Alertas de Azure Storage
En este artículo se enumeran las alertas de seguridad que puede obtener para Azure Storage desde Microsoft Defender for Cloud y los planes de Microsoft Defender habilitados. Las alertas que se muestran en el entorno dependen de los recursos y servicios que va a proteger, y de la configuración personalizada.
Nota:
Algunas de las alertas agregadas recientemente con tecnología de Inteligencia contra amenazas de Microsoft Defender y Microsoft Defender para punto de conexión podrían no estar documentadas.
Aprenda a responder a estas alertas.
Nota
Las alertas de orígenes diferentes pueden tardar un tiempo distinto en aparecer. Por ejemplo, las alertas que requieren un análisis del tráfico de red pueden tardar más en aparecer que las alertas relacionadas con procesos sospechosos que se ejecutan en máquinas virtuales.
Alertas de Azure Storage
Acceso desde una aplicación sospechosa
(Storage.Blob_SuspiciousApp)
Descripción: indica que una aplicación sospechosa ha accedido correctamente a un contenedor de una cuenta de almacenamiento con autenticación. Esto puede indicar que un atacante ha obtenido las credenciales necesarias para acceder a la cuenta y está aprovechando sus vulnerabilidades de seguridad. Esto también podría ser una indicación de una prueba de penetración realizada en su organización. Se aplica a: Azure Blob Storage, Azure Data Lake Storage Gen2
Tácticas de MITRE: acceso inicial
Gravedad: Alta/Media
Acceso desde una dirección IP sospechosa
(Storage.Blob_SuspiciousIp Storage.Files_SuspiciousIp)
Descripción: indica que se ha accedido correctamente a esta cuenta de almacenamiento desde una dirección IP que se considera sospechosa. Esta alerta está basada en la inteligencia sobre amenazas de Microsoft. Obtenga más información sobre las funcionalidades de inteligencia sobre amenazas de Microsoft. Se aplica a: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
Tácticas de MITRE: Ataque previo
Gravedad: Alto/Medio/Bajo
Contenido de suplantación de identidad (phishing) hospedado en una cuenta de almacenamiento
(Storage.Blob_PhishingContent Storage.Files_PhishingContent)
Descripción: una dirección URL que se usa en un ataque de suplantación de identidad (phishing) apunta a la cuenta de Azure Storage. Esta dirección URL formaba parte de un ataque de suplantación de identidad que afectaba a los usuarios de Microsoft 365. Normalmente, el contenido hospedado en esas páginas está diseñado para engañar a los visitantes para que escriban sus credenciales corporativas o información financiera en un formulario web que parece legítimo. Esta alerta está basada en la inteligencia sobre amenazas de Microsoft. Obtenga más información sobre las funcionalidades de inteligencia sobre amenazas de Microsoft. Se aplica a: Azure Blob Storage, Azure Files
Tácticas de MITRE: Colección
Gravedad: alta
La cuenta de almacenamiento se ha identificado como un origen para la distribución de malware.
(Storage.Files_WidespreadeAm)
Descripción: las alertas antimalware indican que los archivos infectados se almacenan en un recurso compartido de archivos de Azure montado en varias máquinas virtuales. Si los atacantes obtienen acceso a una máquina virtual con un recurso compartido de archivos de Azure montado, pueden usarlo para propagar malware a otras máquinas virtuales que monten el mismo recurso compartido. Se aplica a: Azure Files
Tácticas de MITRE: Ejecución
Gravedad: media
Se cambió el nivel de acceso de un contenedor de blobs de almacenamiento potencialmente confidencial para permitir el acceso público no autenticado
(Storage.Blob_OpenACL)
Descripción: la alerta indica que alguien ha cambiado el nivel de acceso de un contenedor de blobs en la cuenta de almacenamiento, que puede contener datos confidenciales, al nivel "Contenedor", para permitir el acceso público no autenticado (anónimo). El cambio se realizó a través del Azure Portal. Basándose en un análisis estadístico, el contenedor de blob se marca como posible contenedor de datos confidenciales. Este análisis sugiere que los contenedores de blobs o las cuentas de almacenamiento con nombres similares no suelen estar expuestos al acceso público. Se aplica a: cuentas de almacenamiento de blob (estándar de uso general v2, Azure Data Lake Storage Gen2 o blobs en bloques Premium).
Tácticas de MITRE: Colección
Gravedad: media
Acceso autenticado desde un nodo de salida de Tor
(Storage.Blob_TorAnomaly Storage.Files_TorAnomaly)
Descripción: se ha accedido correctamente a uno o varios contenedores de almacenamiento o recursos compartidos de archivos de la cuenta de almacenamiento desde una dirección IP conocida como un nodo de salida activo de Tor (un proxy anonimizado). Los actores de amenazas usan Tor para dificultar el seguimiento de la actividad. El acceso autenticado desde un nodo de salida de Tor es una indicación probable de que un actor de amenazas está intentando ocultar su identidad. Se aplica a: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
Tácticas de MITRE: acceso inicial/ataque previo
Gravedad: Alta/Media
Acceso desde una ubicación inusual a una cuenta de almacenamiento
(Storage.Blob_GeoAnomaly Storage.Files_GeoAnomaly)
Descripción: indica que se ha producido un cambio en el patrón de acceso a una cuenta de Azure Storage. Alguien accedió a esta cuenta desde una dirección IP que se considera desconocida en comparación con la actividad reciente. Un atacante obtuvo acceso a la cuenta o un usuario legítimo se conectó desde una ubicación geográfica nueva o inusual. Un ejemplo de esto último es el mantenimiento remoto desde una nueva aplicación o desarrollador. Se aplica a: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
Tácticas de MITRE: acceso inicial
Gravedad: Alto/Medio/Bajo
Acceso no autenticado inusual a un contenedor de almacenamiento
(Storage.Blob_AnonymousAccessAnomaly)
Descripción: se ha accedido a esta cuenta de almacenamiento sin autenticación, que es un cambio en el patrón de acceso común. El acceso de lectura a este contenedor normalmente se autentica. Esto podría indicar que un actor de amenazas ha podido aprovechar el acceso de lectura público a los contenedores de almacenamiento de esta cuenta de almacenamiento. Se aplica a: Azure Blob Storage
Tácticas de MITRE: acceso inicial
Gravedad: Alta/Baja
Posible malware cargado en una cuenta de almacenamiento
(Storage.Blob_MalwareHashReputation Storage.Files_MalwareHashReputation)
Descripción: indica que un blob que contiene malware potencial se ha cargado en un contenedor de blobs o un recurso compartido de archivos en una cuenta de almacenamiento. Esta alerta se basa en el análisis de reputación de hash que aprovecha la eficacia de la inteligencia sobre amenazas de Microsoft, que incluye los valores hash de virus, troyanos, spyware y ransomware. Las posibles causas pueden incluir una carga intencionada de malware por parte de un atacante o una carga involuntaria de un blob potencialmente malintencionado por parte de un usuario legítimo. Se aplica a: Azure Blob Storage, Azure Files (solo para transacciones a través de la API REST) Obtenga más información sobre las funcionalidades de inteligencia sobre amenazas de Microsoft.
Tácticas de MITRE: Movimiento lateral
Gravedad: alta
Contenedores de almacenamiento accesibles públicamente detectados correctamente
(Storage.Blob_OpenContainersScanning.SuccessfulDiscovery)
Descripción: una detección correcta de contenedores de almacenamiento abiertos públicamente en la cuenta de almacenamiento se realizó en la última hora mediante un script de examen o herramienta.
Esto suele indicar un ataque de reconocimiento, donde el actor de amenazas intenta enumerar blobs mediante la suposición de nombres de contenedor, con la esperanza de encontrar contenedores de almacenamiento abiertos incorrectamente configurados que incluyan información confidencial.
El actor de amenazas puede usar su propio script o usar herramientas de examen conocidas como Microburst para buscar contenedores abiertos públicamente.
✔ Azure Blob Storage ✖ Azure Files ✖ Azure Data Lake Storage Gen2
Tácticas de MITRE: Colección
Gravedad: Alta/Media
Intentos fallidos de búsqueda en contenedores de almacenamiento públicamente accesibles
(Storage.Blob_OpenContainersScanning.FailedAttempt)
Descripción: en la última hora se realizaron una serie de intentos erróneos de buscar contenedores de almacenamiento abiertos públicamente.
Esto suele indicar un ataque de reconocimiento, donde el actor de amenazas intenta enumerar blobs mediante la suposición de nombres de contenedor, con la esperanza de encontrar contenedores de almacenamiento abiertos incorrectamente configurados que incluyan información confidencial.
El actor de amenazas puede usar su propio script o usar herramientas de examen conocidas como Microburst para buscar contenedores abiertos públicamente.
✔ Azure Blob Storage ✖ Azure Files ✖ Azure Data Lake Storage Gen2
Tácticas de MITRE: Colección
Gravedad: Alta/Baja
Inspección de acceso inusual en una cuenta de almacenamiento
(Storage.Blob_AccessInspectionAnomaly Storage.Files_AccessInspectionAnomaly)
Descripción: indica que los permisos de acceso de una cuenta de almacenamiento se han inspeccionado de forma inusual, en comparación con la actividad reciente de esta cuenta. Una posible causa es que un atacante ha realizado un reconocimiento para un ataque futuro. Se aplica a: Azure Blob Storage, Azure Files
Tácticas de MITRE: Detección
Gravedad: Alta/Media
Cantidad inusual de datos extraídos de una cuenta de almacenamiento
(Storage.Blob_DataExfiltration.AmountOfDataAnomaly Storage.Blob_DataExfiltration.NumberOfBlobsAnomaly Storage.Files_DataExfiltration.AmountOfDataAnomaly Storage.Files_DataExfiltration.NumberOfFilesAnomaly)
Descripción: indica que se ha extraído una cantidad inusualmente grande de datos en comparación con la actividad reciente en este contenedor de almacenamiento. Una causa posible es que un atacante haya extraído una gran cantidad de datos de un contenedor que incluye almacenamiento en blobs. Se aplica a: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
Tácticas de MITRE: Filtración
Gravedad: Alta/Baja
Acceso de una aplicación inusual a una cuenta de almacenamiento
(Storage.Blob_ApplicationAnomaly Storage.Files_ApplicationAnomaly)
Descripción: indica que una aplicación inusual ha accedido a esta cuenta de almacenamiento. Una posible causa es que un atacante ha accedido a la cuenta de almacenamiento mediante el uso de una aplicación nueva. Se aplica a: Azure Blob Storage, Azure Files
Tácticas de MITRE: Ejecución
Gravedad: Alta/Media
Exploración de datos inusual en una cuenta de almacenamiento
(Storage.Blob_DataExplorationAnomaly Storage.Files_DataExplorationAnomaly)
Descripción: indica que los blobs o contenedores de una cuenta de almacenamiento se han enumerado de forma anómala, en comparación con la actividad reciente de esta cuenta. Una posible causa es que un atacante ha realizado un reconocimiento para un ataque futuro. Se aplica a: Azure Blob Storage, Azure Files
Tácticas de MITRE: Ejecución
Gravedad: Alta/Media
Eliminación inusual en una cuenta de almacenamiento
(Storage.Blob_DeletionAnomaly Storage.Files_DeletionAnomaly)
Descripción: indica que se han producido una o varias operaciones de eliminación inesperadas en una cuenta de almacenamiento, en comparación con la actividad reciente de esta cuenta. Una posible causa es que un atacante haya eliminado datos de la cuenta de almacenamiento. Se aplica a: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
Tácticas de MITRE: Filtración
Gravedad: Alta/Media
Acceso público no autenticado inusual a un contenedor de blobs confidencial (versión preliminar)
Storage.Blob_AnonymousAccessAnomaly.Sensitive
Descripción: la alerta indica que alguien ha accedido a un contenedor de blobs con datos confidenciales en la cuenta de almacenamiento sin autenticación, mediante una dirección IP externa (pública). Este acceso es sospechoso, ya que el contenedor de blobs está abierto al acceso público y normalmente solo se accede a él con autenticación desde redes internas (direcciones IP privadas). Este acceso podría indicar que el nivel de acceso del contenedor de blobs está mal configurado y que un actor malintencionado podría haber aprovechado el acceso público. La alerta de seguridad incluye el contexto de información confidencial detectado (tiempo de examen, etiqueta de clasificación, tipos de información y tipos de archivo). Obtenga más información sobre la detección de amenazas de datos confidenciales. Se aplica a: Cuentas de almacenamiento de Azure Blob (estándar de uso general v2, Azure Data Lake Storage Gen2 o blobs en bloques Premium) con el nuevo plan de Defender para Storage con la característica de detección de amenazas de confidencialidad de datos habilitada.
Tácticas de MITRE: acceso inicial
Gravedad: alta
Cantidad inusual de datos extraídos de un contenedor de blobs confidenciales (versión preliminar)
Storage.Blob_DataExfiltration.AmountOfDataAnomaly.Sensitive
Descripción: la alerta indica que alguien ha extraído una cantidad inusualmente grande de datos de un contenedor de blobs con datos confidenciales en la cuenta de almacenamiento. Se aplica a: Cuentas de almacenamiento de Azure Blob (estándar de uso general v2, Azure Data Lake Storage Gen2 o blobs en bloques Premium) con el nuevo plan de Defender para Storage con la característica de detección de amenazas de confidencialidad de datos habilitada.
Tácticas de MITRE: Filtración
Gravedad: media
Cantidad inusual de número de blobs extraídos de un contenedor de blobs confidenciales (versión preliminar)
Storage.Blob_DataExfiltration.NumberOfBlobsAnomaly.Sensitive
Descripción: la alerta indica que alguien ha extraído un número inusualmente grande de blobs de un contenedor de blobs con datos confidenciales en la cuenta de almacenamiento. Se aplica a: Cuentas de almacenamiento de Azure Blob (estándar de uso general v2, Azure Data Lake Storage Gen2 o blobs en bloques Premium) con el nuevo plan de Defender para Storage con la característica de detección de amenazas de confidencialidad de datos habilitada.
Tácticas de MITRE: Filtración
Acceso desde una aplicación sospechosa conocida a un contenedor de blobs confidencial (versión preliminar)
Storage.Blob_SuspiciousApp.Sensitive
Descripción: la alerta indica que alguien con una aplicación sospechosa conocida accedió a un contenedor de blobs con datos confidenciales en la cuenta de almacenamiento y realizó operaciones autenticadas.
El acceso podría indicar que un actor de amenazas obtuvo credenciales para acceder a la cuenta de almacenamiento mediante una aplicación sospechosa conocida. Sin embargo, el acceso también podría indicar una prueba de penetración realizada en la organización.
Se aplica a: Cuentas de almacenamiento de Azure Blob (estándar de uso general v2, Azure Data Lake Storage Gen2 o blobs en bloques Premium) con el nuevo plan de Defender para Storage con la característica de detección de amenazas de confidencialidad de datos habilitada.
Tácticas de MITRE: acceso inicial
Gravedad: alta
Acceso desde una dirección IP sospechosa conocida a un contenedor de blobs confidencial (versión preliminar)
Storage.Blob_SuspiciousIp.Sensitive
Descripción: la alerta indica que alguien ha accedido a un contenedor de blobs con datos confidenciales en la cuenta de almacenamiento desde una dirección IP sospechosa conocida asociada a la inteligencia sobre amenazas de Microsoft Threat Intelligence. Dado que el acceso se ha autenticado, es posible que las credenciales que permitan el acceso a esta cuenta de almacenamiento se hayan puesto en peligro. Obtenga más información sobre las funcionalidades de inteligencia sobre amenazas de Microsoft. Se aplica a: Cuentas de almacenamiento de Azure Blob (estándar de uso general v2, Azure Data Lake Storage Gen2 o blobs en bloques Premium) con el nuevo plan de Defender para Storage con la característica de detección de amenazas de confidencialidad de datos habilitada.
Tácticas de MITRE: Pre-Attack
Gravedad: alta
Acceso desde un nodo de salida de Tor a un contenedor de blobs confidencial (versión preliminar)
Storage.Blob_TorAnomaly.Sensitive
Descripción: la alerta indica que alguien con una dirección IP conocida como un nodo de salida de Tor accedió a un contenedor de blobs con datos confidenciales en la cuenta de almacenamiento con acceso autenticado. El acceso autenticado desde un nodo de salida de Tor indica fuertemente que el actor está intentando permanecer anónimo para una posible intención malintencionada. Dado que el acceso se ha autenticado, es posible que las credenciales que permitan el acceso a esta cuenta de almacenamiento se hayan puesto en peligro. Se aplica a: Cuentas de almacenamiento de Azure Blob (estándar de uso general v2, Azure Data Lake Storage Gen2 o blobs en bloques Premium) con el nuevo plan de Defender para Storage con la característica de detección de amenazas de confidencialidad de datos habilitada.
Tácticas de MITRE: Pre-Attack
Gravedad: alta
Acceso desde una ubicación inusual a un contenedor de blobs confidencial (versión preliminar)
Storage.Blob_GeoAnomaly.Sensitive
Descripción: la alerta indica que alguien ha accedido al contenedor de blobs con datos confidenciales en la cuenta de almacenamiento con autenticación desde una ubicación inusual. Dado que el acceso se ha autenticado, es posible que las credenciales que permitan el acceso a esta cuenta de almacenamiento se hayan puesto en peligro. Se aplica a: Cuentas de almacenamiento de Azure Blob (estándar de uso general v2, Azure Data Lake Storage Gen2 o blobs en bloques Premium) con el nuevo plan de Defender para Storage con la característica de detección de amenazas de confidencialidad de datos habilitada.
Tácticas de MITRE: acceso inicial
Gravedad: media
Se cambió el nivel de acceso de un contenedor de blobs de almacenamiento confidencial para permitir el acceso público no autenticado.
Storage.Blob_OpenACL.Sensitive
Descripción: la alerta indica que alguien ha cambiado el nivel de acceso de un contenedor de blobs en la cuenta de almacenamiento, que contiene datos confidenciales, al nivel "Contenedor", que permite el acceso público no autenticado (anónimo). El cambio se realizó a través del Azure Portal. El cambio de nivel de acceso podría poner en peligro la seguridad de los datos. Se recomienda tomar medidas inmediatas para proteger los datos y evitar el acceso no autorizado en caso de que se desencadene esta alerta. Se aplica a: Cuentas de almacenamiento de Azure Blob (estándar de uso general v2, Azure Data Lake Storage Gen2 o blobs en bloques Premium) con el nuevo plan de Defender para Storage con la característica de detección de amenazas de confidencialidad de datos habilitada.
Tácticas de MITRE: Colección
Gravedad: alta
Acceso externo sospechoso a una cuenta de almacenamiento de Azure con un token de SAS excesivamente permisivo (versión preliminar)
Storage.Blob_AccountSas.InternalSasUsedExternally
Descripción: la alerta indica que alguien con una dirección IP externa (pública) a la que ha accedido la cuenta de almacenamiento mediante un token de SAS excesivamente permisivo con una fecha de expiración larga. Este tipo de acceso se considera sospechoso porque el token de SAS solo se usa normalmente en redes internas (desde direcciones IP privadas). La actividad puede indicar que un actor malintencionado ha filtrado un token de SAS o se ha filtrado involuntariamente de un origen legítimo. Incluso si el acceso es legítimo, el uso de un token de SAS de permisos elevados con una fecha de expiración larga va en contra de los procedimientos recomendados de seguridad y supone un riesgo de seguridad potencial. Se aplica a: Cuentas de almacenamiento de Azure Blob (estándar de uso general v2, Azure Data Lake Storage Gen2 o blobs en bloques Premium) con el nuevo plan de Defender para Storage.
Tácticas de MITRE: Filtración/Desarrollo de recursos/Impacto
Gravedad: media
Operación externa sospechosa en una cuenta de almacenamiento de Azure con un token de SAS excesivamente permisivo (versión preliminar)
Storage.Blob_AccountSas.UnusualOperationFromExternalIp
Descripción: la alerta indica que alguien con una dirección IP externa (pública) a la que ha accedido la cuenta de almacenamiento mediante un token de SAS excesivamente permisivo con una fecha de expiración larga. El acceso se considera sospechoso porque las operaciones invocadas fuera de la red (no desde direcciones IP privadas) con este token de SAS se suelen usar para un conjunto específico de operaciones de lectura, escritura y eliminación, pero se han producido otras operaciones, lo que hace que este acceso sea sospechoso. Esta actividad puede indicar que un actor malintencionado ha filtrado un token de SAS o se ha filtrado involuntariamente de un origen legítimo. Incluso si el acceso es legítimo, el uso de un token de SAS de permisos elevados con una fecha de expiración larga va en contra de los procedimientos recomendados de seguridad y supone un riesgo de seguridad potencial. Se aplica a: Cuentas de almacenamiento de Azure Blob (estándar de uso general v2, Azure Data Lake Storage Gen2 o blobs en bloques Premium) con el nuevo plan de Defender para Storage.
Tácticas de MITRE: Filtración/Desarrollo de recursos/Impacto
Gravedad: media
Se usó un token de SAS inusual para acceder a una cuenta de almacenamiento de Azure desde una dirección IP pública (versión preliminar)
Storage.Blob_AccountSas.UnusualExternalAccess
Descripción: la alerta indica que alguien con una dirección IP externa (pública) ha accedido a la cuenta de almacenamiento mediante un token de SAS de cuenta. El acceso es muy inusual y se considera sospechoso, ya que el acceso a la cuenta de almacenamiento mediante tokens de SAS normalmente solo procede de direcciones IP internas (privadas). Es posible que un token de SAS se haya filtrado o generado por un actor malintencionado desde dentro de su organización o externamente para obtener acceso a esta cuenta de almacenamiento. Se aplica a: Cuentas de almacenamiento de Azure Blob (estándar de uso general v2, Azure Data Lake Storage Gen2 o blobs en bloques Premium) con el nuevo plan de Defender para Storage.
Tácticas de MITRE: Filtración/Desarrollo de recursos/Impacto
Gravedad: baja
Archivo malintencionado cargado en la cuenta de almacenamiento
Storage.Blob_AM.MalwareFound
Descripción: la alerta indica que un blob malintencionado se cargó en una cuenta de almacenamiento. Esta alerta de seguridad la genera la característica Examen de malware en Defender para Storage. Las posibles causas podrían incluir una carga intencionada de malware por parte de un actor de amenazas o una carga involuntaria de un archivo malintencionado por parte de un usuario legítimo. Se aplica a: Cuentas de almacenamiento de Blob de Azure (estándar de uso general v2, Azure Data Lake Storage Gen2 o blobs en bloques Premium) con el nuevo plan de Defender para Storage con la característica Detección de malware habilitada.
Tácticas de MITRE: Movimiento lateral
Gravedad: alta
El blob malintencionado se descargó de una cuenta de almacenamiento (versión preliminar)
Storage.Blob_MalwareDownload
Descripción: la alerta indica que un blob malintencionado se descargó de una cuenta de almacenamiento. Las posibles causas podrían incluir malware cargado en la cuenta de almacenamiento y no eliminado o en cuarentena, lo que permite a un actor de amenazas descargarlo o una descarga involuntaria del malware por parte de usuarios o aplicaciones legítimos. Se aplica a: Cuentas de almacenamiento de Azure Blob (estándar de uso general v2, Azure Data Lake Storage Gen2 o blobs en bloques Premium) con el nuevo plan de Defender para Storage con la característica Detección de malware habilitada.
Tácticas de MITRE: Movimiento lateral
Gravedad: Alta, si Eicar - baja
Nota:
En el caso de las alertas que están en versión preliminar: los Términos de uso complementarios para las versiones preliminares de Azure incluyen los términos legales adicionales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado con disponibilidad general.