Alertas de Azure Cosmos DB
En este artículo se enumeran las alertas de seguridad que puede obtener para Azure Cosmos DB desde Microsoft Defender for Cloud y los planes de Microsoft Defender habilitados. Las alertas que se muestran en el entorno dependen de los recursos y servicios que va a proteger, y de la configuración personalizada.
Nota:
Algunas de las alertas agregadas recientemente con tecnología de Inteligencia contra amenazas de Microsoft Defender y Microsoft Defender para punto de conexión podrían no estar documentadas.
Aprenda a responder a estas alertas.
Nota
Las alertas de orígenes diferentes pueden tardar un tiempo distinto en aparecer. Por ejemplo, las alertas que requieren un análisis del tráfico de red pueden tardar más en aparecer que las alertas relacionadas con procesos sospechosos que se ejecutan en máquinas virtuales.
Alertas de Cosmos DB
Acceso desde un nodo de salida de Tor
(CosmosDB_TorAnomaly)
Descripción: se ha accedido correctamente a esta cuenta de Azure Cosmos DB desde una dirección IP conocida como un nodo de salida activo de Tor, un proxy de anonimización. El acceso autenticado desde un nodo de salida de Tor es una indicación probable de que un actor de amenazas está intentando ocultar su identidad.
Tácticas de MITRE: acceso inicial
Gravedad: Alta/Media
Acceso desde una dirección IP sospechosa
(CosmosDB_SuspiciousIp)
Descripción: se ha accedido correctamente a esta cuenta de Azure Cosmos DB desde una dirección IP identificada como amenaza por Microsoft Threat Intelligence.
Tácticas de MITRE: acceso inicial
Gravedad: media
Acceso desde una ubicación inusual
(CosmosDB_GeoAnomaly)
Descripción: se ha tenido acceso a esta cuenta de Azure Cosmos DB desde una ubicación que se considera desconocida, en función del patrón de acceso habitual.
O bien, un atacante obtuvo acceso a la cuenta o un usuario legítimo se conectó desde una ubicación geográfica nueva o inusual.
Tácticas de MITRE: acceso inicial
Gravedad: baja
Volumen inusual de datos extraídos
(CosmosDB_DataExfiltrationAnomaly)
Descripción: se ha extraído un volumen inusualmente grande de datos de esta cuenta de Azure Cosmos DB. Esto podría indicar que un atacante ha filtrado datos.
Tácticas de MITRE: Filtración
Gravedad: media
Extracción de claves de cuenta de Azure Cosmos DB mediante un script potencialmente malintencionado
(CosmosDB_SuspiciousListKeys.MaliciousScript)
Descripción: se ejecutó un script de PowerShell en la suscripción y realizó un patrón sospechoso de operaciones de lista de claves para obtener las claves de las cuentas de Azure Cosmos DB en la suscripción. Los atacantes usan scripts automatizados, como Microburst, para enumerar las claves y encontrar cuentas de Azure Cosmos DB a las que pueden acceder.
Esta operación puede indicar que se ha infringido una identidad de la organización y que se está intentando atacar las cuentas de Azure Cosmos DB de su entorno con intenciones malintencionadas.
Como alternativa, un usuario interno malintencionado podría estar intentando acceder a datos confidenciales y realizar el movimiento lateral.
Tácticas de MITRE: Colección
Gravedad: media
Extracción sospechosa de claves de cuenta de Azure Cosmos DB
(AzureCosmosDB_SuspiciousListKeys.SuspiciousPrincipal)
Descripción: un origen sospechoso extraído de las claves de acceso de la cuenta de Azure Cosmos DB de la suscripción. Si este origen no es un origen legítimo, podría ser un problema de gran impacto. La clave de acceso que se extrajo proporciona control total sobre las bases de datos asociadas y los datos que estas almacenan. Consulte los detalles de cada alerta específica para comprender por qué el origen se marcó como sospechoso.
Tácticas de MITRE: Acceso a credenciales
Gravedad: alta
Inyección de código SQL: posible filtración de datos
(CosmosDB_SqlInjection.DataExfiltration)
Descripción: se usó una instrucción SQL sospechosa para consultar un contenedor en esta cuenta de Azure Cosmos DB.
Es posible que con la instrucción inyectada se hayan filtrado correctamente los datos para los que el actor de amenazas no tiene autorización de acceso.
Debido a la estructura y las funcionalidades de Azure Cosmos DB, muchos ataques por inyección de código SQL en las cuentas de Azure Cosmos DB no funcionan. Sin embargo, la variación usada en este ataque podría funcionar y los actores de amenazas pueden filtrar datos.
Tácticas de MITRE: Filtración
Gravedad: media
Inyección de código SQL: intento de información aproximada
(CosmosDB_SqlInjection.FailedFuzzingAttempt)
Descripción: se usó una instrucción SQL sospechosa para consultar un contenedor en esta cuenta de Azure Cosmos DB.
Al igual que otros ataques por inyección de código SQL conocidos, este no podrá poner en peligro la cuenta de Azure Cosmos DB.
Sin embargo, es una indicación de que un actor de amenazas está intentando atacar los recursos de esta cuenta y que la aplicación podría estar en peligro.
Algunos ataques por inyección de código SQL pueden realizarse correctamente y usarse para filtrar datos. Esto significa que si el atacante sigue realizando intentos de inyección de CÓDIGO SQL, es posible que puedan poner en peligro la cuenta de Azure Cosmos DB y filtrar los datos.
Puede evitar esta amenaza mediante consultas parametrizadas.
Tácticas de MITRE: pre-ataque
Gravedad: baja
Nota:
En el caso de las alertas que están en versión preliminar: los Términos de uso complementarios para las versiones preliminares de Azure incluyen los términos legales adicionales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado con disponibilidad general.