Alertas de Azure Key Vault
En este artículo se enumeran las alertas de seguridad que puede obtener para Azure Key Vault desde Microsoft Defender for Cloud y los planes de Microsoft Defender habilitados. Las alertas que se muestran en el entorno dependen de los recursos y servicios que va a proteger, y de la configuración personalizada.
Nota:
Algunas de las alertas agregadas recientemente con tecnología de Inteligencia contra amenazas de Microsoft Defender y Microsoft Defender para punto de conexión podrían no estar documentadas.
Aprenda a responder a estas alertas.
Nota
Las alertas de orígenes diferentes pueden tardar un tiempo distinto en aparecer. Por ejemplo, las alertas que requieren un análisis del tráfico de red pueden tardar más en aparecer que las alertas relacionadas con procesos sospechosos que se ejecutan en máquinas virtuales.
Alertas de Azure Key Vault
Acceso desde una dirección IP sospechosa a un almacén de claves
(KV_SuspiciousIPAccess)
Descripción: se ha accedido correctamente a un almacén de claves mediante una dirección IP identificada por Microsoft Threat Intelligence como una dirección IP sospechosa. Esto podría indicar que la infraestructura se ha puesto en peligro. Se recomienda seguir investigando. Obtenga más información sobre las funcionalidades de inteligencia sobre amenazas de Microsoft.
Tácticas de MITRE: Acceso a credenciales
Gravedad: media
Acceso desde un nodo de salida de TOR a un almacén de claves
(KV_TORAccess)
Descripción: se ha accedido a un almacén de claves desde un nodo de salida de TOR conocido. Esto podría indicar que un atacante ha accedido al almacén de claves y está usando la red TOR para ocultar su ubicación de origen. Se recomienda seguir investigando.
Tácticas de MITRE: Acceso a credenciales
Gravedad: media
Gran volumen de operaciones en un almacén de claves
(KV_OperationVolumeAnomaly)
Descripción: un usuario, una entidad de servicio o un almacén de claves específico realizaron un número anómalo de operaciones del almacén de claves. Este patrón de actividad anómalo podría ser legítimo, pero podría ser una indicación de que un actor de amenazas ha obtenido acceso al almacén de claves y a los secretos contenidos en él. Se recomienda seguir investigando.
Tácticas de MITRE: Acceso a credenciales
Gravedad: media
Cambio sospechoso de directiva y consulta de secretos en un almacén de claves
(KV_PutGetAnomaly)
Descripción: un usuario o entidad de servicio ha realizado una operación anómala de cambio de directiva de colocación del almacén seguida de una o varias operaciones de obtención de secretos. Este patrón no lo suelen realizar el usuario o la entidad de servicio especificados. Esto podría ser una actividad legítima, pero podría ser una indicación de que un actor de amenazas ha actualizado la directiva del almacén de claves para acceder a secretos inaccesibles anteriormente. Se recomienda seguir investigando.
Tácticas de MITRE: Acceso a credenciales
Gravedad: media
Lista y consulta de secretos sospechosos en un almacén de claves
(KV_ListGetAnomaly)
Descripción: un usuario o entidad de servicio ha realizado una operación anómala lista de secretos seguida de una o varias operaciones de obtención de secretos. Este patrón no lo suelen realizar el usuario o la entidad de servicio especificados y se suele asociar con el volcado de secretos. Esto podría ser una actividad legítima, pero podría ser una indicación de que un actor de amenazas ha obtenido acceso al almacén de claves y está intentando detectar secretos que se pueden usar para moverse lateralmente a través de la red o obtener acceso a recursos confidenciales. Se recomienda seguir investigando.
Tácticas de MITRE: Acceso a credenciales
Gravedad: media
Acceso inusual denegado: acceso denegado de un usuario a un gran volumen de almacenes de claves
(KV_AccountVolumeAccessDeniedAnomaly)
Descripción: un usuario o entidad de servicio ha intentado acceder a un volumen anómalomente elevado de almacenes de claves en las últimas 24 horas. Este patrón de acceso anómalo podría ser una actividad legítima. Aunque este intento no se haya realizado correctamente, puede indicar que se ha intentado obtener acceso al almacén de claves y a los secretos que este contiene. Se recomienda seguir investigando.
Tácticas de MITRE: Detección
Gravedad: baja
Acceso inusual denegado: acceso denegado de un usuario inusual al almacén de claves
(KV_UserAccessDeniedAnomaly)
Descripción: un usuario intentó acceder al almacén de claves que normalmente no accede a él, este patrón de acceso anómalo podría ser una actividad legítima. Aunque este intento no se haya realizado correctamente, puede indicar que se ha intentado obtener acceso al almacén de claves y a los secretos que este contiene.
Tácticas de MITRE: acceso inicial, detección
Gravedad: baja
Acceso de una aplicación inusual a un almacén de claves
(KV_AppAnomaly)
Descripción: se ha accedido a un almacén de claves mediante una entidad de servicio que normalmente no tiene acceso a él. Este patrón de acceso anómalo podría ser una actividad legítima, pero podría ser una indicación de que un actor de amenazas ha obtenido acceso al almacén de claves en un intento de acceder a los secretos contenidos en él. Se recomienda seguir investigando.
Tácticas de MITRE: Acceso a credenciales
Gravedad: media
Patrón de operación inusual en un almacén de claves
(KV_OperationPatternAnomaly)
Descripción: un usuario, una entidad de servicio o un almacén de claves ha realizado un patrón anómalo de las operaciones del almacén de claves. Este patrón de actividad anómalo podría ser legítimo, pero podría ser una indicación de que un actor de amenazas ha obtenido acceso al almacén de claves y a los secretos contenidos en él. Se recomienda seguir investigando.
Tácticas de MITRE: Acceso a credenciales
Gravedad: media
Acceso de un usuario inusual a un almacén de claves
(KV_UserAnomaly)
Descripción: un usuario al que normalmente no accede a él tiene acceso a un almacén de claves. Este patrón de acceso anómalo podría ser una actividad legítima, pero podría ser una indicación de que un actor de amenazas ha obtenido acceso al almacén de claves en un intento de acceder a los secretos contenidos en él. Se recomienda seguir investigando.
Tácticas de MITRE: Acceso a credenciales
Gravedad: media
Acceso de un par inusual de usuario y aplicación a un almacén de claves
(KV_UserAppAnomaly)
Descripción: se ha accedido a un almacén de claves por un par de entidades de servicio de usuario que normalmente no tiene acceso a él. Este patrón de acceso anómalo podría ser una actividad legítima, pero podría ser una indicación de que un actor de amenazas ha obtenido acceso al almacén de claves en un intento de acceder a los secretos contenidos en él. Se recomienda seguir investigando.
Tácticas de MITRE: Acceso a credenciales
Gravedad: media
Acceso de un usuario a un gran volumen de almacenes de claves
(KV_AccountVolumeAnomaly)
Descripción: un usuario o entidad de servicio ha accedido a un volumen anómalomente elevado de almacenes de claves. Este patrón de acceso anómalo podría ser una actividad legítima, pero podría ser una indicación de que un actor de amenazas ha obtenido acceso a varios almacenes de claves en un intento de acceder a los secretos contenidos en ellos. Se recomienda seguir investigando.
Tácticas de MITRE: Acceso a credenciales
Gravedad: media
Acceso denegado desde una dirección IP sospechosa a un almacén de claves
(KV_SuspiciousIPAccessDenied)
Descripción: una dirección IP sospechosa ha intentado obtener acceso a un almacén de claves incorrecto que ha sido identificado por Microsoft Threat Intelligence como una dirección IP sospechosa. Aunque este intento no se realizó correctamente, indica que la infraestructura podría haberse puesto en peligro. Se recomienda seguir investigando.
Tácticas de MITRE: Acceso a credenciales
Gravedad: baja
Acceso inusual al almacén de claves desde una dirección IP sospechosa (que no es Microsoft o externa)
(KV_UnusualAccessSuspiciousIP)
Descripción: un usuario o entidad de servicio ha intentado acceder anómalo a los almacenes de claves desde una dirección IP que no es de Microsoft en las últimas 24 horas. Este patrón de acceso anómalo podría ser una actividad legítima. Puede indicar que se ha intentado obtener acceso al almacén de claves y a los secretos que este contiene. Se recomienda seguir investigando.
Tácticas de MITRE: Acceso a credenciales
Gravedad: media
Nota:
En el caso de las alertas que están en versión preliminar: los Términos de uso complementarios para las versiones preliminares de Azure incluyen los términos legales adicionales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado con disponibilidad general.