تنبيهات لـAzure Cosmos DB
تسرد هذه المقالة تنبيهات الأمان التي قد تحصل عليها ل Azure Cosmos DB من Microsoft Defender for Cloud وأي خطط Microsoft Defender قمت بتمكينها. تعتمد التنبيهات المعروضة في بيئتك على الموارد والخدمات التي تحميها، والتكوين المخصص.
إشعار
قد تكون بعض التنبيهات المضافة مؤخرا التي يتم تشغيلها بواسطة تحليل ذكي للمخاطر في Microsoft Defender Microsoft Defender لنقطة النهاية غير مستندة.
تعرف على كيفية الاستجابة لهذه التنبيهات.
تعرف على كيفية تصدير التنبيهات.
إشعار
قد تستغرق التنبيهات من مصادر مختلفة وقتاً مختلفاً للظهور. مثلاً، قد تستغرق التنبيهات التي تتطلب تحليل حركة مرور الشبكة وقتاً أطول من التنبيهات المتعلقة بالعمليات المشبوهة التي تعمل على الأجهزة الظاهرية.
تنبيهات Azure Cosmos DB
الوصول من عقدة إنهاء Tor
(CosmosDB_TorAnomaly)
الوصف: تم الوصول بنجاح إلى حساب Azure Cosmos DB هذا من عنوان IP معروف بأنه عقدة خروج نشطة من Tor، وهو وكيل مجهول المصدر. الوصول المصادق عليه من عقدة الخروج من Tor هو إشارة على الأرجح إلى أن ممثل التهديد يحاول إخفاء هويته.
تكتيكات MITRE: الوصول الأولي
الخطورة: عالية/متوسطة
الوصول من عنوان IP مريب
(CosmosDB_SuspiciousIp)
الوصف: تم الوصول بنجاح إلى حساب Azure Cosmos DB هذا من عنوان IP تم تحديده كتهديد بواسطة Microsoft Threat Intelligence.
تكتيكات MITRE: الوصول الأولي
الخطورة: متوسط
الوصول من موقع غير عادي
(CosmosDB_GeoAnomaly)
الوصف: تم الوصول إلى حساب Azure Cosmos DB هذا من موقع يعتبر غير مألوف، استنادا إلى نمط الوصول المعتاد.
إما أن جهة التهديد قد حصلت على حق الوصول إلى الحساب، أو أن مستخدمًا شرعيًا قد اتصل من موقع جغرافي جديد أو غير معتاد
تكتيكات MITRE: الوصول الأولي
الخطورة: منخفض
حجم غير عادي من البيانات المستخرجة
(CosmosDB_DataExfiltrationAnomaly)
الوصف: تم استخراج حجم كبير بشكل غير عادي من البيانات من حساب Azure Cosmos DB هذا. قد يشير هذا إلى أن ممثل التهديد قام بتهديد البيانات.
تكتيكات MITRE: النقل غير المصرح به
الخطورة: متوسط
استخراج مفاتيح حسابات Azure Cosmos DB عبر برنامج نصي يحتمل أن يكون ضارًا
(CosmosDB_SuspiciousListKeys.MaliciousScript)
الوصف: تم تشغيل برنامج نصي PowerShell في اشتراكك ونفذ نمطا مريبا من عمليات سرد المفاتيح للحصول على مفاتيح حسابات Azure Cosmos DB في اشتراكك. يستخدم مستخدمو التهديد البرامج النصية التلقائية، مثل Microburst، لسرد المفاتيح والعثور على حسابات Azure Cosmos DB التي يمكنهم الوصول إليها.
قد تشير هذه العملية إلى أنه تم اختراق هوية في مؤسستك، وأن ممثل التهديد يحاول اختراق حسابات Azure Cosmos DB في بيئتك للحصول على نوايا ضارة.
بدلًا من ذلك، يمكن أن يحاول أحد المشاركين في برنامج Insider الضار الوصول إلى البيانات الحساسة وتنفيذ الحركة الجانبية.
تكتيكات MITRE: المجموعة
الخطورة: متوسط
الاستخراج المشبوه لمفاتيح حساب Azure Cosmos DB
(AzureCosmosDB_SuspiciousListKeys.SuspiciousPrincipal)
الوصف: استخرج مصدر مريب مفاتيح الوصول إلى حساب Azure Cosmos DB من اشتراكك. إذا لم يكن هذا المصدر مصدرا شرعيا، فقد تكون هذه مشكلة ذات تأثير كبير. يوفر مفتاح الوصول الذي تم استخراجه التحكم الكامل في قواعد البيانات المقترنة والبيانات المخزنة داخلها. راجع تفاصيل كل تنبيه محدد لفهم سبب وضع علامة على المصدر على أنه مريب.
تكتيكات MITRE: الوصول إلى بيانات الاعتماد
الخطورة: عالية
حقن SQL: تسرب البيانات المحتمل
(CosmosDB_SqlInjection.DataExfiltration)
الوصف: تم استخدام عبارة SQL مريبة للاستعلام عن حاوية في حساب Azure Cosmos DB هذا.
ربما نجحت العبارة التي تم إدخالها في تصفية البيانات التي لم يصرح لممثل التهديد بالوصول إليها.
نظرا لبنية وقدرات استعلامات Azure Cosmos DB، لا يمكن أن تعمل العديد من هجمات حقن SQL المعروفة على حسابات Azure Cosmos DB. ومع ذلك، قد يعمل التباين المستخدم في هذا الهجوم ويمكن للجهات الفاعلة في التهديد النقل غير المصرح به للبيانات.
تكتيكات MITRE: النقل غير المصرح به
الخطورة: متوسط
حقن SQL: محاولة غير واضح
(CosmosDB_SqlInjection.FailedFuzzingAttempt)
الوصف: تم استخدام عبارة SQL مريبة للاستعلام عن حاوية في حساب Azure Cosmos DB هذا.
مثل هجمات حقن SQL المعروفة الأخرى، لن ينجح هذا الهجوم في المساس بحساب Azure Cosmos DB.
ومع ذلك، فهي إشارة إلى أن جهة التهديد تحاول مهاجمة الموارد الموجودة في هذا الحساب، وقد يتعرض تطبيقك للخطر.
يمكن أن تنجح بعض هجمات حقن SQL ويمكن استخدامها لتصفية البيانات. وهذا يعني أنه إذا استمر المهاجم في تنفيذ محاولات حقن SQL، فقد يتمكن من اختراق حساب Azure Cosmos DB الخاص بك واختراق البيانات.
يمكنك منع هذا التهديد باستخدام استعلامات ذات معلمات.
تكتيكات MITRE: ما قبل الهجوم
الخطورة: منخفض
إشعار
للتنبيهات في المعاينة: تتضمن شروط Azure Preview التكميلية شروطًا قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو التي لم يتم إصدارها بعد في الإتاحة العامة.