Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Note
Für Vorfälle, die sich in der Vorschau befinden: Die Azure Zusätzliche Bedingungen für die Vorschau enthalten zusätzliche rechtliche Bestimmungen, die für Azure Features gelten, die sich in der Betaversion, der Vorschau oder auf andere Weise noch nicht in der allgemeinen Verfügbarkeit befinden.
In diesem Artikel werden die Vorfälle aufgeführt, die Sie möglicherweise von Microsoft Defender for Cloud erhalten, und alle Microsoft Defender Pläne, die Sie aktiviert haben. Die in Ihrer Umgebung angezeigten Vorfälle hängen von den Ressourcen und Diensten ab, die Sie schützen, und ihrer angepassten Konfiguration.
Ein Sicherheitsvorfall ist eine Korrelation von Warnungen mit einer Angriffsgeschichte, die eine Entität gemeinsam nutzen. Beispiel: Ressource, IP-Adresse, Benutzer oder Teilen eines Killchainmusters .
Sie können einen Vorfall auswählen, um alle Warnungen im Zusammenhang mit dem Vorfall anzuzeigen und weitere Informationen zu erhalten.
Erfahren Sie, wie Sie Sicherheitsvorfälle verwalten.
Note
Dieselbe Warnung kann als Teil eines Vorfalls vorhanden sein und als eigenständige Warnung angezeigt werden.
Sicherheitsvorfall
| Alert | Description | Severity |
|---|---|---|
| Sicherheitsvorfall erkannte verdächtige Benutzeraktivitäten (Vorschau) | Dieser Vorfall weist auf verdächtige Benutzervorgänge in Ihrer Umgebung hin. Mehrere Warnungen aus verschiedenen Defender for Cloud-Plänen wurden von diesem Benutzer ausgelöst, wodurch die Genauigkeit bösartiger Aktivitäten in Ihrer Umgebung erhöht wird. Obwohl diese Aktivität legitim sein kann, kann ein Bedrohungsakteur solche Vorgänge nutzen, um Ressourcen in Ihrer Umgebung zu kompromittieren. Dies kann darauf hindeuten, dass das Konto kompromittiert ist und mit böswilligen Absichten verwendet wird. | Hoch |
| Sicherheitsvorfall hat verdächtige Dienstprinzipalaktivitäten erkannt (Vorschau) | Dieser Vorfall weist auf verdächtige Dienstprinzipalvorgänge in Ihrer Umgebung hin. Mehrere Warnungen aus verschiedenen Defender for Cloud-Plänen wurden durch diesen Dienstprinzipal ausgelöst, wodurch die Genauigkeit bösartiger Aktivitäten in Ihrer Umgebung erhöht wird. Obwohl diese Aktivität legitim sein kann, kann ein Bedrohungsakteur solche Vorgänge nutzen, um Ressourcen in Ihrer Umgebung zu kompromittieren. Dies kann darauf hinweisen, dass der Dienstprinzipal kompromittiert ist und mit böswilligen Absichten verwendet wird. | Hoch |
| Sicherheitsvorfall erkannte verdächtige Krypto-Mining-Aktivitäten (Vorschau) | Szenario 1: Dieser Vorfall gibt an, dass verdächtige Krypto-Mining-Aktivitäten nach verdächtigen Benutzer- oder Dienstprinzipalaktivitäten erkannt wurden. Mehrere Warnungen aus verschiedenen Defender for Cloud-Plänen wurden auf derselben Ressource ausgelöst, wodurch die Genauigkeit bösartiger Aktivitäten in Ihrer Umgebung erhöht wird. Verdächtige Kontoaktivitäten deuten möglicherweise darauf hin, dass ein Bedrohungsakteur nicht autorisierten Zugriff auf Ihre Umgebung erlangt hat, und die erfolgreiche Krypto-Mining-Aktivität schlägt möglicherweise vor, dass sie Ihre Ressource erfolgreich kompromittiert haben und sie für das Mining von Kryptowährungen verwenden, was zu erhöhten Kosten für Ihre Organisation führen kann. Szenario 2: Dieser Vorfall gibt an, dass verdächtige Krypto-Mining-Aktivitäten nach einem Brute-Force-Angriff auf dieselbe virtuelle Computerressource erkannt wurden. Mehrere Warnungen aus verschiedenen Defender for Cloud-Plänen wurden auf derselben Ressource ausgelöst, wodurch die Genauigkeit bösartiger Aktivitäten in Ihrer Umgebung erhöht wird. Der Brute-Force-Angriff auf den virtuellen Computer könnte darauf hinweisen, dass ein Bedrohungsakteur versucht, nicht autorisierten Zugriff auf Ihre Umgebung zu erlangen, und die erfolgreiche Krypto-Mining-Aktivität schlägt möglicherweise vor, dass sie Ihre Ressource erfolgreich kompromittiert und für Den Abbau von Kryptowährungen verwenden, was zu erhöhten Kosten für Ihre Organisation führen kann. |
Hoch |
| Sicherheitsvorfall wurde verdächtige Key Vault-Aktivität erkannt (Vorschau) | Szenario 1: Dieser Vorfall gibt an, dass verdächtige Aktivitäten in Ihrer Umgebung im Zusammenhang mit der Verwendung von Key Vault erkannt wurden. Mehrere Warnungen aus verschiedenen Defender for Cloud-Plänen wurden von diesem Benutzer oder Dienstprinzipal ausgelöst, wodurch die Genauigkeit bösartiger Aktivitäten in Ihrer Umgebung erhöht wird. Verdächtige Key Vault Aktivitäten deuten möglicherweise darauf hin, dass ein Bedrohungsakteur versucht, Zugriff auf Ihre vertraulichen Daten zu erhalten, z. B. Schlüssel, Geheimschlüssel und Zertifikate, und das Konto wird kompromittiert und mit böswilligen Absichten verwendet. Szenario 2: Dieser Vorfall gibt an, dass verdächtige Aktivitäten in Ihrer Umgebung im Zusammenhang mit der Verwendung von Key Vault erkannt wurden. Mehrere Warnungen aus verschiedenen Defender for Cloud-Plänen wurden von derselben IP-Adresse ausgelöst, wodurch die Genauigkeit bösartiger Aktivitäten in Ihrer Umgebung erhöht wird. Verdächtige Key Vault Aktivitäten deuten möglicherweise darauf hin, dass ein Bedrohungsakteur versucht, Zugriff auf Ihre vertraulichen Daten zu erhalten, z. B. Schlüssel, Geheimschlüssel und Zertifikate, und das Konto wird kompromittiert und mit böswilligen Absichten verwendet. Szenario 3: Dieser Vorfall gibt an, dass verdächtige Aktivitäten in Ihrer Umgebung im Zusammenhang mit der Verwendung von Key Vault erkannt wurden. Mehrere Warnungen aus verschiedenen Defender for Cloud-Plänen wurden auf derselben Ressource ausgelöst, wodurch die Genauigkeit bösartiger Aktivitäten in Ihrer Umgebung erhöht wird. Verdächtige Key Vault Aktivitäten deuten möglicherweise darauf hin, dass ein Bedrohungsakteur versucht, Zugriff auf Ihre vertraulichen Daten zu erhalten, z. B. Schlüssel, Geheimschlüssel und Zertifikate, und das Konto wird kompromittiert und mit böswilligen Absichten verwendet. |
Hoch |
| Sicherheitsvorfall erkannte verdächtige SAS-Aktivitäten (Vorschau) | Dieser Vorfall weist darauf hin, dass verdächtige Aktivitäten nach dem potenziellen Missbrauch eines SAS-Tokens erkannt wurden. Mehrere Warnungen aus verschiedenen Defender for Cloud-Plänen wurden auf derselben Ressource ausgelöst, wodurch die Genauigkeit bösartiger Aktivitäten in Ihrer Umgebung erhöht wird. Die Verwendung eines SAS-Tokens kann darauf hinweisen, dass ein Bedrohungsakteur nicht autorisierten Zugriff auf Ihr Speicherkonto erlangt hat und versucht, auf vertrauliche Daten zuzugreifen oder diese zu exfiltrieren. | Hoch |
| Sicherheitsvorfall hat anomale geografische Standortaktivitäten erkannt (Vorschau) | Szenario 1: Dieser Vorfall gibt anomale geografische Standortaktivitäten in Ihrer Umgebung an. Mehrere Warnungen aus verschiedenen Defender for Cloud-Plänen wurden auf derselben Ressource ausgelöst, wodurch die Genauigkeit bösartiger Aktivitäten in Ihrer Umgebung erhöht wird. Verdächtige Aktivitäten, die von anomalen Standorten stammen, deuten möglicherweise darauf hin, dass ein Bedrohungsakteur nicht autorisierten Zugriff auf Ihre Umgebung erlangt hat und versucht, sie zu kompromittieren. Szenario 2: Dieser Vorfall gibt anomale geografische Standortaktivitäten in Ihrer Umgebung an. Mehrere Warnungen aus verschiedenen Defender for Cloud-Plänen wurden von derselben IP-Adresse ausgelöst, wodurch die Genauigkeit bösartiger Aktivitäten in Ihrer Umgebung erhöht wird. Verdächtige Aktivitäten, die von anomalen Standorten stammen, deuten möglicherweise darauf hin, dass ein Bedrohungsakteur nicht autorisierten Zugriff auf Ihre Umgebung erlangt hat und versucht, sie zu kompromittieren. |
Hoch |
| Sicherheitsvorfall erkannte verdächtige IP-Aktivitäten (Vorschau) | Szenario 1: Dieser Vorfall gibt an, dass verdächtige Aktivitäten erkannt wurden, die von einer verdächtigen IP-Adresse stammen. Mehrere Warnungen aus verschiedenen Defender for Cloud-Plänen wurden von derselben IP-Adresse ausgelöst, wodurch die Genauigkeit bösartiger Aktivitäten in Ihrer Umgebung erhöht wird. Verdächtige Aktivitäten, die von einer verdächtigen IP-Adresse stammen, deuten möglicherweise darauf hin, dass ein Angreifer nicht autorisierten Zugriff auf Ihre Umgebung erlangt hat und versucht, sie zu kompromittieren. Szenario 2: Dieser Vorfall gibt an, dass verdächtige Aktivitäten erkannt wurden, die von einer verdächtigen IP-Adresse stammen. Mehrere Warnungen aus verschiedenen Defender for Cloud-Plänen wurden für denselben Benutzer oder Dienstprinzipal ausgelöst, wodurch die Genauigkeit bösartiger Aktivitäten in Ihrer Umgebung erhöht wird. Verdächtige Aktivitäten, die von einer verdächtigen IP-Adresse stammen, können darauf hinweisen, dass ein Angreifer nicht autorisierten Zugriff auf Ihre Umgebung erlangt hat und versucht, sie zu kompromittieren. |
Hoch |
| Sicherheitsvorfall erkannte verdächtige dateilose Angriffsaktivitäten (Vorschau) | Dieser Vorfall gibt an, dass ein dateiloses Angriffs-Toolkit auf einem virtuellen Computer erkannt wurde, nachdem ein potenzieller Exploit-Versuch auf derselben Ressource ausgeführt wurde. Mehrere Warnungen aus verschiedenen Defender for Cloud-Plänen wurden auf demselben virtuellen Computer ausgelöst, wodurch die Genauigkeit bösartiger Aktivitäten in Ihrer Umgebung erhöht wird. Das Vorhandensein eines dateilosen Angriffs-Toolkits auf dem virtuellen Computer kann darauf hindeuten, dass ein Bedrohungsakteur nicht autorisierten Zugriff auf Ihre Umgebung erlangt hat und versucht, die Erkennung zu umgehen, während weitere schädliche Aktivitäten ausgeführt werden. | Hoch |
| Sicherheitsvorfall erkannte verdächtige DDOS-Aktivität (Vorschau) | Dieser Vorfall weist darauf hin, dass verdächtige DDOS-Aktivitäten (Distributed Denial of Service) in Ihrer Umgebung erkannt wurden. DDOS-Angriffe sind darauf ausgelegt, Ihr Netzwerk oder Ihre Anwendung mit einem hohen Datenverkehrsvolumen zu überwältigen, was dazu führt, dass sie für legitime Benutzer nicht verfügbar ist. Mehrere Warnungen aus unterschiedlichen Defender for Cloud-Plänen wurden auf derselben IP-Adresse ausgelöst, wodurch die Genauigkeit bösartiger Aktivitäten in Ihrer Umgebung erhöht wird. | Hoch |
| Sicherheitsvorfall erkannte verdächtige Datenexfiltrationsaktivitäten (Vorschau) | Szenario 1: Dieser Vorfall gibt an, dass verdächtige Datenexfiltrationsaktivitäten nach verdächtigen Benutzer- oder Dienstprinzipalaktivitäten erkannt wurden. Mehrere Warnungen aus verschiedenen Defender for Cloud-Plänen wurden auf derselben Ressource ausgelöst, wodurch die Genauigkeit bösartiger Aktivitäten in Ihrer Umgebung erhöht wird. Verdächtige Kontoaktivitäten deuten möglicherweise darauf hin, dass ein Bedrohungsakteur nicht autorisierten Zugriff auf Ihre Umgebung erlangt hat, und die erfolgreiche Datenexfiltrationsaktivität schlägt möglicherweise vor, dass sie versuchen, vertrauliche Informationen zu stehlen. Szenario 2: Dieser Vorfall gibt an, dass verdächtige Datenexfiltrationsaktivitäten nach verdächtigen Benutzer- oder Dienstprinzipalaktivitäten erkannt wurden. Mehrere Warnungen aus verschiedenen Defender for Cloud-Plänen wurden von derselben IP-Adresse ausgelöst, wodurch die Genauigkeit bösartiger Aktivitäten in Ihrer Umgebung erhöht wird. Verdächtige Kontoaktivitäten deuten möglicherweise darauf hin, dass ein Bedrohungsakteur nicht autorisierten Zugriff auf Ihre Umgebung erlangt hat, und die erfolgreiche Datenexfiltrationsaktivität schlägt möglicherweise vor, dass sie versuchen, vertrauliche Informationen zu stehlen. Szenario 3: Dieser Vorfall gibt an, dass verdächtige Datenexfiltrationsaktivitäten nach einer ungewöhnlichen Kennwortzurücksetzung auf einem virtuellen Computer erkannt wurden. Mehrere Warnungen aus verschiedenen Defender for Cloud-Plänen wurden von derselben IP-Adresse ausgelöst, wodurch die Genauigkeit bösartiger Aktivitäten in Ihrer Umgebung erhöht wird. Verdächtige Kontoaktivitäten deuten möglicherweise darauf hin, dass ein Bedrohungsakteur nicht autorisierten Zugriff auf Ihre Umgebung erlangt hat, und die erfolgreiche Datenexfiltrationsaktivität schlägt möglicherweise vor, dass sie versuchen, vertrauliche Informationen zu stehlen. |
Hoch |
| Sicherheitsvorfall erkannte verdächtige API-Aktivitäten (Vorschau) | Dieser Vorfall gibt an, dass verdächtige API-Aktivitäten erkannt wurden. Mehrere Warnungen von Defender for Cloud wurden auf derselben Ressource ausgelöst, wodurch die Genauigkeit bösartiger Aktivitäten in Ihrer Umgebung erhöht wird. Verdächtige API-Verwendung kann darauf hinweisen, dass ein Bedrohungsakteur versucht, auf vertrauliche Informationen zuzugreifen oder nicht autorisierte Aktionen auszuführen. | Hoch |
| Sicherheitsvorfall erkannte verdächtige Kubernetes-Clusteraktivität (Vorschau) | Dieser Vorfall weist darauf hin, dass verdächtige Aktivitäten auf Ihrem Kubernetes-Cluster nach verdächtigen Benutzeraktivitäten erkannt wurden. Mehrere Warnungen aus verschiedenen Defender for Cloud-Plänen wurden auf demselben Cluster ausgelöst, wodurch die Genauigkeit bösartiger Aktivitäten in Ihrer Umgebung erhöht wird. Die verdächtige Aktivität auf Ihrem Kubernetes-Cluster kann darauf hinweisen, dass ein Bedrohungsakteur nicht autorisierten Zugriff auf Ihre Umgebung erlangt hat und versucht, sie zu kompromittieren. | Hoch |
| Sicherheitsvorfall erkannte verdächtige Speicheraktivitäten (Vorschau) | Szenario 1: Dieser Vorfall gibt an, dass verdächtige Speicheraktivitäten nach verdächtigen Benutzer- oder Dienstprinzipalaktivitäten erkannt wurden. Mehrere Warnungen aus verschiedenen Defender for Cloud-Plänen wurden auf derselben Ressource ausgelöst, wodurch die Genauigkeit bösartiger Aktivitäten in Ihrer Umgebung erhöht wird. Verdächtige Kontoaktivitäten deuten möglicherweise darauf hin, dass ein Bedrohungsakteur nicht autorisierten Zugriff auf Ihre Umgebung erlangt hat, und die erfolgreiche verdächtige Speicheraktivität schlägt möglicherweise vor, dass sie versuchen, auf potenziell vertrauliche Daten zuzugreifen. Szenario 2: Dieser Vorfall gibt an, dass verdächtige Speicheraktivitäten nach verdächtigen Benutzer- oder Dienstprinzipalaktivitäten erkannt wurden. Mehrere Warnungen aus verschiedenen Defender for Cloud-Plänen wurden von derselben IP-Adresse ausgelöst, wodurch die Genauigkeit bösartiger Aktivitäten in Ihrer Umgebung erhöht wird. Verdächtige Kontoaktivitäten deuten möglicherweise darauf hin, dass ein Bedrohungsakteur nicht autorisierten Zugriff auf Ihre Umgebung erlangt hat, und die erfolgreiche verdächtige Speicheraktivität schlägt möglicherweise vor, dass sie versuchen, auf potenziell vertrauliche Daten zuzugreifen. |
Hoch |
| Sicherheitsvorfall erkannte verdächtige Azure Toolkit-Aktivität (Vorschau) | Dieser Vorfall weist darauf hin, dass verdächtige Aktivitäten nach der potenziellen Verwendung eines Azure Toolkits erkannt wurden. Mehrere Warnungen aus verschiedenen Defender for Cloud-Plänen wurden für denselben Benutzer oder Dienstprinzipal ausgelöst, wodurch die Genauigkeit bösartiger Aktivitäten in Ihrer Umgebung erhöht wird. Die Verwendung eines Azure Toolkits kann darauf hinweisen, dass ein Angreifer nicht autorisierten Zugriff auf Ihre Umgebung erlangt hat und versucht, es zu kompromittieren. | Hoch |
| Sicherheitsvorfall erkannte verdächtige DNS-Aktivitäten (Vorschau) | Szenario 1: Dieser Vorfall gibt an, dass verdächtige DNS-Aktivitäten erkannt wurden. Mehrere Warnungen aus verschiedenen Defender for Cloud-Plänen wurden auf derselben Ressource ausgelöst, wodurch die Genauigkeit bösartiger Aktivitäten in Ihrer Umgebung erhöht wird. Verdächtige DNS-Aktivitäten deuten möglicherweise darauf hin, dass ein Bedrohungsakteur nicht autorisierten Zugriff auf Ihre Umgebung erlangt hat und versucht, sie zu kompromittieren. Szenario 2: Dieser Vorfall gibt an, dass verdächtige DNS-Aktivitäten erkannt wurden. Mehrere Warnungen aus verschiedenen Defender for Cloud-Plänen wurden von derselben IP-Adresse ausgelöst, wodurch die Genauigkeit bösartiger Aktivitäten in Ihrer Umgebung erhöht wird. Verdächtige DNS-Aktivitäten deuten möglicherweise darauf hin, dass ein Bedrohungsakteur nicht autorisierten Zugriff auf Ihre Umgebung erlangt hat und versucht, sie zu kompromittieren. |
Medium |
| Sicherheitsvorfall hat verdächtige SQL-Aktivitäten erkannt (Vorschau) | Szenario 1: Dieser Vorfall gibt an, dass verdächtige SQL-Aktivitäten erkannt wurden. Mehrere Warnungen aus verschiedenen Defender for Cloud-Plänen wurden von derselben IP-Adresse ausgelöst, wodurch die Genauigkeit bösartiger Aktivitäten in Ihrer Umgebung erhöht wird. Verdächtige SQL-Aktivitäten deuten möglicherweise darauf hin, dass ein Bedrohungsakteur auf Ihren SQL-Server ausgerichtet ist und versucht, ihn zu kompromittieren. Szenario 2: Dieser Vorfall gibt an, dass verdächtige SQL-Aktivitäten erkannt wurden. Mehrere Warnungen aus verschiedenen Defender for Cloud-Plänen wurden auf derselben Ressource ausgelöst, wodurch die Genauigkeit bösartiger Aktivitäten in Ihrer Umgebung erhöht wird. Verdächtige SQL-Aktivitäten deuten möglicherweise darauf hin, dass ein Bedrohungsakteur auf Ihren SQL-Server ausgerichtet ist und versucht, ihn zu kompromittieren. |
Hoch |
| Sicherheitsvorfall erkannte verdächtige App-Dienstaktivitäten (Vorschau) | Szenario 1: Dieser Vorfall gibt an, dass verdächtige Aktivitäten in Ihrer App-Dienstumgebung erkannt wurden. Mehrere Warnungen aus verschiedenen Defender for Cloud-Plänen wurden auf derselben Ressource ausgelöst, wodurch die Genauigkeit bösartiger Aktivitäten in Ihrer Umgebung erhöht wird. Verdächtige App-Dienstaktivitäten deuten möglicherweise darauf hin, dass ein Bedrohungsakteur auf Ihre Anwendung ausgerichtet ist und versucht, sie zu kompromittieren. Szenario 2: Dieser Vorfall gibt an, dass verdächtige Aktivitäten in Ihrer App-Dienstumgebung erkannt wurden. Mehrere Warnungen aus verschiedenen Defender for Cloud-Plänen wurden von derselben IP-Adresse ausgelöst, wodurch die Genauigkeit bösartiger Aktivitäten in Ihrer Umgebung erhöht wird. Verdächtige App-Dienstaktivitäten deuten möglicherweise darauf hin, dass ein Bedrohungsakteur auf Ihre Anwendung ausgerichtet ist und versucht, sie zu kompromittieren. |
Hoch |
| Sicherheitsvorfall festgestellter kompromittierter Computer mit Botnetkommunikation | Dieser Vorfall zeigt verdächtige Botnetaktivitäten auf Ihrem virtuellen Computer an. Mehrere Warnungen aus unterschiedlichen Defender for Cloud-Plänen wurden in chronologischer Reihenfolge auf derselben Ressource ausgelöst, nach dem MITRE ATT& CK-Framework. Dies kann darauf hindeuten, dass ein Bedrohungsakteur nicht autorisierten Zugriff auf Ihre Umgebung erlangt hat und versucht, ihn zu kompromittieren. | Mittel/Hoch |
| Sicherheitsvorfall erkannte kompromittierte Computer mit Botnetkommunikation | Dieser Vorfall zeigt verdächtige Botnetaktivitäten auf Ihren virtuellen Computern an. Mehrere Warnungen aus unterschiedlichen Defender for Cloud-Plänen wurden in chronologischer Reihenfolge auf derselben Ressource ausgelöst, nach dem MITRE ATT& CK-Framework. Dies kann darauf hindeuten, dass ein Bedrohungsakteur nicht autorisierten Zugriff auf Ihre Umgebung erlangt hat und versucht, ihn zu kompromittieren. | Mittel/Hoch |
| Sicherheitsvorfall festgestellter kompromittierter Computer mit bösartigen ausgehenden Aktivitäten | Dieser Vorfall zeigt verdächtige ausgehende Aktivitäten auf Ihrem virtuellen Computer an. Mehrere Warnungen aus unterschiedlichen Defender for Cloud-Plänen wurden in chronologischer Reihenfolge auf derselben Ressource ausgelöst, nach dem MITRE ATT& CK-Framework. Dies kann darauf hindeuten, dass ein Bedrohungsakteur nicht autorisierten Zugriff auf Ihre Umgebung erlangt hat und versucht, ihn zu kompromittieren. | Mittel/Hoch |
| Sicherheitsvorfall erkannte kompromittierte Computer | Dieser Vorfall zeigt verdächtige Aktivitäten auf einem oder mehreren Ihrer virtuellen Computer an. Mehrere Warnungen aus verschiedenen Defender for Cloud-Plänen wurden in chronologischer Reihenfolge auf den gleichen Ressourcen ausgelöst, nach dem MITRE ATT& CK-Framework. Dies kann darauf hindeuten, dass ein Bedrohungsakteur nicht autorisierten Zugriff auf Ihre Umgebung erlangt hat und diese Computer erfolgreich kompromittiert hat. | Mittel/Hoch |
| Sicherheitsvorfall erkannte kompromittierte Computer mit bösartigen ausgehenden Aktivitäten | Dieser Vorfall weist auf verdächtige ausgehende Aktivitäten von Ihren virtuellen Computern hin. Mehrere Warnungen aus verschiedenen Defender for Cloud-Plänen wurden in chronologischer Reihenfolge auf den gleichen Ressourcen ausgelöst, nach dem MITRE ATT& CK-Framework. Dies kann darauf hindeuten, dass ein Bedrohungsakteur nicht autorisierten Zugriff auf Ihre Umgebung erlangt hat und versucht, ihn zu kompromittieren. | Mittel/Hoch |
| Sicherheitsvorfall auf mehreren Computern erkannt | Dieser Vorfall zeigt verdächtige Aktivitäten auf einem oder mehreren Ihrer virtuellen Computer an. Mehrere Warnungen aus unterschiedlichen Defender for Cloud-Plänen wurden in chronologischer Reihenfolge auf derselben Ressource ausgelöst, nach dem MITRE ATT& CK-Framework. Dies kann darauf hindeuten, dass ein Bedrohungsakteur nicht autorisierten Zugriff auf Ihre Umgebung erlangt hat und versucht, ihn zu kompromittieren. | Mittel/Hoch |
| Sicherheitsvorfall mit freigegebenem Prozess erkannt | Szenario 1: Dieser Vorfall zeigt verdächtige Aktivitäten auf Ihrem virtuellen Computer an. Mehrere Warnungen aus verschiedenen Defender for Cloud-Plänen wurden ausgelöst, um denselben Prozess gemeinsam zu nutzen. Dies kann darauf hindeuten, dass ein Bedrohungsakteur nicht autorisierten Zugriff auf Ihre Umgebung erlangt hat und versucht, ihn zu kompromittieren. Szenario 2: Dieser Vorfall zeigt verdächtige Aktivitäten auf Ihren virtuellen Computern an. Mehrere Warnungen aus verschiedenen Defender for Cloud-Plänen wurden ausgelöst, um denselben Prozess gemeinsam zu nutzen. Dies kann darauf hindeuten, dass ein Bedrohungsakteur nicht autorisierten Zugriff auf Ihre Umgebung erlangt hat und versucht, ihn zu kompromittieren. |
Mittel/Hoch |
Nächste Schritte
Verwalten von Sicherheitsincidents in Microsoft Defender für Cloud