Linux rendszerű gépekre vonatkozó riasztások
Ez a cikk felsorolja azokat a biztonsági riasztásokat, amelyek linuxos gépeken Felhőhöz készült Microsoft Defender és az engedélyezett Microsoft Defender-csomagokból származhatnak. A környezetben megjelenő riasztások a védeni kívánt erőforrásoktól és szolgáltatásoktól, valamint a testre szabott konfigurációtól függenek.
Feljegyzés
Előfordulhat, hogy a Microsoft Defender Intelligens veszélyforrás-felderítés és Végponthoz készült Microsoft Defender által nemrég hozzáadott riasztások némelyike visszavonva.
Megtudhatja, hogyan válaszolhat ezekre a riasztásokra.
Megtudhatja, hogyan exportálhat riasztásokat.
Feljegyzés
A különböző forrásokból származó riasztások megjelenése különböző időt vehet igénybe. A hálózati forgalom elemzését igénylő riasztások például tovább tarthatnak, mint a virtuális gépeken futó gyanús folyamatokkal kapcsolatos riasztások.
Linux rendszerű gépekre vonatkozó riasztások
A Microsoft Defender 2. csomagja a Végponthoz készült Microsoft Defender által biztosítottakon kívül egyedi észleléseket és riasztásokat is biztosít. A Linux rendszerű gépekre vonatkozó riasztások a következők:
További részletek és megjegyzések
Törölve lett egy előzményfájl
Leírás: A gazdagépadatok elemzése azt jelzi, hogy a parancselőzmények naplófájlja törölve lett. A támadók ezt tehetik a nyomaik eltüntetésére. A műveletet a következő felhasználó hajtotta végre: %{felhasználónév}.
Súlyosság: Közepes
Az adaptív alkalmazásvezérlési szabályzat megsértésének naplózása megtörtént
(VM_AdaptiveApplicationControlLinuxViolationAudited)
Leírás: Az alábbi felhasználók olyan alkalmazásokat futtattak, amelyek megsértik a szervezet alkalmazásvezérlési szabályzatát ezen a gépen. Lehetséges, hogy kártevő vagy alkalmazás sebezhetőségeknek teszi ki a gépet.
MITRE-taktikák: Végrehajtás
Súlyosság: Tájékoztató
Kártevőirtó széles körű fájlok kizárása a virtuális gépen
(VM_AmBroadFilesExclusion)
Leírás: A fájlkivételt a kártevőirtó bővítményből, széles körű kizárási szabvánnyal észlelték a virtuális gépen az előfizetés Azure Resource Manager-műveleteinek elemzésével. Ez a kizárás gyakorlatilag letiltja a kártevőirtó-védelmet. A támadók kizárhatják a fájlokat a kártevőirtó-vizsgálatból a virtuális gépen, hogy megakadályozzák az észlelést, miközben tetszőleges kódot futtatnak, vagy kártevőkkel fertőzik meg a gépet.
Súlyosság: Közepes
Letiltott kártevőirtó és kódvégrehajtás a virtuális gépen
(VM_AmDisablementAndCodeExecution)
Leírás: A kártevőirtó a kódvégrehajtással egy időben le van tiltva a virtuális gépen. Ezt az azure Resource Manager-műveletek az előfizetésben való elemzésével észlelte. A támadók letiltják a kártevőirtó szkennereket, hogy megakadályozzák az észlelést, miközben jogosulatlan eszközöket futtatnak, vagy kártevőkkel fertőzik meg a gépet.
Súlyosság: Magas
Kártevőirtó letiltva a virtuális gépen
(VM_AmDisablement)
Leírás: A kártevőirtó le van tiltva a virtuális gépen. Ezt az azure Resource Manager-műveletek az előfizetésben való elemzésével észlelte. A támadók letilthatják a kártevőirtót a virtuális gépen az észlelés megakadályozása érdekében.
MITRE-taktikák: Védelmi kijátszás
Súlyosság: Közepes
Kártevőirtó fájlok kizárása és kódvégrehajtás a virtuális gépen
(VM_AmFileExclusionAndCodeExecution)
Leírás: A kártevőirtó-olvasóból kizárt fájl, amely a kód végrehajtásával egy egyéni szkriptbővítményen keresztül lett végrehajtva a virtuális gépen. Ezt az azure Resource Manager-műveletek az előfizetésben való elemzésével észlelte. A támadók kizárhatják a fájlokat a kártevőirtó-vizsgálatból a virtuális gépen, hogy megakadályozzák az észlelést, miközben jogosulatlan eszközöket futtatnak, vagy kártevőkkel fertőzik meg a gépet.
MITRE-taktikák: Védelmi kijátszás, végrehajtás
Súlyosság: Magas
Kártevőirtó fájlok kizárása és kódvégrehajtás a virtuális gépen (ideiglenes)
(VM_AmTempFileExclusionAndCodeExecution)
Leírás: Az előfizetés Azure Resource Manager-műveleteinek elemzésével ideiglenes fájlkizárást észleltünk a kártevőirtó bővítményből az egyéni szkriptbővítményen keresztüli kódvégrehajtással párhuzamosan. A támadók kizárhatják a fájlokat a kártevőirtó-vizsgálatból a virtuális gépen, hogy megakadályozzák az észlelést, miközben tetszőleges kódot futtatnak, vagy kártevőkkel fertőzik meg a gépet.
MITRE-taktikák: Védelmi kijátszás, végrehajtás
Súlyosság: Magas
Kártevőirtó fájlok kizárása a virtuális gépen
(VM_AmTempFileExclusion)
Leírás: A fájl ki van zárva a kártevőirtó szkennerből a virtuális gépen. Ezt az azure Resource Manager-műveletek az előfizetésben való elemzésével észlelte. A támadók kizárhatják a fájlokat a kártevőirtó-vizsgálatból a virtuális gépen, hogy megakadályozzák az észlelést, miközben jogosulatlan eszközöket futtatnak, vagy kártevőkkel fertőzik meg a gépet.
MITRE-taktikák: Védelmi kijátszás
Súlyosság: Közepes
A kártevőirtó valós idejű védelme le lett tiltva a virtuális gépen
(VM_AmRealtimeProtectionDisabled)
Leírás: A kártevőirtó bővítmény valós idejű védelmi letiltását észlelte a virtuális gépen az előfizetés Azure Resource Manager-műveleteinek elemzésével. A támadók letilthatják a valós idejű védelmet a kártevőirtó-vizsgálattal szemben a virtuális gépen, hogy elkerüljék az észlelést, miközben tetszőleges kódot futtatnak, vagy kártevőkkel fertőzik meg a gépet.
MITRE-taktikák: Védelmi kijátszás
Súlyosság: Közepes
A kártevőirtó valós idejű védelme ideiglenesen le lett tiltva a virtuális gépen
(VM_AmTempRealtimeProtectionDisablement)
Leírás: A rendszer a kártevőirtó bővítmény valós idejű védelmi ideiglenes letiltását észlelte a virtuális gépen az előfizetés azure Resource Manager-műveleteinek elemzésével. A támadók letilthatják a valós idejű védelmet a kártevőirtó-vizsgálattal szemben a virtuális gépen, hogy elkerüljék az észlelést, miközben tetszőleges kódot futtatnak, vagy kártevőkkel fertőzik meg a gépet.
MITRE-taktikák: Védelmi kijátszás
Súlyosság: Közepes
A kártevőirtó valós idejű védelme ideiglenesen le lett tiltva a kód végrehajtása közben a virtuális gépen
(VM_AmRealtimeProtectionDisablementAndCodeExec)
Leírás: A kártevőirtó bővítmény valós idejű védelmi ideiglenes letiltása az egyéni szkriptbővítményen keresztüli kódvégrehajtással párhuzamosan észlelhető a virtuális gépen az azure Resource Manager-műveletek elemzésével az előfizetésben. A támadók letilthatják a valós idejű védelmet a kártevőirtó-vizsgálattal szemben a virtuális gépen, hogy elkerüljék az észlelést, miközben tetszőleges kódot futtatnak, vagy kártevőkkel fertőzik meg a gépet.
Súlyosság: Magas
Kártevőirtó-vizsgálatok blokkolva vannak a virtuális gépen futó kártevőkampányokhoz kapcsolódó fájlok esetében (előzetes verzió)
(VM_AmMalwareCampaignRelatedExclusion)
Leírás: A rendszer kizárási szabályt észlelt a virtuális gépen, amely megakadályozza, hogy a kártevőirtó bővítmény beolvasson bizonyos fájlokat, amelyek feltehetően egy kártevőkampányhoz kapcsolódnak. A szabályt az előfizetésben lévő Azure Resource Manager-műveletek elemzésével észlelte a rendszer. A támadók kizárhatják a fájlokat a kártevőirtó-vizsgálatokból, hogy megakadályozzák az észlelést tetszőleges kód futtatásakor, vagy kártevőkkel fertőzik meg a gépet.
MITRE-taktikák: Védelmi kijátszás
Súlyosság: Közepes
Kártevőirtó ideiglenesen le van tiltva a virtuális gépen
(VM_AmTemporarilyDisablement)
Leírás: A kártevőirtó ideiglenesen le van tiltva a virtuális gépen. Ezt az azure Resource Manager-műveletek az előfizetésben való elemzésével észlelte. A támadók letilthatják a kártevőirtót a virtuális gépen az észlelés megakadályozása érdekében.
Súlyosság: Közepes
Kártevőirtó – szokatlan fájlkizárás a virtuális gépen
(VM_UnusualAmFileExclusion)
Leírás: A rendszer szokatlan fájlkivételt észlelt a kártevőirtó-bővítményből a virtuális gépen az Előfizetés Azure Resource Manager-műveleteinek elemzésével. A támadók kizárhatják a fájlokat a kártevőirtó-vizsgálatból a virtuális gépen, hogy megakadályozzák az észlelést, miközben tetszőleges kódot futtatnak, vagy kártevőkkel fertőzik meg a gépet.
MITRE-taktikák: Védelmi kijátszás
Súlyosság: Közepes
A észlelt ransomware-hez hasonló viselkedés [többször is látható]
Leírás: A(z) %{Feltört gazdagép} gazdagép adatainak elemzése olyan fájlok végrehajtását észlelte, amelyek hasonlóak az ismert zsarolóprogramokhoz, amelyek megakadályozhatják, hogy a felhasználók hozzáférjenek a rendszerükhöz vagy személyes fájljaikhoz, és váltságdíjfizetést követelnek a hozzáférés visszanyerése érdekében. Ez a viselkedés [x] időpontban jelenik meg a következő gépeken: [Gépnevek]
Súlyosság: Magas
Kommunikáció a fenyegetésfelderítés által azonosított gyanús tartománnyal
(AzureDNS_ThreatIntelSuspectDomain)
Leírás: A gyanús tartományokkal folytatott kommunikációt az erőforrás DNS-tranzakcióinak elemzésével és a fenyegetésfelderítési hírcsatornák által azonosított ismert rosszindulatú tartományokkal való összehasonlítással észleltük. A rosszindulatú tartományok közötti kommunikációt gyakran hajtják végre a támadók, és ez azt jelentheti, hogy az erőforrás biztonsága sérül.
MITRE-taktikák: Kezdeti hozzáférés, adatmegőrzés, végrehajtás, irányítás és ellenőrzés, kizsákmányolás
Súlyosság: Közepes
Tároló bányász rendszerképpel
(VM_MinerInContainerImage)
Leírás: A gépi naplók egy Docker-tároló végrehajtását jelzik, amely digitális pénznembányászathoz társított rendszerképet futtat.
MITRE-taktikák: Végrehajtás
Súlyosság: Magas
Felső és kisbetűs karakterek rendellenes keveredése észlelhető a parancssorban
Leírás: A(z) %{Feltört gazdagép} gazdagép adatainak elemzése olyan parancssort észlelt, amely a kis- és nagybetűk rendellenes kombinációját tartalmazta. Ez a fajta minta, bár valószínűleg jóindulatú, jellemző arra is, hogy a támadók megpróbálnak elrejteni a kis- és nagybetűkre érzékeny vagy kivonatalapú szabályegyeztetés elől, amikor rendszergazdai feladatokat hajtanak végre egy sérült gazdagépen.
Súlyosság: Közepes
Ismert rosszindulatú forrásból származó fájlletöltés észlelhető
Leírás: A gazdagépadatok elemzése egy fájl letöltését észlelte egy ismert kártevőforrásról a(z) %{Feltört gazdagép} webhelyen.
Súlyosság: Közepes
Gyanús hálózati tevékenység észlelhető
Leírás: A(z) %{Feltört gazdagép} hálózati forgalmának elemzése gyanús hálózati tevékenységet észlelt. Az ilyen forgalmat, bár jóindulatú, általában a támadók arra használják, hogy rosszindulatú kiszolgálókkal kommunikáljanak az eszközök letöltéséhez, az adatok parancs- és vezérléséhez és kiszivárgásához. A támadók tipikus tevékenységei közé tartozik a távoli felügyeleti eszközök másolása egy sérült gazdagépre, és a felhasználói adatok kiszűrése belőle.
Súlyosság: Alacsony
A digitális pénznembányászattal kapcsolatos viselkedés észlelhető
Leírás: A(z) %{Feltört gazdagép} gazdagép adatainak elemzése észlelte a digitális pénznembányászathoz általában társított folyamat vagy parancs végrehajtását.
Súlyosság: Magas
Naplózott naplózás letiltása [többször is látható]
Leírás: A Linux-naplózási rendszer lehetővé teszi a rendszer biztonsági szempontból releváns információinak nyomon követését. A rendszer a lehető legtöbb információt rögzíti a rendszeren zajló eseményekről. Az auditált naplózás letiltása akadályozhatja a rendszeren használt biztonsági szabályzatok megsértésének felderítését. Ez a viselkedés [x] időpontban jelenik meg a következő gépeken: [Gépnevek]
Súlyosság: Alacsony
Xorg sebezhetőség kihasználása [többször is látható]
Leírás: A(z) %{Feltört gazdagép} gazdagép adatainak elemzése gyanús argumentumokkal észlelte az Xorg felhasználóját. A támadók ezt a technikát használhatják a jogosultság-eszkalációs kísérletekben. Ez a viselkedés [x] időpontban jelenik meg a következő gépeken: [Gépnevek]
Súlyosság: Közepes
Sikertelen SSH-találgatásos támadás
(VM_SshBruteForceFailed)
Leírás: Sikertelen találgatásos támadásokat észlelt a rendszer a következő támadóktól: %{Támadók}. A támadók a következő felhasználónevekkel próbálták elérni a gazdagépet: %{A sikertelen bejelentkezéskor használt fiókok a gazdakísérletekhez}.
MITRE-taktikák: Próba
Súlyosság: Közepes
Fájl nélküli támadási viselkedés észlelhető
(VM_FilelessAttackBehavior.Linux)
Leírás: Az alább megadott folyamat memóriája fájl nélküli támadások által gyakran használt viselkedéseket tartalmaz. A konkrét viselkedések a következők: {a megfigyelt viselkedések listája}
MITRE-taktikák: Végrehajtás
Súlyosság: Alacsony
Fájl nélküli támadási technika észlelhető
(VM_FilelessAttackTechnique.Linux)
Leírás: Az alább megadott folyamat memóriája fájl nélküli támadási technika bizonyítékát tartalmazza. A fájl nélküli támadásokat a támadók kód végrehajtására használják, miközben elkerülik a biztonsági szoftverek általi észlelést. A konkrét viselkedések a következők: {a megfigyelt viselkedések listája}
MITRE-taktikák: Végrehajtás
Súlyosság: Magas
Fájl nélküli támadási eszközkészlet észlelhető
(VM_FilelessAttackToolkit.Linux)
Leírás: Az alább megadott folyamat memóriája egy fájl nélküli támadási eszközkészletet tartalmaz: {ToolKitName}. A fájl nélküli támadási eszközkészletek általában nem rendelkeznek jelenléttel a fájlrendszeren, ami megnehezíti a hagyományos víruskereső szoftverek általi észlelést. A konkrét viselkedések a következők: {a megfigyelt viselkedések listája}
MITRE-taktikák: Védelmi kijátszás, végrehajtás
Súlyosság: Magas
Rejtett fájlvégrehajtás észlelhető
Leírás: A gazdagépadatok elemzése azt jelzi, hogy egy rejtett fájlt %{felhasználónév} hajtott végre. Ez a tevékenység lehet jogszerű tevékenység, vagy egy sérült gazdagép jelzése.
Súlyosság: Tájékoztató
Új SSH-kulcs hozzáadva [többször is látható]
(VM_SshKeyAddition)
Leírás: Új SSH-kulcs lett hozzáadva az engedélyezett kulcsfájlhoz. Ez a viselkedés [x] időpontban jelenik meg a következő gépeken: [Gépnevek]
MITRE-taktikák: Állandóság
Súlyosság: Alacsony
Új SSH-kulcs hozzáadva
Leírás: Új SSH-kulcs lett hozzáadva az engedélyezett kulcsfájlhoz.
Súlyosság: Alacsony
Lehetséges backdoor észlelt [többször is látható]
Leírás: A gazdagépadatok elemzése azt észlelte, hogy a rendszer gyanús fájlt tölt le, majd futtatja a(z) %{Compromised Host} fájlt az előfizetésében. Ezt a tevékenységet korábban egy háttérrendszer telepítésével társították. Ez a viselkedés [x] időpontban jelenik meg a következő gépeken: [Gépnevek]
Súlyosság: Közepes
Az észlelt mailserver lehetséges kihasználtsága
(VM_MailserverExploitation )
Leírás: A(z) %{Feltört gazdagép} gazdagépadatainak elemzése szokatlan végrehajtást észlelt a levelezési kiszolgáló fiókja alatt
MITRE-taktikák: Hasznosítás
Súlyosság: Közepes
Lehetséges rosszindulatú webes rendszerhéj észlelhető
Leírás: A(z) %{Feltört gazdagép} gazdagép adatainak elemzése egy lehetséges webes rendszerhéjat észlelt. A támadók gyakran feltöltenek egy webes rendszerhéjat egy olyan gépre, amely biztonságba került, és így megőrizhetik vagy tovább használhatják őket.
Súlyosság: Közepes
Lehetséges jelszómódosítás az észlelt titkosítási módszerrel [többször is látható]
Leírás: A(z) %{Feltört gazdagép} gazdagép adatainak elemzése titkosítási módszerrel észlelt jelszómódosítást. A támadók ezt a módosítást elvégezhetik a hozzáférés folytatásához és a biztonság megőrzéséhez a kompromisszum után. Ez a viselkedés [x] időpontban jelenik meg a következő gépeken: [Gépnevek]
Súlyosság: Közepes
A digitális pénznembányászattal társított folyamat észlelhető [többször is látható]
Leírás: A(z) %{Feltört gazdagép} gazdagép adatainak elemzése észlelte a digitális pénznembányászathoz általában kapcsolódó folyamat végrehajtását. Ez a viselkedés ma több mint 100 alkalommal volt látható a következő gépeken: [Gép neve]
Súlyosság: Közepes
A digitális pénznembányászattal társított folyamat észlelhető
Leírás: A gazdagépadatok elemzése olyan folyamat végrehajtását észlelte, amely általában a digitális pénznembányászathoz van társítva.
MITRE-taktikák: Kizsákmányolás, végrehajtás
Súlyosság: Közepes
Python kódolt letöltő észlelhető [többször is látható]
Leírás: A(z) %{Feltört gazdagép} gazdagép adatainak elemzése észlelte a kódolt Python végrehajtását, amely kódot tölt le és futtat távoli helyről. Ez rosszindulatú tevékenységre utalhat. Ez a viselkedés [x] időpontban jelenik meg a következő gépeken: [Gépnevek]
Súlyosság: Alacsony
Képernyőkép a gazdagépről [többször is látható]
Leírás: A(z) %{Feltört gazdagép} gazdagép adatainak elemzése egy képernyőfelvételi eszköz felhasználóját észlelte. A támadók ezeket az eszközöket használhatják a személyes adatok eléréséhez. Ez a viselkedés [x] időpontban jelenik meg a következő gépeken: [Gépnevek]
Súlyosság: Alacsony
A rendszerhéjkód észlelhető [többször is látható]
Leírás: A(z) %{Feltört gazdagép} gazdagépadatainak elemzése azt észlelte, hogy a parancssorból generált rendszerhéjkód. Ez a folyamat lehet jogszerű tevékenység, vagy azt jelzi, hogy az egyik gépe sérült. Ez a viselkedés [x] időpontban jelenik meg a következő gépeken: [Gépnevek]
Súlyosság: Közepes
Sikeres SSH találgatásos támadás
(VM_SshBruteForceSuccess)
Leírás: A gazdagépadatok elemzése sikeres találgatásos támadást észlelt. A(z) %{Támadó forrás IP} IP-címe több bejelentkezési kísérletet is tett. Az IP-címről a következő felhasználó(k) segítségével sikerült bejelentkezni: %{A gazdagépre való sikeres bejelentkezéshez használt fiókok}. Ez azt jelenti, hogy a gazdagépet egy rosszindulatú szereplő veszélyeztetheti és szabályozhatja.
MITRE-taktikák: Hasznosítás
Súlyosság: Magas
Gyanús fióklétrehozás észlelhető
Leírás: A(z) %{Feltört gazdagép} gazdagép adatainak elemzése azt észlelte, hogy a(z) %{Gyanús fiók neve} helyi fiók létrehozása vagy használata történt: ez a fióknév nagyon hasonlít egy szabványos Windows-fiókra vagy csoportnévre (%{Hasonló a fióknévhez}). Ez potenciálisan egy támadó által létrehozott rosszindulatú fiók, amelyet azért neveznek el, hogy elkerülje, hogy egy emberi rendszergazda észrevehesse.
Súlyosság: Közepes
Gyanús kernelmodul észlelhető [többször is látható]
Leírás: A(z) %{Feltört gazdagép} gazdagépadatainak elemzése azt észlelte, hogy a rendszer kernelmodulként betöltött egy megosztott objektumfájlt. Ez lehet jogszerű tevékenység, vagy azt jelzi, hogy az egyik gépe sérült. Ez a viselkedés [x] időpontban jelenik meg a következő gépeken: [Gépnevek]
Súlyosság: Közepes
Gyanús jelszóhozzáférés [többször is látható]
Leírás: A gazdagépadatok elemzése gyanús hozzáférést észlelt a titkosított felhasználói jelszavakhoz a következőn: %{Feltört gazdagép}. Ez a viselkedés [x] időpontban jelenik meg a következő gépeken: [Gépnevek]
Súlyosság: Tájékoztató
Gyanús jelszóhozzáférés
Leírás: A gazdagépadatok elemzése gyanús hozzáférést észlelt a titkosított felhasználói jelszavakhoz a következőn: %{Feltört gazdagép}.
Súlyosság: Tájékoztató
Gyanús kérés a Kubernetes-irányítópultra
(VM_KubernetesDashboard)
Leírás: A gépnaplók azt jelzik, hogy gyanús kérés érkezett a Kubernetes-irányítópultra. A kérés egy Kubernetes-csomópontról lett elküldve, valószínűleg a csomóponton futó egyik tárolóból. Bár ez a viselkedés szándékos lehet, azt jelezheti, hogy a csomópont feltört tárolót futtat.
MITRE-taktikák: LateralMovement
Súlyosság: Közepes
Szokatlan konfiguráció alaphelyzetbe állítása a virtuális gépen
(VM_VMAccessUnusualConfigReset)
Leírás: A rendszer szokatlan konfiguráció-visszaállítást észlelt a virtuális gépen az előfizetés Azure Resource Manager-műveleteinek elemzésével. Bár ez a művelet jogos lehet, a támadók megpróbálhatják a virtuális gép hozzáférési bővítményét használni a virtuális gép konfigurációjának alaphelyzetbe állításához és a biztonsági rések elhárításához.
MITRE-taktikák: Hitelesítő adatok elérése
Súlyosság: Közepes
Szokatlan felhasználói jelszó-visszaállítás a virtuális gépen
(VM_VMAccessUnusualPasswordReset)
Leírás: A rendszer szokatlan felhasználói jelszó-visszaállítást észlelt a virtuális gépen az Előfizetés Azure Resource Manager-műveleteinek elemzésével. Bár ez a művelet jogos lehet, a támadók megpróbálhatják használni a virtuálisgép-hozzáférési bővítményt, hogy visszaállítsa egy helyi felhasználó hitelesítő adatait a virtuális gépen, és feltörje azt.
MITRE-taktikák: Hitelesítő adatok elérése
Súlyosság: Közepes
Szokatlan felhasználói SSH-kulcs alaphelyzetbe állítása a virtuális gépen
(VM_VMAccessUnusualSSHReset)
Leírás: A rendszer szokatlan felhasználói SSH-kulcs-visszaállítást észlelt a virtuális gépen az Előfizetés Azure Resource Manager-műveleteinek elemzésével. Bár ez a művelet jogos lehet, a támadók megpróbálhatják a virtuálisgép-hozzáférési bővítményt használni egy felhasználói fiók SSH-kulcsának alaphelyzetbe állításához a virtuális gépen, és veszélyeztethetik azt.
MITRE-taktikák: Hitelesítő adatok elérése
Súlyosság: Közepes
GPU-bővítmény gyanús telepítése a virtuális gépen (előzetes verzió)
(VM_GPUDriverExtensionUnusualExecution)
Leírás: A rendszer gyanús GPU-bővítmény telepítését észlelte a virtuális gépén az Azure Resource Manager-műveletek elemzésével az előfizetésében. A támadók a GPU-illesztőbővítménnyel telepíthetnek GPU-illesztőprogramokat a virtuális gépre az Azure Resource Manageren keresztül a titkosítás végrehajtásához.
MITRE-taktikák: Hatás
Súlyosság: Alacsony
Feljegyzés
Előzetes verziójú riasztások esetén: Az Azure Előzetes verzió kiegészítő feltételei további jogi feltételeket tartalmaznak, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.