Incidensek – referencia-útmutató
Feljegyzés
Előzetes verziójú incidensek esetén: Az Azure Előzetes verzió kiegészítő feltételei további jogi feltételeket tartalmaznak, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.
Ez a cikk felsorolja azokat az incidenseket, amelyek Felhőhöz készült Microsoft Defender és az engedélyezett Microsoft Defender-csomagokból származhatnak. A környezetben megjelenő incidensek a védeni kívánt erőforrásoktól és szolgáltatásoktól, valamint a testre szabott konfigurációtól függenek.
A biztonsági incidens a riasztások korrelációja egy entitást megosztó támadási történettel. Például erőforrás, IP-cím, felhasználó vagy megosztási lánc mintája.
Kiválaszthat egy incidenst az incidenshez kapcsolódó összes riasztás megtekintéséhez, és további információkhoz juthat.
Megtudhatja, hogyan kezelheti a biztonsági incidenseket.
Feljegyzés
Ugyanez a riasztás egy incidens részeként is létezhet, és önálló riasztásként is látható lehet.
Biztonsági incidens
További részletek és megjegyzések
| Riasztás | Leírás | Súlyosság |
|---|---|---|
| A biztonsági incidens gyanús felhasználói tevékenységet észlelt (előzetes verzió) | Ez az incidens gyanús felhasználói műveleteket jelez a környezetben. Ez a felhasználó több különböző Felhőhöz készült Defender csomagból származó riasztást aktivált, ami növeli a környezet rosszindulatú tevékenységeinek megbízhatóságát. Bár ez a tevékenység jogos lehet, a fenyegetést jelentő szereplő felhasználhatja ezeket a műveleteket a környezet erőforrásainak veszélyeztetésére. Ez azt jelezheti, hogy a fiók sérült, és rosszindulatú szándékkal használják. | Magas |
| A biztonsági incidens gyanús szolgáltatásnév-tevékenységet észlelt (előzetes verzió) | Ez az incidens gyanús szolgáltatásnév-műveleteket jelez a környezetben. Ez a szolgáltatásnév több riasztást is aktivált a különböző Felhőhöz készült Defender csomagokból, ami növeli a környezet rosszindulatú tevékenységeinek megbízhatóságát. Bár ez a tevékenység jogos lehet, a fenyegetést jelentő szereplő felhasználhatja ezeket a műveleteket a környezet erőforrásainak veszélyeztetésére. Ez azt jelezheti, hogy a szolgáltatásnév sérült, és rosszindulatú szándékkal használják. | Magas |
| A biztonsági incidens gyanús kriptobányászati tevékenységet észlelt (előzetes verzió) | 1. forgatókönyv: Ez az incidens azt jelzi, hogy gyanús kriptobányászati tevékenységet észleltek gyanús felhasználó- vagy szolgáltatásnév-tevékenységet követően. Ugyanazon az erőforráson több riasztás is aktiválódott a különböző Felhőhöz készült Defender csomagokból, ami növeli a környezet rosszindulatú tevékenységeinek megbízhatóságát. A gyanús fióktevékenységek azt jelezhetik, hogy a fenyegetés szereplője jogosulatlanul jutott hozzá a környezetéhez, és a sikeres kriptobányászati tevékenység azt sugallhatja, hogy sikeresen feltörték az erőforrást, és kriptovaluták bányászatára használják, ami a szervezet számára megnövekedett költségeket eredményezhet. 2. forgatókönyv: Ez az incidens azt jelzi, hogy gyanús kriptobányászati tevékenységet észleltek ugyanazon a virtuálisgép-erőforráson végzett találgatásos támadás után. Ugyanazon az erőforráson több riasztás is aktiválódott a különböző Felhőhöz készült Defender csomagokból, ami növeli a környezet rosszindulatú tevékenységeinek megbízhatóságát. A virtuális gépre irányuló találgatásos támadás azt jelezheti, hogy a fenyegetést okozó szereplő jogosulatlan hozzáférést próbál szerezni a környezetéhez, és a sikeres kriptobányászati tevékenység azt sugallhatja, hogy sikeresen feltörték az erőforrást, és kriptovaluták bányászatára használják, ami a szervezet számára megnövekedett költségeket eredményezhet. |
Magas |
| A biztonsági incidens gyanús Key Vault-tevékenységet észlelt (előzetes verzió) | 1. forgatókönyv: Ez az incidens azt jelzi, hogy a rendszer gyanús tevékenységet észlelt a környezetben a Key Vault használatával kapcsolatban. Ez a felhasználó vagy szolgáltatásnév több riasztást is aktivált a különböző Felhőhöz készült Defender csomagokból, ami növeli a környezet rosszindulatú tevékenységeinek megbízhatóságát. A gyanús Key Vault-tevékenység azt jelezheti, hogy egy fenyegetéskezelő megpróbál hozzáférni a bizalmas adatokhoz, például kulcsokhoz, titkos kulcsokhoz és tanúsítványokhoz, és a fiók sérült, és rosszindulatú szándékkal van használatban. 2. forgatókönyv: Ez az incidens azt jelzi, hogy a rendszer gyanús tevékenységet észlelt a környezetben a Key Vault használatával kapcsolatban. A különböző Felhőhöz készült Defender csomagokból több riasztás is aktiválódott ugyanabból az IP-címből, ami növeli a környezet rosszindulatú tevékenységeinek megbízhatóságát. A gyanús Key Vault-tevékenység azt jelezheti, hogy egy fenyegetéskezelő megpróbál hozzáférni a bizalmas adatokhoz, például kulcsokhoz, titkos kulcsokhoz és tanúsítványokhoz, és a fiók sérült, és rosszindulatú szándékkal van használatban. 3. forgatókönyv: Ez az incidens azt jelzi, hogy a rendszer gyanús tevékenységet észlelt a környezetben a Key Vault használatával kapcsolatban. Ugyanazon az erőforráson több riasztás is aktiválódott a különböző Felhőhöz készült Defender csomagokból, ami növeli a környezet rosszindulatú tevékenységeinek megbízhatóságát. A gyanús Key Vault-tevékenység azt jelezheti, hogy egy fenyegetéskezelő megpróbál hozzáférni a bizalmas adatokhoz, például kulcsokhoz, titkos kulcsokhoz és tanúsítványokhoz, és a fiók sérült, és rosszindulatú szándékkal van használatban. |
Magas |
| A biztonsági incidens gyanús SAS-tevékenységet észlelt (előzetes verzió) | Ez az incidens azt jelzi, hogy a rendszer gyanús tevékenységet észlelt egy SAS-jogkivonat esetleges visszaélése után. Ugyanazon az erőforráson több riasztás is aktiválódott a különböző Felhőhöz készült Defender csomagokból, ami növeli a környezet rosszindulatú tevékenységeinek megbízhatóságát. Az SAS-jogkivonat használata azt jelezheti, hogy a fenyegetést okozó szereplő jogosulatlan hozzáférést szerzett a tárfiókhoz, és bizalmas adatokat próbál elérni vagy kiszűrni. | Magas |
| A biztonsági incidens rendellenes földrajzi hellyel kapcsolatos tevékenységet észlelt (előzetes verzió) | 1. forgatókönyv: Ez az incidens azt jelzi, hogy a rendszer rendellenes földrajzihely-tevékenységet észlelt a környezetben. Ugyanazon az erőforráson több riasztás is aktiválódott a különböző Felhőhöz készült Defender csomagokból, ami növeli a környezet rosszindulatú tevékenységeinek megbízhatóságát. A rendellenes helyekről származó gyanús tevékenység azt jelezheti, hogy a fenyegetést okozó szereplő jogosulatlan hozzáférést szerzett a környezethez, és megpróbálja feltörni azt. 2. forgatókönyv: Ez az incidens azt jelzi, hogy a rendszer rendellenes földrajzihely-tevékenységet észlelt a környezetben. A különböző Felhőhöz készült Defender csomagokból több riasztás is aktiválódott ugyanabból az IP-címből, ami növeli a környezet rosszindulatú tevékenységeinek megbízhatóságát. A rendellenes helyekről származó gyanús tevékenység azt jelezheti, hogy a fenyegetést okozó szereplő jogosulatlan hozzáférést szerzett a környezethez, és megpróbálja feltörni azt. |
Magas |
| A biztonsági incidens gyanús IP-tevékenységet észlelt (előzetes verzió) | 1. forgatókönyv: Ez az incidens azt jelzi, hogy gyanús tevékenységet észleltek egy gyanús IP-címről. A különböző Felhőhöz készült Defender csomagokból több riasztás is aktiválódott ugyanabból az IP-címből, ami növeli a környezet rosszindulatú tevékenységeinek megbízhatóságát. A gyanús IP-címről származó gyanús tevékenység azt jelezheti, hogy egy támadó jogosulatlan hozzáférést szerzett a környezethez, és megpróbálja feltörni azt. 2. forgatókönyv: Ez az incidens azt jelzi, hogy gyanús tevékenységet észleltek egy gyanús IP-címről. A különböző Felhőhöz készült Defender csomagokból több riasztás is aktiválódott ugyanazon a felhasználón vagy szolgáltatásnéven, ami növeli a környezet rosszindulatú tevékenységeinek megbízhatóságát. A gyanús IP-címről származó gyanús tevékenység azt jelezheti, hogy a támadó jogosulatlan hozzáférést szerzett a környezethez, és megpróbálja feltörni azt. |
Magas |
| A biztonsági incidens gyanús fájl nélküli támadási tevékenységet észlelt (előzetes verzió) | Ez az incidens azt jelzi, hogy a rendszer fájl nélküli támadási eszközkészletet észlelt egy virtuális gépen, miután egy lehetséges biztonsági rést kísérelt meg ugyanazon az erőforráson. A különböző Felhőhöz készült Defender csomagokból több riasztás is aktiválódott ugyanazon a virtuális gépen, ami növeli a környezet rosszindulatú tevékenységeinek megbízhatóságát. A fájl nélküli támadási eszközkészlet jelenléte a virtuális gépen azt jelezheti, hogy a fenyegetést okozó szereplő jogosulatlan hozzáférést szerzett a környezethez, és megpróbálja elkerülni az észlelést, miközben további rosszindulatú tevékenységeket végez. | Magas |
| A biztonsági incidens gyanús DDOS-tevékenységet észlelt (előzetes verzió) | Ez az incidens azt jelzi, hogy a rendszer gyanús elosztott szolgáltatásmegtagadási (DDOS) tevékenységet észlelt a környezetben. A DDOS-támadások úgy vannak kialakítva, hogy nagy mennyiségű forgalommal terhelje túl a hálózatot vagy az alkalmazást, ami miatt elérhetetlenné válik a jogos felhasználók számára. A különböző Felhőhöz készült Defender csomagokból több riasztás is aktiválódott ugyanazon az IP-címen, ami növeli a környezet rosszindulatú tevékenységeinek megbízhatóságát. | Magas |
| A biztonsági incidens gyanús adatkiszivárgási tevékenységet észlelt (előzetes verzió) | 1. forgatókönyv: Ez az incidens azt jelzi, hogy gyanús felhasználó- vagy szolgáltatásnév-tevékenységet követően gyanús adatkiszivárgási tevékenységet észleltek. Ugyanazon az erőforráson több riasztás is aktiválódott a különböző Felhőhöz készült Defender csomagokból, ami növeli a környezet rosszindulatú tevékenységeinek megbízhatóságát. A gyanús fióktevékenységek azt jelezhetik, hogy a fenyegetést okozó szereplő jogosulatlan hozzáférést szerzett a környezethez, és a sikeres adatkiszivárgási tevékenység arra utalhat, hogy bizalmas adatokat próbálnak ellopni. 2. forgatókönyv: Ez az incidens azt jelzi, hogy gyanús felhasználó- vagy szolgáltatásnév-tevékenységet követően gyanús adatkiszivárgási tevékenységet észleltek. A különböző Felhőhöz készült Defender csomagokból több riasztás is aktiválódott ugyanabból az IP-címből, ami növeli a környezet rosszindulatú tevékenységeinek megbízhatóságát. A gyanús fióktevékenységek azt jelezhetik, hogy a fenyegetést okozó szereplő jogosulatlan hozzáférést szerzett a környezethez, és a sikeres adatkiszivárgási tevékenység arra utalhat, hogy bizalmas adatokat próbálnak ellopni. 3. forgatókönyv: Ez az incidens azt jelzi, hogy a rendszer gyanús adatkiszivárgási tevékenységet észlelt a virtuális gépen szokatlan jelszó-visszaállítást követően. A különböző Felhőhöz készült Defender csomagokból több riasztás is aktiválódott ugyanabból az IP-címből, ami növeli a környezet rosszindulatú tevékenységeinek megbízhatóságát. A gyanús fióktevékenységek azt jelezhetik, hogy a fenyegetést okozó szereplő jogosulatlan hozzáférést szerzett a környezethez, és a sikeres adatkiszivárgási tevékenység arra utalhat, hogy bizalmas adatokat próbálnak ellopni. |
Magas |
| A biztonsági incidens gyanús API-tevékenységet észlelt (előzetes verzió) | Ez az incidens azt jelzi, hogy a rendszer gyanús API-tevékenységet észlelt. A Felhőhöz készült Defender több riasztása is aktiválódott ugyanazon az erőforráson, ami növeli a környezet rosszindulatú tevékenységeinek megbízhatóságát. A gyanús API-használat azt jelezheti, hogy a fenyegetést okozó szereplő bizalmas információkhoz próbál hozzáférni, vagy jogosulatlan műveleteket hajt végre. | Magas |
| Biztonsági incidens gyanús Kubernetes-fürttevékenységet észlelt (előzetes verzió) | Ez az incidens azt jelzi, hogy gyanús tevékenység észlelhető a Kubernetes-fürtön gyanús felhasználói tevékenységet követően. Ugyanazon a fürtön több riasztás is aktiválódott különböző Felhőhöz készült Defender csomagokból, ami növeli a környezet rosszindulatú tevékenységeinek megbízhatóságát. A Kubernetes-fürt gyanús tevékenysége azt jelezheti, hogy egy fenyegetéselkülönítő jogosulatlan hozzáférést szerzett a környezethez, és megpróbálja feltörni azt. | Magas |
| A biztonsági incidens gyanús tárolási tevékenységet észlelt (előzetes verzió) | 1. forgatókönyv: Ez az incidens azt jelzi, hogy gyanús tárolási tevékenységet észleltek gyanús felhasználó- vagy szolgáltatásnév-tevékenység után. Ugyanazon az erőforráson több riasztás is aktiválódott a különböző Felhőhöz készült Defender csomagokból, ami növeli a környezet rosszindulatú tevékenységeinek megbízhatóságát. A gyanús fióktevékenységek azt jelezhetik, hogy a fenyegetést okozó szereplő jogosulatlan hozzáférést szerzett a környezethez, és a sikeres gyanús tárolási tevékenység arra utalhat, hogy potenciálisan bizalmas adatokhoz próbálnak hozzáférni. 2. forgatókönyv: Ez az incidens azt jelzi, hogy gyanús tárolási tevékenységet észleltek gyanús felhasználó- vagy szolgáltatásnév-tevékenység után. A különböző Felhőhöz készült Defender csomagokból több riasztás is aktiválódott ugyanabból az IP-címből, ami növeli a környezet rosszindulatú tevékenységeinek megbízhatóságát. A gyanús fióktevékenységek azt jelezhetik, hogy a fenyegetést okozó szereplő jogosulatlan hozzáférést szerzett a környezethez, és a sikeres gyanús tárolási tevékenység arra utalhat, hogy potenciálisan bizalmas adatokhoz próbálnak hozzáférni. |
Magas |
| A biztonsági incidens gyanús Azure-eszközkészlet-tevékenységet észlelt (előzetes verzió) | Ez az incidens azt jelzi, hogy gyanús tevékenységet észleltek egy Azure-eszközkészlet lehetséges használatát követően. A különböző Felhőhöz készült Defender csomagokból több riasztás is aktiválódott ugyanazon a felhasználón vagy szolgáltatásnéven, ami növeli a környezet rosszindulatú tevékenységeinek megbízhatóságát. Az Azure-eszközkészletek használata azt jelezheti, hogy egy támadó jogosulatlan hozzáférést szerzett a környezethez, és megpróbálja feltörni azt. | Magas |
| A biztonsági incidens gyanús DNS-tevékenységet észlelt (előzetes verzió) | 1. forgatókönyv: Ez az incidens azt jelzi, hogy gyanús DNS-tevékenységet észleltek. Ugyanazon az erőforráson több riasztás is aktiválódott a különböző Felhőhöz készült Defender csomagokból, ami növeli a környezet rosszindulatú tevékenységeinek megbízhatóságát. A gyanús DNS-tevékenység azt jelezheti, hogy egy fenyegetést okozó szereplő jogosulatlan hozzáférést szerzett a környezethez, és megpróbálja feltörni azt. 2. forgatókönyv: Ez az incidens azt jelzi, hogy gyanús DNS-tevékenységet észleltek. A különböző Felhőhöz készült Defender csomagokból több riasztás is aktiválódott ugyanabból az IP-címből, ami növeli a környezet rosszindulatú tevékenységeinek megbízhatóságát. A gyanús DNS-tevékenység azt jelezheti, hogy egy fenyegetést okozó szereplő jogosulatlan hozzáférést szerzett a környezethez, és megpróbálja feltörni azt. |
Közepes |
| A biztonsági incidens gyanús SQL-tevékenységet észlelt (előzetes verzió) | 1. forgatókönyv: Ez az incidens azt jelzi, hogy gyanús SQL-tevékenységet észleltek. A különböző Felhőhöz készült Defender csomagokból több riasztás is aktiválódott ugyanabból az IP-címből, ami növeli a környezet rosszindulatú tevékenységeinek megbízhatóságát. A gyanús SQL-tevékenység azt jelezheti, hogy egy fenyegetéselktor az SQL-kiszolgálót célozza, és megpróbálja feltörni. 2. forgatókönyv: Ez az incidens azt jelzi, hogy gyanús SQL-tevékenységet észleltek. Ugyanazon az erőforráson több riasztás is aktiválódott a különböző Felhőhöz készült Defender csomagokból, ami növeli a környezet rosszindulatú tevékenységeinek megbízhatóságát. A gyanús SQL-tevékenység azt jelezheti, hogy egy fenyegetéselktor az SQL-kiszolgálót célozza, és megpróbálja feltörni. |
Magas |
| A biztonsági incidens gyanús app service-tevékenységet észlelt (előzetes verzió) | 1. forgatókönyv: Ez az incidens azt jelzi, hogy a rendszer gyanús tevékenységet észlelt az App Service-környezetben. Ugyanazon az erőforráson több riasztás is aktiválódott a különböző Felhőhöz készült Defender csomagokból, ami növeli a környezet rosszindulatú tevékenységeinek megbízhatóságát. A gyanús app service-tevékenység azt jelezheti, hogy egy fenyegetést okozó szereplő az alkalmazást célozza, és megpróbálhatja feltörni. 2. forgatókönyv: Ez az incidens azt jelzi, hogy a rendszer gyanús tevékenységet észlelt az App Service-környezetben. A különböző Felhőhöz készült Defender csomagokból több riasztás is aktiválódott ugyanabból az IP-címből, ami növeli a környezet rosszindulatú tevékenységeinek megbízhatóságát. A gyanús app service-tevékenység azt jelezheti, hogy egy fenyegetést okozó szereplő az alkalmazást célozza, és megpróbálhatja feltörni. |
Magas |
| Biztonsági incidens észlelte a feltört gépet botnetes kommunikációval | Ez az incidens gyanús robotnet-tevékenységet jelez a virtuális gépen. A MITRE ATT&CK-keretrendszert követve több riasztás is aktiválódott különböző Felhőhöz készült Defender-csomagokból, időrendi sorrendben ugyanazon az erőforráson. Ez azt jelezheti, hogy a fenyegetést jelző szereplő jogosulatlan hozzáférést kapott a környezethez, és megpróbálja feltörni azt. | Közepes/magas |
| Biztonsági incidenst észleltek a botnetes kommunikációval rendelkező feltört gépek | Ez az incidens gyanús robotnet-tevékenységet jelez a virtuális gépeken. A MITRE ATT&CK-keretrendszert követve több riasztás is aktiválódott különböző Felhőhöz készült Defender-csomagokból, időrendi sorrendben ugyanazon az erőforráson. Ez azt jelezheti, hogy a fenyegetést jelző szereplő jogosulatlan hozzáférést kapott a környezethez, és megpróbálja feltörni azt. | Közepes/magas |
| A biztonsági incidens kártékony kimenő tevékenységgel rendelkező feltört gépet észlelt | Ez az incidens gyanús kimenő tevékenységet jelez a virtuális gépen. A MITRE ATT&CK-keretrendszert követve több riasztás is aktiválódott különböző Felhőhöz készült Defender-csomagokból, időrendi sorrendben ugyanazon az erőforráson. Ez azt jelezheti, hogy a fenyegetést jelző szereplő jogosulatlan hozzáférést kapott a környezethez, és megpróbálja feltörni azt. | Közepes/magas |
| Biztonsági incidens észlelte a feltört gépeket | Ez az incidens gyanús tevékenységet jelez egy vagy több virtuális gépen. A MITRE ATT&CK-keretrendszert követve a különböző Felhőhöz készült Defender csomagokból származó riasztások időrendben aktiválódtak ugyanazon az erőforráson. Ez azt jelezheti, hogy a fenyegetést jelző szereplő jogosulatlan hozzáférést szerzett a környezethez, és sikeresen feltörte ezeket a gépeket. | Közepes/magas |
| A biztonsági incidens kártékony kimenő tevékenységgel rendelkező sérült gépeket észlelt | Ez az incidens gyanús kimenő tevékenységet jelez a virtuális gépekről. A MITRE ATT&CK-keretrendszert követve a különböző Felhőhöz készült Defender csomagokból származó riasztások időrendben aktiválódtak ugyanazon az erőforráson. Ez azt jelezheti, hogy a fenyegetést jelző szereplő jogosulatlan hozzáférést kapott a környezethez, és megpróbálja feltörni azt. | Közepes/magas |
| Több gépen észlelt biztonsági incidens | Ez az incidens gyanús tevékenységet jelez egy vagy több virtuális gépen. A MITRE ATT&CK-keretrendszert követve több riasztás is aktiválódott különböző Felhőhöz készült Defender-csomagokból, időrendi sorrendben ugyanazon az erőforráson. Ez azt jelezheti, hogy a fenyegetést jelző szereplő jogosulatlan hozzáférést kapott a környezethez, és megpróbálja feltörni azt. | Közepes/magas |
| Biztonsági incidens megosztott folyamattal | 1. forgatókönyv: Ez az incidens gyanús tevékenységet jelez a virtuális gépen. A különböző Felhőhöz készült Defender csomagok több riasztása is aktiválódott ugyanazon a folyamaton belül. Ez azt jelezheti, hogy a fenyegetést jelző szereplő jogosulatlan hozzáférést kapott a környezethez, és megpróbálja feltörni azt. 2. forgatókönyv: Ez az incidens gyanús tevékenységet jelez a virtuális gépeken. A különböző Felhőhöz készült Defender csomagok több riasztása is aktiválódott ugyanazon a folyamaton belül. Ez azt jelezheti, hogy a fenyegetést jelző szereplő jogosulatlan hozzáférést kapott a környezethez, és megpróbálja feltörni azt. |
Közepes/magas |
Következő lépések
Biztonsági incidensek kezelése a Felhőhöz készült Microsoft Defenderben