Upozornění pro Azure Storage
Tento článek obsahuje seznam výstrah zabezpečení, které můžete získat pro Službu Azure Storage z programu Microsoft Defender for Cloud, a všech plánů Microsoft Defenderu, které jste povolili. Výstrahy zobrazené ve vašem prostředí závisí na prostředcích a službách, které chráníte, a na vlastní konfiguraci.
Poznámka:
Některé nedávno přidané výstrahy využívající Analýza hrozeb v programu Microsoft Defender a Microsoft Defender for Endpoint můžou být nezdokumentované.
Přečtěte si, jak na tato upozornění reagovat.
Zjistěte, jak exportovat upozornění.
Poznámka:
Zobrazení výstrah z různých zdrojů může trvat různě dlouho. Například výstrahy, které vyžadují analýzu síťového provozu, můžou trvat déle, než se zobrazí výstrahy související s podezřelými procesy spuštěnými na virtuálních počítačích.
Upozornění služby Azure Storage
Přístup z podezřelé aplikace
(Storage.Blob_SuspiciousApp)
Popis: Označuje, že podezřelá aplikace úspěšně získala přístup ke kontejneru účtu úložiště s ověřováním. To může znamenat, že útočník získal přihlašovací údaje potřebné pro přístup k účtu a zneužije ho. Může to být také označení penetračního testu prováděného ve vaší organizaci. Platí pro: Azure Blob Storage, Azure Data Lake Storage Gen2
Taktika MITRE: Počáteční přístup
Závažnost: vysoká/střední
Přístup z podezřelé IP adresy
(Storage.Blob_SuspiciousIp Storage.Files_SuspiciousIp)
Popis: Označuje, že tento účet úložiště byl úspěšně přístupný z IP adresy, která je považována za podezřelou. Toto upozornění využívá Microsoft Threat Intelligence. Přečtěte si další informace o možnostech analýzy hrozeb od Microsoftu. Platí pro: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
Taktika MITRE: Před útokem
Závažnost: Vysoká/Střední/Nízká
Phishingový obsah hostovaný v účtu úložiště
(Storage.Blob_PhishingContent Storage.Files_PhishingContent)
Popis: Adresa URL použitá v útoku phishing odkazuje na váš účet služby Azure Storage. Tato adresa URL byla součástí útoku phishing ovlivňujícího uživatele Microsoftu 365. Obsah hostovaný na těchto stránkách je obvykle navržený tak, aby oklamal návštěvníky zadáním firemních přihlašovacích údajů nebo finančních informací do webového formuláře, který vypadá legitimní. Toto upozornění využívá Microsoft Threat Intelligence. Přečtěte si další informace o možnostech analýzy hrozeb od Microsoftu. Platí pro: Azure Blob Storage, Soubory Azure
Taktika MITRE: Kolekce
Závažnost: Vysoká
Účet úložiště identifikovaný jako zdroj pro distribuci malwaru
(Storage.Files_WidespreadeAm)
Popis: Antimalwarová upozornění indikují, že infikované soubory jsou uložené ve sdílené složce Azure připojené k více virtuálním počítačům. Pokud útočníci získají přístup k virtuálnímu počítači s připojenou sdílenou složkou Azure, můžou ho použít k šíření malwaru do jiných virtuálních počítačů, které připojují stejnou sdílenou složku. Platí pro: Soubory Azure
Taktika MITRE: Provádění
Závažnost: Střední
Úroveň přístupu potenciálně citlivého kontejneru objektů blob úložiště se změnila tak, aby umožňovala neověřený veřejný přístup.
(Storage.Blob_OpenACL)
Popis: Výstraha indikuje, že někdo změnil úroveň přístupu kontejneru objektů blob v účtu úložiště, který může obsahovat citlivá data, na úroveň Kontejner, aby umožnil neověřený (anonymní) veřejný přístup. Tato změna se provedla prostřednictvím webu Azure Portal. Na základě statistické analýzy se kontejner objektů blob označí příznakem, že obsahuje citlivá data. Tato analýza naznačuje, že kontejnery objektů blob nebo účty úložiště s podobnými názvy se obvykle nezpřístupní veřejnému přístupu. Platí pro: Účty úložiště úložiště Azure Blob (standard pro obecné účely v2, Azure Data Lake Storage Gen2 nebo objekty blob bloku úrovně Premium).
Taktika MITRE: Kolekce
Závažnost: Střední
Ověřený přístup z výstupního uzlu Tor
(Storage.Blob_TorAnomaly Storage.Files_TorAnomaly)
Popis: Jeden nebo více kontejnerů úložiště / sdílených složek ve vašem účtu úložiště se úspěšně přistupovalo z IP adresy, o které je známo, že se jedná o aktivní výstupní uzel Tor (anonymizující proxy server). Aktéři hrozeb používají Tor, aby bylo obtížné sledovat aktivitu zpět k nim. Ověřený přístup z výstupního uzlu Tor pravděpodobně značí, že se objekt actor hrozby pokouší skrýt svou identitu. Platí pro: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
Taktika MITRE: Počáteční přístup / Před útokem
Závažnost: vysoká/střední
Přístup z neobvyklého umístění k účtu úložiště
(Storage.Blob_GeoAnomaly Storage.Files_GeoAnomaly)
Popis: Označuje, že došlo ke změně vzoru přístupu k účtu Azure Storage. Někdo získal přístup k tomuto účtu z IP adresy, která se v porovnání s nedávnou aktivitou považuje za neznámé. Buď útočník získal přístup k účtu, nebo se legitimní uživatel připojil z nového nebo neobvyklého geografického umístění. Příkladem druhé je vzdálená údržba od nové aplikace nebo vývojáře. Platí pro: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
Taktika MITRE: Počáteční přístup
Závažnost: Vysoká/Střední/Nízká
Neobvyklý neověřený přístup ke kontejneru úložiště
(Storage.Blob_AnonymousAccessAnomaly)
Popis: Tento účet úložiště byl přístupný bez ověřování, což je změna v modelu běžného přístupu. Přístup pro čtení k tomuto kontejneru se obvykle ověřuje. To může znamenat, že objekt actor hrozby mohl zneužít veřejný přístup pro čtení ke kontejnerům úložiště v těchto účtech úložiště. Platí pro: Azure Blob Storage
Taktika MITRE: Počáteční přístup
Závažnost: Vysoká/Nízká
Potenciální malware nahraný do účtu úložiště
(Storage.Blob_MalwareHashReputation Storage.Files_MalwareHashReputation)
Popis: Označuje, že objekt blob obsahující potenciální malware se nahrál do kontejneru objektů blob nebo sdílené složky v účtu úložiště. Tato výstraha je založená na analýze reputace hash využívající výkon analýzy hrozeb Od Microsoftu, která zahrnuje hodnoty hash pro viry, trojské koně, spyware a ransomware. Potenciální příčiny můžou zahrnovat úmyslné nahrání malwaru útočníkem nebo neúmyslné nahrání potenciálně škodlivého objektu blob legitimním uživatelem. Platí pro: Azure Blob Storage, Azure Files (pouze pro transakce přes rozhraní REST API) Další informace o možnostech analýzy hrozeb od Microsoftu.
Taktika MITRE: Laterální pohyb
Závažnost: Vysoká
Veřejně přístupné kontejnery úložiště byly úspěšně zjištěny.
(Storage.Blob_OpenContainersScanning.SuccessfulDiscovery)
Popis: Úspěšné zjištění veřejně otevřených kontejnerů úložiště ve vašem účtu úložiště proběhlo za poslední hodinu pomocí skenovacího skriptu nebo nástroje.
Obvykle to značí útok na rekognoskaci, kdy se objekt actor hrozby pokusí vypsat objekty blob odhadem názvů kontejnerů v naději, že vyhledá chybně nakonfigurované otevřené kontejnery úložiště s citlivými daty.
Objekt actor hrozby může použít vlastní skript nebo použít známé skenovací nástroje, jako je Microburst, ke kontrole veřejně otevřených kontejnerů.
✔ Azure Blob Storage ✖ Azure Files ✖ Azure Data Lake Storage Gen2
Taktika MITRE: Kolekce
Závažnost: vysoká/střední
Veřejně přístupné kontejnery úložiště, které se nepodařilo zkontrolovat
(Storage.Blob_OpenContainersScanning.FailedAttempt)
Popis: V poslední hodině byla provedena řada neúspěšných pokusů o vyhledání veřejně otevřených kontejnerů úložiště.
Obvykle to značí útok na rekognoskaci, kdy se objekt actor hrozby pokusí vypsat objekty blob odhadem názvů kontejnerů v naději, že vyhledá chybně nakonfigurované otevřené kontejnery úložiště s citlivými daty.
Objekt actor hrozby může použít vlastní skript nebo použít známé skenovací nástroje, jako je Microburst, ke kontrole veřejně otevřených kontejnerů.
✔ Azure Blob Storage ✖ Azure Files ✖ Azure Data Lake Storage Gen2
Taktika MITRE: Kolekce
Závažnost: Vysoká/Nízká
Neobvyklá kontrola přístupu v účtu úložiště
(Storage.Blob_AccessInspectionAnomaly Storage.Files_AccessInspectionAnomaly)
Popis: Označuje, že přístupová oprávnění účtu úložiště byla zkontrolována neobvyklým způsobem v porovnání s nedávnou aktivitou na tomto účtu. Potenciální příčinou je, že útočník provedl rekognoskaci pro budoucí útok. Platí pro: Azure Blob Storage, Soubory Azure
Taktika MITRE: Zjišťování
Závažnost: vysoká/střední
Neobvyklé množství dat extrahovaných z účtu úložiště
(Storage.Blob_DataExfiltration.AmountOfDataAnomaly Storage.Blob_DataExfiltration.NumberOfBlobsAnomaly Storage.Files_DataExfiltration.AmountOfDataAnomaly Storage.Files_DataExfiltration.NumberOfFilesAnomaly)
Popis: Označuje, že v porovnání s nedávnou aktivitou v tomto kontejneru úložiště bylo extrahováno neobvykle velké množství dat. Potenciální příčinou je, že útočník extrahoval velké množství dat z kontejneru, který obsahuje úložiště objektů blob. Platí pro: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
Taktika MITRE: Exfiltrace
Závažnost: Vysoká/Nízká
Neobvyklá aplikace přístup k účtu úložiště
(Storage.Blob_ApplicationAnomaly Storage.Files_ApplicationAnomaly)
Popis: Označuje, že k tomuto účtu úložiště přistupovala neobvyklá aplikace. Potenciální příčinou je, že útočník získal přístup k vašemu účtu úložiště pomocí nové aplikace. Platí pro: Azure Blob Storage, Soubory Azure
Taktika MITRE: Provádění
Závažnost: vysoká/střední
Neobvyklé zkoumání dat v účtu úložiště
(Storage.Blob_DataExplorationAnomaly Storage.Files_DataExplorationAnomaly)
Popis: Označuje, že objekty blob nebo kontejnery v účtu úložiště byly vyčíslovány neobvyklým způsobem v porovnání s nedávnou aktivitou na tomto účtu. Potenciální příčinou je, že útočník provedl rekognoskaci pro budoucí útok. Platí pro: Azure Blob Storage, Soubory Azure
Taktika MITRE: Provádění
Závažnost: vysoká/střední
Neobvyklé odstranění v účtu úložiště
(Storage.Blob_DeletionAnomaly Storage.Files_DeletionAnomaly)
Popis: Označuje, že v účtu úložiště došlo k jedné nebo několika neočekávaným operacím odstranění v porovnání s nedávnou aktivitou u tohoto účtu. Potenciální příčinou je, že útočník odstranil data z vašeho účtu úložiště. Platí pro: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
Taktika MITRE: Exfiltrace
Závažnost: vysoká/střední
Neobvyklý neověřený veřejný přístup k citlivému kontejneru objektů blob (Preview)
Storage.Blob_AnonymousAccessAnomaly.Sensitive
Popis: Výstraha značí, že někdo přistupoval k kontejneru objektů blob s citlivými daty v účtu úložiště bez ověřování pomocí externí (veřejné) IP adresy. Tento přístup je podezřelý, protože kontejner objektů blob je otevřený pro veřejný přístup a obvykle se k němu přistupuje jenom s ověřováním z interních sítí (privátníCH IP adres). Tento přístup může znamenat, že úroveň přístupu kontejneru objektů blob je chybně nakonfigurovaná a škodlivý objekt actor mohl veřejný přístup zneužít. Výstraha zabezpečení zahrnuje kontext zjištěných citlivých informací (čas kontroly, popisek klasifikace, typy informací a typy souborů). Přečtěte si další informace o detekci citlivých dat před hrozbami. Platí pro: Účty úložiště Azure Blob (standard pro obecné účely v2, Azure Data Lake Storage Gen2 nebo objekty blob bloku Úrovně Premium) s novým plánem Defenderu for Storage s povolenou funkcí detekce hrozeb citlivosti dat.
Taktika MITRE: Počáteční přístup
Závažnost: Vysoká
Neobvyklé množství dat extrahovaných z citlivého kontejneru objektů blob (Preview)
Storage.Blob_DataExfiltration.AmountOfDataAnomaly.Sensitive
Popis: Výstraha indikuje, že někdo extrahoval neobvykle velké množství dat z kontejneru objektů blob s citlivými daty v účtu úložiště. Platí pro: Účty úložiště Azure Blob (standard pro obecné účely v2, Azure Data Lake Storage Gen2 nebo objekty blob bloku Úrovně Premium) s novým plánem Defenderu for Storage s povolenou funkcí detekce hrozeb citlivosti dat.
Taktika MITRE: Exfiltrace
Závažnost: Střední
Neobvyklý počet objektů blob extrahovaných z citlivého kontejneru objektů blob (Preview)
Storage.Blob_DataExfiltration.NumberOfBlobsAnomaly.Sensitive
Popis: Výstraha indikuje, že někdo extrahoval neobvykle velký počet objektů blob z kontejneru objektů blob s citlivými daty v účtu úložiště. Platí pro: Účty úložiště Objektů blob Azure (standard pro obecné účely v2, Azure Data Lake Storage Gen2 nebo Premium) s novým plánem Defender for Storage s povolenou funkcí detekce hrozeb citlivosti dat.
Taktika MITRE: Exfiltrace
Přístup ze známé podezřelé aplikace k citlivému kontejneru objektů blob (Preview)
Storage.Blob_SuspiciousApp.Sensitive
Popis: Výstraha indikuje, že někdo se známou podezřelou aplikací přistupoval ke kontejneru objektů blob s citlivými daty v účtu úložiště a provedl ověřené operace.
Přístup může značit, že objekt actor hrozby získal přihlašovací údaje pro přístup k účtu úložiště pomocí známé podezřelé aplikace. Přístup ale může také znamenat penetrační test provedený v organizaci.
Platí pro: Účty úložiště Objektů blob Azure (standard pro obecné účely v2, Azure Data Lake Storage Gen2 nebo Premium) s novým plánem Defender for Storage s povolenou funkcí detekce hrozeb citlivosti dat.
Taktika MITRE: Počáteční přístup
Závažnost: Vysoká
Přístup ze známé podezřelé IP adresy k citlivému kontejneru objektů blob (Preview)
Storage.Blob_SuspiciousIp.Sensitive
Popis: Výstraha indikuje, že někdo přistupoval k kontejneru objektů blob s citlivými daty v účtu úložiště ze známé podezřelé IP adresy přidružené k informacím o hrozbách od Microsoft Threat Intelligence. Vzhledem k tomu, že byl přístup ověřený, je možné, že došlo k ohrožení přihlašovacích údajů umožňujících přístup k tomuto účtu úložiště. Přečtěte si další informace o možnostech analýzy hrozeb od Microsoftu. Platí pro: Účty úložiště Azure Blob (standard pro obecné účely v2, Azure Data Lake Storage Gen2 nebo objekty blob bloku Úrovně Premium) s novým plánem Defenderu for Storage s povolenou funkcí detekce hrozeb citlivosti dat.
Taktika MITRE: Před útokem
Závažnost: Vysoká
Přístup z výstupního uzlu Tor k citlivému kontejneru objektů blob (Preview)
Storage.Blob_TorAnomaly.Sensitive
Popis: Výstraha indikuje, že někdo s IP adresou, o které je známo, že je výstupním uzlem Tor, získal přístup ke kontejneru objektů blob s citlivými daty v účtu úložiště s ověřeným přístupem. Ověřený přístup z výstupního uzlu Tor důrazně značí, že se objekt actor pokouší zůstat anonymní pro možný škodlivý záměr. Vzhledem k tomu, že byl přístup ověřený, je možné, že došlo k ohrožení přihlašovacích údajů umožňujících přístup k tomuto účtu úložiště. Platí pro: Účty úložiště Azure Blob (standard pro obecné účely v2, Azure Data Lake Storage Gen2 nebo objekty blob bloku Úrovně Premium) s novým plánem Defenderu for Storage s povolenou funkcí detekce hrozeb citlivosti dat.
Taktika MITRE: Před útokem
Závažnost: Vysoká
Přístup z neobvyklého umístění k citlivému kontejneru objektů blob (Preview)
Storage.Blob_GeoAnomaly.Sensitive
Popis: Výstraha indikuje, že někdo získal přístup k kontejneru objektů blob s citlivými daty v účtu úložiště s ověřováním z neobvyklého umístění. Vzhledem k tomu, že byl přístup ověřený, je možné, že došlo k ohrožení přihlašovacích údajů umožňujících přístup k tomuto účtu úložiště. Platí pro: Účty úložiště Azure Blob (standard pro obecné účely v2, Azure Data Lake Storage Gen2 nebo objekty blob bloku Úrovně Premium) s novým plánem Defenderu for Storage s povolenou funkcí detekce hrozeb citlivosti dat.
Taktika MITRE: Počáteční přístup
Závažnost: Střední
Úroveň přístupu citlivého kontejneru objektů blob úložiště se změnila tak, aby umožňovala neověřený veřejný přístup.
Storage.Blob_OpenACL.Sensitive
Popis: Výstraha indikuje, že někdo změnil úroveň přístupu kontejneru objektů blob v účtu úložiště, který obsahuje citlivá data, na úroveň Kontejner, která umožňuje neověřený (anonymní) veřejný přístup. Tato změna se provedla prostřednictvím webu Azure Portal. Změna úrovně přístupu může ohrozit zabezpečení dat. Doporučujeme provést okamžitou akci k zabezpečení dat a zabránit neoprávněnému přístupu v případě, že se tato výstraha aktivuje. Platí pro: Účty úložiště Azure Blob (standard pro obecné účely v2, Azure Data Lake Storage Gen2 nebo objekty blob bloku Úrovně Premium) s novým plánem Defenderu for Storage s povolenou funkcí detekce hrozeb citlivosti dat.
Taktika MITRE: Kolekce
Závažnost: Vysoká
Podezřelý externí přístup k účtu úložiště Azure s nadměrně permisivním tokenem SAS (Preview)
Storage.Blob_AccountSas.InternalSasUsedExternally
Popis: Výstraha indikuje, že někdo s externí (veřejnou) IP adresou přistupoval k účtu úložiště pomocí příliš vzdáleného tokenu SAS s dlouhým datem vypršení platnosti. Tento typ přístupu se považuje za podezřelý, protože token SAS se obvykle používá jenom v interních sítích (z privátních IP adres). Aktivita může znamenat, že token SAS unikl zlými úmysly nebo neúmyslně unikl z legitimního zdroje. I když je přístup legitimní, použití tokenu SAS s vysokým oprávněním s dlouhým datem vypršení platnosti se použije proti osvědčeným postupům zabezpečení a představuje potenciální bezpečnostní riziko. Platí pro: Účty úložiště Azure Blob (standard pro obecné účely v2, Azure Data Lake Storage Gen2 nebo objekty blob bloku úrovně Premium) s novým plánem Defender for Storage.
Taktika MITRE: Exfiltrace / Vývoj prostředků / Dopad
Závažnost: Střední
Podezřelá externí operace pro účet úložiště Azure s nadměrně permissivním tokenem SAS (Preview)
Storage.Blob_AccountSas.UnusualOperationFromExternalIp
Popis: Výstraha indikuje, že někdo s externí (veřejnou) IP adresou přistupoval k účtu úložiště pomocí příliš vzdáleného tokenu SAS s dlouhým datem vypršení platnosti. Přístup se považuje za podezřelý, protože operace vyvolané mimo vaši síť (ne z privátních IP adres) s tímto tokenem SAS se obvykle používají pro určitou sadu operací čtení/zápisu/odstranění, ale došlo k jiným operacím, které tento přístup zpochybňuje. Tato aktivita může znamenat, že token SAS unikl zlými úmysly nebo nechtěně unikl z legitimního zdroje. I když je přístup legitimní, použití tokenu SAS s vysokým oprávněním s dlouhým datem vypršení platnosti se použije proti osvědčeným postupům zabezpečení a představuje potenciální bezpečnostní riziko. Platí pro: Účty úložiště Azure Blob (standard pro obecné účely v2, Azure Data Lake Storage Gen2 nebo objekty blob bloku úrovně Premium) s novým plánem Defender for Storage.
Taktika MITRE: Exfiltrace / Vývoj prostředků / Dopad
Závažnost: Střední
Neobvyklý token SAS se použil pro přístup k účtu úložiště Azure z veřejné IP adresy (Preview)
Storage.Blob_AccountSas.UnusualExternalAccess
Popis: Výstraha indikuje, že někdo s externí (veřejnou) IP adresou získal přístup k účtu úložiště pomocí tokenu SAS účtu. Přístup je velmi neobvyklý a považuje se za podezřelý, protože přístup k účtu úložiště pomocí tokenů SAS obvykle pochází jenom z interních (privátních) IP adres. Je možné, že token SAS unikl nebo vygeneroval škodlivý aktér z vaší organizace nebo externě, aby získal přístup k tomuto účtu úložiště. Platí pro: Účty úložiště Azure Blob (standard pro obecné účely v2, Azure Data Lake Storage Gen2 nebo objekty blob bloku úrovně Premium) s novým plánem Defender for Storage.
Taktika MITRE: Exfiltrace / Vývoj prostředků / Dopad
Závažnost: Nízká
Škodlivý soubor nahraný do účtu úložiště
Storage.Blob_AM. MalwareFound
Popis: Výstraha indikuje, že se do účtu úložiště nahrál škodlivý objekt blob. Tato výstraha zabezpečení je vygenerována funkcí Vyhledávání malwaru v programu Defender for Storage. Potenciální příčiny můžou zahrnovat úmyslné nahrání malwaru aktérem hrozby nebo neúmyslným nahrání škodlivého souboru legitimním uživatelem. Platí pro: Účty úložiště Azure Blob (standard pro obecné účely v2, Azure Data Lake Storage Gen2 nebo objekty blob bloku Úrovně Premium) s novým plánem Defender for Storage s povolenou funkcí Vyhledávání malwaru.
Taktika MITRE: Laterální pohyb
Závažnost: Vysoká
Škodlivý objekt blob se stáhl z účtu úložiště (Preview)
Storage.Blob_MalwareDownload
Popis: Výstraha indikuje, že se z účtu úložiště stáhl škodlivý objekt blob. Potenciální příčiny můžou zahrnovat malware, který byl nahraný do účtu úložiště, a neodebere se nebo umístí do karantény, a tím umožní herci hrozby stáhnout nebo neúmyslné stažení malwaru legitimními uživateli nebo aplikacemi. Platí pro: Účty úložiště Objektů blob Azure (Standard pro obecné účely v2, Azure Data Lake Storage Gen2 nebo Premium) s novým plánem Defender for Storage s povolenou funkcí Vyhledávání malwaru.
Taktika MITRE: Laterální pohyb
Závažnost: Vysoká, pokud Eicar - nízká
Poznámka:
Upozornění, která jsou ve verzi Preview: Doplňkové podmínky Azure Preview obsahují další právní podmínky, které se vztahují na funkce Azure, které jsou v beta verzi, preview nebo které ještě nejsou vydány v obecné dostupnosti.