التنبيهات لـ Azure Key Vault
تسرد هذه المقالة تنبيهات الأمان التي قد تحصل عليها ل Azure Key Vault من Microsoft Defender for Cloud وأي خطط Microsoft Defender قمت بتمكينها. تعتمد التنبيهات المعروضة في بيئتك على الموارد والخدمات التي تحميها، والتكوين المخصص.
إشعار
قد تكون بعض التنبيهات المضافة مؤخرا التي يتم تشغيلها بواسطة تحليل ذكي للمخاطر في Microsoft Defender Microsoft Defender لنقطة النهاية غير مستندة.
تعرف على كيفية الاستجابة لهذه التنبيهات.
تعرف على كيفية تصدير التنبيهات.
إشعار
قد تستغرق التنبيهات من مصادر مختلفة وقتاً مختلفاً للظهور. مثلاً، قد تستغرق التنبيهات التي تتطلب تحليل حركة مرور الشبكة وقتاً أطول من التنبيهات المتعلقة بالعمليات المشبوهة التي تعمل على الأجهزة الظاهرية.
تنبيهات Azure Key Vault
الوصول من عنوان IP مريب إلى مخزن مفاتيح
(KV_SuspiciousIPAccess)
الوصف: تم الوصول إلى مخزن مفاتيح بنجاح بواسطة عنوان IP تم تحديده بواسطة Microsoft Threat Intelligence كعنوان IP مريب. قد يشير هذا إلى أن البنية الأساسية الخاصة بك قد تم اختراقها. نوصي بإجراء مزيد من التحقيق. تعرف على المزيد حول قدرات التحليل الذكي للمخاطر من Microsoft.
تكتيكات MITRE: الوصول إلى بيانات الاعتماد
الخطورة: متوسط
الوصول من عقدة إنهاء TOR إلى مخزن مفاتيح
(KV_TORAccess)
الوصف: تم الوصول إلى مخزن مفاتيح من عقدة خروج TOR معروفة. قد يكون هذا مؤشرًا على أن ممثل التهديد قد قام بالوصول إلى مخزن المفاتيح ويستخدم شبكة TOR لإخفاء موقع المصدر الخاص به. نوصي بإجراء المزيد من التحقيقات.
تكتيكات MITRE: الوصول إلى بيانات الاعتماد
الخطورة: متوسط
حجم كبير من العمليات في خزنة المفاتيح
(KV_OperationVolumeAnomaly)
الوصف: تم تنفيذ عدد غير مألوف من عمليات خزنة المفاتيح من قبل مستخدم أو كيان خدمة و/أو مخزن مفاتيح محدد. قد يكون نمط النشاط الشاذ هذا شرعيا، ولكنه قد يكون مؤشرا على أن ممثل التهديد قد تمكن من الوصول إلى مخزن المفاتيح والأسرار المضمنة فيه. نوصي بإجراء المزيد من التحقيقات.
تكتيكات MITRE: الوصول إلى بيانات الاعتماد
الخطورة: متوسط
تغيير النهج المشبوه والاستعلام السري في مخزن المفاتيح
(KV_PutGetAnomaly)
الوصف: قام مستخدم أو كيان خدمة بتنفيذ عملية تغيير نهج وضع المخزن الشاذ متبوعا بعملية الحصول على بيانات سرية واحدة أو أكثر. لا يتم تنفيذ هذا النمط عادة بواسطة المستخدم المحدد أو كيان الخدمة المحدد. قد يكون هذا نشاطا شرعيا، ولكن قد يكون مؤشرا على أن جهة التهديد قامت بتحديث نهج key vault للوصول إلى الأسرار التي لم يكن الوصول إليها في السابق. نوصي بإجراء المزيد من التحقيقات.
تكتيكات MITRE: الوصول إلى بيانات الاعتماد
الخطورة: متوسط
سرد البيانات السرية المشبوهة والاستعلام في مخزن المفاتيح
(KV_ListGetAnomaly)
الوصف: قام مستخدم أو كيان خدمة بإجراء عملية قائمة سرية شاذة متبوعة بعملية "الحصول على البيانات السرية" واحدة أو أكثر. لا يتم تنفيذ هذا النمط عادة بواسطة المستخدم المحدد أو كيان الخدمة المحدد وعادة ما يقترن بتفريغ البيانات السرية. قد يكون هذا نشاطا شرعيا، ولكن قد يكون مؤشرا على أن ممثل التهديد قد تمكن من الوصول إلى مخزن المفاتيح ويحاول اكتشاف الأسرار التي يمكن استخدامها للتنقل أفقيا عبر شبكتك و/أو الوصول إلى الموارد الحساسة. نوصي بإجراء المزيد من التحقيقات.
تكتيكات MITRE: الوصول إلى بيانات الاعتماد
الخطورة: متوسط
تم رفض الوصول غير العادي - تم رفض وصول المستخدم إلى حجم كبير من خزائن المفاتيح
(KV_AccountVolumeAccessDeniedAnomaly)
الوصف: حاول مستخدم أو كيان خدمة الوصول إلى حجم كبير بشكل غير مألوف من خزائن المفاتيح في آخر 24 ساعة. قد يكون نمط الوصول الشاذ هذا نشاطا مشروعا. على الرغم من أن هذه المحاولة لم تنجح، إلا إنها قد تكون مؤشراً على محاولة محتملة للوصول إلى مخزن المفاتيح والأسرار المضمنة فيه. نوصي بإجراء المزيد من التحقيقات.
تكتيكات MITRE: الاكتشاف
الخطورة: منخفض
تم رفض الوصول غير العادي - تم رفض وصول مستخدم غير عادي إلى مخزن المفاتيح
(KV_UserAccessDeniedAnomaly)
الوصف: تمت محاولة الوصول إلى مخزن المفاتيح من قبل مستخدم لا يصل إليه عادة، قد يكون نمط الوصول الشاذ هذا نشاطا شرعيا. على الرغم من أن هذه المحاولة لم تنجح، إلا إنها قد تكون مؤشراً على محاولة محتملة للوصول إلى مخزن المفاتيح والأسرار المضمنة فيه.
تكتيكات MITRE: الوصول الأولي، الاكتشاف
الخطورة: منخفض
وصول تطبيق غير عادي إلى مخزن مفاتيح
(KV_AppAnomaly)
الوصف: تم الوصول إلى مخزن مفاتيح بواسطة كيان خدمة لا يصل إليه عادة. قد يكون نمط الوصول الشاذ هذا نشاطا مشروعا، ولكنه قد يكون مؤشرا على أن جهة التهديد قد حصلت على حق الوصول إلى مخزن المفاتيح في محاولة للوصول إلى الأسرار الموجودة داخلها. نوصي بإجراء المزيد من التحقيقات.
تكتيكات MITRE: الوصول إلى بيانات الاعتماد
الخطورة: متوسط
نمط عملية غير عادي في خزنة المفاتيح
(KV_OperationPatternAnomaly)
الوصف: تم تنفيذ نمط شاذ لعمليات خزنة المفاتيح من قبل مستخدم أو كيان الخدمة و/أو مخزن مفاتيح محدد. قد يكون نمط النشاط الشاذ هذا شرعيا، ولكنه قد يكون مؤشرا على أن ممثل التهديد قد تمكن من الوصول إلى مخزن المفاتيح والأسرار المضمنة فيه. نوصي بإجراء المزيد من التحقيقات.
تكتيكات MITRE: الوصول إلى بيانات الاعتماد
الخطورة: متوسط
وصول مستخدم غير عادي إلى مخزن مفاتيح
(KV_UserAnomaly)
الوصف: تم الوصول إلى مخزن مفاتيح من قبل مستخدم لا يصل إليه عادة. قد يكون نمط الوصول الشاذ هذا نشاطا مشروعا، ولكنه قد يكون مؤشرا على أن جهة التهديد قد حصلت على حق الوصول إلى مخزن المفاتيح في محاولة للوصول إلى الأسرار الموجودة داخلها. نوصي بإجراء المزيد من التحقيقات.
تكتيكات MITRE: الوصول إلى بيانات الاعتماد
الخطورة: متوسط
تم الوصول إلى زوج تطبيق المستخدم غير العادي إلى مخزن مفاتيح
(KV_UserAppAnomaly)
الوصف: تم الوصول إلى key vault بواسطة زوج أساسي لخدمة المستخدم لا يصل إليه عادة. قد يكون نمط الوصول الشاذ هذا نشاطا مشروعا، ولكنه قد يكون مؤشرا على أن جهة التهديد قد حصلت على حق الوصول إلى مخزن المفاتيح في محاولة للوصول إلى الأسرار الموجودة داخلها. نوصي بإجراء المزيد من التحقيقات.
تكتيكات MITRE: الوصول إلى بيانات الاعتماد
الخطورة: متوسط
وصول المستخدم إلى حجم كبير من خزائن المفاتيح
(KV_AccountVolumeAnomaly)
الوصف: قام المستخدم أو كيان الخدمة بالوصول إلى حجم كبير بشكل غير مألوف من خزائن المفاتيح. قد يكون نمط الوصول الشاذ هذا نشاطا مشروعا، ولكنه قد يكون مؤشرا على أن جهة التهديد قد حصلت على حق الوصول إلى مخازن مفاتيح متعددة في محاولة للوصول إلى الأسرار الموجودة داخلها. نوصي بإجراء المزيد من التحقيقات.
تكتيكات MITRE: الوصول إلى بيانات الاعتماد
الخطورة: متوسط
رفض الوصول من عنوان IP مريب إلى مخزن مفاتيح
(KV_SuspiciousIPAccessDenied)
الوصف: تمت محاولة الوصول غير الناجح إلى مخزن المفاتيح من قبل IP تم تحديده بواسطة Microsoft Threat Intelligence كعنوان IP مريب. على الرغم من أن هذه المحاولة لم تنجح، إلا أنها تشير إلى أنه ربما تم اختراق البنية الأساسية الخاصة بك. نوصي بإجراء المزيد من التحقيقات.
تكتيكات MITRE: الوصول إلى بيانات الاعتماد
الخطورة: منخفض
وصول غير عادي إلى خزنة المفاتيح من عنوان IP مريب (غير Microsoft أو خارجي)
(KV_UnusualAccessSuspiciousIP)
الوصف: حاول مستخدم أو كيان خدمة الوصول الشاذ إلى خزائن المفاتيح من عنوان IP غير Microsoft في آخر 24 ساعة. قد يكون نمط الوصول الشاذ هذا نشاطا مشروعا. يمكن أن يكون مؤشرا على محاولة محتملة للوصول إلى مخزن المفاتيح والأسرار المضمنة فيه. نوصي بإجراء المزيد من التحقيقات.
تكتيكات MITRE: الوصول إلى بيانات الاعتماد
الخطورة: متوسط
إشعار
للتنبيهات في المعاينة: تتضمن شروط Azure Preview التكميلية شروطًا قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو التي لم يتم إصدارها بعد في الإتاحة العامة.