Riasztások az Azure Key Vaulthoz
Ez a cikk felsorolja azOkat a biztonsági riasztásokat, amelyek az Azure Key Vaulthoz Felhőhöz készült Microsoft Defender és az engedélyezett Microsoft Defender-csomagokból származhatnak. A környezetben megjelenő riasztások a védeni kívánt erőforrásoktól és szolgáltatásoktól, valamint a testre szabott konfigurációtól függenek.
Feljegyzés
Előfordulhat, hogy a Microsoft Defender Intelligens veszélyforrás-felderítés és Végponthoz készült Microsoft Defender által nemrég hozzáadott riasztások némelyike visszavonva.
Megtudhatja, hogyan válaszolhat ezekre a riasztásokra.
Megtudhatja, hogyan exportálhat riasztásokat.
Feljegyzés
A különböző forrásokból származó riasztások megjelenése különböző időt vehet igénybe. A hálózati forgalom elemzését igénylő riasztások például tovább tarthatnak, mint a virtuális gépeken futó gyanús folyamatokkal kapcsolatos riasztások.
Azure Key Vault-riasztások
További részletek és megjegyzések
Hozzáférés gyanús IP-címről kulcstartóhoz
(KV_SuspiciousIPAccess)
Leírás: Egy kulcstartóhoz sikeresen hozzáfért egy IP-cím, amelyet a Microsoft Threat Intelligence gyanús IP-címként azonosított. Ez azt jelezheti, hogy az infrastruktúra sérült. Javasoljuk, hogy további vizsgálatot. További információ a Microsoft fenyegetésfelderítési képességeiről.
MITRE-taktikák: Hitelesítő adatok elérése
Súlyosság: Közepes
Hozzáférés tor kilépési csomópontról kulcstartóhoz
(KV_TORAccess)
Leírás: Egy kulcstartó egy ismert TOR-kilépési csomópontról lett elérve. Ez arra utalhat, hogy a fenyegetést okozó szereplő hozzáfért a kulcstartóhoz, és a TOR-hálózatot használja a forráshely elrejtéséhez. Javasoljuk, hogy további vizsgálatokat.
MITRE-taktikák: Hitelesítő adatok elérése
Súlyosság: Közepes
Nagy mennyiségű művelet egy kulcstartóban
(KV_OperationVolumeAnomaly)
Leírás: Egy felhasználó, szolgáltatásnév és/vagy egy adott kulcstartó rendellenes számú kulcstartóműveletet hajtott végre. Ez a rendellenes tevékenységminta jogos lehet, de azt jelezheti, hogy a fenyegetést okozó szereplő hozzáfért a kulcstartóhoz és a benne lévő titkos kulcsokhoz. Javasoljuk, hogy további vizsgálatokat.
MITRE-taktikák: Hitelesítő adatok elérése
Súlyosság: Közepes
Gyanús szabályzatmódosítás és titkos lekérdezés egy kulcstartóban
(KV_PutGetAnomaly)
Leírás: Egy felhasználó vagy szolgáltatásnév rendellenes tárolóhely-módosítási műveletet hajtott végre, amelyet egy vagy több Titkos kulcs lekérése művelet követ. Ezt a mintát általában nem a megadott felhasználó vagy szolgáltatásnév hajtja végre. Ez lehet jogszerű tevékenység, de azt jelezheti, hogy a fenyegetést okozó szereplő frissítette a key vault szabályzatát a korábban elérhetetlen titkos kódok eléréséhez. Javasoljuk, hogy további vizsgálatokat.
MITRE-taktikák: Hitelesítő adatok elérése
Súlyosság: Közepes
Gyanús titkos listázás és lekérdezés egy kulcstárolóban
(KV_ListGetAnomaly)
Leírás: Egy felhasználó vagy szolgáltatásnév rendellenes titkoslista-műveletet hajtott végre, amelyet egy vagy több Titkos kód lekérése művelet követ. Ezt a mintát általában nem a megadott felhasználó vagy szolgáltatási megbízó hajtja végre, és jellemzően a titokdömpinghez kapcsolódik. Ez lehet jogszerű tevékenység, de azt jelezheti, hogy a fenyegetést okozó szereplő hozzáfért a kulcstartóhoz, és olyan titkos kulcsokat próbál felderíteni, amelyek segítségével oldalirányban mozoghat a hálózaton, és/vagy hozzáférhet a bizalmas erőforrásokhoz. Javasoljuk, hogy további vizsgálatokat.
MITRE-taktikák: Hitelesítő adatok elérése
Súlyosság: Közepes
Szokatlan hozzáférés megtagadva – A nagy mennyiségű kulcstartóhoz hozzáférő felhasználó megtagadva
(KV_AccountVolumeAccessDeniedAnomaly)
Leírás: Egy felhasználó vagy szolgáltatásnév az elmúlt 24 órában rendellenesen nagy mennyiségű kulcstartóhoz próbált hozzáférni. Ez a rendellenes hozzáférési minta lehet jogszerű tevékenység. Bár ez a kísérlet sikertelen volt, a key vault és a benne lévő titkos kulcsok elérésének lehetséges kísérletére utalhat. Javasoljuk, hogy további vizsgálatokat.
MITRE-taktikák: Felderítés
Súlyosság: Alacsony
Szokatlan hozzáférés megtagadva – A key vaulthoz való szokatlan hozzáférés megtagadva
(KV_UserAccessDeniedAnomaly)
Leírás: A kulcstartóhoz való hozzáférést olyan felhasználó kísérelte meg, aki általában nem fér hozzá, ez a rendellenes hozzáférési minta lehet jogszerű tevékenység. Bár ez a kísérlet sikertelen volt, a key vault és a benne lévő titkos kulcsok elérésének lehetséges kísérletére utalhat.
MITRE-taktikák: Kezdeti hozzáférés, Felderítés
Súlyosság: Alacsony
Szokatlan alkalmazás fért hozzá egy kulcstartóhoz
(KV_AppAnomaly)
Leírás: Egy kulcstartóhoz olyan szolgáltatásnév fért hozzá, amely általában nem fér hozzá. Ez a rendellenes hozzáférési minta lehet jogszerű tevékenység, de azt jelezheti, hogy a fenyegetést okozó szereplő hozzáfért a kulcstartóhoz, hogy megpróbálja elérni a benne lévő titkos kulcsokat. Javasoljuk, hogy további vizsgálatokat.
MITRE-taktikák: Hitelesítő adatok elérése
Súlyosság: Közepes
Szokatlan műveleti minta egy kulcstartóban
(KV_OperationPatternAnomaly)
Leírás: A kulcstartó műveleteinek rendellenes mintáját egy felhasználó, egy szolgáltatásnév és/vagy egy adott kulcstartó hajtotta végre. Ez a rendellenes tevékenységminta jogos lehet, de azt jelezheti, hogy a fenyegetést okozó szereplő hozzáfért a kulcstartóhoz és a benne lévő titkos kulcsokhoz. Javasoljuk, hogy további vizsgálatokat.
MITRE-taktikák: Hitelesítő adatok elérése
Súlyosság: Közepes
Szokatlan felhasználó fért hozzá egy kulcstartóhoz
(KV_UserAnomaly)
Leírás: Egy kulcstartóhoz olyan felhasználó fért hozzá, aki általában nem fér hozzá. Ez a rendellenes hozzáférési minta lehet jogszerű tevékenység, de azt jelezheti, hogy a fenyegetést okozó szereplő hozzáfért a kulcstartóhoz, hogy megpróbálja elérni a benne lévő titkos kulcsokat. Javasoljuk, hogy további vizsgálatokat.
MITRE-taktikák: Hitelesítő adatok elérése
Súlyosság: Közepes
Szokatlan felhasználói-alkalmazáspárok fértek hozzá egy kulcstartóhoz
(KV_UserAppAnomaly)
Leírás: A kulcstartóhoz egy olyan felhasználó-szolgáltatás egyszerű párja fért hozzá, amely általában nem fér hozzá. Ez a rendellenes hozzáférési minta lehet jogszerű tevékenység, de azt jelezheti, hogy a fenyegetést okozó szereplő hozzáfért a kulcstartóhoz, hogy megpróbálja elérni a benne lévő titkos kulcsokat. Javasoljuk, hogy további vizsgálatokat.
MITRE-taktikák: Hitelesítő adatok elérése
Súlyosság: Közepes
A felhasználó nagy mennyiségű kulcstartóhoz fért hozzá
(KV_AccountVolumeAnomaly)
Leírás: Egy felhasználó vagy szolgáltatásnév rendellenesen nagy mennyiségű kulcstartóhoz fért hozzá. Ez a rendellenes hozzáférési minta lehet jogszerű tevékenység, de azt jelezheti, hogy a fenyegetést okozó szereplő több kulcstartóhoz is hozzáfért, hogy megpróbálja elérni a bennük lévő titkos kulcsokat. Javasoljuk, hogy további vizsgálatokat.
MITRE-taktikák: Hitelesítő adatok elérése
Súlyosság: Közepes
Hozzáférés megtagadva gyanús IP-címről kulcstartóhoz
(KV_SuspiciousIPAccessDenied)
Leírás: Sikertelen kulcstartó-hozzáférést kísérelt meg egy IP- cím, amelyet a Microsoft Threat Intelligence gyanús IP-címként azonosított. Bár ez a kísérlet sikertelen volt, azt jelzi, hogy az infrastruktúra megsérülhetett. Javasoljuk, hogy további vizsgálatokat.
MITRE-taktikák: Hitelesítő adatok elérése
Súlyosság: Alacsony
Szokatlan hozzáférés a kulcstartóhoz gyanús IP-címről (nem Microsoft vagy külső)
(KV_UnusualAccessSuspiciousIP)
Leírás: Egy felhasználó vagy szolgáltatásnév az elmúlt 24 órában nem Microsoft IP-címről próbált rendellenes hozzáférést elérni a kulcstartókhoz. Ez a rendellenes hozzáférési minta lehet jogszerű tevékenység. Ez arra utalhat, hogy lehetséges kísérlet a kulcstartó és a benne lévő titkos kulcsok elérésére. Javasoljuk, hogy további vizsgálatokat.
MITRE-taktikák: Hitelesítő adatok elérése
Súlyosság: Közepes
Feljegyzés
Előzetes verziójú riasztások esetén: Az Azure Előzetes verzió kiegészítő feltételei további jogi feltételeket tartalmaznak, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.