Upozornění pro Azure Key Vault
Tento článek obsahuje seznam výstrah zabezpečení, které můžete získat pro Azure Key Vault z Programu Microsoft Defender pro cloud a všech plánů Microsoft Defenderu, které jste povolili. Výstrahy zobrazené ve vašem prostředí závisí na prostředcích a službách, které chráníte, a na vlastní konfiguraci.
Poznámka:
Některé nedávno přidané výstrahy využívající Analýza hrozeb v programu Microsoft Defender a Microsoft Defender for Endpoint můžou být nezdokumentované.
Přečtěte si, jak na tato upozornění reagovat.
Zjistěte, jak exportovat upozornění.
Poznámka:
Zobrazení výstrah z různých zdrojů může trvat různě dlouho. Například výstrahy, které vyžadují analýzu síťového provozu, můžou trvat déle, než se zobrazí výstrahy související s podezřelými procesy spuštěnými na virtuálních počítačích.
Upozornění služby Azure Key Vault
Přístup z podezřelé IP adresy k trezoru klíčů
(KV_SuspiciousIPAccess)
Popis: Trezor klíčů byl úspěšně přístupný IP identifikovanou službou Microsoft Threat Intelligence jako podezřelou IP adresou. To může znamenat, že vaše infrastruktura byla ohrožena. Doporučujeme provést další šetření. Přečtěte si další informace o možnostech analýzy hrozeb od Microsoftu.
Taktika MITRE: Přístup k přihlašovacím údajům
Závažnost: Střední
Přístup z výstupního uzlu TOR k trezoru klíčů
(KV_TORAccess)
Popis: Trezor klíčů byl přístupný ze známého výstupního uzlu TOR. Může to značit, že aktér hrozeb získal přístup k trezoru klíčů a ke skrytí zdrojového umístění používá síť TOR. Doporučujeme provést další šetření.
Taktika MITRE: Přístup k přihlašovacím údajům
Závažnost: Střední
Velký objem operací v trezoru klíčů
(KV_OperationVolumeAnomaly)
Popis: Neobvyklý počet operací trezoru klíčů provedl uživatel, instanční objekt nebo konkrétní trezor klíčů. Tento neobvyklý vzor aktivity může být legitimní, ale může to značit, že aktér hrozeb získal přístup k trezoru klíčů a tajným kódům obsaženým v něm. Doporučujeme provést další šetření.
Taktika MITRE: Přístup k přihlašovacím údajům
Závažnost: Střední
Podezřelá změna zásad a tajný dotaz v trezoru klíčů
(KV_PutGetAnomaly)
Popis: Uživatel nebo instanční objekt provedl neobvyklou operaci změny zásad put trezoru následovanou jednou nebo více operacemi získání tajného kódu. Tento model obvykle neprovádí zadaný uživatel nebo instanční objekt. Tato aktivita může být legitimní, ale může to značit, že aktér hrozeb aktualizoval zásady trezoru klíčů tak, aby přistupoval k dříve nepřístupným tajným kódům. Doporučujeme provést další šetření.
Taktika MITRE: Přístup k přihlašovacím údajům
Závažnost: Střední
Podezřelý tajný výpis a dotazování v trezoru klíčů
(KV_ListGetAnomaly)
Popis: Uživatel nebo instanční objekt provedl neobvyklou operaci seznamu tajných kódů následovanou jednou nebo více operacemi získání tajného kódu. Tento vzor obvykle neprovádí zadaný uživatel nebo instanční objekt a obvykle se přidružuje k tajné likvidaci. Může to být legitimní aktivita, ale může to značit, že aktér hrozeb získal přístup k trezoru klíčů a snaží se zjistit tajné kódy, které se dají použít k pozdějšímu pohybu v síti nebo získání přístupu k citlivým prostředkům. Doporučujeme provést další šetření.
Taktika MITRE: Přístup k přihlašovacím údajům
Závažnost: Střední
Neobvyklý přístup odepřen – Uživatel přistupující k velkému objemu trezorů klíčů zamítl
(KV_AccountVolumeAccessDeniedAnomaly)
Popis: Uživatel nebo instanční objekt se během posledních 24 hodin pokusil o přístup k neobvyklým velkým objemům trezorů klíčů. Tento neobvyklý vzor přístupu může být legitimní aktivitou. I když byl tento pokus neúspěšný, mohlo by to být označení možného pokusu o získání přístupu k trezoru klíčů a tajných kódů obsažených v něm. Doporučujeme provést další šetření.
Taktika MITRE: Zjišťování
Závažnost: Nízká
Neobvyklý přístup odepřen – Neobvyklý přístup uživatelů při přístupu k trezoru klíčů byl odepřen
(KV_UserAccessDeniedAnomaly)
Popis: O přístup k trezoru klíčů se pokusil uživatel, který k němu obvykle nemá přístup, může být tato neobvyklá přístupová aktivita legitimní. I když byl tento pokus neúspěšný, mohlo by to být označení možného pokusu o získání přístupu k trezoru klíčů a tajných kódů obsažených v něm.
Taktika MITRE: Počáteční přístup, zjišťování
Závažnost: Nízká
Neobvyklá aplikace přistupovala k trezoru klíčů
(KV_AppAnomaly)
Popis: Trezor klíčů byl přístupný instančním objektem, který k němu obvykle nemá přístup. Tento neobvyklý vzor přístupu může být legitimní aktivitou, ale může to značit, že aktér hrozeb získal přístup k trezoru klíčů při pokusu o přístup k tajným kódům obsaženým v něm. Doporučujeme provést další šetření.
Taktika MITRE: Přístup k přihlašovacím údajům
Závažnost: Střední
Neobvyklý vzor operace v trezoru klíčů
(KV_OperationPatternAnomaly)
Popis: Neobvyklý vzor operací trezoru klíčů provedl uživatel, instanční objekt nebo konkrétní trezor klíčů. Tento neobvyklý vzor aktivity může být legitimní, ale může to značit, že aktér hrozeb získal přístup k trezoru klíčů a tajným kódům obsaženým v něm. Doporučujeme provést další šetření.
Taktika MITRE: Přístup k přihlašovacím údajům
Závažnost: Střední
Neobvyklý uživatel přistupoval k trezoru klíčů
(KV_UserAnomaly)
Popis: Trezor klíčů byl přístupný uživatelem, který k němu obvykle nemá přístup. Tento neobvyklý vzor přístupu může být legitimní aktivitou, ale může to značit, že aktér hrozeb získal přístup k trezoru klíčů při pokusu o přístup k tajným kódům obsaženým v něm. Doporučujeme provést další šetření.
Taktika MITRE: Přístup k přihlašovacím údajům
Závažnost: Střední
Neobvyklý pár uživatelských aplikací přistupoval k trezoru klíčů
(KV_UserAppAnomaly)
Popis: Trezor klíčů byl přístupný párem instančního objektu uživatele, který k němu obvykle nemá přístup. Tento neobvyklý vzor přístupu může být legitimní aktivitou, ale může to značit, že aktér hrozeb získal přístup k trezoru klíčů při pokusu o přístup k tajným kódům obsaženým v něm. Doporučujeme provést další šetření.
Taktika MITRE: Přístup k přihlašovacím údajům
Závažnost: Střední
Přístup uživatelů k velkému objemu trezorů klíčů
(KV_AccountVolumeAnomaly)
Popis: Uživatel nebo instanční objekt získal přístup k neobvyklému velkému objemu trezorů klíčů. Tento neobvyklý způsob přístupu může být legitimní aktivitou, ale může to značit, že aktér hrozeb získal přístup k více trezorům klíčů při pokusu o přístup k tajným kódům obsaženým v nich. Doporučujeme provést další šetření.
Taktika MITRE: Přístup k přihlašovacím údajům
Závažnost: Střední
Odepření přístupu z podezřelé IP adresy k trezoru klíčů
(KV_SuspiciousIPAccessDenied)
Popis: Neúspěšný přístup trezoru klíčů se pokusil ip adresa identifikovaná službou Microsoft Threat Intelligence jako podezřelá IP adresa. I když byl tento pokus neúspěšný, znamená to, že vaše infrastruktura mohla být ohrožena. Doporučujeme provést další šetření.
Taktika MITRE: Přístup k přihlašovacím údajům
Závažnost: Nízká
Neobvyklý přístup k trezoru klíčů z podezřelé IP adresy (jiné než Microsoft nebo externí)
(KV_UnusualAccessSuspiciousIP)
Popis: Uživatel nebo instanční objekt se během posledních 24 hodin pokusil o neobvyklý přístup k trezorům klíčů z IP adresy jiné společnosti než Microsoft. Tento neobvyklý vzor přístupu může být legitimní aktivitou. Může to být označení možného pokusu o získání přístupu k trezoru klíčů a tajných kódů obsažených v něm. Doporučujeme provést další šetření.
Taktika MITRE: Přístup k přihlašovacím údajům
Závažnost: Střední
Poznámka:
Upozornění, která jsou ve verzi Preview: Doplňkové podmínky Azure Preview obsahují další právní podmínky, které se vztahují na funkce Azure, které jsou v beta verzi, preview nebo které ještě nejsou vydány v obecné dostupnosti.