Windows makineleri için uyarılar
Bu makalede, Bulut için Microsoft Defender'daki Windows makineleri ve etkinleştirdiğiniz tüm Microsoft Defender planları için alabileceğiniz güvenlik uyarıları listelenir. Ortamınızda gösterilen uyarılar, koruduğunuz kaynaklara ve hizmetlere ve özelleştirilmiş yapılandırmanıza bağlıdır.
Bu uyarılara nasıl yanıt vereceğinizi öğrenin.
Uyarıları dışarı aktarmayı öğrenin.
Windows makineleri uyarıları
Sunucular için Microsoft Defender Plan 2, Uç Nokta için Microsoft Defender tarafından sağlananlara ek olarak benzersiz algılamalar ve uyarılar sağlar. Windows makineleri için sağlanan uyarılar şunlardır:
Kötü amaçlı bir IP'den oturum açma algılandı. [birden çok kez görüldü]
Açıklama: [account] hesabı ve işlemi [işlem] için başarılı bir uzaktan kimlik doğrulaması oluştu, ancak oturum açma IP adresi (x.x.x.x) daha önce kötü amaçlı veya son derece olağan dışı olarak bildirildi. Başarılı bir saldırı gerçekleşmiş olabilir. .scr uzantılı dosyalar ekran koruyucu dosyalarıdır ve normalde Windows sistem dizininde bulunur ve yürütülür.
Önem Derecesi: Yüksek
Konuk hesabının Yerel Yöneticiler grubuna eklenmesi
Açıklama: Konak verilerinin analizinde, %{Güvenliği Aşılmış Konak} üzerindeki Yerel Yöneticiler grubuna yerleşik Konuk hesabının eklendiği algılandı ve bu da saldırgan etkinliğiyle güçlü bir şekilde ilişkilendirildi.
Önem Derecesi: Orta
Olay günlüğü temizlendi
Açıklama: Makine günlükleri, '%{CompromisedEntity}' makinesindeki '%{user name}' kullanıcı tarafından yapılan şüpheli olay günlüğü temizleme işlemini gösteriyor. %{log channel} günlüğü temizlendi.
Önem Derecesi: Bilgilendiren
Kötü Amaçlı Yazılımdan Koruma Eylemi Başarısız Oldu
Açıklama: Microsoft Kötü Amaçlı Yazılımdan Koruma kötü amaçlı yazılım veya diğer istenmeyebilecek yazılımlar üzerinde eylem yaparken bir hatayla karşılaştı.
Önem Derecesi: Orta
Kötü Amaçlı Yazılımdan Koruma Eylemi Gerçekleştirilen
Açıklama: Azure için Microsoft Kötü Amaçlı Yazılımdan Koruma, bu makineyi kötü amaçlı yazılımlardan veya istenmeyebilecek diğer yazılımlardan korumak için bir eylemde bulundu.
Önem Derecesi: Orta
Sanal makinenizde kötü amaçlı yazılımdan koruma geniş dosya dışlaması
(VM_AmBroadFilesExclusion)
Açıklama: Aboneliğinizdeki Azure Resource Manager işlemleri çözümlenerek sanal makinenizde geniş bir dışlama kuralına sahip kötü amaçlı yazılımdan koruma uzantısından dosya dışlama algılandı. Bu tür bir dışlama, Kötü amaçlı yazılımdan korumayı pratik olarak devre dışı bırakır. Saldırganlar, rastgele kod çalıştırırken veya makineye kötü amaçlı yazılım bulaştırırken algılamayı önlemek için sanal makinenizdeki kötü amaçlı yazılımdan koruma taramasından dosyaları dışlayabilir.
Önem Derecesi: Orta
Sanal makinenizde kötü amaçlı yazılımdan koruma devre dışı bırakıldı ve kod yürütme
(VM_AmDisablementAndCodeExecution)
Açıklama: Kötü amaçlı yazılımdan koruma, sanal makinenizde kod yürütmeyle aynı anda devre dışı bırakıldı. Bu, aboneliğinizdeki Azure Resource Manager işlemleri çözümlenerek algılandı. Saldırganlar, yetkisiz araçları çalıştırırken veya makineye kötü amaçlı yazılım bulaştırırken algılamayı önlemek için kötü amaçlı yazılımdan koruma tarayıcılarını devre dışı bırakır.
Önem Derecesi: Yüksek
Sanal makinenizde kötü amaçlı yazılımdan koruma devre dışı bırakıldı
(VM_AmDisablement)
Açıklama: Sanal makinenizde kötü amaçlı yazılımdan koruma devre dışı bırakıldı. Bu, aboneliğinizdeki Azure Resource Manager işlemleri çözümlenerek algılandı. Saldırganlar algılamayı önlemek için sanal makinenizde kötü amaçlı yazılımdan koruma yazılımını devre dışı bırakabilir.
MITRE taktikleri: Savunma Kaçamak
Önem Derecesi: Orta
Sanal makinenizde kötü amaçlı yazılımdan koruma dosyası dışlama ve kod yürütme
(VM_AmFileExclusionAndCodeExecution)
Açıklama: Sanal makinenizdeki özel bir betik uzantısı aracılığıyla kod yürütülürken kötü amaçlı yazılımdan koruma tarayıcınızdan dışlanan dosya. Bu, aboneliğinizdeki Azure Resource Manager işlemleri çözümlenerek algılandı. Saldırganlar, yetkisiz araçları çalıştırırken veya makineye kötü amaçlı yazılım bulaştırırken algılamayı önlemek için sanal makinenizdeki kötü amaçlı yazılımdan koruma taramasından dosyaları dışlayabilir.
MITRE taktikleri: Savunma Kaçamak, Yürütme
Önem Derecesi: Yüksek
Sanal makinenizde kötü amaçlı yazılımdan koruma dosyası dışlama ve kod yürütme (geçici)
(VM_AmTempFileExclusionAndCodeExecution)
Açıklama: Sanal makinenizde, aboneliğinizdeki Azure Resource Manager işlemleri çözümlenerek özel betik uzantısı aracılığıyla kod yürütülmesine paralel olarak kötü amaçlı yazılımdan koruma uzantısından geçici dosya dışlaması algılandı. Saldırganlar, rastgele kod çalıştırırken veya makineye kötü amaçlı yazılım bulaştırırken algılamayı önlemek için sanal makinenizdeki kötü amaçlı yazılımdan koruma taramasından dosyaları dışlayabilir.
MITRE taktikleri: Savunma Kaçamak, Yürütme
Önem Derecesi: Yüksek
Sanal makinenizde kötü amaçlı yazılımdan koruma dosyası dışlaması
(VM_AmTempFileExclusion)
Açıklama: Sanal makinenizdeki kötü amaçlı yazılımdan koruma tarayıcınızdan dışlanan dosya. Bu, aboneliğinizdeki Azure Resource Manager işlemleri çözümlenerek algılandı. Saldırganlar, yetkisiz araçları çalıştırırken veya makineye kötü amaçlı yazılım bulaştırırken algılamayı önlemek için sanal makinenizdeki kötü amaçlı yazılımdan koruma taramasından dosyaları dışlayabilir.
MITRE taktikleri: Savunma Kaçamak
Önem Derecesi: Orta
Sanal makinenizde kötü amaçlı yazılımdan koruma gerçek zamanlı koruma devre dışı bırakıldı
(VM_AmRealtimeProtectionDisabled)
Açıklama: Aboneliğinizdeki Azure Resource Manager işlemleri çözümlenerek sanal makinenizde kötü amaçlı yazılımdan koruma uzantısının gerçek zamanlı koruma devre dışı bırakılması algılandı. Saldırganlar, rastgele kod çalıştırırken veya makineye kötü amaçlı yazılım bulaştırırken algılamayı önlemek için sanal makinenizdeki kötü amaçlı yazılımdan koruma taramasından gerçek zamanlı korumayı devre dışı bırakabilir.
MITRE taktikleri: Savunma Kaçamak
Önem Derecesi: Orta
Sanal makinenizde kötü amaçlı yazılımdan koruma gerçek zamanlı koruma geçici olarak devre dışı bırakıldı
(VM_AmTempRealtimeProtectionDisablement)
Açıklama: Aboneliğinizdeki Azure Resource Manager işlemleri çözümlenerek sanal makinenizde kötü amaçlı yazılımdan koruma uzantısının gerçek zamanlı geçici devre dışı bırakılması algılandı. Saldırganlar, rastgele kod çalıştırırken veya makineye kötü amaçlı yazılım bulaştırırken algılamayı önlemek için sanal makinenizdeki kötü amaçlı yazılımdan koruma taramasından gerçek zamanlı korumayı devre dışı bırakabilir.
MITRE taktikleri: Savunma Kaçamak
Önem Derecesi: Orta
Sanal makinenizde kod yürütülürken kötü amaçlı yazılımdan koruma gerçek zamanlı koruma geçici olarak devre dışı bırakıldı
(VM_AmRealtimeProtectionDisablementAndCodeExec)
Açıklama: Özel betik uzantısı aracılığıyla kod yürütmeye paralel olarak kötü amaçlı yazılımdan koruma uzantısının gerçek zamanlı koruma geçici devre dışı bırakılması, aboneliğinizdeki Azure Resource Manager işlemleri çözümlenerek sanal makinenizde algılandı. Saldırganlar, rastgele kod çalıştırırken veya makineye kötü amaçlı yazılım bulaştırırken algılamayı önlemek için sanal makinenizdeki kötü amaçlı yazılımdan koruma taramasından gerçek zamanlı korumayı devre dışı bırakabilir.
Önem Derecesi: Yüksek
Sanal makinenizdeki kötü amaçlı yazılım kampanyalarıyla ilgili olabilecek dosyalar için kötü amaçlı yazılımdan koruma taramaları engellendi (Önizleme)
(VM_AmMalwareCampaignRelatedExclusion)
Açıklama: Kötü amaçlı yazılımdan koruma uzantınızın kötü amaçlı yazılım kampanyasıyla ilgili olduğundan şüphelenilen bazı dosyaları taramasını önlemek için sanal makinenizde bir dışlama kuralı algılandı. Kural, aboneliğinizdeki Azure Resource Manager işlemleri çözümlenerek algılandı. Saldırganlar, rastgele kod çalıştırırken veya makineye kötü amaçlı yazılım bulaştırırken algılamayı önlemek için dosyaları kötü amaçlı yazılımdan koruma taramalarından dışlayabilir.
MITRE taktikleri: Savunma Kaçamak
Önem Derecesi: Orta
Sanal makinenizde kötü amaçlı yazılımdan koruma geçici olarak devre dışı bırakıldı
(VM_AmTemporarilyDisablement)
Açıklama: Sanal makinenizde kötü amaçlı yazılımdan koruma geçici olarak devre dışı bırakıldı. Bu, aboneliğinizdeki Azure Resource Manager işlemleri çözümlenerek algılandı. Saldırganlar algılamayı önlemek için sanal makinenizde kötü amaçlı yazılımdan koruma yazılımını devre dışı bırakabilir.
Önem Derecesi: Orta
Sanal makinenizde kötü amaçlı yazılımdan koruma olağandışı dosya dışlaması
(VM_UnusualAmFileExclusion)
Açıklama: Aboneliğinizdeki Azure Resource Manager işlemleri çözümlenerek sanal makinenizde kötü amaçlı yazılımdan koruma uzantısından olağan dışı dosya dışlaması algılandı. Saldırganlar, rastgele kod çalıştırırken veya makineye kötü amaçlı yazılım bulaştırırken algılamayı önlemek için sanal makinenizdeki kötü amaçlı yazılımdan koruma taramasından dosyaları dışlayabilir.
MITRE taktikleri: Savunma Kaçamak
Önem Derecesi: Orta
Tehdit bilgileri tarafından tanımlanan şüpheli etki alanıyla iletişim
(AzureDNS_ThreatIntelSuspectDomain)
Açıklama: Kaynağınızdaki DNS işlemleri analiz edilerek ve tehdit bilgileri akışları tarafından tanımlanan bilinen kötü amaçlı etki alanlarıyla karşılaştırılarak şüpheli etki alanıyla iletişim algılandı. Kötü amaçlı etki alanlarıyla iletişim genellikle saldırganlar tarafından gerçekleştirilir ve kaynağınızın gizliliğinin tehlikeye atıldığı anlamına gelebilir.
MITRE taktikleri: İlk Erişim, Kalıcılık, Yürütme, Komut ve Denetim, Kötüye Kullanma
Önem Derecesi: Orta
IIS günlük dosyalarını devre dışı bırakmayı ve silmeyi gösteren eylemler algılandı
Açıklama: Iis günlük dosyalarının devre dışı bırakıldığını ve/veya silindiğini gösteren konak verilerinin analizi algılandı eylemleri.
Önem Derecesi: Orta
Komut satırında büyük ve küçük harf karakterlerinin anormal karışımı algılandı
Açıklama: %{Güvenliği Aşılmış Konak} üzerindeki konak verilerinin analizinde, büyük ve küçük harf karakterlerinden oluşan anormal bir karışıklığı olan bir komut satırı algılandı. Bu tür bir düzen, büyük olasılıkla zararsız olsa da, güvenliği aşılmış bir konakta yönetim görevleri gerçekleştirirken büyük/küçük harfe duyarlı veya karma tabanlı kural eşleştirmesinden saklanmaya çalışan saldırganlara da tipik bir örnektir.
Önem Derecesi: Orta
UAC'yi atlamak için kötüye kullanılabilecek bir kayıt defteri anahtarında değişiklik algılandı
Açıklama: %{Güvenliği Aşılmış Ana Bilgisayar} üzerindeki konak verilerinin analizi, UAC'yi atlamak için kötüye kullanılabilecek bir kayıt defteri anahtarının (Kullanıcı Hesabı Denetimi) değiştirildiğini algılandı. Bu tür bir yapılandırma, riskli bir konakta ayrıcalıksız (standart kullanıcı) ayrıcalıklı (örneğin yönetici) erişime geçmeye çalışırken saldırgan etkinliklerinin tipik bir örneğidir.
Önem Derecesi: Orta
Yerleşik certutil.exe aracı kullanılarak yürütülebilir dosyanın kodunun çözülmesi algılandı
Açıklama: %{Güvenliği Aşılmış Ana Bilgisayar} üzerindeki konak verilerinin analizi, yerleşik bir yönetici yardımcı programı olan certutil.exe, sertifikaları ve sertifika verilerini düzenlemeyle ilgili temel amacı yerine yürütülebilir dosyanın kodunu çözmek için kullanıldığını algılandı. Saldırganların kötü amaçlı eylemler kullanmak gerçekleştirmek için yasal yönetici araçlarının işlevlerini kötüye kullandığı bilinir; örneğin daha sonra yürütülecek kötü amaçlı bir yürütülebilir dosyanın kodunu çözmek için certutil.exe gibi bir araç kullanarak.
Önem Derecesi: Yüksek
WDigest UseLogonCredential kayıt defteri anahtarının etkinleştirilmesi algılandı
Açıklama: Konak verilerinin analizi, HKLM\SYSTEM\ CurrentControlSet\Control\SecurityProviders\WDigest\ "UseLogonCredential" kayıt defteri anahtarında bir değişiklik algılandı. Özellikle bu anahtar, oturum açma kimlik bilgilerinin LSA belleğinde düz metinde depolanmasına izin verecek şekilde güncelleştirildi. Etkinleştirildikten sonra saldırgan, Mimikatz gibi kimlik bilgileri toplama araçlarıyla LSA belleğinden düz metin parolalarını döküm edebilir.
Önem Derecesi: Orta
Komut satırı verilerinde kodlanmış yürütülebilir dosya algılandı
Açıklama: %{Güvenliği Aşılmış Konak} üzerindeki konak verilerinin analizinde base-64 ile kodlanmış bir yürütülebilir dosya algılandı. Bu, daha önce bir komut dizisi aracılığıyla anında yürütülebilir dosyalar oluşturmayı deneyen ve tek tek hiçbir komutun uyarı tetiklemediğinden emin olarak yetkisiz erişim algılama sistemlerinden kaçınmaya çalışan saldırganlarla ilişkilendirildi. Bu yasal bir etkinlik veya güvenliği aşılmış bir konağın göstergesi olabilir.
Önem Derecesi: Yüksek
Belirsiz komut satırı algılandı
Açıklama: Saldırganlar, temel alınan verilerde çalışan algılamalardan kaçmak için giderek daha karmaşık olan gizleme tekniklerini kullanır. %{Güvenliği Aşılmış Konak} üzerindeki konak verilerinin analizi, komut satırında şüpheli gizleme göstergeleri algılandı.
Önem Derecesi: Bilgilendiren
Keygen yürütülebilir dosyasının olası yürütülebilir dosyası algılandı
Açıklama: %{Güvenliği Aşılmış Ana Bilgisayar} üzerindeki konak verilerinin analizi, adı bir keygen aracının göstergesi olan bir işlemin yürütülmesini algılamıştı; bu tür araçlar genellikle yazılım lisanslama mekanizmalarını yenmek için kullanılır, ancak indirmeleri genellikle diğer kötü amaçlı yazılımlarla birlikte sunulur. ETKINLIK grubu GOLD'un bu tür keygen'lerden yararlanarak ele geçirdikleri konaklara gizlice arka kapı erişimi sağladığı bilinmektedir.
Önem Derecesi: Orta
Kötü amaçlı yazılım bırakmanın olası yürütmesi algılandı
Açıklama: %{Güvenliği Aşılmış Konak} üzerindeki konak verilerinin analizi, daha önce GOLD adlı etkinlik grubunun bir kurban konağına kötü amaçlı yazılım yükleme yöntemlerinden biriyle ilişkilendirilmiş bir dosya adı algılandı.
Önem Derecesi: Yüksek
Olası yerel keşif etkinliği algılandı
Açıklama: %{Güvenliği Aşılmış Konak} üzerindeki konak verilerinin analizi, daha önce GOLD etkinlik grubunun keşif etkinliği gerçekleştirme yöntemlerinden biriyle ilişkilendirilmiş systeminfo komutlarının bir bileşimini algılamıştır. 'systeminfo.exe' meşru bir Windows aracı olsa da, burada gerçekleşen şekilde bunu arka arkaya iki kez yürütmek nadirdir.
Önem Derecesi: Düşük
Telegram aracının şüpheli olabilecek kullanımı algılandı
Açıklama: Konak verilerinin analizi, hem mobil hem de masaüstü sistemi için mevcut olan ücretsiz bir bulut tabanlı anlık ileti hizmeti olan Telegram'ın yüklenmesini gösterir. Saldırganların kötü amaçlı ikili dosyaları başka herhangi bir bilgisayara, telefona veya tablete aktarmak için bu hizmeti kötüye kullanabilecekleri bilinmektedir.
Önem Derecesi: Orta
Oturum açma sırasında kullanıcılara görüntülenen yasal bildirimin gizlenmesi algılandı
Açıklama: %{Güvenliği Aşılmış Ana Bilgisayar} üzerindeki konak verilerinin analizi, kayıt defteri anahtarında oturum açtıklarında kullanıcılara yasal uyarı görüntülenip görüntülenmeyeceğini denetleen değişiklikler algıladı. Microsoft güvenlik analizi, bunun bir konağın güvenliğini tehlikeye attıktan sonra saldırganlar tarafından gerçekleştirdiği yaygın bir etkinlik olduğunu belirledi.
Önem Derecesi: Düşük
HTA ve PowerShell'in şüpheli bileşimi algılandı
Açıklama: kötü amaçlı PowerShell komutlarını başlatmak için saldırganlar tarafından imzalı bir Microsoft ikili dosyası olan mshta.exe (Microsoft HTML Uygulama Konağı) kullanılıyor. Saldırganlar genellikle satır içi VBScript içeren bir HTA dosyasına sahip olmak için başvurur. Bir kurban HTA dosyasına göz atıp çalıştırmayı seçtiğinde, içerdiği PowerShell komutları ve betikleri yürütülür. %{Güvenliği Aşılmış Konak} üzerindeki konak verilerinin analizi, PowerShell komutlarını başlatırken mshta.exe algılandı.
Önem Derecesi: Orta
Şüpheli komut satırı bağımsız değişkenleri algılandı
Açıklama: %{Güvenliği Aşılmış Konak} üzerindeki konak verilerinin analizinde, HIDROJEN etkinlik grubu tarafından kullanılan ters kabukla birlikte kullanılan şüpheli komut satırı bağımsız değişkenleri algılandı.
Önem Derecesi: Yüksek
Bir dizindeki tüm yürütülebilir dosyaları başlatmak için kullanılan şüpheli komut satırı algılandı
Açıklama: Konak verilerinin analizi %{Güvenliği Aşılmış Konak} üzerinde çalışan şüpheli bir işlem algılandı. Komut satırı, bir dizinde bulunabilecek tüm yürütülebilir dosyaları (*.exe) başlatma girişimini gösterir. Bu, güvenliği aşılmış bir konağın göstergesi olabilir.
Önem Derecesi: Orta
Komut satırında şüpheli kimlik bilgileri algılandı
Açıklama: %{Güvenliği Aşılmış Konak} üzerindeki konak verilerinin analizinde, BORON etkinlik grubuna göre bir dosyayı yürütmek için şüpheli bir parola kullanıldığı algılandı. Bu etkinlik grubunun, bu parolayı bir kurban konağı üzerinde Pirpi kötü amaçlı yazılımını yürütmek için kullandığı bilinmektedir.
Önem Derecesi: Yüksek
Şüpheli belge kimlik bilgileri algılandı
Açıklama: %{Güvenliği Aşılmış Ana Bilgisayar} üzerindeki konak verilerinin analizi, bir dosyayı yürütmek için kötü amaçlı yazılım tarafından kullanılan şüpheli, ortak bir önceden derlenmiş parola karması algıladı. HIDROJEN etkinlik grubunun bu parolayı bir kurban konağı üzerinde kötü amaçlı yazılım yürütmek için kullandığı bilinmektedir.
Önem Derecesi: Yüksek
VBScript.Encode komutunun şüpheli yürütülmesi algılandı
Açıklama: %{Güvenliği Aşılmış Konak} üzerindeki konak verilerinin analizi, VBScript.Encode komutunun yürütülmesini algılamıştır. Bu, betikleri okunamayan bir metne kodlayarak kullanıcıların kodu incelemesini zorlaştırır. Microsoft tehdit araştırması, saldırganların algılama sistemlerinden kaçmak için genellikle saldırılarının bir parçası olarak kodlanmış VBscript dosyalarını kullandığını göstermektedir. Bu yasal bir etkinlik veya güvenliği aşılmış bir konağın göstergesi olabilir.
Önem Derecesi: Orta
rundll32.exe aracılığıyla şüpheli yürütme algılandı
Açıklama: %{Güvenliği Aşılmış Ana Bilgisayar} üzerindeki konak verilerinin analizi, güvenliği aşılmış bir konağa ilk aşama implantını yüklerken daha önce ETKINLIK grubu GOLD tarafından kullanılan işlem adlandırma düzeniyle tutarlı olarak, yaygın olmayan bir adla işlem yürütmek için kullanılan rundll32.exe algılandı.
Önem Derecesi: Yüksek
Şüpheli dosya temizleme komutları algılandı
Açıklama: %{Güvenliği Aşılmış Ana Bilgisayar} üzerindeki konak verilerinin analizi, daha önce GOLD etkinlik grubundaki kendi kendine temizleme etkinliği gerçekleştirme yöntemlerinden biriyle ilişkilendirilmiş systeminfo komutlarının bir bileşimini algılamıştır. 'systeminfo.exe' yasal bir Windows aracı olsa da, bunu arka arkaya iki kez yürütmek ve ardından burada gerçekleşen şekilde bir silme komutu nadirdir.
Önem Derecesi: Yüksek
Şüpheli dosya oluşturma algılandı
Açıklama: %{Güvenliği Aşılmış Konak} üzerindeki konak verilerinin analizi, daha önce BARIUM etkinlik grubu tarafından bir kurban konağı üzerinde gerçekleştirilen güvenlik ihlalleri sonrası eylemi gösteren bir işlemin oluşturulduğu veya yürütüldüğünü algılandı. Bu etkinlik grubunun, kimlik avı belgesindeki bir ek açıldıktan sonra güvenliği aşılmış bir konağa daha fazla kötü amaçlı yazılım indirmek için bu tekniği kullandığı bilinmektedir.
Önem Derecesi: Yüksek
Şüpheli adlandırılmış kanal iletişimleri algılandı
Açıklama: %{Güvenliği Aşılmış Konak} üzerindeki konak verilerinin analizi, windows konsol komutundan yerel adlandırılmış bir kanala yazılan veriler algılandı. Adlandırılmış kanallar, saldırganlar tarafından kötü amaçlı bir implantla görev yapmak ve iletişim kurmak için kullanılan bir kanal olarak bilinir. Bu yasal bir etkinlik veya güvenliği aşılmış bir konağın göstergesi olabilir.
Önem Derecesi: Yüksek
Şüpheli ağ etkinliği algılandı
Açıklama: %{Güvenliği Aşılmış Konak} kaynaklı ağ trafiğinin analizinde şüpheli ağ etkinliği algılandı. Bu tür trafik, muhtemelen zararsız olsa da, genellikle bir saldırgan tarafından araçların indirilmesi, komut ve denetim ve veri sızdırma amacıyla kötü amaçlı sunucularla iletişim kurmak için kullanılır. Tipik bir saldırgan etkinliği, uzaktan yönetim araçlarını güvenliği aşılmış bir konağa kopyalamayı ve kullanıcı verilerini oradan dışarı aktarmayı içerir.
Önem Derecesi: Düşük
Şüpheli yeni güvenlik duvarı kuralı algılandı
Açıklama: Şüpheli bir konumdaki yürütülebilir dosyadan gelen trafiğe izin vermek için netsh.exe aracılığıyla yeni bir güvenlik duvarı kuralı eklendiğini algılanan konak verilerinin analizi.
Önem Derecesi: Orta
Sistemin güvenlik durumunu düşürmek için Cacl'lerin şüpheli kullanımı algılandı
Açıklama: Saldırganlar ilk güvenliği aşmak ve ağda bir ayak izi elde etmek için deneme yanılma, mızrak kimlik avı vb. gibi sayısız yolu kullanır. İlk güvenlik sorununa ulaşıldıktan sonra genellikle sistemin güvenlik ayarlarını düşürmeye yönelik adımlar atılır. Caclsâ€"short for change access control list is Microsoft Windows native command-line utility is used the security permission on folders and files. İkili dosya, sistemin güvenlik ayarlarını düşürmek için saldırganlar tarafından çok fazla kullanılır. Bu, Herkese ftp.exe, net.exe, wscript.exe gibi bazı sistem ikili dosyalarına tam erişim vererek yapılır. %{Güvenliği Aşılmış Konak} üzerindeki konak verilerinin analizi, sistemin güvenliğini azaltmak için şüpheli Cacl kullanımı algılandı.
Önem Derecesi: Orta
FTP -s Anahtarının şüpheli kullanımı algılandı
Açıklama: %{Güvenliği Aşılmış Konak} öğesinden işlem oluşturma verilerinin analizinde FTP "-s:filename" anahtarının kullanıldığı algılandı. Bu anahtar, istemcinin çalıştırılacak FTP betik dosyasını belirtmek için kullanılır. Kötü amaçlı yazılım veya kötü amaçlı işlemlerin bu FTP anahtarını (-s:filename) kullanarak uzak ftp sunucusuna bağlanacak ve daha kötü amaçlı ikili dosyalar indirecek şekilde yapılandırılmış bir betik dosyasına işaret ettiği bilinmektedir.
Önem Derecesi: Orta
Yürütülebilir kodu başlatmak için şüpheli Pcalua.exe kullanımı algılandı
Açıklama: %{Güvenliği Aşılmış Konak} üzerindeki konak verilerinin analizinde yürütülebilir kodu başlatmak için pcalua.exe kullanıldığı algılandı. Pcalua.exe, bir programın yüklenmesi veya yürütülmesi sırasında uyumluluk sorunlarını algılayan Microsoft Windows "Program Uyumluluk Yardımcısı"nın bileşenidir. Saldırganların, kötü amaçlı eylemler gerçekleştirmek için meşru Windows sistem araçlarının işlevselliğini kötüye kullandığı bilinmektedir. Örneğin, yerel olarak veya uzak paylaşımlardan kötü amaçlı yürütülebilir dosyaları başlatmak için -a anahtarıyla pcalua.exe kullanma.
Önem Derecesi: Orta
Kritik hizmetlerin devre dışı bırakılması algılandı
Açıklama: %{Güvenliği Aşılmış Ana Bilgisayar} üzerindeki konak verilerinin analizi, SharedAccess veya Windows Güvenliği uygulaması gibi kritik hizmetleri durdurmak için kullanılan "net.exe stop" komutunun yürütülmesini algılandı. Bu hizmetlerden herhangi birinin durdurulması kötü amaçlı bir davranışın göstergesi olabilir.
Önem Derecesi: Orta
Dijital para birimi madenciliğiyle ilgili davranış algılandı
Açıklama: %{Güvenliği Aşılmış Konak} üzerindeki konak verilerinin analizi, normalde dijital para birimi madenciliğiyle ilişkili bir işlemin veya komutun yürütülmesini algılandı.
Önem Derecesi: Yüksek
Dinamik PS betik oluşturma
Açıklama: %{Güvenliği Aşılmış Konak} üzerindeki konak verilerinin analizi, dinamik olarak oluşturulan bir PowerShell betiği algıladı. Saldırganlar bazen IDS sistemlerinden kurtulmak için aşamalı olarak bir betik oluşturma yaklaşımını kullanır. Bu yasal bir etkinlik veya makinelerinizden birinin gizliliğinin ihlal edildiğinin göstergesi olabilir.
Önem Derecesi: Orta
Şüpheli bir konumdan çalıştırılan yürütülebilir dosya bulundu
Açıklama: Konak verilerinin analizi, bilinen şüpheli dosyalarla ortak bir konumdan çalışan %{Güvenliği Aşılmış Konak} üzerinde yürütülebilir bir dosya algılandı. Bu yürütülebilir dosya yasal etkinlik veya güvenliği aşılmış bir konağın göstergesi olabilir.
Önem Derecesi: Yüksek
Dosyasız saldırı davranışı algılandı
(VM_FilelessAttackBehavior.Windows)
Açıklama: Belirtilen işlemin belleği, dosyasız saldırılar tarafından yaygın olarak kullanılan davranışları içerir. Belirli davranışlar şunlardır:
- Shellcode, genellikle bir yazılım güvenlik açığının kötüye kullanılmasında yük olarak kullanılan küçük bir kod parçasıdır.
- Etkin ağ bağlantıları. Ayrıntılar için aşağıdaki NetworkConnections bölümüne bakın.
- Güvenlik duyarlı işletim sistemi arabirimlerine işlev çağrıları. Başvuruda olunan işletim sistemi özellikleri için aşağıdaki Özellikler bölümüne bakın.
- Dinamik olarak ayrılmış bir kod kesiminde başlatılan bir iş parçacığı içerir. Bu, işlem ekleme saldırıları için yaygın bir desendir.
MITRE taktikleri: Savunma Kaçamak
Önem Derecesi: Düşük
Dosyasız saldırı tekniği algılandı
(VM_FilelessAttackTechnique.Windows)
Açıklama: Aşağıda belirtilen işlemin belleği, dosyasız saldırı tekniğinin kanıtlarını içerir. Dosyasız saldırılar, güvenlik yazılımı tarafından algılanmaktan kaçınılırken kod yürütmek için saldırganlar tarafından kullanılır. Belirli davranışlar şunlardır:
- Shellcode, genellikle bir yazılım güvenlik açığının kötüye kullanılmasında yük olarak kullanılan küçük bir kod parçasıdır.
- Kod ekleme saldırısı gibi işleme eklenen yürütülebilir görüntü.
- Etkin ağ bağlantıları. Ayrıntılar için aşağıdaki NetworkConnections bölümüne bakın.
- Güvenlik duyarlı işletim sistemi arabirimlerine işlev çağrıları. Başvuruda olunan işletim sistemi özellikleri için aşağıdaki Özellikler bölümüne bakın.
- İşlem içi boşlama, kötü amaçlı yazılımlar tarafından kullanılan ve saldırgan kod için kapsayıcı görevi görmek üzere sisteme meşru bir işlemin yüklendiği bir tekniktir.
- Dinamik olarak ayrılmış bir kod kesiminde başlatılan bir iş parçacığı içerir. Bu, işlem ekleme saldırıları için yaygın bir desendir.
MITRE taktikleri: Savunma Kaçamak, Yürütme
Önem Derecesi: Yüksek
Dosyasız saldırı araç seti algılandı
(VM_FilelessAttackToolkit.Windows)
Açıklama: Belirtilen işlemin belleği dosyasız saldırı araç seti içeriyor: [araç seti adı]. Dosyasız saldırı araç setleri, disk üzerindeki kötü amaçlı yazılım izlemelerini en aza indiren veya ortadan kaldıran ve disk tabanlı kötü amaçlı yazılım tarama çözümleriyle algılama olasılığını büyük ölçüde azaltan teknikler kullanır. Belirli davranışlar şunlardır:
- İyi bilinen araç setleri ve kripto madenciliği yazılımı.
- Shellcode, genellikle bir yazılım güvenlik açığının kötüye kullanılmasında yük olarak kullanılan küçük bir kod parçasıdır.
- İşlem belleğine kötü amaçlı yürütülebilir dosya eklendi.
MITRE taktikleri: Savunma Kaçamak, Yürütme
Önem Derecesi: Orta
Yüksek riskli yazılım algılandı
Açıklama: %{Güvenliği Aşılmış Konak} ana bilgisayar verilerinin analizi, geçmişte kötü amaçlı yazılım yüklemesiyle ilişkili yazılımların kullanımını algılamıştır. Kötü amaçlı yazılımların dağıtımında kullanılan yaygın bir teknik, bunu bu uyarıda görülen gibi zararsız araçlar içinde paketlemektir. Bu araçları kullandığınızda kötü amaçlı yazılım arka planda sessizce yüklenebilir.
Önem Derecesi: Orta
Yerel Yöneticiler grubu üyeleri numaralandırıldı
Açıklama: Makine günlükleri %{Numaralandırılmış Grup Etki Alanı Adı}%{Numaralandırılmış Grup Adı} grubunda başarılı bir numaralandırma olduğunu gösteriyor. Özellikle, %{Kullanıcı Etki Alanı Adı Numaralandırılıyor}%{Kullanıcı Adı Numaralandırılıyor} %{Numaralandırılmış Grup Etki Alanı Adı}%{Numaralandırılmış Grup Adı} grubunun üyelerini uzaktan numaralandırdı. Bu etkinlik yasal bir etkinlik veya kuruluşunuzdaki bir makinenin gizliliğinin ihlal edildiğinin ve %{vmname} keşfi için kullanıldığının göstergesi olabilir.
Önem Derecesi: Bilgilendiren
ÇINKO sunucu implantı tarafından oluşturulan kötü amaçlı güvenlik duvarı kuralı [birden çok kez görüldü]
Açıklama: Bilinen bir aktör olan ÇINKO ile eşleşen teknikler kullanılarak bir güvenlik duvarı kuralı oluşturuldu. Kural büyük olasılıkla Komut ve Denetim iletişimlerine izin vermek üzere %{Güvenliği Aşılmış Konak} üzerindeki bir bağlantı noktasını açmak için kullanılmıştır. Bu davranış bugün şu makinelerde [x] kez görüldü: [Makine adları]
Önem Derecesi: Yüksek
Kötü amaçlı SQL etkinliği
Açıklama: Makine günlükleri '%{process name}' öğesinin %{user name} hesabı tarafından yürütüldüğünü gösteriyor. Bu etkinlik, kötü amaçlı olarak değerlendirilir.
Önem Derecesi: Yüksek
Sorgulanan Birden Çok Etki Alanı Hesabı
Açıklama: Konak verilerinin analizi, %{Güvenliği Aşılmış Konak} tarihinden itibaren kısa bir süre içinde olağan dışı sayıda farklı etki alanı hesabının sorgulandığını belirledi. Bu tür bir etkinlik meşru olabilir, ancak aynı zamanda bir uzlaşma göstergesi de olabilir.
Önem Derecesi: Orta
Olası kimlik bilgisi dökümü algılandı [birden çok kez görüldü]
Açıklama: Konak verilerinin analizi, bellekten kimlik bilgilerini ayıklamaya olanak tanıyan bir şekilde kullanılan yerel Windows aracının (örneğin, sqldumper.exe) kullanıldığını algılamıştır. Saldırganlar genellikle bu teknikleri daha sonra yanal hareket ve ayrıcalık yükseltme için daha fazla kullandıkları kimlik bilgilerini ayıklamak için kullanır. Bu davranış bugün şu makinelerde [x] kez görüldü: [Makine adları]
Önem Derecesi: Orta
Seyrek yürütülen SVCHOST hizmet grubu
(VM_SvcHostRunInRareServiceGroup)
Açıklama: Sistem işlemi SVCHOST'un nadir bir hizmet grubu çalıştırıldığı gözlemlendi. Kötü amaçlı yazılım genellikle kötü amaçlı etkinliğini maskelemek için SVCHOST kullanır.
MITRE taktikleri: Savunma Kaçamak, Yürütme
Önem Derecesi: Bilgilendiren
Yapışkan anahtar saldırısı algılandı
Açıklama: Konak verilerinin analizi, saldırganın %{Güvenliği Aşılmış Konak} konağına arka kapı erişimi sağlamak için erişilebilirlik ikili dosyasını (örneğin yapışkan tuşlar, ekran klavyesi, ekran okuyucusu) devre dışı bırakabileceğini gösterir.
Önem Derecesi: Orta
Başarılı deneme yanılma saldırısı
(VM_LoginBruteForceSuccess)
Açıklama: Aynı kaynaktan birkaç oturum açma girişimi algılandı. Bazıları konakta başarıyla kimlik doğrulaması yaptı. Bu, bir saldırganın geçerli hesap kimlik bilgilerini bulmak için çok sayıda kimlik doğrulaması girişiminde bulunduğu ani bir saldırıya benzer.
MITRE taktikleri: Exploitation
Önem Derecesi: Orta/Yüksek
RDP ele geçirmesinin şüpheli bütünlük düzeyi göstergesi
Açıklama: Konak verilerinin analizi, SİSTEM ayrıcalıklarıyla çalışan tscon.exe algılamıştır. Bu, bir saldırganın bu konakta oturum açmış diğer kullanıcılara bağlamı değiştirmek için bu ikili dosyaya kötü davrandığını gösteriyor olabilir; bu, daha fazla kullanıcı hesabının güvenliğini aşmak ve bir ağ üzerinde daha sonra hareket etmek için bilinen bir saldırgan tekniğidir.
Önem Derecesi: Orta
Şüpheli hizmet yüklemesi
Açıklama: Konak verilerinin analizi, hizmet olarak tscon.exe yüklemesini algılamıştır: Hizmet olarak başlatılan bu ikili, bir saldırganın RDP bağlantılarını ele geçirerek bu konakta oturum açmış diğer kullanıcılara önemsiz bir şekilde geçiş yapmasına olanak tanır; bu, daha fazla kullanıcı hesabının güvenliğini aşmak ve ağ üzerinde yan yana hareket etmek için bilinen bir saldırgan tekniğidir.
Önem Derecesi: Orta
Şüpheli Kerberos Altın Anahtar saldırı parametreleri gözlemlendi
Açıklama: Kerberos Altın Anahtar saldırısıyla tutarlı olarak algılanan konak verileri komut satırı parametrelerinin analizi.
Önem Derecesi: Orta
Şüpheli Hesap Oluşturma Algılandı
Açıklama: %{Güvenliği Aşılmış Ana Bilgisayar} üzerindeki ana bilgisayar verilerinin analizinde yerel bir hesap %{Şüpheli hesap adı} oluşturuldu veya kullanıldı: bu hesap adı standart bir Windows hesabına veya '%{Hesap Adına Benzer}' grup adına çok benziyor. Bu potansiyel olarak bir saldırgan tarafından oluşturulan ve bir insan yönetici tarafından fark edilmemek için adlandırılmış bir hesaptır.
Önem Derecesi: Orta
Şüpheli Etkinlik Algılandı
(VM_SuspiciousActivity)
Açıklama: Konak verilerinin analizi, %{machine name} üzerinde çalışan ve geçmişte kötü amaçlı etkinliklerle ilişkilendirilmiş bir veya daha fazla işlem dizisi algılandı. Tek tek komutlar zararsız görünse de uyarı, bu komutların bir toplaması temelinde puanlanır. Bu yasal bir etkinlik veya güvenliği aşılmış bir konağın göstergesi olabilir.
MITRE taktikleri: Yürütme
Önem Derecesi: Orta
Şüpheli kimlik doğrulama etkinliği
(VM_LoginBruteForceValidUserFailed)
Açıklama: Hiçbiri başarılı olmasa da, bazı hesaplar konak tarafından tanındı. Bu, bir saldırganın konağa erişmek için geçerli kimlik bilgilerini bulmak için önceden tanımlanmış hesap adları ve parolaları içeren bir sözlük kullanarak çok sayıda kimlik doğrulama girişiminde bulunduğu bir sözlük saldırısına benzer. Bu, bazı konak hesap adlarınızın iyi bilinen bir hesap adı sözlüğünde bulunabileceğini gösterir.
MITRE taktikleri: Yoklama
Önem Derecesi: Orta
Şüpheli kod kesimi algılandı
Açıklama: Yansıtıcı ekleme ve işlem içi boşlama gibi standart olmayan yöntemler kullanılarak bir kod kesiminin ayrıldığını gösterir. Uyarı, bildirilen kod kesiminin özelliklerine ve davranışlarına bağlam sağlamak için işlenen kod kesiminin daha fazla özelliğini sağlar.
Önem Derecesi: Orta
Şüpheli çift uzantı dosyası yürütüldü
Açıklama: Konak verilerinin analizi, şüpheli çift uzantılı bir işlemin yürütülmesini gösterir. Bu uzantı, kullanıcıları dosyaların açılmasının güvenli olduğunu düşünmeleri için kandırabilir ve sistemde kötü amaçlı yazılım olduğunu gösterebilir.
Önem Derecesi: Yüksek
Certutil kullanılarak şüpheli indirme algılandı [birden çok kez görüldü]
Açıklama: %{Güvenliği Aşılmış Ana Bilgisayar} üzerindeki konak verilerinin analizi, yerleşik bir yönetici yardımcı programı olan certutil.exe'nin, sertifikaları ve sertifika verilerini düzenlemeyle ilgili temel amacı yerine ikili dosya indirilmesi için kullanıldığını algılamıştır. Saldırganların kötü amaçlı eylemler gerçekleştirmek için meşru yönetici araçlarının işlevselliğini kötüye kullandığı bilinmektedir. Örneğin, daha sonra yürütülecek kötü amaçlı yürütülebilir dosyaları indirmek ve kodunu çözmek için certutil.exe kullanma. Bu davranış bugün şu makinelerde [x] kez görüldü: [Makine adları]
Önem Derecesi: Orta
Certutil kullanılarak şüpheli indirme algılandı
Açıklama: %{Güvenliği Aşılmış Ana Bilgisayar} üzerindeki konak verilerinin analizi, yerleşik bir yönetici yardımcı programı olan certutil.exe'nin, sertifikaları ve sertifika verilerini düzenlemeyle ilgili temel amacı yerine ikili dosya indirilmesi için kullanıldığını algılamıştır. Saldırganların kötü amaçlı eylemler gerçekleştirmek için meşru yönetici araçlarının işlevselliğini kötüye kullandığı bilinmektedir. Örneğin, daha sonra yürütülecek kötü amaçlı yürütülebilir dosyaları indirmek ve kodunu çözmek için certutil.exe kullanma.
Önem Derecesi: Orta
Şüpheli PowerShell Etkinliği Algılandı
Açıklama: Konak verilerinin analizi, %{Güvenliği Aşılmış Konak} üzerinde çalışan ve bilinen şüpheli betiklerle ortak özelliklere sahip bir PowerShell betiği algılandı. Bu betik yasal bir etkinlik veya güvenliği aşılmış bir konağın göstergesi olabilir.
Önem Derecesi: Yüksek
Yürütülen şüpheli PowerShell cmdlet'leri
Açıklama: Konak verilerinin analizi, bilinen kötü amaçlı PowerShell PowerSploit cmdlet'lerinin yürütülmesini gösterir.
Önem Derecesi: Orta
Şüpheli işlem yürütüldü [birden çok kez görüldü]
Açıklama: Makine günlükleri, şüpheli işlemin makinede çalıştığını ve çoğunlukla saldırganın kimlik bilgilerine erişme girişimleriyle ilişkili olduğunu gösteriyor. Bu davranış bugün şu makinelerde [x] kez görüldü: [Makine adları]
Önem Derecesi: Yüksek
Şüpheli işlem yürütüldü
Açıklama: Makine günlükleri, şüpheli işlemin makinede çalıştığını ve çoğunlukla saldırganın kimlik bilgilerine erişme girişimleriyle ilişkili olduğunu gösteriyor.
Önem Derecesi: Yüksek
Şüpheli işlem adı algılandı [birden çok kez görüldü]
Açıklama: %{Güvenliği Aşılmış Konak} üzerindeki konak verilerinin analizi, adı şüpheli olan bir işlem algılandı, örneğin bilinen bir saldırgan aracına karşılık geliyor veya açıkça görünmeye çalışan saldırgan araçlarını önerecek şekilde adlandırıldı. Bu işlem yasal bir etkinlik veya makinelerinizden birinin gizliliğinin ihlal edildiğinin göstergesi olabilir. Bu davranış bugün şu makinelerde [x] kez görüldü: [Makine adları]
Önem Derecesi: Orta
Şüpheli işlem adı algılandı
Açıklama: %{Güvenliği Aşılmış Konak} üzerindeki konak verilerinin analizi, adı şüpheli olan bir işlem algılandı, örneğin bilinen bir saldırgan aracına karşılık geliyor veya açıkça görünmeye çalışan saldırgan araçlarını önerecek şekilde adlandırıldı. Bu işlem yasal bir etkinlik veya makinelerinizden birinin gizliliğinin ihlal edildiğinin göstergesi olabilir.
Önem Derecesi: Orta
Şüpheli SQL etkinliği
Açıklama: Makine günlükleri '%{process name}' öğesinin %{user name} hesabı tarafından yürütüldüğünü gösteriyor. Bu etkinlik bu hesapla sık karşılaşılan bir durumdur.
Önem Derecesi: Orta
Şüpheli SVCHOST işlemi yürütüldü
Açıklama: Sistem işlemi SVCHOST'un anormal bir bağlamda çalıştığı gözlemlendi. Kötü amaçlı yazılım genellikle kötü amaçlı etkinliğini maskelemek için SVCHOST kullanır.
Önem Derecesi: Yüksek
Şüpheli sistem işlemi yürütüldü
(VM_SystemProcessInAbnormalContext)
Açıklama: %{process name} sistem işleminin anormal bir bağlamda çalıştığı gözlemlendi. Kötü amaçlı yazılım, kötü amaçlı etkinliğini maskelemek için genellikle bu işlem adını kullanır.
MITRE taktikleri: Savunma Kaçamak, Yürütme
Önem Derecesi: Yüksek
Şüpheli Birim Gölge Kopyası Etkinliği
Açıklama: Konak verilerinin analizinde kaynakta bir gölge kopya silme etkinliği algılandı. Birim Gölge Kopyası (VSC), veri anlık görüntülerini depolayan önemli bir yapıttır. Bazı kötü amaçlı yazılımlar ve özellikle Fidye Yazılımı, VSC'yi yedekleme stratejilerini sabote etmek için hedefler.
Önem Derecesi: Yüksek
Şüpheli WindowPosition kayıt defteri değeri algılandı
Açıklama: %{Güvenliği Aşılmış Ana Bilgisayar} üzerindeki konak verilerinin analizinde, masaüstünde görünmeyen bölümlerde uygulama pencerelerinin gizlendiğini gösteren bir WindowPosition kayıt defteri yapılandırma değişikliği girişimi algılandı. Bu yasal bir etkinlik veya güvenliği aşılmış bir makinenin göstergesi olabilir: Bu etkinlik türü daha önce Win32/OneSystemCare ve Win32/SystemHealer gibi bilinen adware (veya istenmeyen yazılımlar) ve Win32/Creprote gibi kötü amaçlı yazılımlarla ilişkilendirilmiştir. WindowPosition değeri 201329664 olarak ayarlandığında (X-axis=0c00 ve Y-axis=0c00'e karşılık gelen Onaltılık: 0x0c00 0c00) bu, konsol uygulamasının penceresini görünür başlangıç menüsünün/görev çubuğunun altındaki görünümden gizlenmiş bir alana kullanıcı ekranının görünür olmayan bir bölümüne yerleştirir. Bilinen şüpheli Onaltılık değer c000c000 değerini içerir ancak bunlarla sınırlı değildir.
Önem Derecesi: Düşük
Şüpheli adlandırılmış işlem algılandı
Açıklama: %{Güvenliği Aşılmış Konak} üzerindeki konak verilerinin analizi, adı çok benzer ancak çok yaygın olarak çalıştırılan bir işlemden (%{İşlem Adına Benzer}) farklı olan bir işlem algılandı. Bu işlem iyi huylu olsa da saldırganların kötü amaçlı araçlarını meşru işlem adlarına benzeyecek şekilde adlandırarak bazen görünürde gizlendikleri bilinmektedir.
Önem Derecesi: Orta
Sanal makinenizde olağan dışı yapılandırma sıfırlaması
(VM_VMAccessUnusualConfigReset)
Açıklama: Aboneliğinizdeki Azure Resource Manager işlemleri çözümlenerek sanal makinenizde olağan dışı bir yapılandırma sıfırlaması algılandı. Bu eylem yasal olsa da, saldırganlar sanal makinenizdeki yapılandırmayı sıfırlamak ve güvenliğini aşmak için VM Erişim uzantısını kullanmayı deneyebilir.
MITRE taktikleri: Kimlik Bilgisi Erişimi
Önem Derecesi: Orta
Olağan dışı işlem yürütme algılandı
Açıklama: %{Güvenliği Aşılmış Konak} üzerindeki konak verilerinin analizi, %{User Name} tarafından olağan dışı bir işlem yürütüldüğünü algılandı. %{User Name} gibi hesaplar sınırlı bir işlem kümesi gerçekleştirme eğilimindedir, bu yürütmenin karakter dışı olduğu belirlendi ve şüpheli olabilir.
Önem Derecesi: Yüksek
Sanal makinenizde olağan dışı kullanıcı parolası sıfırlama
(VM_VMAccessUnusualPasswordReset)
Açıklama: Aboneliğinizdeki Azure Resource Manager işlemleri çözümlenerek sanal makinenizde olağan dışı bir kullanıcı parola sıfırlaması algılandı. Bu eylem yasal olsa da, saldırganlar sanal makinenizdeki yerel bir kullanıcının kimlik bilgilerini sıfırlamak ve güvenliğini aşmak için VM Erişim uzantısını kullanmayı deneyebilir.
MITRE taktikleri: Kimlik Bilgisi Erişimi
Önem Derecesi: Orta
Sanal makinenizde olağan dışı kullanıcı SSH anahtarı sıfırlama
(VM_VMAccessUnusualSSHReset)
Açıklama: Aboneliğinizdeki Azure Resource Manager işlemleri çözümlenerek sanal makinenizde olağan dışı bir kullanıcı SSH anahtarı sıfırlaması algılandı. Bu eylem yasal olsa da, saldırganlar sanal makinenizdeki bir kullanıcı hesabının SSH anahtarını sıfırlamak ve güvenliğini aşmak için VM Erişim uzantısını kullanmayı deneyebilir.
MITRE taktikleri: Kimlik Bilgisi Erişimi
Önem Derecesi: Orta
VBScript HTTP nesne ayırma algılandı
Açıklama: Komut İstemi kullanılarak VBScript dosyası oluşturma işlemi algılandı. Aşağıdaki betik HTTP nesne ayırma komutunu içerir. Bu eylem kötü amaçlı dosyaları indirmek için kullanılabilir.
Sanal makinenizde ŞÜPHELI GPU uzantısı yüklemesi (Önizleme)
(VM_GPUDriverExtensionUnusualExecution)
Açıklama: Aboneliğinizdeki Azure Resource Manager işlemleri çözümlenerek sanal makinenizde şüpheli bir GPU uzantısı yüklemesi algılandı. Saldırganlar şifreleme hırsızlığı gerçekleştirmek için Azure Resource Manager aracılığıyla sanal makinenize GPU sürücüleri yüklemek için GPU sürücü uzantısını kullanabilir.
MITRE taktikleri: Etki
Önem Derecesi: Düşük
AzureHound aracı çağrısı algılandı
(ARM_AzureHound)
Açıklama: AzureHound aboneliğinizde çalıştırıldı ve kaynakları listelemek için bilgi toplama işlemleri gerçekleştirdi. Tehdit aktörleri, kaynakları listelemek ve hassas verilere erişmek veya yanal hareket gerçekleştirmek için bunları kullanmak için AzureHound gibi otomatik araçları kullanır. Bu, aboneliğinizdeki Azure Resource Manager işlemleri çözümlenerek algılandı. Bu işlem, kuruluşunuzdaki bir kimliğin ihlal edildiğine ve tehdit aktörünün ortamınızı tehlikeye atmaya çalıştığına işaret edebilir.
MITRE taktikleri: Bulma
Önem Derecesi: Orta
Not
Önizleme aşamasındaki uyarılar için: Azure Önizleme Ek Koşulları beta, önizleme veya başka bir şekilde genel kullanıma sunulmamış Azure özellikleri için geçerli olan ek yasal koşulları içerir.