Referenční seznam cest útoku a komponent grafu cloudového zabezpečení
Tento článek obsahuje seznam cest útoku, připojení a přehledů používaných ve správě stavu zabezpečení cloudu v programu Defender (CSPM).
- Abyste mohli zobrazit cesty útoku, musíte povolit funkci CSPM v programu Defender.
- To, co vidíte ve svém prostředí, závisí na prostředcích, které chráníte, a na vlastní konfiguraci.
Přečtěte si další informace o grafu zabezpečení cloudu, analýze cest útoku a Průzkumníku zabezpečení cloudu.
Cesty útoku
Virtuální počítače Azure
Předpoklad: Seznam požadavků najdete v tabulce dostupnosti pro cesty útoku.
| Zobrazovaný název cesty útoku | Popis cesty útoku |
|---|---|
| Ohrožení zabezpečení vystavený internetem na virtuálním počítači s vysokou závažností | Virtuální počítač je dostupný z internetu a má vysokou závažnost ohrožení zabezpečení. |
| Internetový vystavený virtuální počítač má vysokou závažnost ohrožení zabezpečení a vysoké oprávnění k předplatnému | Virtuální počítač je dostupný z internetu, má vysokou závažnost ohrožení zabezpečení a identitu a oprávnění k předplatnému. |
| Internetový vystavený virtuální počítač má vysokou závažnost ohrožení zabezpečení a oprávnění ke čtení úložiště dat s citlivými daty | Virtuální počítač je dostupný z internetu, má vysoká závažnost ohrožení zabezpečení a oprávnění ke čtení úložiště dat obsahujícího citlivá data. Předpoklad: Povolte zabezpečení s podporou dat pro účty úložiště v programu Defender CSPM nebo využijte Katalog dat Microsoft Purview k ochraně citlivých dat. |
| Internetový vystavený virtuální počítač má vysokou závažnost ohrožení zabezpečení a oprávnění ke čtení úložiště dat | Virtuální počítač je dostupný z internetu a má vysoká závažnost ohrožení zabezpečení a oprávnění ke čtení úložiště dat. |
| Internetový vystavený virtuální počítač má vysokou závažnost ohrožení zabezpečení a oprávnění ke čtení ve službě Key Vault | Virtuální počítač je dostupný z internetu a má vysokou závažnost ohrožení zabezpečení a oprávnění ke čtení trezoru klíčů. |
| Virtuální počítač má vysokou závažnost ohrožení zabezpečení a vysoké oprávnění k předplatnému | Virtuální počítač má vysokou závažnost ohrožení zabezpečení a má vysoké oprávnění k předplatnému. |
| Virtuální počítač má vysokou závažnost ohrožení zabezpečení a oprávnění ke čtení úložiště dat s citlivými daty. | Virtuální počítač má vysoká závažnost ohrožení zabezpečení a oprávnění ke čtení úložiště dat obsahujícího citlivá data. Předpoklad: Povolte zabezpečení s podporou dat pro účty úložiště v programu Defender CSPM nebo využijte Katalog dat Microsoft Purview k ochraně citlivých dat. |
| Virtuální počítač má vysokou závažnost ohrožení zabezpečení a oprávnění ke čtení trezoru klíčů | Virtuální počítač má vysokou závažnost ohrožení zabezpečení a oprávnění ke čtení trezoru klíčů. |
| Virtuální počítač má vysokou závažnost ohrožení zabezpečení a oprávnění ke čtení úložiště dat | Virtuální počítač má vysokou závažnost ohrožení zabezpečení a oprávnění ke čtení úložiště dat. |
| Internetový vystavený virtuální počítač má vysokou závažnost ohrožení zabezpečení a nezabezpečený privátní klíč SSH, který se může ověřit na jiném virtuálním počítači. | Virtuální počítač Azure je dostupný z internetu, má vysokou závažnost ohrožení zabezpečení a má privátní klíč SSH prostého textu, který se může ověřit v jiné instanci AWS EC2. |
| Internetový vystavený virtuální počítač má vysokou závažnost ohrožení zabezpečení a má nezabezpečený tajný klíč, který se používá k ověření na SQL Serveru. | Virtuální počítač Azure je dostupný z internetu, má vysokou závažnost ohrožení zabezpečení a má privátní klíč SSH prostého textu, který se může ověřit na sql serveru. |
| Virtuální počítač má vysokou závažnost ohrožení zabezpečení a má nezabezpečený tajný klíč, který se používá k ověření na SQL Serveru. | Virtuální počítač Azure má vysokou závažnost ohrožení zabezpečení a má privátní klíč SSH prostého textu, který se může ověřit na SQL Serveru. |
| Virtuální počítač má vysokou závažnost ohrožení zabezpečení a má nezabezpečený tajný kód prostého textu, který se používá k ověření v účtu úložiště. | Virtuální počítač Azure má vysokou závažnost ohrožení zabezpečení a má privátní klíč SSH prostého textu, který se může ověřit v účtu úložiště Azure. |
| Internetový vystavený virtuální počítač má vysokou závažnost ohrožení zabezpečení a má nezabezpečený tajný klíč, který se používá k ověření v účtu úložiště. | Virtuální počítač Azure je dostupný z internetu, má vysokou závažnost ohrožení zabezpečení a tajný klíč, který se může ověřit v účtu úložiště Azure. |
Instance AWS EC2
Předpoklad: Povolte kontrolu bez agentů.
| Zobrazovaný název cesty útoku | Popis cesty útoku |
|---|---|
| Instance EC2 vystavená internetem má vysokou závažnost ohrožení zabezpečení a vysoké oprávnění k účtu | Instance AWS EC2 je dostupná z internetu, má vysokou závažnost ohrožení zabezpečení a má oprávnění k účtu. |
| Instance EC2 vystavená internetem má vysokou závažnost ohrožení zabezpečení a oprávnění ke čtení databáze. | Instance AWS EC2 je dostupná z internetu, má vysokou závažnost ohrožení zabezpečení a má oprávnění k databázi. |
| Instance EC2 vystavená internetem má vysokou závažnost ohrožení zabezpečení a oprávnění ke čtení v kontejneru S3 | Instance AWS EC2 je dostupná z internetu, má vysokou závažnost ohrožení zabezpečení a má roli IAM připojenou s oprávněním k kbelíku S3 prostřednictvím zásad IAM, nebo prostřednictvím zásad kontejneru, nebo prostřednictvím zásad IAM i zásad kbelíku. |
| Instance EC2 vystavená internetem má vysokou závažnost ohrožení zabezpečení a oprávnění ke čtení kontejneru S3 s citlivými daty | Instance AWS EC2 je přístupná z internetu, má vysokou závažnost ohrožení zabezpečení a má roli IAM připojenou s oprávněním k kbelíku S3 obsahujícím citlivá data prostřednictvím zásad IAM, nebo prostřednictvím zásad kontejneru, nebo prostřednictvím zásad IAM i zásad kbelíku. Předpoklad: Povolte zabezpečení s podporou dat pro kontejnery S3 v programu Defender CSPM nebo využijte Katalog dat Microsoft Purview k ochraně citlivých dat. |
| Instance EC2 vystavená internetem má vysokou závažnost ohrožení zabezpečení a oprávnění ke čtení pro Služba správy klíčů | Instance AWS EC2 je dostupná z internetu, má vysokou závažnost ohrožení zabezpečení a má roli IAM připojenou s oprávněním k Služba správy klíčů AWS (Služba správy klíčů) prostřednictvím zásad IAM nebo prostřednictvím zásad AWS Služba správy klíčů (Služba správy klíčů) nebo prostřednictvím zásad IAM i zásad Zásady Služba správy klíčů AWS |
| Ohrožení zabezpečení vystavená internetem EC2 má vysokou závažnost | Instance AWS EC2 je dostupná z internetu a má vysokou závažnost ohrožení zabezpečení. |
| Instance EC2 s vysokou závažností má vysoká privilegovaná oprávnění k účtu | Instance AWS EC2 má vysokou závažnost ohrožení zabezpečení a má oprávnění k účtu. |
| Instance EC2 s vysokou závažností má oprávnění ke čtení úložiště dat. | Instance AWS EC2 má vysokou závažnost ohrožení zabezpečení a má připojenou roli IAM, která je udělena s oprávněními k kbelíku S3 prostřednictvím zásad IAM nebo prostřednictvím zásad kontejneru, nebo prostřednictvím zásad IAM i zásad kbelíku. |
| Instance EC2 s vysokou závažností má oprávnění ke čtení úložiště dat s citlivými daty | Instance AWS EC2 má vysokou závažnost ohrožení zabezpečení a má připojenou roli IAM, která má udělená oprávnění k kbelíku S3 obsahujícím citlivá data prostřednictvím zásad IAM nebo prostřednictvím zásad kontejneru nebo prostřednictvím zásad IAM nebo prostřednictvím zásad IAM i kontejneru. Předpoklad: Povolte zabezpečení s podporou dat pro kontejnery S3 v programu Defender CSPM nebo využijte Katalog dat Microsoft Purview k ochraně citlivých dat. |
| Instance EC2 s vysokou závažností má oprávnění ke čtení pro klíč Služba správy klíčů | Instance AWS EC2 má vysokou závažnost ohrožení zabezpečení a má připojenou roli IAM, která má udělenou oprávnění ke klíči Služba správy klíčů AWS (Služba správy klíčů) prostřednictvím zásad IAM nebo prostřednictvím zásad AWS Služba správy klíčů (Služba správy klíčů) nebo prostřednictvím IAM i AWS. Služba správy klíčů zásady. |
| Internetová vystavená instance EC2 má vysokou závažnost ohrožení zabezpečení a nezabezpečený privátní klíč SSH, který se může ověřit v jiné instanci AWS EC2. | Instance AWS EC2 je dostupná z internetu, má vysokou závažnost ohrožení zabezpečení a má privátní klíč SSH prostého textu, který se může ověřit v jiné instanci AWS EC2. |
| Instance EC2 vystavená internetem má vysokou závažnost ohrožení zabezpečení a má nezabezpečený tajný klíč, který se používá k ověření prostředku RDS. | Instance AWS EC2 je dostupná z internetu, má vysokou závažnost ohrožení zabezpečení a má privátní klíč SSH prostého textu, který se může ověřit u prostředku AWS RDS. |
| Instance EC2 má vysokou závažnost ohrožení zabezpečení a má nezabezpečený tajný klíč prostého textu, který se používá k ověření prostředku RDS. | Instance AWS EC2 má vysokou závažnost ohrožení zabezpečení a má privátní klíč SSH prostého textu, který se může ověřit u prostředku AWS RDS. |
| Instance AWS EC2 vystavená internetem má vysokou závažnost ohrožení zabezpečení a má nezabezpečený tajný klíč, který má oprávnění k kontejneru S3 prostřednictvím zásad IAM, nebo prostřednictvím zásad kontejneru nebo prostřednictvím zásad IAM i zásad kbelíku. | Instance AWS EC2 je dostupná z internetu, má vysokou závažnost ohrožení zabezpečení a má nezabezpečený tajný klíč, který má oprávnění k kontejneru S3 prostřednictvím zásad IAM, zásady kontejneru nebo obojího. |
Instance virtuálních počítačů GCP
| Zobrazovaný název cesty útoku | Popis cesty útoku |
|---|---|
| Ohrožení zabezpečení vystavené internetem v instanci virtuálního počítače s vysokou závažností | Instance virtuálního počítače GCP [VMInstanceName] je dostupná z internetu a má vysokou závažnost ohrožení zabezpečení [Vzdálené spuštění kódu]. |
| Internetová vystavená instance virtuálního počítače s vysokou závažností má oprávnění ke čtení úložiště dat. | Instance virtuálního počítače GCP [VMInstanceName] je dostupná z internetu, má vysokou závažnost ohrožení zabezpečení [Vzdálené spuštění kódu] a má oprávnění ke čtení úložiště dat. |
| Internetová vystavená instance virtuálního počítače s vysokou závažností má oprávnění ke čtení úložiště dat s citlivými daty. | Instance virtuálního počítače GCP [VMInstanceName] je dostupná z internetu, má vysokou závažnost ohrožení zabezpečení umožňující vzdálené spuštění kódu na počítači a přiřazené účtu služby s oprávněním ke čtení kontejneru GCP Storage [BucketName] obsahující citlivá data. |
| Instance virtuálního počítače vystavená z internetu má vysokou závažnost ohrožení zabezpečení a vysoké oprávnění k projektu. | Instance virtuálního počítače GCP [VMInstanceName] je dostupná z internetu, má vysokou závažnost ohrožení zabezpečení [Vzdálené spuštění kódu] a má oprávnění [Oprávnění] k projektu [Název_projektu]. |
| Internetová vystavená instance virtuálního počítače s vysokou závažností má oprávnění ke čtení ke Správci tajných kódů. | Instance virtuálního počítače GCP [VMInstanceName] je dostupná z internetu, má vysokou závažnost ohrožení zabezpečení [Vzdálené spuštění kódu] a má oprávnění ke čtení prostřednictvím zásad IAM ke tajnému kódu GCP Secret Manageru [SecretName]. |
| Instance virtuálního počítače vystavená z internetu má vysokou závažnost ohrožení zabezpečení a nainstalovanou hostovanou databázi | Instance virtuálního počítače GCP [VMInstanceName] s hostovanou databází [DatabaseType] je dostupná z internetu a má vysokou závažnost ohrožení zabezpečení. |
| Internetový vystavený virtuální počítač s vysokou závažností má privátní klíč SSH prostého textu. | Instance virtuálního počítače GCP [MachineName] je dostupná z internetu, má vysokou závažnost ohrožení zabezpečení [Vzdálené spuštění kódu] a má privátní klíč SSH s prostým textem [SSHPrivateKey]. |
| Instance virtuálního počítače s vysokou závažností má oprávnění ke čtení úložiště dat. | Instance virtuálního počítače GCP [VMInstanceName] má vysokou závažnost ohrožení zabezpečení [Vzdálené spuštění kódu] a má oprávnění ke čtení úložiště dat. |
| Instance virtuálního počítače s vysokou závažností má oprávnění ke čtení úložiště dat s citlivými daty. | Instance virtuálního počítače GCP [VMInstanceName] má vysokou závažnost ohrožení zabezpečení [Vzdálené spuštění kódu] a má oprávnění ke čtení do kontejneru GCP Storage [BucketName] obsahující citlivá data. |
| Instance virtuálního počítače má ohrožení zabezpečení s vysokou závažností a vysoké oprávnění k projektu | Instance virtuálního počítače GCP [VMInstanceName] má vysokou závažnost ohrožení zabezpečení [Vzdálené spuštění kódu] a má oprávnění [Oprávnění] pro projekt [Název_projektu].. |
| Instance virtuálního počítače s vysokou závažností má oprávnění ke čtení pro Správce tajných kódů. | Instance virtuálního počítače GCP [VMInstanceName] má vysokou závažnost ohrožení zabezpečení [Vzdálené spuštění kódu] a má oprávnění ke čtení prostřednictvím zásad IAM pro tajný klíč GCP Secret Manageru [SecretName]. |
| Instance virtuálního počítače s vysokou závažností má privátní klíč SSH prostého textu | Instance virtuálního počítače GCP, aby byla v souladu se všemi ostatními cestami útoku. Virtuální počítač [MachineName] má vysokou závažnost ohrožení zabezpečení [Vzdálené spuštění kódu] a má privátní klíč SSH prostého textu [SSHPrivateKey]. |
Data Azure
| Zobrazovaný název cesty útoku | Popis cesty útoku |
|---|---|
| Internetem vystavený SQL na virtuálním počítači má uživatelský účet s běžně používaným uživatelským jménem a umožňuje spuštění kódu na virtuálním počítači. | SQL na virtuálním počítači je dostupný z internetu, má místní uživatelský účet s běžně používaným uživatelským jménem (které je náchylné k útokům hrubou silou) a má chyby zabezpečení umožňující spuštění kódu a laterální přesun do základního virtuálního počítače. Předpoklad: Povolení Microsoft Defenderu pro servery SQL na počítačích |
| Internetem vystavený SQL na virtuálním počítači má uživatelský účet s běžně používaným uživatelským jménem a známými ohroženími zabezpečení | SQL na virtuálním počítači je dostupný z internetu, má místní uživatelský účet s běžně používaným uživatelským jménem (které je náchylné k útokům hrubou silou) a obsahuje známá ohrožení zabezpečení (CVE). Předpoklad: Povolení Microsoft Defenderu pro servery SQL na počítačích |
| SQL na virtuálním počítači má uživatelský účet s běžně používaným uživatelským jménem a umožňuje spouštění kódu na virtuálním počítači. | SQL na virtuálním počítači má místní uživatelský účet s běžně používaným uživatelským jménem (které je náchylné k útokům hrubou silou) a má chyby zabezpečení umožňující spuštění kódu a laterální přesun do základního virtuálního počítače. Předpoklad: Povolení Microsoft Defenderu pro servery SQL na počítačích |
| SQL na virtuálním počítači má uživatelský účet s běžně používaným uživatelským jménem a známými ohroženími zabezpečení | SQL na virtuálním počítači má místní uživatelský účet s běžně používaným uživatelským jménem (které je náchylné k útokům hrubou silou) a obsahuje známá ohrožení zabezpečení (CVE). Předpoklad: Povolení Microsoft Defenderu pro servery SQL na počítačích |
| Spravovaná databáze s nadměrným vystavením internetu umožňuje základní ověřování (místní uživatel/heslo) | K databázi je možné přistupovat přes internet z jakékoli veřejné IP adresy a umožňuje ověřování pomocí uživatelského jména a hesla (základní mechanismus ověřování), který zpřístupňuje databázi útokům hrubou silou. |
| Spravovaná databáze s nadměrným vystavením internetu a citlivými daty umožňuje základní ověřování (místní uživatel/heslo) (Preview) | K databázi je možné přistupovat přes internet z jakékoli veřejné IP adresy a umožňuje ověřování pomocí uživatelského jména a hesla (základní mechanismus ověřování), který zveřejňuje databázi s citlivými daty pro útoky hrubou silou. |
| Internetem zpřístupněná spravovaná databáze s citlivými daty umožňuje základní ověřování (místní uživatel/heslo) (Preview) | K databázi je možné přistupovat přes internet z konkrétních IP adres nebo rozsahů IP adres a umožňuje ověřování pomocí uživatelského jména a hesla (základní mechanismus ověřování), který zveřejňuje databázi s citlivými daty pro útoky hrubou silou. |
| Internetový vystavený virtuální počítač má vysokou závažnost ohrožení zabezpečení a nainstalovanou hostovanou databázi (Preview) | Útočník se síťovým přístupem k databázovému počítači může zneužít chyby zabezpečení a získat vzdálené spuštění kódu. |
| Privátní kontejner úložiště objektů blob v Azure replikuje data do internetu zveřejněného a veřejně přístupného kontejneru úložiště objektů blob v Azure. | Interní kontejner úložiště Azure replikuje svá data do jiného kontejneru úložiště Azure, který je dostupný z internetu, a umožňuje veřejný přístup a představuje tato data ohrožená. |
| Veřejně přístupný je veřejně přístupný kontejner služby Azure Blob Storage s citlivými daty. | Kontejner účtu úložiště objektů blob s citlivými daty je dostupný z internetu a umožňuje veřejný přístup pro čtení bez nutnosti autorizace. Předpoklad: Povolení zabezpečení s podporou dat pro účty úložiště v programu Defender CSPM |
Data AWS
| Zobrazovaný název cesty útoku | Popis cesty útoku |
|---|---|
| Veřejně přístupné internetové zveřejnění kbelíku AWS S3 s citlivými daty | Kbelík S3 s citlivými daty je dostupný z internetu a umožňuje veřejný přístup ke čtení bez nutnosti autorizace. Předpoklad: Povolte zabezpečení s podporou dat pro kontejnery S3 v programu Defender CSPM nebo využijte Katalog dat Microsoft Purview k ochraně citlivých dat. |
| Internetové zveřejnění SQL v instanci EC2 má uživatelský účet s běžně používaným uživatelským jménem a umožňuje spouštění kódu na podkladových výpočetních prostředcích. | Internetové zveřejnění SQL v instanci EC2 má uživatelský účet s běžně používaným uživatelským jménem a umožňuje spouštění kódu na podkladových výpočetních prostředcích. Předpoklad: Povolení Microsoft Defenderu pro servery SQL na počítačích |
| Internetové zveřejnění SQL v instanci EC2 má uživatelský účet s běžně používaným uživatelským jménem a známými ohroženími zabezpečení | SQL v instanci EC2 je dostupný z internetu, má místní uživatelský účet s běžně používaným uživatelským jménem (které je náchylné k útokům hrubou silou) a má známé chyby zabezpečení (CVE). Předpoklad: Povolení Microsoft Defenderu pro servery SQL na počítačích |
| Instance SQL v EC2 má uživatelský účet s běžně používaným uživatelským jménem a umožňuje spouštění kódu na podkladových výpočetních prostředcích. | SQL v instanci EC2 má místní uživatelský účet s běžně používaným uživatelským jménem (které je náchylné k útokům hrubou silou) a obsahuje chyby zabezpečení umožňující spouštění kódu a laterální přesun do podkladových výpočetních prostředků. Předpoklad: Povolení Microsoft Defenderu pro servery SQL na počítačích |
| SQL v instanci EC2 má uživatelský účet s běžně používaným uživatelským jménem a známými ohroženími zabezpečení | SQL v instanci EC2 [EC2Name] má místní uživatelský účet s běžně používaným uživatelským jménem (které je náchylné k útokům hrubou silou) a obsahuje známá ohrožení zabezpečení (CVE). Předpoklad: Povolení Microsoft Defenderu pro servery SQL na počítačích |
| Spravovaná databáze s nadměrným vystavením internetu umožňuje základní ověřování (místní uživatel/heslo) | K databázi je možné přistupovat přes internet z jakékoli veřejné IP adresy a umožňuje ověřování pomocí uživatelského jména a hesla (základní mechanismus ověřování), který zpřístupňuje databázi útokům hrubou silou. |
| Spravovaná databáze s nadměrným vystavením internetu a citlivými daty umožňuje základní ověřování (místní uživatel/heslo) (Preview) | K databázi je možné přistupovat přes internet z jakékoli veřejné IP adresy a umožňuje ověřování pomocí uživatelského jména a hesla (základní mechanismus ověřování), který zveřejňuje databázi s citlivými daty pro útoky hrubou silou. |
| Internetem zpřístupněná spravovaná databáze s citlivými daty umožňuje základní ověřování (místní uživatel/heslo) (Preview) | K databázi je možné přistupovat přes internet z konkrétních IP adres nebo rozsahů IP adres a umožňuje ověřování pomocí uživatelského jména a hesla (základní mechanismus ověřování), který zveřejňuje databázi s citlivými daty pro útoky hrubou silou. |
| Instance EC2 vystavená z internetu má vysokou závažnost ohrožení zabezpečení a nainstalovanou hostovanou databázi (Preview) | Útočník se síťovým přístupem k databázovému počítači může zneužít chyby zabezpečení a získat vzdálené spuštění kódu. |
| Privátní kbelík AWS S3 replikuje data do internetu zpřístupněného a veřejně přístupného kontejneru AWS S3. | Interní kbelík AWS S3 replikuje svá data do jiného kontejneru S3, který je dostupný z internetu a umožňuje veřejný přístup a představuje tato data ohrožená. |
| Snímek RDS je veřejně dostupný pro všechny účty AWS (Preview) | Snímek instance nebo clusteru RDS je veřejně přístupný všemi účty AWS. |
| Internetem vystavený SQL v instanci EC2 má uživatelský účet s běžně používaným uživatelským jménem a umožňuje spouštění kódu na podkladových výpočetních prostředcích (Preview). | SQL v instanci EC2 je dostupný z internetu, má místní uživatelský účet s běžně používaným uživatelským jménem (které je náchylné k útokům hrubou silou) a má chyby zabezpečení umožňující spuštění kódu a laterální přesun do podkladového výpočetního prostředí. |
| Internetové zveřejnění SQL v instanci EC2 má uživatelský účet s běžně používaným uživatelským jménem a známými ohroženími zabezpečení (Preview) | SQL v instanci EC2 je dostupný z internetu, má místní uživatelský účet s běžně používaným uživatelským jménem (který je náchylný k útokům hrubou silou) a má známá ohrožení zabezpečení (CVE). |
| SQL v instanci EC2 má uživatelský účet s běžně používaným uživatelským jménem a umožňuje spouštění kódu na podkladových výpočetních prostředcích (Preview). | SQL v instanci EC2 má místní uživatelský účet s běžně používaným uživatelským jménem (které je náchylné k útokům hrubou silou) a obsahuje chyby zabezpečení umožňující spouštění kódu a laterální přesun do podkladových výpočetních prostředků. |
| SQL v instanci EC2 má uživatelský účet s běžně používaným uživatelským jménem a známými ohroženími zabezpečení (Preview) | SQL v instanci EC2 má místní uživatelský účet s běžně používaným uživatelským jménem (které je náchylné k útokům hrubou silou) a obsahuje známá ohrožení zabezpečení (CVE). |
| Privátní kbelík AWS S3 replikuje data do internetu zpřístupněného a veřejně přístupného kontejneru AWS S3. | Privátní kbelík AWS S3 replikuje data do internetu zpřístupněného a veřejně přístupného kontejneru AWS S3 |
| Privátní kbelík AWS S3 s citlivými daty replikuje data do internetu vystaveného a veřejně přístupného kontejneru AWS S3 | Privátní kbelík AWS S3 s citlivými daty replikuje data do internetu vystaveného a veřejně přístupného kbelíku AWS S3 |
| Snímek RDS je veřejně dostupný pro všechny účty AWS (Preview) | Snímek RDS je veřejně dostupný pro všechny účty AWS. |
Data GCP
| Zobrazovaný název cesty útoku | Popis cesty útoku |
|---|---|
| Kontejner úložiště GCP s citlivými daty je veřejně přístupný | Kontejner úložiště GCP [BucketName] s citlivými daty umožňuje veřejný přístup pro čtení bez nutnosti autorizace. |
Kontejnery Azure
Předpoklad: Povolte stav kontejneru bez agentů. Díky tomu budete mít také možnost dotazovat se na úlohy roviny dat kontejnerů v Průzkumníku zabezpečení.
| Zobrazovaný název cesty útoku | Popis cesty útoku |
|---|---|
| Pod Kubernetes vystavený internetem spouští kontejner s ohroženími zabezpečení RCE. | Pod Kubernetes vystavený internetem v oboru názvů používá kontejner s použitím image, která má chyby zabezpečení umožňující vzdálené spuštění kódu. |
| Pod Kubernetes spuštěný na internetovém vystaveném uzlu používá hostitelskou síť, na kterém běží kontejner s ohroženími zabezpečení RCE. | Pod Kubernetes v oboru názvů s povoleným přístupem k síti hostitele je přístupný z internetu prostřednictvím hostitelské sítě. Pod spouští kontejner pomocí image, která má chyby zabezpečení umožňující vzdálené spuštění kódu. |
Úložiště GitHub
Předpoklad: Povolení Defenderu pro DevOps
| Zobrazovaný název cesty útoku | Popis cesty útoku |
|---|---|
| Internetové vystavené úložiště GitHubu s tajným kódem prostého textu je veřejně přístupné (Preview) | Úložiště GitHub je dostupné z internetu, umožňuje veřejný přístup ke čtení bez nutnosti autorizace a obsahuje tajné kódy prostého textu. |
Rozhraní API
Předpoklad: Povolení defenderu pro rozhraní API
| Zobrazovaný název cesty útoku | Popis cesty útoku |
|---|---|
| Internetem vystavená rozhraní API, která jsou neověřená, mají citlivá data | Rozhraní API služby Azure API Management je dostupné z internetu, obsahuje citlivá data a nemá povolené žádné ověřování, což vede k tomu, že útočníci zneužívají rozhraní API pro exfiltraci dat. |
Seznam komponent grafu zabezpečení cloudu
Tato část obsahuje seznam všech komponent grafu zabezpečení cloudu (připojení a přehledů), které je možné použít v dotazech v Průzkumníku zabezpečení cloudu.
Přehledy
| Přehled | Popis | Podporované entity |
|---|---|---|
| Vystavené internetu | Označuje, že prostředek je vystavený internetu. Podporuje filtrování portů. Další informace | Virtuální počítač Azure, AWS EC2, účet úložiště Azure, Azure SQL Server, Azure Cosmos DB, AWS S3, pod Kubernetes, Azure SQL Managed Instance, Jednoúčelový server Azure MySQL, flexibilní server Azure MySQL, flexibilní server Azure PostgreSQL, jednoúčelový server Azure MariaDB, pracovní prostor Synapse, instance RDS, instance virtuálního počítače GCP, instance správce GCP SQL |
| Umožňuje základní ověřování (Preview) | Označuje, že prostředek umožňuje základní ověřování (místní uživatel/heslo nebo klíč). | Azure SQL Server, instance VP, jednoúčelový server Azure MariaDB, jednoúčelový server Azure MySQL, flexibilní server Azure MySQL, pracovní prostor Synapse, jednoúčelový server Azure PostgreSQL, spravovaná instance Azure SQL |
| Obsahuje citlivá data. Předpoklad: Povolte zabezpečení s podporou dat pro účty úložiště v programu Defender CSPM nebo využijte Katalog dat Microsoft Purview k ochraně citlivých dat. |
Označuje, že prostředek obsahuje citlivá data. | Zjišťování citlivých dat MDC: Účet služby Azure Storage, kontejner účtu úložiště Azure, kontejner AWS S3, Azure SQL Server (Preview), Azure SQL Database (Preview), instance RDS (Preview), databáze instance RDS (Preview), cluster RDS (Preview) Purview – zjišťování citlivých dat (Preview): Účet úložiště Azure, kontejner účtu úložiště Azure, kontejner AWS S3, Azure SQL Server, Azure SQL Database, Azure Data Lake Storage Gen2, Azure Database for PostgreSQL, Azure Database for MySQL, Azure Synapse Analytics, účty Azure Cosmos DB, kontejner cloudového úložiště GCP |
| Přesun dat do (Preview) | Označuje, že prostředek přenáší data do jiného prostředku. | Kontejner účtu úložiště, AWS S3, instance AWS RDS, cluster AWS RDS |
| Získá data z (Preview) | Označuje, že prostředek získá data z jiného prostředku. | Kontejner účtu úložiště, AWS S3, instance AWS RDS, cluster AWS RDS |
| Obsahuje značky | Vypíše značky prostředků cloudového prostředku. | Všechny prostředky Azure, AWS a GCP |
| Nainstalovaný software | Zobrazí seznam veškerého softwaru nainstalovaného na počítači. Tento přehled platí jenom pro virtuální počítače, které mají hrozby a správa ohrožení zabezpečení integraci s povoleným Defenderem pro cloud a jsou připojené k Defenderu for Cloud. | Virtuální počítač Azure, AWS EC2 |
| Umožňuje veřejný přístup. | Označuje, že veřejný přístup pro čtení je pro prostředek povolený bez nutnosti autorizace. Další informace | Účet úložiště Azure, kbelík AWS S3, úložiště GitHub, kontejner cloudového úložiště GCP |
| Nemá povolené vícefaktorové ověřování | Označuje, že uživatelský účet nemá povolené řešení vícefaktorového ověřování. | Uživatelský účet Microsoft Entra, uživatel IAM |
| Je externí uživatel | Označuje, že uživatelský účet je mimo doménu organizace. | Uživatelský účet Microsoft Entra |
| Spravuje se | Označuje, že identitu spravuje poskytovatel cloudu. | Spravovaná identita Azure |
| Obsahuje běžná uživatelská jména. | Označuje, že sql server má uživatelské účty s běžnými uživatelskými jmény, která jsou náchylná k útokům hrubou silou. | Virtuální počítač SQL, virtuální počítač SQL s podporou arc |
| Může spustit kód na hostiteli. | Označuje, že SQL server umožňuje spouštění kódu na podkladovém virtuálním počítači pomocí integrovaného mechanismu, jako je xp_cmdshell. | Virtuální počítač SQL, virtuální počítač SQL s podporou arc |
| Obsahuje ohrožení zabezpečení | Označuje, že je zjištěna ohrožení zabezpečení sql serveru prostředků. | Virtuální počítač SQL, virtuální počítač SQL s podporou arc |
| Zjištění DEASM | zjištění kontroly internetu Microsoft Defender Správa externí potenciální oblasti útoku (DEASM) | Veřejná IP adresa |
| Privilegovaný kontejner | Označuje, že kontejner Kubernetes běží v privilegovaném režimu. | Kontejner Kubernetes |
| Používá síť hostitele. | Označuje, že pod Kubernetes používá síťový obor názvů svého hostitelského počítače. | Pod Kubernetes |
| Ohrožení zabezpečení s vysokou závažností | Označuje, že prostředek má vysokou závažnost ohrožení zabezpečení. | Virtuální počítač Azure, AWS EC2, image kontejneru, instance virtuálního počítače GCP |
| Ohrožení vzdáleného spuštění kódu | Označuje, že prostředek má chyby zabezpečení umožňující vzdálené spuštění kódu. | Virtuální počítač Azure, AWS EC2, image kontejneru, instance virtuálního počítače GCP |
| Metadata veřejných IP adres | Vypíše metadata veřejné IP adresy. | Veřejná IP adresa |
| Metadata identit | Vypíše metadata identity. | Identita Microsoft Entra |
Připojení
| Připojení | Popis | Typy zdrojových entit | Typy cílových entit |
|---|---|---|---|
| Může se ověřit jako | Označuje, že prostředek Azure se může ověřit v identitě a používat jeho oprávnění. | Virtuální počítač Azure, Služba Azure VMSS, Účet úložiště Azure, služby Aplikace Azure, SQL Servery | Spravovaná identita Microsoft Entra |
| Má oprávnění | Označuje, že identita má oprávnění k prostředku nebo skupině prostředků. | Uživatelský účet Microsoft Entra, spravovaná identita, uživatel IAM, instance EC2 | Všechny prostředky Azure & AWS |
| Contains | Označuje, že zdrojová entita obsahuje cílovou entitu. | Předplatné Azure, skupina prostředků Azure, účet AWS, obor názvů Kubernetes, pod Kubernetes, cluster Kubernetes, vlastník GitHubu, projekt Azure DevOps, organizace Azure DevOps, Azure SQL server, cluster RDS, instance RDS, projekt GCP, složka GCP, organizace GCP | Všechny prostředky Azure, AWS a GCP, všechny entity Kubernetes, všechny entity DevOps, databáze Azure SQL, instance RDS, databáze služby RDS |
| Směruje provoz do | Označuje, že zdrojová entita může směrovat síťový provoz do cílové entity. | Veřejná IP adresa, Load Balancer, virtuální síť, podsíť, VPC, internetová brána, služba Kubernetes, pod Kubernetes | Virtuální počítač Azure, Azure VMSS, AWS EC2, Podsíť, Nástroj pro vyrovnávání zatížení, Internetová brána, pod Kubernetes, služba Kubernetes, instance virtuálního počítače GCP, skupina instancí GCP |
| Je spuštěná | Označuje, že zdrojová entita spouští cílovou entitu jako proces. | Virtuální počítač Azure, EC2, kontejner Kubernetes | SQL, SQL s podporou arc, hostované MongoDB, hostované MySQL, hostované Oracle, hostované PostgreSQL, hostovaný SQL Server, image kontejneru, pod Kubernetes |
| Člen | Označuje, že zdrojová identita je členem cílové skupiny identit. | Skupina Microsoft Entra, uživatel Microsoft Entra | Skupina Microsoft Entra |
| Udržuje | Označuje, že zdrojová entita Kubernetes spravuje životní cyklus cílové entity Kubernetes. | Kontroler úloh Kubernetes, sada replik Kubernetes, stavová sada Kubernetes, sada démon Kubernetes, úlohy Kubernetes, úloha Kubernetes cron | Pod Kubernetes |