تنبيهات لـ Azure Storage
تسرد هذه المقالة تنبيهات الأمان التي قد تحصل عليها ل Azure Storage من Microsoft Defender for Cloud وأي خطط Microsoft Defender قمت بتمكينها. تعتمد التنبيهات المعروضة في بيئتك على الموارد والخدمات التي تحميها، والتكوين المخصص.
إشعار
قد تكون بعض التنبيهات المضافة مؤخرا التي يتم تشغيلها بواسطة تحليل ذكي للمخاطر في Microsoft Defender Microsoft Defender لنقطة النهاية غير مستندة.
تعرف على كيفية الاستجابة لهذه التنبيهات.
تعرف على كيفية تصدير التنبيهات.
إشعار
قد تستغرق التنبيهات من مصادر مختلفة وقتاً مختلفاً للظهور. مثلاً، قد تستغرق التنبيهات التي تتطلب تحليل حركة مرور الشبكة وقتاً أطول من التنبيهات المتعلقة بالعمليات المشبوهة التي تعمل على الأجهزة الظاهرية.
تنبيهات Azure Storage
الوصول من تطبيق مشبوه
(Storage.Blob_SuspiciousApp)
الوصف: يشير إلى أن تطبيقا مشبوها قد نجح في الوصول إلى حاوية حساب تخزين مع المصادقة. قد يشير هذا إلى أن المهاجم قد حصل على بيانات الاعتماد اللازمة للوصول إلى الحساب، ويستغله. قد يكون هذا أيضاً مؤشراً على اختبار الاختراق الذي تم إجراؤه في مؤسستك. ينطبق على: Azure Blob Storage، Azure Data Lake Storage Gen2
تكتيكات MITRE: الوصول الأولي
الخطورة: عالية/متوسطة
الوصول من عنوان IP مريب
(Storage.Blob_SuspiciousIp Storage.Files_SuspiciousIp)
الوصف: يشير إلى أنه تم الوصول بنجاح إلى حساب التخزين هذا من عنوان IP الذي يعتبر مريبا. يتم تشغيل هذا التنبيه بواسطة Microsoft Threat Intelligence. تعرف على المزيد حول قدرات التحليل الذكي للمخاطر من Microsoft. ينطبق على: Azure Blob Storage وAzure Files وAzure Data Lake Storage Gen2
تكتيكات MITRE: ما قبل الهجوم
الخطورة: عالية/متوسطة/منخفضة
محتوى التصيد الاحتيالي المستضاف على حساب تخزين
(Storage.Blob_PhishingContent Storage.Files_PhishingContent)
الوصف: يشير عنوان URL المستخدم في هجوم التصيد الاحتيالي إلى حساب Azure Storage الخاص بك. كان عنوان URL هذا جزءًا من هجوم تصيد احتيالي يؤثر على مستخدمي Microsoft 365. عادة ما يتم تصميم المحتوى المستضاف على مثل هذه الصفحات لخداع الزوار لإدخال بيانات اعتماد الشركة أو المعلومات المالية الخاصة بهم في نموذج ويب يبدو شرعيًا. يتم تشغيل هذا التنبيه بواسطة Microsoft Threat Intelligence. تعرف على المزيد حول قدرات التحليل الذكي للمخاطر من Microsoft. ينطبق على: Azure Blob Storage وAzure Files
تكتيكات MITRE: المجموعة
الخطورة: عالية
حساب التخزين المحدد كمصدر لتوزيع البرامج الضارة
(Storage.Files_WidespreadeAm)
الوصف: تشير تنبيهات مكافحة البرامج الضارة إلى تخزين ملف (ملفات) مصابة في مشاركة ملف Azure التي يتم تحميلها على أجهزة ظاهرية متعددة. إذا تمكن المهاجمون من الوصول إلى جهاز ظاهري مع مشاركة ملف Azure مثبتة، يمكنهم استخدامه لنشر البرامج الضارة إلى الأجهزة الظاهرية الأخرى التي تحمل نفس المشاركة. ينطبق على: Azure Files
تكتيكات MITRE: التنفيذ
الخطورة: متوسط
تم تغيير مستوى الوصول إلى حاوية كائن ثنائي كبير الحجم للتخزين يحتمل أن تكون حساسة للسماح بالوصول العام غير المصادق عليه
(Storage.Blob_OpenACL)
الوصف: يشير التنبيه إلى أن شخصا ما قد قام بتغيير مستوى الوصول إلى حاوية كائن ثنائي كبير الحجم في حساب التخزين، والذي قد يحتوي على بيانات حساسة، إلى مستوى "الحاوية"، للسماح بالوصول العام غير المصادق عليه (المجهول). تم إجراء التغيير من خلال مدخل Microsoft Azure. استنادا إلى التحليل الإحصائي، يتم وضع علامة على حاوية الكائن الثنائي كبير الحجم على أنها ربما تحتوي على بيانات حساسة. يشير هذا التحليل إلى أن حاويات الكائنات الثنائية كبيرة الحجم أو حسابات التخزين ذات الأسماء المماثلة عادة لا تتعرض للوصول العام. ينطبق على: حسابات تخزين Azure Blob (الإصدار 2 للأغراض العامة القياسية، أو Azure Data Lake Storage Gen2، أو الكائنات الثنائية كبيرة الحجم للكتلة المميزة).
تكتيكات MITRE: المجموعة
الخطورة: متوسط
الوصول المعتمد من عقدة إنهاء Tor
(Storage.Blob_TorAnomaly Storage.Files_TorAnomaly)
الوصف: تم الوصول بنجاح إلى حاوية (حاويات) تخزين واحدة أو أكثر / مشاركة ملف في حساب التخزين الخاص بك من عنوان IP معروف بأنه عقدة خروج نشطة من Tor (وكيل مجهول المصدر). يستخدم ممثلو التهديد Tor لجعل تتبع النشاط مرة أخرى أمراً صعباً. الوصول المصادق عليه من عقدة الخروج من Tor هو إشارة على الأرجح إلى أن ممثل التهديد يحاول إخفاء هويته. ينطبق على: Azure Blob Storage وAzure Files وAzure Data Lake Storage Gen2
تكتيكات MITRE: الوصول الأولي / ما قبل الهجوم
الخطورة: عالية/متوسطة
الوصول من موقع غير عادي إلى حساب تخزين
(Storage.Blob_GeoAnomaly Storage.Files_GeoAnomaly)
الوصف: يشير إلى وجود تغيير في نمط الوصول إلى حساب Azure Storage. قام شخص ما بالوصول إلى هذا الحساب من عنوان IP يعتبر غير مألوف بالمقارنة مع النشاط الأخير. إما أن المهاجم قد تمكن من الوصول إلى الحساب، أو أن مستخدمًا شرعيًا قد اتصل من موقع جغرافي جديد أو غير معتاد. مثال على هذا الأخير هو الصيانة عن بعد من تطبيق أو مطور جديد. ينطبق على: Azure Blob Storage وAzure Files وAzure Data Lake Storage Gen2
تكتيكات MITRE: الوصول الأولي
الخطورة: عالية/متوسطة/منخفضة
وصول غير مصادق عليه غير عادي إلى حاوية تخزين
(Storage.Blob_AnonymousAccessAnomaly)
الوصف: تم الوصول إلى حساب التخزين هذا دون مصادقة، وهو تغيير في نمط الوصول الشائع. عادة ما تتم مصادقة الوصول للقراءة إلى هذه الحاوية. قد يشير هذا إلى أن ممثل التهديد كان قادراً على استغلال الوصول العام للقراءة إلى حاوية (حاويات) التخزين في حساب (حسابات) التخزين هذا. ينطبق على: Azure Blob Storage
تكتيكات MITRE: الوصول الأولي
الخطورة: عالية/منخفضة
البرامج الضارة المحتملة التي تم تحميلها إلى حساب تخزين
(Storage.Blob_MalwareHashReputation Storage.Files_MalwareHashReputation)
الوصف: يشير إلى أنه تم تحميل كائن ثنائي كبير الحجم يحتوي على برامج ضارة محتملة إلى حاوية كائن ثنائي كبير الحجم أو مشاركة ملف في حساب تخزين. يستند هذا التنبيه إلى تحليل سمعة التجزئة الذي يستفيد من قوة التحليل الذكي للمخاطر من Microsoft، والذي يتضمن تجزئات للفيروسات وأجنة طروادة وبرامج التجسس وبرامج الفدية الضارة. قد تتضمن الأسباب المحتملة تحميل برنامج ضار مقصود من قبل مهاجم، أو تحميل غير مقصود لكائن ثنائي كبير الحجم يحتمل أن يكون ضارا من قبل مستخدم شرعي. ينطبق على: Azure Blob Storage وAzure Files (فقط للمعاملات عبر REST API) تعرف على المزيد حول قدرات التحليل الذكي للمخاطر من Microsoft.
تكتيكات MITRE: الحركة الجانبية
الخطورة: عالية
نجاح اكتشاف حاويات تخزين يمكن الوصول إليها بشكل عام
(Storage.Blob_OpenContainersScanning.SuccessfulDiscovery)
الوصف: تم إجراء اكتشاف ناجح لحاوية (حاويات) التخزين المفتوحة بشكل عام في حساب التخزين الخاص بك في الساعة الأخيرة بواسطة برنامج نصي أو أداة للمسح الضوئي.
يشير هذا عادة إلى هجوم استكشاف، حيث يحاول ممثل التهديد سرد الكائنات الثنائية كبيرة الحجم عن طريق تخمين أسماء الحاويات، على أمل العثور على حاويات تخزين مفتوحة مُكوَّنة بشكل خاطئ تحتوي على بيانات حساسة.
قد يستخدم ممثل التهديد برنامجه النصي الخاص أو يستخدم أدوات المسح المعروفة مثل Microburst للفحص بحثا عن حاويات مفتوحة بشكل عام.
✔ Azure Blob Storage ✖ Azure Files ✖ Azure Data Lake Storage Gen2
تكتيكات MITRE: المجموعة
الخطورة: عالية/متوسطة
فشل فحص حاويات التخزين التي يمكن الوصول إليها بشكل عام
(Storage.Blob_OpenContainersScanning.FailedAttempt)
الوصف: تم تنفيذ سلسلة من المحاولات الفاشلة للفحص بحثا عن حاويات التخزين المفتوحة بشكل عام في الساعة الأخيرة.
يشير هذا عادة إلى هجوم استكشاف، حيث يحاول ممثل التهديد سرد الكائنات الثنائية كبيرة الحجم عن طريق تخمين أسماء الحاويات، على أمل العثور على حاويات تخزين مفتوحة مُكوَّنة بشكل خاطئ تحتوي على بيانات حساسة.
قد يستخدم ممثل التهديد برنامجه النصي الخاص أو يستخدم أدوات المسح المعروفة مثل Microburst للفحص بحثا عن حاويات مفتوحة بشكل عام.
✔ Azure Blob Storage ✖ Azure Files ✖ Azure Data Lake Storage Gen2
تكتيكات MITRE: المجموعة
الخطورة: عالية/منخفضة
فحص الوصول غير العادي في حساب تخزين
(Storage.Blob_AccessInspectionAnomaly Storage.Files_AccessInspectionAnomaly)
الوصف: يشير إلى أنه تم فحص أذونات الوصول لحساب التخزين بطريقة غير عادية، مقارنة بالنشاط الأخير على هذا الحساب. السبب المحتمل هو أن المهاجم قد أجرى استطلاعًا لهجوم مستقبلي. ينطبق على: Azure Blob Storage وAzure Files
تكتيكات MITRE: الاكتشاف
الخطورة: عالية/متوسطة
كمية غير عادية من البيانات المستخرجة من حساب تخزين
(Storage.Blob_DataExfiltration.AmountOfDataAnomaly Storage.Blob_DataExfiltration.NumberOfBlobsAnomaly Storage.Files_DataExfiltration.AmountOfDataAnomaly Storage.Files_DataExfiltration.NumberOfFilesAnomaly)
الوصف: يشير إلى أنه تم استخراج كمية كبيرة بشكل غير عادي من البيانات مقارنة بالنشاط الأخير على حاوية التخزين هذه. السبب المحتمل هو أن المهاجم قد استخرج كمية كبيرة من البيانات من حاوية تحتوي على تخزين كائن ثنائي كبير الحجم. ينطبق على: Azure Blob Storage وAzure Files وAzure Data Lake Storage Gen2
تكتيكات MITRE: النقل غير المصرح به
الخطورة: عالية/منخفضة
وصول تطبيق غير عادي إلى حساب تخزين
(Storage.Blob_ApplicationAnomaly Storage.Files_ApplicationAnomaly)
الوصف: يشير إلى أن تطبيقا غير عادي قد قام بالوصول إلى حساب التخزين هذا. السبب المحتمل هو أن المهاجم قد قام بالوصول إلى حساب التخزين الخاص بك باستخدام تطبيق جديد. ينطبق على: Azure Blob Storage وAzure Files
تكتيكات MITRE: التنفيذ
الخطورة: عالية/متوسطة
استكشاف البيانات غير العادي في حساب تخزين
(Storage.Blob_DataExplorationAnomaly Storage.Files_DataExplorationAnomaly)
الوصف: يشير إلى أنه تم تعداد الكائنات الثنائية كبيرة الحجم أو الحاويات في حساب تخزين بطريقة غير طبيعية، مقارنة بالنشاط الأخير على هذا الحساب. السبب المحتمل هو أن المهاجم قد أجرى استطلاعًا لهجوم مستقبلي. ينطبق على: Azure Blob Storage وAzure Files
تكتيكات MITRE: التنفيذ
الخطورة: عالية/متوسطة
حذف غير عادي في حساب تخزين
(Storage.Blob_DeletionAnomaly Storage.Files_DeletionAnomaly)
الوصف: يشير إلى حدوث عملية حذف غير متوقعة واحدة أو أكثر في حساب تخزين، مقارنة بالنشاط الأخير على هذا الحساب. السبب المحتمل هو أن المهاجم قد حذف البيانات من حساب التخزين الخاص بك. ينطبق على: Azure Blob Storage وAzure Files وAzure Data Lake Storage Gen2
تكتيكات MITRE: النقل غير المصرح به
الخطورة: عالية/متوسطة
وصول عام غير مصادق عليه غير عادي إلى حاوية كائن ثنائي كبير الحجم حساسة
Storage.Blob_AnonymousAccessAnomaly.حساس
الوصف: يشير التنبيه إلى أن شخصا ما قد قام بالوصول إلى حاوية كائن ثنائي كبير الحجم مع بيانات حساسة في حساب التخزين دون مصادقة، باستخدام عنوان IP خارجي (عام). هذا الوصول مريب لأن حاوية الكائن الثنائي كبير الحجم مفتوحة للوصول العام وعادة ما يتم الوصول إليها فقط من خلال المصادقة من الشبكات الداخلية (عناوين IP الخاصة). قد يشير هذا الوصول إلى أن مستوى الوصول إلى حاوية الكائن الثنائي كبير الحجم تم تكوينه بشكل خاطئ، وربما استغل مستخدم ضار الوصول العام. يتضمن تنبيه الأمان سياق المعلومات الحساسة المكتشفة (وقت الفحص وتسمية التصنيف وأنواع المعلومات وأنواع الملفات). تعرف على المزيد حول الكشف عن تهديدات البيانات الحساسة. ينطبق على: حسابات تخزين Azure Blob (الإصدار 2 للأغراض العامة القياسية، أو Azure Data Lake Storage Gen2، أو الكائنات الثنائية كبيرة الحجم للكتلة المتميزة) مع خطة Defender for Storage الجديدة مع تمكين ميزة الكشف عن تهديدات حساسية البيانات.
تكتيكات MITRE: الوصول الأولي
الخطورة: عالية
كمية غير عادية من البيانات المستخرجة من حاوية كائن ثنائي كبير الحجم حساسة
Storage.Blob_DataExfiltration.AmountOfDataAnomaly.Sensitive
الوصف: يشير التنبيه إلى أن شخصا ما قد استخرج كمية كبيرة بشكل غير عادي من البيانات من حاوية كائن ثنائي كبير الحجم مع بيانات حساسة في حساب التخزين. ينطبق على: حسابات تخزين Azure Blob (الإصدار 2 للأغراض العامة القياسية، أو Azure Data Lake Storage Gen2، أو الكائنات الثنائية كبيرة الحجم للكتلة المتميزة) مع خطة Defender for Storage الجديدة مع تمكين ميزة الكشف عن تهديدات حساسية البيانات.
تكتيكات MITRE: النقل غير المصرح به
الخطورة: متوسط
عدد غير عادي من الكائنات الثنائية كبيرة الحجم المستخرجة من حاوية كائن ثنائي كبير الحجم حساسة
Storage.Blob_DataExfiltration.NumberOfBlobsAnomaly.Sensitive
الوصف: يشير التنبيه إلى أن شخصا ما قد استخرج عددا كبيرا بشكل غير عادي من الكائنات الثنائية كبيرة الحجم من حاوية كائن ثنائي كبير الحجم مع بيانات حساسة في حساب التخزين. ينطبق على: حسابات تخزين Azure Blob (الإصدار 2 للأغراض العامة القياسية، أو Azure Data Lake Storage Gen2 أو الكائنات الثنائية كبيرة الحجم للكتلة المتميزة) مع خطة Defender for Storage الجديدة مع تمكين ميزة الكشف عن تهديدات حساسية البيانات.
تكتيكات MITRE: النقل غير المصرح به
الوصول من تطبيق مشبوه معروف إلى حاوية كائن ثنائي كبير الحجم حساسة
Storage.Blob_SuspiciousApp.حساس
الوصف: يشير التنبيه إلى أن شخصا لديه تطبيق مشبوه معروف قد قام بالوصول إلى حاوية كائن ثنائي كبير الحجم مع بيانات حساسة في حساب التخزين وأجرى عمليات مصادق عليها.
قد يشير الوصول إلى أن جهة التهديد حصلت على بيانات اعتماد للوصول إلى حساب التخزين باستخدام تطبيق مشبوه معروف. ومع ذلك، يمكن أن يشير الوصول أيضا إلى اختبار اختراق تم إجراؤه في المنظمة.
ينطبق على: حسابات تخزين Azure Blob (الإصدار 2 للأغراض العامة القياسية، أو Azure Data Lake Storage Gen2 أو الكائنات الثنائية كبيرة الحجم للكتلة المتميزة) مع خطة Defender for Storage الجديدة مع تمكين ميزة الكشف عن تهديدات حساسية البيانات.
تكتيكات MITRE: الوصول الأولي
الخطورة: عالية
الوصول من عنوان IP مريب معروف إلى حاوية كائن ثنائي كبير الحجم حساسة
Storage.Blob_SuspiciousIp.حساس
الوصف: يشير التنبيه إلى أن شخصا ما قد قام بالوصول إلى حاوية كائن ثنائي كبير الحجم مع بيانات حساسة في حساب التخزين من عنوان IP مريب معروف مرتبط بintel التهديد بواسطة Microsoft Threat Intelligence. منذ مصادقة الوصول، من الممكن أن تكون بيانات الاعتماد التي تسمح بالوصول إلى حساب التخزين هذا قد تم اختراقها. تعرف على المزيد حول قدرات التحليل الذكي للمخاطر من Microsoft. ينطبق على: حسابات تخزين Azure Blob (الإصدار 2 للأغراض العامة القياسية، أو Azure Data Lake Storage Gen2، أو الكائنات الثنائية كبيرة الحجم للكتلة المتميزة) مع خطة Defender for Storage الجديدة مع تمكين ميزة الكشف عن تهديدات حساسية البيانات.
تكتيكات MITRE: ما قبل الهجوم
الخطورة: عالية
الوصول من عقدة خروج Tor إلى حاوية كائن ثنائي كبير الحجم حساسة
Storage.Blob_TorAnomaly.حساس
الوصف: يشير التنبيه إلى أن شخصا لديه عنوان IP معروف بأنه عقدة خروج Tor قام بالوصول إلى حاوية كائن ثنائي كبير الحجم مع بيانات حساسة في حساب التخزين مع وصول مصادق عليه. يشير الوصول المصادق عليه من عقدة خروج Tor بقوة إلى أن المستخدم يحاول البقاء مجهولا للنية الضارة المحتملة. منذ مصادقة الوصول، من الممكن أن تكون بيانات الاعتماد التي تسمح بالوصول إلى حساب التخزين هذا قد تم اختراقها. ينطبق على: حسابات تخزين Azure Blob (الإصدار 2 للأغراض العامة القياسية، أو Azure Data Lake Storage Gen2، أو الكائنات الثنائية كبيرة الحجم للكتلة المتميزة) مع خطة Defender for Storage الجديدة مع تمكين ميزة الكشف عن تهديدات حساسية البيانات.
تكتيكات MITRE: ما قبل الهجوم
الخطورة: عالية
الوصول من موقع غير عادي إلى حاوية كائن ثنائي كبير الحجم حساسة
Storage.Blob_GeoAnomaly.حساس
الوصف: يشير التنبيه إلى أن شخصا ما قد قام بالوصول إلى حاوية كائن ثنائي كبير الحجم مع بيانات حساسة في حساب التخزين مع مصادقة من موقع غير عادي. منذ مصادقة الوصول، من الممكن أن تكون بيانات الاعتماد التي تسمح بالوصول إلى حساب التخزين هذا قد تم اختراقها. ينطبق على: حسابات تخزين Azure Blob (الإصدار 2 للأغراض العامة القياسية، أو Azure Data Lake Storage Gen2، أو الكائنات الثنائية كبيرة الحجم للكتلة المتميزة) مع خطة Defender for Storage الجديدة مع تمكين ميزة الكشف عن تهديدات حساسية البيانات.
تكتيكات MITRE: الوصول الأولي
الخطورة: متوسط
تم تغيير مستوى الوصول لحاوية تخزين البيانات الثنائية الكبيرة الحساسة للسماح بالوصول العام غير المصادق عليه
Storage.Blob_OpenACL.حساس
الوصف: يشير التنبيه إلى أن شخصا ما قد غير مستوى الوصول إلى حاوية كائن ثنائي كبير الحجم في حساب التخزين، الذي يحتوي على بيانات حساسة، إلى مستوى "الحاوية"، والذي يسمح بالوصول العام غير المصادق عليه (المجهول). تم إجراء التغيير من خلال مدخل Microsoft Azure. قد يعرض تغيير مستوى الوصول أمان البيانات للخطر. نوصي باتخاذ إجراء فوري لتأمين البيانات ومنع الوصول غير المصرح به في حالة تشغيل هذا التنبيه. ينطبق على: حسابات تخزين Azure Blob (الإصدار 2 للأغراض العامة القياسية، أو Azure Data Lake Storage Gen2، أو الكائنات الثنائية كبيرة الحجم للكتلة المتميزة) مع خطة Defender for Storage الجديدة مع تمكين ميزة الكشف عن تهديدات حساسية البيانات.
تكتيكات MITRE: المجموعة
الخطورة: عالية
الوصول الخارجي المشبوه إلى حساب تخزين Azure مع رمز SAS المميز المتساهل للغاية
(Storage.Blob_AccountSas.InternalSasUsedExternally
Storage.Files_AccountSas.InternalSasUsedExternally)
الوصف: يشير التنبيه إلى أن شخصا ما لديه عنوان IP خارجي (عام) قد قام بالوصول إلى حساب التخزين باستخدام رمز SAS مميز مسموح به بشكل مفرط بتاريخ انتهاء صلاحية طويل. يعتبر هذا النوع من الوصول مريبا لأن رمز SAS المميز يستخدم عادة فقط في الشبكات الداخلية (من عناوين IP الخاصة). قد يشير النشاط إلى أن رمز SAS المميز قد تسرب من قبل ممثل ضار أو تم تسريبه عن غير قصد من مصدر شرعي. حتى إذا كان الوصول شرعيا، فإن استخدام رمز SAS عالي الأذونات بتاريخ انتهاء صلاحية طويل يتعارض مع أفضل ممارسات الأمان ويشكل خطرا أمنيا محتملا. ينطبق على: حسابات تخزين Azure Blob (الإصدار 2 للأغراض العامة القياسية، أو Azure Data Lake Storage Gen2، أو الكائنات الثنائية كبيرة الحجم للكتلة المتميزة) مع خطة Defender for Storage الجديدة.
تكتيكات MITRE: النقل غير المصرح به / تطوير الموارد / التأثير
الخطورة: متوسط
عملية خارجية مريبة لحساب تخزين Azure مع رمز SAS المميز المتساهل بشكل مفرط
(Storage.Blob_AccountSas.UnusualOperationFromExternalIp
Storage.Files_AccountSas.UnusualOperationFromExternalIp)
الوصف: يشير التنبيه إلى أن شخصا ما لديه عنوان IP خارجي (عام) قد قام بالوصول إلى حساب التخزين باستخدام رمز SAS مميز مسموح به بشكل مفرط بتاريخ انتهاء صلاحية طويل. يعتبر الوصول مريبا لأن العمليات التي يتم استدعاؤها خارج شبكتك (وليس من عناوين IP الخاصة) مع رمز SAS المميز هذا تستخدم عادة لمجموعة معينة من عمليات القراءة/الكتابة/الحذف، ولكن حدثت عمليات أخرى، مما يجعل هذا الوصول مريبا. قد يشير هذا النشاط إلى أن رمز SAS المميز قد تم تسريبه من قبل ممثل ضار أو تم تسريبه عن غير قصد من مصدر شرعي. حتى إذا كان الوصول شرعيا، فإن استخدام رمز SAS عالي الأذونات بتاريخ انتهاء صلاحية طويل يتعارض مع أفضل ممارسات الأمان ويشكل خطرا أمنيا محتملا. ينطبق على: حسابات تخزين Azure Blob (الإصدار 2 للأغراض العامة القياسية، أو Azure Data Lake Storage Gen2، أو الكائنات الثنائية كبيرة الحجم للكتلة المتميزة) مع خطة Defender for Storage الجديدة.
تكتيكات MITRE: النقل غير المصرح به / تطوير الموارد / التأثير
الخطورة: متوسط
تم استخدام رمز SAS المميز غير العادي للوصول إلى حساب تخزين Azure من عنوان IP عام
(Storage.Blob_AccountSas.UnusualExternalAccess
Storage.Files_AccountSas.UnusualExternalAccess)
الوصف: يشير التنبيه إلى أن شخصا لديه عنوان IP خارجي (عام) قد قام بالوصول إلى حساب التخزين باستخدام رمز SAS المميز للحساب. الوصول غير عادي للغاية ويعتبر مريبا، لأن الوصول إلى حساب التخزين باستخدام رموز SAS المميزة عادة ما يأتي فقط من عناوين IP الداخلية (الخاصة). من المحتمل أن يكون قد تم تسريب رمز SAS المميز أو إنشاؤه بواسطة ممثل ضار إما من داخل مؤسستك أو خارجيا للوصول إلى حساب التخزين هذا. ينطبق على: حسابات تخزين Azure Blob (الإصدار 2 للأغراض العامة القياسية، أو Azure Data Lake Storage Gen2، أو الكائنات الثنائية كبيرة الحجم للكتلة المتميزة) مع خطة Defender for Storage الجديدة.
تكتيكات MITRE: النقل غير المصرح به / تطوير الموارد / التأثير
الخطورة: منخفض
ملف ضار تم تحميله إلى حساب التخزين
Storage.Blob_AM. MalwareFound
الوصف: يشير التنبيه إلى أنه تم تحميل كائن ثنائي كبير الحجم ضار إلى حساب تخزين. يتم إنشاء تنبيه الأمان هذا بواسطة ميزة فحص البرامج الضارة في Defender for Storage. قد تتضمن الأسباب المحتملة تحميل البرامج الضارة عن قصد من قبل ممثل تهديد أو تحميل غير مقصود لملف ضار من قبل مستخدم شرعي. ينطبق على: حسابات تخزين Azure Blob (الإصدار 2 للأغراض العامة القياسية، أو Azure Data Lake Storage Gen2، أو الكائنات الثنائية كبيرة الحجم للكتلة المتميزة) مع خطة Defender for Storage الجديدة مع تمكين ميزة مسح البرامج الضارة.
تكتيكات MITRE: الحركة الجانبية
الخطورة: عالية
تم تنزيل الكائن الثنائي كبير الحجم الضار من حساب تخزين
Storage.Blob_MalwareDownload
الوصف: يشير التنبيه إلى أنه تم تنزيل كائن ثنائي كبير الحجم ضار من حساب تخزين. قد تتضمن الأسباب المحتملة البرامج الضارة التي تم تحميلها إلى حساب التخزين ولم تتم إزالتها أو عزلها، وبالتالي تمكين ممثل التهديد من تنزيلها، أو تنزيل البرامج الضارة عن غير قصد من قبل مستخدمين أو تطبيقات شرعية. ينطبق على: حسابات تخزين Azure Blob (الإصدار 2 للأغراض العامة القياسية، أو Azure Data Lake Storage Gen2 أو الكائنات الثنائية كبيرة الحجم للكتلة المتميزة) مع خطة Defender for Storage الجديدة مع تمكين ميزة مسح البرامج الضارة.
تكتيكات MITRE: الحركة الجانبية
الخطورة: عالية، إذا كانت Eicar - منخفضة
إشعار
للتنبيهات في المعاينة: تتضمن شروط Azure Preview التكميلية شروطًا قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو التي لم يتم إصدارها بعد في الإتاحة العامة.