاعي

الخطورة: متوسط

مجموعة أدوات استغلال MicroBurst المستخدمة لتعداد الموارد في اشتراكاتك

(ARM_MicroBurst.AzDomainInfo)

الوصف: تم تشغيل برنامج نصي PowerShell في اشتراكك ونفذ نمطا مشبوها لتنفيذ عمليات جمع المعلومات لاكتشاف الموارد والأذونات وهياكل الشبكة. تستخدم جهات التهديد البرامج النصية التلقائية، مثل MicroBurst، لجمع المعلومات للأنشطة الضارة. تم الكشف عن ذلك عن طريق تحليل عمليات Azure Resource Manager في اشتراكك. قد تشير هذه العملية إلى أنه تم اختراق هوية في مؤسستك، وأن ممثل التهديد يحاول اختراق بيئتك للنيات الضارة.

تكتيكات MITRE: -

الخطورة: منخفض

مجموعة أدوات استغلال MicroBurst المستخدمة لتعداد الموارد في اشتراكاتك

(ARM_MicroBurst.AzureDomainInfo)

الوصف: تم تشغيل برنامج نصي PowerShell في اشتراكك ونفذ نمطا مشبوها لتنفيذ عمليات جمع المعلومات لاكتشاف الموارد والأذونات وهياكل الشبكة. تستخدم جهات التهديد البرامج النصية التلقائية، مثل MicroBurst، لجمع المعلومات للأنشطة الضارة. تم الكشف عن ذلك عن طريق تحليل عمليات Azure Resource Manager في اشتراكك. قد تشير هذه العملية إلى أنه تم اختراق هوية في مؤسستك، وأن ممثل التهديد يحاول اختراق بيئتك للنيات الضارة.

تكتيكات MITRE: -

الخطورة: منخفض

مجموعة أدوات استغلال MicroBurst المستخدمة لتنفيذ التعليمات البرمجية على جهازك الظاهري

(ARM_MicroBurst.AzVMBulkCMD)

الوصف: تم تشغيل برنامج نصي PowerShell في اشتراكك ونفذ نمطا مشبوها لتنفيذ التعليمات البرمجية على جهاز ظاهري أو قائمة من الأجهزة الظاهرية. تستخدم جهات التهديد البرامج النصية التلقائية، مثل MicroBurst، لتشغيل برنامج نصي على جهاز ظاهري للأنشطة الضارة. تم الكشف عن ذلك عن طريق تحليل عمليات Azure Resource Manager في اشتراكك. قد تشير هذه العملية إلى أنه تم اختراق هوية في مؤسستك، وأن ممثل التهديد يحاول اختراق بيئتك للنيات الضارة.

تكتيكات MITRE: التنفيذ

الخطورة: عالية

مجموعة أدوات استغلال MicroBurst المستخدمة لتنفيذ التعليمات البرمجية على جهازك الظاهري

(RM_MicroBurst.AzureRmVMBulkCMD)

الوصف: تم استخدام مجموعة أدوات استغلال MicroBurst لتنفيذ التعليمات البرمجية على أجهزتك الظاهرية. تم الكشف عن ذلك عن طريق تحليل عمليات Azure Resource Manager في اشتراكك.

تكتيكات MITRE: -

الخطورة: عالية

مجموعة أدوات استغلال MicroBurst المستخدمة لاستخراج المفاتيح من خزائن مفاتيح Azure

(ARM_MicroBurst.AzKeyVaultKeysREST)

الوصف: تم تشغيل برنامج نصي PowerShell في اشتراكك ونفذ نمطا مريبا لاستخراج المفاتيح من Azure Key Vault(s). تستخدم جهات التهديد البرامج النصية التلقائية، مثل MicroBurst، لسرد المفاتيح واستخدامها للوصول إلى البيانات الحساسة أو إجراء حركة أفقية. تم الكشف عن ذلك عن طريق تحليل عمليات Azure Resource Manager في اشتراكك. قد تشير هذه العملية إلى أنه تم اختراق هوية في مؤسستك، وأن ممثل التهديد يحاول اختراق بيئتك للنيات الضارة.

تكتيكات MITRE: -

الخطورة: عالية

مجموعة أدوات استغلال MicroBurst المستخدمة لاستخراج المفاتيح لحسابات التخزين الخاصة بك

(ARM_MicroBurst.AZStorageKeysREST)

الوصف: تم تشغيل برنامج نصي PowerShell في اشتراكك ونفذ نمطا مشبوها لاستخراج المفاتيح إلى حساب (حسابات) التخزين. يستخدم مستخدمو التهديد البرامج النصية التلقائية، مثل MicroBurst، لسرد المفاتيح واستخدامها للوصول إلى البيانات الحساسة في حساب (حسابات) التخزين الخاص بك. تم الكشف عن ذلك عن طريق تحليل عمليات Azure Resource Manager في اشتراكك. قد تشير هذه العملية إلى أنه تم اختراق هوية في مؤسستك، وأن ممثل التهديد يحاول اختراق بيئتك للنيات الضارة.

تكتيكات MITRE: المجموعة

الخطورة: منخفض

مجموعة أدوات استغلال MicroBurst المستخدمة لاستخراج الأسرار من خزائن مفاتيح Azure

(ARM_MicroBurst.AzKeyVaultSecretsREST)

الوصف: تم تشغيل برنامج نصي PowerShell في اشتراكك ونفذ نمطا مريبا لاستخراج الأسرار من Azure Key Vault(s). تستخدم جهات التهديد البرامج النصية التلقائية، مثل MicroBurst، لسرد الأسرار واستخدامها للوصول إلى البيانات الحساسة أو إجراء حركة أفقية. تم الكشف عن ذلك عن طريق تحليل عمليات Azure Resource Manager في اشتراكك. قد تشير هذه العملية إلى أنه تم اختراق هوية في مؤسستك، وأن ممثل التهديد يحاول اختراق بيئتك للنيات الضارة.

تكتيكات MITRE: -

الخطورة: عالية

مجموعة أدوات استغلال PowerZure المستخدمة لرفع مستوى الوصول من Azure AD إلى Azure

(ARM_PowerZure.AzureElevatedPrivileges)

الوصف: تم استخدام مجموعة أدوات استغلال PowerZure لرفع مستوى الوصول من AzureAD إلى Azure. تم الكشف عن ذلك عن طريق تحليل عمليات Azure Resource Manager في المستأجر الخاص بك.

تكتيكات MITRE: -

الخطورة: عالية

مجموعة أدوات استغلال PowerZure المستخدمة لتعداد الموارد

(ARM_PowerZure.GetAzureTargets)

الوصف: تم استخدام مجموعة أدوات استغلال PowerZure لتعداد الموارد نيابة عن حساب مستخدم شرعي في مؤسستك. تم الكشف عن ذلك عن طريق تحليل عمليات Azure Resource Manager في اشتراكك.

تكتيكات MITRE: المجموعة

الخطورة: عالية

مجموعة أدوات استغلال PowerZure المستخدمة لتعداد حاويات التخزين والمشاركات والجداول

(ARM_PowerZure.ShowStorageContent)

الوصف: تم استخدام مجموعة أدوات استغلال PowerZure لتعداد مشاركات التخزين والجداول والحاويات. تم الكشف عن ذلك عن طريق تحليل عمليات Azure Resource Manager في اشتراكك.

تكتيكات MITRE: -

الخطورة: عالية

مجموعة أدوات استغلال PowerZure المستخدمة لتنفيذ دفتر تشغيل في اشتراكك

(ARM_PowerZure.StartRunbook)

الوصف: تم استخدام مجموعة أدوات استغلال PowerZure لتنفيذ دفتر تشغيل. تم الكشف عن ذلك عن طريق تحليل عمليات Azure Resource Manager في اشتراكك.

تكتيكات MITRE: -

الخطورة: عالية

مجموعة أدوات استغلال PowerZure المستخدمة لاستخراج محتوى Runbooks

(ARM_PowerZure.AzureRunbookContent)

الوصف: تم استخدام مجموعة أدوات استغلال PowerZure لاستخراج محتوى دفتر التشغيل. تم الكشف عن ذلك عن طريق تحليل عمليات Azure Resource Manager في اشتراكك.

تكتيكات MITRE: المجموعة

الخطورة: عالية

معاينة - تم الكشف عن مجموعة أدوات Azurite الخاصة ب FSecure

(ARM_Azurite)

الوصف: تم الكشف عن تشغيل مجموعة أدوات استكشاف بيئة سحابية معروفة في بيئتك. يمكن استخدام الأداة Azurite من قبل المهاجم (أو اختبار الاختراق) لتعيين موارد اشتراكاتك وتحديد التكوينات غير الآمنة.

تكتيكات MITRE: المجموعة

الخطورة: عالية

تم الكشف عن إنشاء مريب لموارد الحوسبة

(ARM_SuspiciousComputeCreation)

الوصف: حدد Microsoft Defender for Resource Manager إنشاءا مشبوها لموارد الحوسبة في اشتراكك باستخدام الأجهزة الظاهرية/مجموعة مقياس Azure. تم تصميم العمليات المحددة للسماح للمسؤولين بإدارة بيئاتهم بكفاءة عن طريق نشر موارد جديدة عند الحاجة. على الرغم من أن هذا النشاط قد يكون مشروعا، فقد يستخدم أحد الجهات الفاعلة في التهديد مثل هذه العمليات لإجراء تعدين التشفير. يعتبر النشاط مريبا لأن مقياس موارد الحوسبة أعلى من الملاحظ سابقا في الاشتراك. يمكن أن يشير هذا إلى أن الأساسي يتعرض للخطر ويتم استخدامه بهدف ضار.

تكتيكات MITRE: التأثير

الخطورة: متوسط

تم الكشف عن استرداد مخزن المفاتيح المشبوه

(Arm_Suspicious_Vault_Recovering)

الوصف: اكتشف Microsoft Defender for Resource Manager عملية استرداد مشبوهة لمورد مخزن مفاتيح محذوف مبدئيا. يختلف المستخدم الذي يسترد المورد عن المستخدم الذي قام بحذفه. هذا مريب للغاية لأن المستخدم نادرا ما يستدعي مثل هذه العملية. بالإضافة إلى ذلك، قام المستخدم بتسجيل الدخول دون مصادقة متعددة العوامل (MFA). قد يشير هذا إلى أن المستخدم يتعرض للاختراق ويحاول اكتشاف الأسرار والمفاتيح للوصول إلى الموارد الحساسة، أو لتنفيذ حركة أفقية عبر شبكتك.

تكتيكات MITRE: الحركة الجانبية

الخطورة: متوسط/مرتفع

معاينة - جلسة إدارة مشبوهة باستخدام حساب غير نشط تم اكتشافه

(ARM_UnusedAccountPersistence)

الوصف: اكتشف تحليل سجلات نشاط الاشتراك سلوكا مشبوها. يقوم الآن المبدأ غير المستخدم لفترة طويلة من الوقت بتنفيذ إجراءات يمكن أن تضمن استمرار المهاجم.

تكتيكات MITRE: الثبات

الخطورة: متوسط

معاينة - استدعاء مشبوه لعملية "الوصول إلى بيانات الاعتماد" عالية المخاطر بواسطة كيان خدمة تم اكتشافه

(ARM_AnomalousServiceOperation.CredentialAccess)

الوصف: حدد Microsoft Defender for Resource Manager استدعاء مشبوه لعملية عالية المخاطر في اشتراكك، مما قد يشير إلى محاولة الوصول إلى بيانات الاعتماد. صُمِّمت العمليات المحددة للسماح للمسؤولين بإدارة بيئاتهم بكفاءة. في حين أن هذا النشاط قد يكون شرعيا، قد يستخدم ممثل التهديد مثل هذه العمليات للوصول إلى بيانات الاعتماد المقيدة واختراق الموارد في بيئتك. يمكن أن يشير هذا إلى أن كيان الخدمة معرض للخطر ويتم استخدامه بهدف ضار.

تكتيكات MITRE: الوصول إلى بيانات الاعتماد

الخطورة: متوسط

معاينة - استدعاء مشبوه لعملية "جمع البيانات" عالية المخاطر بواسطة كيان خدمة تم اكتشافه

(ARM_AnomalousServiceOperation.Collection)

الوصف: حدد Microsoft Defender for Resource Manager استدعاء مشبوه لعملية عالية المخاطر في اشتراكك، مما قد يشير إلى محاولة جمع البيانات. صُمِّمت العمليات المحددة للسماح للمسؤولين بإدارة بيئاتهم بكفاءة. على الرغم من أن هذا النشاط قد يكون مشروعا، فقد يستخدم أحد الجهات الفاعلة في التهديد مثل هذه العمليات لجمع البيانات الحساسة حول الموارد في بيئتك. يمكن أن يشير هذا إلى أن كيان الخدمة معرض للخطر ويتم استخدامه بهدف ضار.

تكتيكات MITRE: المجموعة

الخطورة: متوسط

معاينة - استدعاء مشبوه لعملية "التهرب الدفاعي" عالية المخاطر من قبل كيان الخدمة الذي تم اكتشافه

(ARM_AnomalousServiceOperation.DefenseEvasion)

الوصف: حدد Microsoft Defender for Resource Manager استدعاءا مشبوها لعملية عالية المخاطر في اشتراكك، مما قد يشير إلى محاولة التهرب من الدفاعات. صُمِّمت العمليات المحددة للسماح للمسؤولين بإدارة الوضع الأمني لبيئاتهم بكفاءة. على الرغم من أن هذا النشاط قد يكون مشروعا، قد يستخدم ممثل التهديد مثل هذه العمليات لتجنب الكشف عنه أثناء المساس بالموارد في بيئتك. يمكن أن يشير هذا إلى أن كيان الخدمة معرض للخطر ويتم استخدامه بهدف ضار.

تكتيكات MITRE: التهرب الدفاعي

الخطورة: متوسط

معاينة - استدعاء مشبوه لعملية "تنفيذ" عالية المخاطر بواسطة كيان خدمة تم اكتشافه

(ARM_AnomalousServiceOperation.Execution)

الوصف: حدد Microsoft Defender for Resource Manager استدعاء مشبوها لعملية عالية المخاطر على جهاز في اشتراكك، مما قد يشير إلى محاولة تنفيذ التعليمات البرمجية. صُمِّمت العمليات المحددة للسماح للمسؤولين بإدارة بيئاتهم بكفاءة. في حين أن هذا النشاط قد يكون شرعيا، قد يستخدم ممثل التهديد مثل هذه العمليات للوصول إلى بيانات الاعتماد المقيدة واختراق الموارد في بيئتك. يمكن أن يشير هذا إلى أن كيان الخدمة معرض للخطر ويتم استخدامه بهدف ضار.

تكتيكات MITRE: تنفيذ الدفاع

الخطورة: متوسط

معاينة - استدعاء مشبوه لعملية "التأثير" عالية المخاطر بواسطة كيان خدمة تم اكتشافه

(ARM_AnomalousServiceOperation.Impact)

الوصف: حدد Microsoft Defender for Resource Manager استدعاءا مشبوها لعملية عالية المخاطر في اشتراكك، مما قد يشير إلى محاولة تغيير التكوين. صُمِّمت العمليات المحددة للسماح للمسؤولين بإدارة بيئاتهم بكفاءة. في حين أن هذا النشاط قد يكون شرعيا، قد يستخدم ممثل التهديد مثل هذه العمليات للوصول إلى بيانات الاعتماد المقيدة واختراق الموارد في بيئتك. يمكن أن يشير هذا إلى أن كيان الخدمة معرض للخطر ويتم استخدامه بهدف ضار.

تكتيكات MITRE: التأثير

الخطورة: متوسط

معاينة - استدعاء مشبوه لعملية "الوصول الأولي" عالية المخاطر بواسطة كيان خدمة تم اكتشافه

(ARM_AnomalousServiceOperation.InitialAccess)

الوصف: حدد Microsoft Defender for Resource Manager استدعاء مشبوه لعملية عالية المخاطر في اشتراكك، مما قد يشير إلى محاولة الوصول إلى الموارد المقيدة. صُمِّمت العمليات المحددة للسماح للمسؤولين بالوصول إلى بيئاتهم بكفاءة. على الرغم من أن هذا النشاط قد يكون شرعيا، قد يستخدم ممثل التهديد مثل هذه العمليات للوصول الأولي إلى الموارد المقيدة في بيئتك. يمكن أن يشير هذا إلى أن كيان الخدمة معرض للخطر ويتم استخدامه بهدف ضار.

تكتيكات MITRE: الوصول الأولي

الخطورة: متوسط

معاينة - استدعاء مشبوه لعملية "الوصول إلى الحركة الجانبية" عالية المخاطر بواسطة كيان خدمة تم اكتشافه

(ARM_AnomalousServiceOperation.LateralMovement)

الوصف: حدد Microsoft Defender for Resource Manager استدعاءا مشبوها لعملية عالية المخاطر في اشتراكك، مما قد يشير إلى محاولة إجراء حركة أفقية. صُمِّمت العمليات المحددة للسماح للمسؤولين بإدارة بيئاتهم بكفاءة. على الرغم من أن هذا النشاط قد يكون شرعيا، فقد يستخدم أحد الجهات الفاعلة في التهديد مثل هذه العمليات للمساس بمزيد من الموارد في بيئتك. يمكن أن يشير هذا إلى أن كيان الخدمة معرض للخطر ويتم استخدامه بهدف ضار.

تكتيكات MITRE: الحركة الجانبية

الخطورة: متوسط

معاينة - استدعاء مشبوه لعملية "استمرار" عالية المخاطر بواسطة كيان خدمة تم اكتشافه

(ARM_AnomalousServiceOperation.Persistence)

الوصف: حدد Microsoft Defender for Resource Manager استدعاءا مشبوها لعملية عالية المخاطر في اشتراكك، مما قد يشير إلى محاولة تأسيس استمرار. صُمِّمت العمليات المحددة للسماح للمسؤولين بإدارة بيئاتهم بكفاءة. على الرغم من أن هذا النشاط قد يكون مشروعا، فقد يستخدم أحد الجهات الفاعلة في التهديد مثل هذه العمليات لتأسيس استمرار في بيئتك. يمكن أن يشير هذا إلى أن كيان الخدمة معرض للخطر ويتم استخدامه بهدف ضار.

تكتيكات MITRE: الثبات

الخطورة: متوسط

معاينة - استدعاء مشبوه لعملية "تصعيد الامتياز" عالية المخاطر بواسطة كيان خدمة تم اكتشافه

(ARM_AnomalousServiceOperation.PrivilegeEscalation)

الوصف: حدد Microsoft Defender for Resource Manager استدعاءا مشبوها لعملية عالية المخاطر في اشتراكك، مما قد يشير إلى محاولة تصعيد الامتيازات. صُمِّمت العمليات المحددة للسماح للمسؤولين بإدارة بيئاتهم بكفاءة. على الرغم من أن هذا النشاط قد يكون شرعيا، فقد يستخدم ممثل التهديد مثل هذه العمليات لتصعيد الامتيازات مع المساس بالموارد في بيئتك. يمكن أن يشير هذا إلى أن كيان الخدمة معرض للخطر ويتم استخدامه بهدف ضار.

تكتيكات MITRE: تصعيد الامتيازات

الخطورة: متوسط

معاينة - جلسة إدارة مشبوهة باستخدام حساب غير نشط تم اكتشافه

(ARM_UnusedAccountPersistence)

الوصف: اكتشف تحليل سجلات نشاط الاشتراك سلوكا مشبوها. يقوم الآن المبدأ غير المستخدم لفترة طويلة من الوقت بتنفيذ إجراءات يمكن أن تضمن استمرار المهاجم.

تكتيكات MITRE: الثبات

الخطورة: متوسط

معاينة - تم الكشف عن جلسة إدارة مشبوهة باستخدام PowerShell

(ARM_UnusedAppPowershellPersistence)

الوصف: اكتشف تحليل سجلات نشاط الاشتراك سلوكا مشبوها. يستخدم الآن الأساسي الذي لا يستخدم PowerShell بانتظام لإدارة بيئة الاشتراك PowerShell، وينفذ إجراءات يمكنها تأمين استمرار المهاجم.

تكتيكات MITRE: الثبات

الخطورة: متوسط

معاينة جلسة إدارة مشبوهة باستخدام مدخل Azure الذي تم اكتشافه

(ARM_UnusedAppIbizaPersistence)

الوصف: اكتشف تحليل سجلات نشاط الاشتراك سلوكا مريبا. يستخدم الآن الأساسي الذي لا يستخدم مدخل Azure (Ibiza) بانتظام لإدارة بيئة الاشتراك (لم يستخدم مدخل Azure للإدارة خلال آخر 45 يومًا، أو اشتراكًا يديره بنشاط)، وهو يستخدم الآن مدخل Azure وينفذ إجراءات يمكنها تأمين استمرار المهاجم.

تكتيكات MITRE: الثبات

الخطورة: متوسط

تم إنشاء دور مخصص متميز لاشتراكك بطريقة مريبة

(ARM_PrivilegedRoleDefinitionCreation)

الوصف: اكتشف Microsoft Defender for Resource Manager إنشاء مشبوه لتعريف دور مخصص متميز في اشتراكك. ربما ينفِّذ هذه العملية مستخدم شرعي في مؤسستك. بدلًا من ذلك، قد يشير إلى أنه تم اختراق حساب في مؤسستك، وأن ممثل التهديد يحاول إنشاء دور متميز لاستخدامه في المستقبل للتهرب من الكشف.

تكتيكات MITRE: تصعيد الامتياز، التهرب الدفاعي

الخطورة: معلوماتية

تم الكشف عن تعيين دور Azure المشبوه (معاينة)

(ARM_AnomalousRBACRoleAssignment)

الوصف: حدد Microsoft Defender for Resource Manager تعيين دور Azure مريب / تم تنفيذه باستخدام PIM (إدارة الهويات المتميزة) في المستأجر الخاص بك، مما قد يشير إلى أنه تم اختراق حساب في مؤسستك. تم تصميم العمليات المحددة للسماح للمسؤولين بمنح الأساسيات حق الوصول إلى موارد Azure. على الرغم من أن هذا النشاط قد يكون مشروعا، فقد يستخدم ممثل التهديد تعيين الدور لتصعيد أذوناته مما يسمح له بالتقدم بهجومه.

تكتيكات MITRE: الحركة الجانبية، التهرب الدفاعي

الخطورة: منخفضة (PIM) / عالية

تم اكتشاف استدعاء مشبوه لعملية "وصول إلى بيانات الاعتماد" عالية المخاطر (معاينة)

(ARM_AnomalousOperation.CredentialAccess)

الوصف: حدد Microsoft Defender for Resource Manager استدعاء مشبوه لعملية عالية المخاطر في اشتراكك، مما قد يشير إلى محاولة الوصول إلى بيانات الاعتماد. صُمِّمت العمليات المحددة للسماح للمسؤولين بالوصول إلى بيئاتهم بكفاءة. في حين أن هذا النشاط قد يكون شرعيا، قد يستخدم ممثل التهديد مثل هذه العمليات للوصول إلى بيانات الاعتماد المقيدة واختراق الموارد في بيئتك. يمكن أن يشير هذا الأمر إلى أن الحساب مخترق ويُستخدَم بهدف ضار.

تكتيكات MITRE: الوصول إلى بيانات الاعتماد

الخطورة: متوسط

تم اكتشاف استدعاء مشبوه لعملية "جمع بيانات" عالية المخاطر (معاينة)

(ARM_AnomalousOperation.Collection)

الوصف: حدد Microsoft Defender for Resource Manager استدعاء مشبوه لعملية عالية المخاطر في اشتراكك، مما قد يشير إلى محاولة جمع البيانات. صُمِّمت العمليات المحددة للسماح للمسؤولين بإدارة بيئاتهم بكفاءة. على الرغم من أن هذا النشاط قد يكون مشروعا، فقد يستخدم أحد الجهات الفاعلة في التهديد مثل هذه العمليات لجمع البيانات الحساسة حول الموارد في بيئتك. يمكن أن يشير هذا الأمر إلى أن الحساب مخترق ويُستخدَم بهدف ضار.

تكتيكات MITRE: المجموعة

الخطورة: متوسط

تم اكتشاف استدعاء مشبوه لعملية "تهرب دفاعي" عالية المخاطر (معاينة)

(ARM_AnomalousOperation.DefenseEvasion)

الوصف: حدد Microsoft Defender for Resource Manager استدعاءا مشبوها لعملية عالية المخاطر في اشتراكك، مما قد يشير إلى محاولة التهرب من الدفاعات. صُمِّمت العمليات المحددة للسماح للمسؤولين بإدارة الوضع الأمني لبيئاتهم بكفاءة. على الرغم من أن هذا النشاط قد يكون مشروعا، قد يستخدم ممثل التهديد مثل هذه العمليات لتجنب الكشف عنه أثناء المساس بالموارد في بيئتك. يمكن أن يشير هذا الأمر إلى أن الحساب مخترق ويُستخدَم بهدف ضار.

تكتيكات MITRE: التهرب الدفاعي

الخطورة: متوسط

تم اكتشاف استدعاء مشبوه لعملية "تنفيذ" عالية المخاطر (معاينة)

(ARM_AnomalousOperation.Execution)

الوصف: حدد Microsoft Defender for Resource Manager استدعاء مشبوها لعملية عالية المخاطر على جهاز في اشتراكك، مما قد يشير إلى محاولة تنفيذ التعليمات البرمجية. صُمِّمت العمليات المحددة للسماح للمسؤولين بإدارة بيئاتهم بكفاءة. في حين أن هذا النشاط قد يكون شرعيا، قد يستخدم ممثل التهديد مثل هذه العمليات للوصول إلى بيانات الاعتماد المقيدة واختراق الموارد في بيئتك. يمكن أن يشير هذا الأمر إلى أن الحساب مخترق ويُستخدَم بهدف ضار.

تكتيكات MITRE: التنفيذ

الخطورة: متوسط

تم اكتشاف استدعاء مشبوه لعملية "تأثير" عالية المخاطر (معاينة)

(ARM_AnomalousOperation.Impact)

الوصف: حدد Microsoft Defender for Resource Manager استدعاءا مشبوها لعملية عالية المخاطر في اشتراكك، مما قد يشير إلى محاولة تغيير التكوين. صُمِّمت العمليات المحددة للسماح للمسؤولين بإدارة بيئاتهم بكفاءة. في حين أن هذا النشاط قد يكون شرعيا، قد يستخدم ممثل التهديد مثل هذه العمليات للوصول إلى بيانات الاعتماد المقيدة واختراق الموارد في بيئتك. يمكن أن يشير هذا الأمر إلى أن الحساب مخترق ويُستخدَم بهدف ضار.

تكتيكات MITRE: التأثير

الخطورة: متوسط

تم اكتشاف استدعاء مشبوه لعملية "الوصول الأولي" عالية المخاطر (إصدار أولي)

(ARM_AnomalousOperation.InitialAccess)

الوصف: حدد Microsoft Defender for Resource Manager استدعاء مشبوه لعملية عالية المخاطر في اشتراكك، مما قد يشير إلى محاولة الوصول إلى الموارد المقيدة. صُمِّمت العمليات المحددة للسماح للمسؤولين بالوصول إلى بيئاتهم بكفاءة. على الرغم من أن هذا النشاط قد يكون شرعيا، قد يستخدم ممثل التهديد مثل هذه العمليات للوصول الأولي إلى الموارد المقيدة في بيئتك. يمكن أن يشير هذا الأمر إلى أن الحساب مخترق ويُستخدَم بهدف ضار.

تكتيكات MITRE: الوصول الأولي

الخطورة: متوسط

تم اكتشاف استدعاء مشبوه لعملية "حركة جانبية" عالية المخاطر (معاينة)

(ARM_AnomalousOperation.LateralMovement)

الوصف: حدد Microsoft Defender for Resource Manager استدعاءا مشبوها لعملية عالية المخاطر في اشتراكك، مما قد يشير إلى محاولة إجراء حركة أفقية. صُمِّمت العمليات المحددة للسماح للمسؤولين بإدارة بيئاتهم بكفاءة. على الرغم من أن هذا النشاط قد يكون شرعيا، فقد يستخدم أحد الجهات الفاعلة في التهديد مثل هذه العمليات للمساس بمزيد من الموارد في بيئتك. يمكن أن يشير هذا الأمر إلى أن الحساب مخترق ويُستخدَم بهدف ضار.

تكتيكات MITRE: الحركة الجانبية

الخطورة: متوسط

عملية الوصول المريبة إلى الارتفاع

(ARM_AnomalousElevateAccess)

الوصف: حدد Microsoft Defender for Resource Manager عملية "Elevate Access" مشبوهة. ويعتبر النشاط مريبا، لأن هذا المبدأ نادرا ما يستدعي مثل هذه العمليات. في حين أن هذا النشاط قد يكون شرعيا، قد يستخدم ممثل التهديد عملية "رفع مستوى الوصول" لتنفيذ تصعيد الامتياز لمستخدم معرض للخطر.

تكتيكات MITRE: تصعيد الامتيازات

الخطورة: متوسط

تم اكتشاف استدعاء مشبوه لعملية "استمرارية" عالية المخاطر (معاينة)

(ARM_AnomalousOperation.Persistence)

الوصف: حدد Microsoft Defender for Resource Manager استدعاءا مشبوها لعملية عالية المخاطر في اشتراكك، مما قد يشير إلى محاولة تأسيس استمرار. صُمِّمت العمليات المحددة للسماح للمسؤولين بإدارة بيئاتهم بكفاءة. على الرغم من أن هذا النشاط قد يكون مشروعا، فقد يستخدم أحد الجهات الفاعلة في التهديد مثل هذه العمليات لتأسيس استمرار في بيئتك. يمكن أن يشير هذا الأمر إلى أن الحساب مخترق ويُستخدَم بهدف ضار.

تكتيكات MITRE: الثبات

الخطورة: متوسط

تم اكتشاف استدعاء مشبوه لعملية "زيادة الامتيازات" عالية المخاطر (معاينة)

(ARM_AnomalousOperation.PrivilegeEscalation)

الوصف: حدد Microsoft Defender for Resource Manager استدعاءا مشبوها لعملية عالية المخاطر في اشتراكك، مما قد يشير إلى محاولة تصعيد الامتيازات. صُمِّمت العمليات المحددة للسماح للمسؤولين بإدارة بيئاتهم بكفاءة. على الرغم من أن هذا النشاط قد يكون شرعيا، فقد يستخدم ممثل التهديد مثل هذه العمليات لتصعيد الامتيازات مع المساس بالموارد في بيئتك. يمكن أن يشير هذا الأمر إلى أن الحساب مخترق ويُستخدَم بهدف ضار.

تكتيكات MITRE: تصعيد الامتيازات

الخطورة: متوسط

استخدام مجموعة أدوات استغلال MicroBurst لتشغيل تعليمة برمجية عشوائية أو تسرب بيانات اعتماد حساب Azure Automation

(ARM_MicroBurst.RunCodeOnBehalf)

الوصف: تم تشغيل برنامج نصي PowerShell في اشتراكك ونفذ نمطا مريبا لتنفيذ تعليمة برمجية عشوائية أو تسرب بيانات اعتماد حساب Azure Automation. يستخدم مستخدمو التهديد البرامج النصية التلقائية، مثل MicroBurst، لتشغيل تعليمات برمجية عشوائية للأنشطة الضارة. تم الكشف عن ذلك عن طريق تحليل عمليات Azure Resource Manager في اشتراكك. قد تشير هذه العملية إلى أنه تم اختراق هوية في مؤسستك، وأن ممثل التهديد يحاول اختراق بيئتك للنيات الضارة.

تكتيكات MITRE: الثبات، الوصول إلى بيانات الاعتماد

الخطورة: عالية

استخدام تقنيات NetSPI للحفاظ على الاستمرار في بيئة Azure

(ARM_NetSPI.MaintainPersistence)

الوصف: استخدام تقنية استمرار NetSPI لإنشاء خلفية خطاف ويب والحفاظ على الاستمرار في بيئة Azure الخاصة بك. تم الكشف عن ذلك عن طريق تحليل عمليات Azure Resource Manager في اشتراكك.

تكتيكات MITRE: -

الخطورة: عالية

استخدام مجموعة أدوات استغلال PowerZure لتشغيل تعليمة برمجية عشوائية أو تسرب بيانات اعتماد حساب Azure Automation

(ARM_PowerZure.RunCodeOnBehalf)

الوصف: اكتشفت مجموعة أدوات استغلال PowerZure محاولة تشغيل التعليمات البرمجية أو تسرب بيانات اعتماد حساب Azure Automation. تم الكشف عن ذلك عن طريق تحليل عمليات Azure Resource Manager في اشتراكك.

تكتيكات MITRE: -

الخطورة: عالية

استخدام دالة PowerZure للحفاظ على الاستمرارية في بيئة Azure

(ARM_PowerZure.MaintainPersistence)

الوصف: اكتشفت مجموعة أدوات استغلال PowerZure إنشاء مدخل خلفي لخطاف الويب للحفاظ على الاستمرار في بيئة Azure الخاصة بك. تم الكشف عن ذلك عن طريق تحليل عمليات Azure Resource Manager في اشتراكك.

تكتيكات MITRE: -

الخطورة: عالية

تم الكشف عن تعيين الدور الكلاسيكي المشبوه (معاينة)

(ARM_AnomalousClassicRoleAssignment)

الوصف: حدد Microsoft Defender for Resource Manager تعيين دور كلاسيكي مريب في المستأجر الخاص بك، مما قد يشير إلى أنه تم اختراق حساب في مؤسستك. تم تصميم العمليات المحددة لتوفير التوافق مع الإصدارات السابقة مع الأدوار الكلاسيكية التي لم تعد شائعة الاستخدام. على الرغم من أن هذا النشاط قد يكون شرعيا، فقد يستخدم ممثل التهديد مثل هذا التعيين لمنح أذونات لحساب مستخدم آخر تحت سيطرته.

تكتيكات MITRE: الحركة الجانبية، التهرب الدفاعي

الخطورة: عالية

الخطوات التالية

• تنبيهات الأمان في Microsoft Defender for Cloud
• إدارة التنبيهات الأمنية والاستجابة لها في Microsoft Defender for Cloud
• التصدير المستمر لبيانات Defender for Cloud