Warnungen für Azure Cosmos DB
In diesem Artikel werden die Sicherheitswarnungen aufgeführt, die Sie möglicherweise für Azure Cosmos DB von Microsoft Defender für Cloud und alle von Ihnen aktivierten Microsoft Defender-Pläne erhalten. Welche Warnungen in Ihrer Umgebung angezeigt werden, hängt von den Ressourcen und Diensten, die Sie schützen, sowie von Ihrer angepassten Konfiguration ab.
Hinweis
Einige der kürzlich hinzugefügten Warnungen, die von Microsoft Defender Threat Intelligence und Microsoft Defender für Endpunkt unterstützt werden, sind möglicherweise nicht dokumentiert.
Informationen zur Reaktion auf diese Warnungen
Informationen zum Exportieren von Warnungen
Hinweis
Warnungen aus unterschiedlichen Quellen erfordern möglicherweise unterschiedlich lange Zeit, bis sie angezeigt werden. Beispielsweise kann es länger dauern, bis Warnungen, die eine Analyse des Netzwerkdatenverkehrs erfordern, angezeigt werden, als das Anzeigen von Warnungen im Zusammenhang mit verdächtigen Prozessen auf virtuellen Computern.
Azure Cosmos DB-Warnungen
Zugriff von einem Tor-Exitknoten
(CosmosDB_TorAnomaly)
Beschreibung: Auf dieses Azure Cosmos DB-Konto wurde erfolgreich über eine IP-Adresse zugegriffen, die als aktiver Exit-Knoten von Tor bekannt ist, einem anonymisierenden Proxy. Der authentifizierte Zugriff über einen Tor-Exitknoten ist wahrscheinlich ein Hinweis darauf, dass ein Bedrohungsakteur versucht, seine Identität zu verbergen.
MITRE-Taktiken: Erstzugriff
Schweregrad: Hoch/Mittel
Zugriff von einer verdächtigen IP-Adresse
(CosmosDB_SuspiciousIp)
Beschreibung: Auf dieses Azure Cosmos DB-Konto wurde erfolgreich über eine IP-Adresse zugegriffen, die von Microsoft Threat Intelligence als Bedrohung identifiziert wurde.
MITRE-Taktiken: Erstzugriff
Schweregrad: Mittel
Zugriff von einem unüblichen Standort
(CosmosDB_GeoAnomaly)
Beschreibung: Auf dieses Azure Cosmos DB-Konto wurde basierend auf dem üblichen Zugriffsmuster von einem Standort aus zugegriffen, der als unbekannt eingestuft wurde.
Entweder hat ein*e Bedrohungsakteur*in Zugriff auf das Konto erlangt, oder ein*e berechtigte*r Benutzer*in hat von einem neuen oder ungewöhnlichen geografischen Standort aus eine Verbindung hergestellt.
MITRE-Taktiken: Erstzugriff
Schweregrad: Niedrig
Unübliche Menge an extrahierten Daten
(CosmosDB_DataExfiltrationAnomaly)
Beschreibung: Ein ungewöhnlich großes Datenvolumen wurde aus diesem Azure Cosmos DB-Konto extrahiert. Dies kann darauf hindeuten, dass ein*e Bedrohungsakteur*in Daten exfiltriert hat.
MITRE-Taktiken: Exfiltration
Schweregrad: Mittel
Extraktion von Azure Cosmos DB-Kontenschlüsseln über ein potenziell schädliches Skript
(CosmosDB_SuspiciousListKeys.MaliciousScript)
Beschreibung: Ein PowerShell-Skript wurde in Ihrem Abonnement ausgeführt und hat ein verdächtiges Muster von Schlüsselauflistungsvorgängen ausgeführt, um die Schlüssel von Azure Cosmos DB-Konten in Ihrem Abonnement abzurufen. Bedrohungsakteure verwenden automatisierte Skripts wie Microburst, um Schlüssel aufzulisten und Azure Cosmos DB-Konten zu finden, auf die sie zugreifen können.
Dieser Vorgang könnte darauf hindeuten, dass eine Identität in Ihrer Organisation verletzt wurde und dass der Bedrohungsakteur versucht, Azure Cosmos DB-Konten in Ihrer Umgebung für böswillige Absichten zu gefährden.
Alternativ könnte ein*e böswillige*r Insider*in versuchen, auf vertrauliche Daten zuzugreifen und Lateral Movement durchzuführen.
MITRE-Taktiken: Sammlung
Schweregrad: Mittel
Verdächtige Extraktion von Azure Cosmos DB-Kontoschlüsseln
(AzureCosmosDB_SuspiciousListKeys.SuspiciousPrincipal)
Beschreibung: Eine verdächtige Quelle extrahiert Azure Cosmos DB-Kontozugriffsschlüssel aus Ihrem Abonnement. Wenn diese Quelle keine legitime Quelle ist, kann dies ein Problem mit hohen Auswirkungen sein. Der Zugriffsschlüssel, der extrahiert wurde, bietet vollständige Kontrolle über die zugeordneten Datenbanken und die darin gespeicherten Daten. Sehen Sie sich die Details zu jeder einzelnen Warnung an, um zu verstehen, warum die Quelle als verdächtig gekennzeichnet wurde.
MITRE-Taktiken: Zugriff auf Anmeldeinformationen
Schweregrad: hoch
SQL-Injektion: mögliche Herausschleusung von Daten
(CosmosDB_SqlInjection.DataExfiltration)
Beschreibung: Eine verdächtige SQL-Anweisung wurde verwendet, um einen Container in diesem Azure Cosmos DB-Konto abzufragen.
Die eingeschleuste Anweisung könnte Daten exfiltriert haben, auf die der Bedrohungsakteur nicht zugreifen darf.
Aufgrund der Struktur und der Funktionen von Azure Cosmos DB-Abfragen können viele bekannte Angriffe durch Einschleusung von SQL-Befehlen auf Azure Cosmos DB-Konten nicht funktionieren. Die variation, die in diesem Angriff verwendet wird, kann jedoch funktionieren, und Bedrohungsakteure können Daten exfiltrieren.
MITRE-Taktiken: Exfiltration
Schweregrad: Mittel
SQL-Injection: Fuzzi-Versuch
(CosmosDB_SqlInjection.FailedFuzzingAttempt)
Beschreibung: Eine verdächtige SQL-Anweisung wurde verwendet, um einen Container in diesem Azure Cosmos DB-Konto abzufragen.
Wie andere bekannte SQL-Einschleusungsangriffe kann dieser Angriff das Azure Cosmos DB-Konto nicht gefährden.
Dennoch ist es ein Hinweis darauf, dass ein Bedrohungsakteur versucht, die Ressourcen in diesem Konto anzugreifen, und Ihre Anwendung kann kompromittiert werden.
Einige SQL-Einschleusungsangriffe können erfolgreich sein und zum Exfiltrieren von Daten verwendet werden. Dies bedeutet, dass, wenn der Angreifer weiterhin SQL-Injektionsversuche durchführt, möglicherweise Ihr Azure Cosmos DB-Konto kompromittieren und Daten exfiltrieren kann.
Sie können diese Bedrohung abwenden, indem Sie parametrisierte Abfragen verwenden.
MITRE-Taktiken: Vorangriff
Schweregrad: Niedrig
Hinweis
Für Warnungen, die sich in der Vorschau befinden: Die ergänzenden Bestimmungen für Azure-Vorschauen enthalten zusätzliche rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden bzw. anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.