Upozornění pro službu Azure Cosmos DB
Tento článek obsahuje seznam výstrah zabezpečení, které můžete získat pro službu Azure Cosmos DB z programu Microsoft Defender for Cloud a všech plánů Microsoft Defenderu, které jste povolili. Výstrahy zobrazené ve vašem prostředí závisí na prostředcích a službách, které chráníte, a na vlastní konfiguraci.
Poznámka:
Některé nedávno přidané výstrahy využívající Analýza hrozeb v programu Microsoft Defender a Microsoft Defender for Endpoint můžou být nezdokumentované.
Přečtěte si, jak na tato upozornění reagovat.
Zjistěte, jak exportovat upozornění.
Poznámka:
Zobrazení výstrah z různých zdrojů může trvat různě dlouho. Například výstrahy, které vyžadují analýzu síťového provozu, můžou trvat déle, než se zobrazí výstrahy související s podezřelými procesy spuštěnými na virtuálních počítačích.
Upozornění služby Azure Cosmos DB
Přístup z výstupního uzlu Tor
(CosmosDB_TorAnomaly)
Popis: Tento účet služby Azure Cosmos DB byl úspěšně přístupný z IP adresy známé jako aktivní výstupní uzel Tor, anonymizující proxy server. Ověřený přístup z výstupního uzlu Tor pravděpodobně značí, že se objekt actor hrozby pokouší skrýt svou identitu.
Taktika MITRE: Počáteční přístup
Závažnost: vysoká/střední
Přístup z podezřelé IP adresy
(CosmosDB_SuspiciousIp)
Popis: Tento účet služby Azure Cosmos DB byl úspěšně přístupný z IP adresy, která byla identifikovaná jako hrozba službou Microsoft Threat Intelligence.
Taktika MITRE: Počáteční přístup
Závažnost: Střední
Přístup z neobvyklého umístění
(CosmosDB_GeoAnomaly)
Popis: Tento účet služby Azure Cosmos DB byl přístupný z umístění, které se považuje za neznámé, na základě obvyklého vzoru přístupu.
Buď objekt actor hrozby získal přístup k účtu, nebo se legitimní uživatel připojil z nového nebo neobvyklého geografického umístění.
Taktika MITRE: Počáteční přístup
Závažnost: Nízká
Neobvyklý objem extrahovaných dat
(CosmosDB_DataExfiltrationAnomaly)
Popis: Z tohoto účtu služby Azure Cosmos DB se extrahuje neobvykle velký objem dat. To může znamenat, že objekt actor hrozby exfiltroval data.
Taktika MITRE: Exfiltrace
Závažnost: Střední
Extrakce klíčů účtů Služby Azure Cosmos DB prostřednictvím potenciálně škodlivého skriptu
(CosmosDB_SuspiciousListKeys.MaliciousScript)
Popis: Skript PowerShellu se spustil ve vašem předplatném a provedl podezřelý vzor operací výpisu klíčů pro získání klíčů účtů Azure Cosmos DB ve vašem předplatném. Aktéři hrozeb používají automatizované skripty, jako je Microburst, k výpisu klíčů a vyhledání účtů služby Azure Cosmos DB, ke kterým mají přístup.
Tato operace může znamenat, že došlo k porušení identity ve vaší organizaci a že se objekt actor hrozeb snaží ohrozit účty služby Azure Cosmos DB ve vašem prostředí kvůli škodlivým záměrům.
Případně se může škodlivý insider pokusit o přístup k citlivým datům a provést laterální pohyb.
Taktika MITRE: Kolekce
Závažnost: Střední
Podezřelá extrakce klíčů účtu služby Azure Cosmos DB
(AzureCosmosDB_SuspiciousListKeys.SuspiciousPrincipal)
Popis: Podezřelý zdroj extrahovaný z vašeho předplatného extrahovaný přístupovými klíči účtu služby Azure Cosmos DB. Pokud tento zdroj není legitimním zdrojem, může to být problém s vysokým dopadem. Extrahovaný přístupový klíč poskytuje úplnou kontrolu nad přidruženými databázemi a daty uloženými v ní. Podívejte se na podrobnosti o jednotlivých upozorněních, abyste pochopili, proč byl zdroj označen jako podezřelý.
Taktika MITRE: Přístup k přihlašovacím údajům
Závažnost: vysoká
Injektáž SQL: Potenciální exfiltrace dat
(CosmosDB_SqlInjection.DataExfiltration)
Popis: K dotazování kontejneru v tomto účtu služby Azure Cosmos DB se použil podezřelý příkaz SQL.
Vložený příkaz mohl být úspěšný při exfiltraci dat, ke kterým objekt actor hrozby nemá oprávnění k přístupu.
Vzhledem ke struktuře a možnostem dotazů Azure Cosmos DB nefunguje mnoho známých útoků prostřednictvím injektáže SQL na účty Azure Cosmos DB. Varianta použitá v tomto útoku ale může fungovat a aktéři hrozeb mohou exfiltrovat data.
Taktika MITRE: Exfiltrace
Závažnost: Střední
Injektáž SQL: přibližný pokus
(CosmosDB_SqlInjection.FailedFuzzingAttempt)
Popis: K dotazování kontejneru v tomto účtu služby Azure Cosmos DB se použil podezřelý příkaz SQL.
Stejně jako jiné dobře známé útoky prostřednictvím injektáže SQL nebude tento útok úspěšný v ohrožení účtu služby Azure Cosmos DB.
Je to však označení, že se aktér hrozby snaží napadnout prostředky v tomto účtu a že by mohla být ohrožena vaše aplikace.
Některé útoky prostřednictvím injektáže SQL můžou proběhnout úspěšně a použít je k exfiltraci dat. To znamená, že pokud útočník pokračuje v provádění pokusů o injektáž SQL, může být schopen ohrozit váš účet služby Azure Cosmos DB a exfiltrovat data.
Tuto hrozbu můžete zabránit pomocí parametrizovaných dotazů.
Taktika MITRE: Před útokem
Závažnost: Nízká
Poznámka:
Upozornění, která jsou ve verzi Preview: Doplňkové podmínky Azure Preview obsahují další právní podmínky, které se vztahují na funkce Azure, které jsou v beta verzi, preview nebo které ještě nejsou vydány v obecné dostupnosti.