Freigeben über


Warnungen für Azure Key Vault

In diesem Artikel werden die Sicherheitswarnungen aufgeführt, die Sie möglicherweise für Azure Key Vault von Microsoft Defender für Cloud und alle von Ihnen aktivierten Microsoft Defender-Pläne erhalten. Welche Warnungen in Ihrer Umgebung angezeigt werden, hängt von den Ressourcen und Diensten, die Sie schützen, sowie von Ihrer angepassten Konfiguration ab.

Hinweis

Einige der kürzlich hinzugefügten Warnungen, die von Microsoft Defender Threat Intelligence und Microsoft Defender für Endpunkt unterstützt werden, sind möglicherweise nicht dokumentiert.

Informationen zur Reaktion auf diese Warnungen

Informationen zum Exportieren von Warnungen

Hinweis

Warnungen aus unterschiedlichen Quellen erfordern möglicherweise unterschiedlich lange Zeit, bis sie angezeigt werden. Beispielsweise kann es länger dauern, bis Warnungen, die eine Analyse des Netzwerkdatenverkehrs erfordern, angezeigt werden, als das Anzeigen von Warnungen im Zusammenhang mit verdächtigen Prozessen auf virtuellen Computern.

Azure Key Vault-Warnungen

Weitere Details und Hinweise

Zugriff auf einen Schlüsseltresor von einer verdächtigen IP-Adresse

(KV_SuspiciousIPAccess)

Beschreibung: Auf einen Schlüsseltresor wurde erfolgreich von einer IP zugegriffen, die von Microsoft Threat Intelligence als verdächtige IP-Adresse identifiziert wurde. Dies kann darauf hindeuten, dass Ihre Infrastruktur kompromittiert wurde. Wir empfehlen Ihnen, dies eingehender zu untersuchen. Weitere Informationen finden Sie unter Threat Intelligence-Funktionen von Microsoft.

MITRE-Taktiken: Zugriff auf Anmeldeinformationen

Schweregrad: Mittel

Zugriff über einen TOR-Exitknoten auf einen Schlüsseltresor

(KV_TORAccess)

Beschreibung: Auf einen Schlüsseltresor wurde über einen bekannten TOR-Beendigungsknoten zugegriffen. Dies kann ein Hinweis darauf sein, dass ein Bedrohungsakteur auf den Schlüsseltresor zugegriffen hat und das TOR-Netzwerk verwendet, um den Quellstandort zu verbergen. Weitere Untersuchungen werden empfohlen.

MITRE-Taktiken: Zugriff auf Anmeldeinformationen

Schweregrad: Mittel

Hohe Anzahl von Vorgängen in einem Schlüsseltresor

(KV_OperationVolumeAnomaly)

Beschreibung: Eine omale Anzahl von Schlüsseltresorvorgängen wurde von einem Benutzer, Dienstprinzipal und/oder einem bestimmten Schlüsseltresor ausgeführt. Dieses anomaliele Aktivitätsmuster kann legitim sein, aber es könnte ein Hinweis darauf sein, dass ein Bedrohungsakteur Zugriff auf den Schlüsseltresor und die darin enthaltenen Geheimnisse erhalten hat. Weitere Untersuchungen werden empfohlen.

MITRE-Taktiken: Zugriff auf Anmeldeinformationen

Schweregrad: Mittel

Verdächtige Richtlinienänderung und Geheimnisabfrage in einem Schlüsseltresor

(KV_PutGetAnomaly)

Beschreibung: Ein Benutzer oder Dienstprinzipal hat einen anomalien Vault Put-Richtlinienänderungsvorgang ausgeführt, gefolgt von einem oder mehreren Geheimen Get-Vorgängen. Dieses Muster wird normalerweise nicht vom angegebenen Benutzer oder Dienstprinzipal ausgeführt. Dies kann legitime Aktivitäten sein, aber es könnte ein Hinweis darauf sein, dass ein Bedrohungsakteur die Schlüsseltresorrichtlinie aktualisiert hat, um auf zuvor nicht zugängliche Geheimnisse zuzugreifen. Weitere Untersuchungen werden empfohlen.

MITRE-Taktiken: Zugriff auf Anmeldeinformationen

Schweregrad: Mittel

Verdächtige Geheimnisauflistung und -abfrage in einem Schlüsseltresor

(KV_ListGetAnomaly)

Beschreibung: Ein Benutzer oder Dienstprinzipal hat einen anomalen Geheimlistenvorgang ausgeführt, gefolgt von mindestens einem geheimen Get-Vorgang. Dieses Muster wird normalerweise nicht vom angegebenen Benutzer oder Dienstprinzipal ausgeführt und steht üblicherweise mit dem Sichern von Geheimnissen im Zusammenhang. Dies kann legitime Aktivitäten sein, aber es könnte ein Hinweis darauf sein, dass ein Bedrohungsakteur Zugriff auf den Schlüsseltresor erlangt hat und versucht, Geheimnisse zu entdecken, die verwendet werden können, um sich lateral über Ihr Netzwerk zu bewegen und/oder Zugriff auf vertrauliche Ressourcen zu erhalten. Weitere Untersuchungen werden empfohlen.

MITRE-Taktiken: Zugriff auf Anmeldeinformationen

Schweregrad: Mittel

Ungewöhnlicher Zugriff verweigert – Zugriff durch Benutzer, der auf eine große Anzahl von Key Vaults zugreift, verweigert

(KV_AccountVolumeAccessDeniedAnomaly)

Beschreibung: Ein Benutzer oder Dienstprinzipal hat versucht, in den letzten 24 Stunden auf eine anomalie hohe Anzahl von Schlüsseltresorn zuzugreifen. Dieses anomale Zugriffsmuster könnte eine legitime Aktivität sein. Dieser Versuch war zwar erfolglos, aber er könnte ein Hinweis auf einen möglichen Versuch sein, sich Zugang zum Key Vault und den darin enthaltenen Vertraulichkeiten zu verschaffen. Weitere Untersuchungen werden empfohlen.

MITRE-Taktiken: Ermittlung

Schweregrad: Niedrig

Ungewöhnlicher Zugriff verweigert – Ungewöhnlicher Benutzerzugriff auf Key Vault verweigert

(KV_UserAccessDeniedAnomaly)

Beschreibung: Ein Schlüsseltresorzugriff wurde von einem Benutzer versucht, der normalerweise nicht darauf zugreift, dieses anomaliele Zugriffsmuster kann legitime Aktivitäten sein. Dieser Versuch war zwar erfolglos, aber er könnte ein Hinweis auf einen möglichen Versuch sein, sich Zugang zum Key Vault und den darin enthaltenen Vertraulichkeiten zu verschaffen.

MITRE-Taktiken: Initial Access, Discovery

Schweregrad: Niedrig

Ungewöhnliche Anwendung hat auf einen Schlüsseltresor zugegriffen

(KV_AppAnomaly)

Beschreibung: Auf einen Schlüsseltresor wurde von einem Dienstprinzipal zugegriffen, auf den normalerweise nicht zugegriffen wird. Dieses ungewöhnliche Zugriffsmuster kann legitime Aktivitäten sein, aber es könnte ein Hinweis darauf sein, dass ein Bedrohungsakteur Zugriff auf den Schlüsseltresor erhalten hat, um auf die darin enthaltenen Geheimnisse zuzugreifen. Weitere Untersuchungen werden empfohlen.

MITRE-Taktiken: Zugriff auf Anmeldeinformationen

Schweregrad: Mittel

Ungewöhnliches Vorgangsmuster in einem Schlüsseltresor

(KV_OperationPatternAnomaly)

Beschreibung: Ein ungewöhnliches Muster von Schlüsseltresorvorgängen wurde von einem Benutzer, Dienstprinzipal und/oder einem bestimmten Schlüsseltresor ausgeführt. Dieses anomaliele Aktivitätsmuster kann legitim sein, aber es könnte ein Hinweis darauf sein, dass ein Bedrohungsakteur Zugriff auf den Schlüsseltresor und die darin enthaltenen Geheimnisse erhalten hat. Weitere Untersuchungen werden empfohlen.

MITRE-Taktiken: Zugriff auf Anmeldeinformationen

Schweregrad: Mittel

Ungewöhnlicher Benutzer hat auf einen Schlüsseltresor zugegriffen

(KV_UserAnomaly)

Beschreibung: Auf einen Schlüsseltresor wurde von einem Benutzer zugegriffen, der normalerweise nicht darauf zugreift. Dieses ungewöhnliche Zugriffsmuster kann legitime Aktivitäten sein, aber es könnte ein Hinweis darauf sein, dass ein Bedrohungsakteur Zugriff auf den Schlüsseltresor erhalten hat, um auf die darin enthaltenen Geheimnisse zuzugreifen. Weitere Untersuchungen werden empfohlen.

MITRE-Taktiken: Zugriff auf Anmeldeinformationen

Schweregrad: Mittel

Ungewöhnliches Benutzer/Anwendungs-Paar hat auf einen Schlüsseltresor zugegriffen

(KV_UserAppAnomaly)

Beschreibung: Auf einen Schlüsseltresor wurde von einem Benutzerdienstprinzipalpaar zugegriffen, auf das normalerweise nicht zugegriffen wird. Dieses ungewöhnliche Zugriffsmuster kann legitime Aktivitäten sein, aber es könnte ein Hinweis darauf sein, dass ein Bedrohungsakteur Zugriff auf den Schlüsseltresor erhalten hat, um auf die darin enthaltenen Geheimnisse zuzugreifen. Weitere Untersuchungen werden empfohlen.

MITRE-Taktiken: Zugriff auf Anmeldeinformationen

Schweregrad: Mittel

Benutzerzugriff auf eine große Anzahl von Schlüsseltresoren

(KV_AccountVolumeAnomaly)

Beschreibung: Ein Benutzer oder Dienstprinzipal hat auf ein anomalie hohes Volumen von Schlüsseltresorn zugegriffen. Dieses anomale Zugriffsmuster kann legitime Aktivitäten sein, aber es könnte ein Hinweis darauf sein, dass ein Bedrohungsakteur Zugriff auf mehrere Schlüsseltresor erhalten hat, um auf die darin enthaltenen Geheimnisse zuzugreifen. Weitere Untersuchungen werden empfohlen.

MITRE-Taktiken: Zugriff auf Anmeldeinformationen

Schweregrad: Mittel

Zugriff auf einen Schlüsseltresor von einer verdächtigen IP-Adresse verweigert

(KV_SuspiciousIPAccessDenied)

Beschreibung: Ein erfolgloser Schlüsseltresorzugriff wurde von einer IP versucht, die von Microsoft Threat Intelligence als verdächtige IP-Adresse identifiziert wurde. Obwohl dieser Versuch nicht erfolgreich war, deutet dies darauf hin, dass Ihre Infrastruktur möglicherweise kompromittiert wurde. Weitere Untersuchungen werden empfohlen.

MITRE-Taktiken: Zugriff auf Anmeldeinformationen

Schweregrad: Niedrig

Ungewöhnlicher Zugriff auf den Schlüsseltresor von einer verdächtigen IP (nicht von Microsoft oder extern)

(KV_UnusualAccessSuspiciousIP)

Beschreibung: Ein Benutzer oder Dienstprinzipal hat versucht, in den letzten 24 Stunden anomale Zugriff auf Schlüsseltresor von einer nicht von Microsoft stammenden IP zu erhalten. Dieses anomale Zugriffsmuster könnte eine legitime Aktivität sein. Dies könnte ein Hinweis auf einen möglichen Versuch sein, sich Zugang zum Schlüsseltresor und den darin enthaltenen Geheimnissen zu verschaffen. Weitere Untersuchungen werden empfohlen.

MITRE-Taktiken: Zugriff auf Anmeldeinformationen

Schweregrad: Mittel

Hinweis

Für Warnungen, die sich in der Vorschau befinden: Die ergänzenden Bestimmungen für Azure-Vorschauen enthalten zusätzliche rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden bzw. anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.

Nächste Schritte