Partage via


Alertes pour Azure Key Vault

Cet article répertorie les alertes de sécurité que vous pouvez obtenir pour Azure Key Vault à partir de Microsoft Defender pour le cloud et de tous les plans Microsoft Defender que vous avez activés. Les alertes présentées dans votre environnement dépendent des ressources et services que vous protégez et de votre configuration personnalisée.

Remarque

Certaines des alertes récemment ajoutées alimentées par Veille des menaces Microsoft Defender et Microsoft Defender pour point de terminaison peuvent être non documentées.

Découvrez comment répondre à ces alertes.

Découvrez comment exporter des alertes.

Notes

Les alertes provenant de différentes sources peuvent prendre différentes durées d’affichage. Par exemple, l’affichage des alertes qui nécessitent une analyse du trafic réseau peut prendre plus de temps que pour les alertes liées à des processus suspects s’exécutant sur des machines virtuelles.

Alertes de Azure Key Vault

Informations complémentaires et notes

Accès à partir d’une adresse IP suspecte à un coffre de clés

(KV_SuspiciousIPAccess)

Description : Un coffre de clés a été correctement accessible par une adresse IP identifiée par Microsoft Threat Intelligence comme une adresse IP suspecte. Cela peut indiquer que votre infrastructure a été compromise. Nous recommandons d’investiguer plus en profondeur. En savoir plus sur les capacités de renseignement sur les menaces de Microsoft.

Tactiques MITRE : Accès aux informations d’identification

Gravité : moyenne

Accès à un coffre de clés à partir d’un nœud de sortie TOR

(KV_TORAccess)

Description : un coffre de clés a été accédé à partir d’un nœud de sortie TOR connu. Cela peut indiquer qu’un acteur de menace a accédé au coffre de clés et utilise le réseau TOR pour masquer son emplacement source. Nous vous recommandons de faire des investigations supplémentaires.

Tactiques MITRE : Accès aux informations d’identification

Gravité : moyenne

Volume élevé d’opérations dans un coffre de clés

(KV_OperationVolumeAnomaly)

Description : Un nombre anormal d’opérations de coffre de clés ont été effectuées par un utilisateur, un principal de service et/ou un coffre de clés spécifique. Ce modèle d’activité anormale peut être légitime, mais il peut s’agir d’une indication qu’un acteur de menace a obtenu l’accès au coffre de clés et aux secrets qu’il contient. Nous vous recommandons de faire des investigations supplémentaires.

Tactiques MITRE : Accès aux informations d’identification

Gravité : moyenne

Changement de stratégie suspect et requête secrète dans un coffre de clés

(KV_PutGetAnomaly)

Description : un utilisateur ou un principal de service a effectué une opération anormale de modification de stratégie Put vault suivie d’une ou de plusieurs opérations Secret Get. Ce modèle n’est normalement pas exécuté par l’utilisateur ou le principal de service spécifié. Il peut s’agir d’une activité légitime, mais il peut s’agir d’une indication indiquant qu’un acteur de menace a mis à jour la stratégie de coffre de clés pour accéder aux secrets précédemment inaccessibles. Nous vous recommandons de faire des investigations supplémentaires.

Tactiques MITRE : Accès aux informations d’identification

Gravité : moyenne

Listing des secrets et requête suspectes dans un coffre de clés

(KV_ListGetAnomaly)

Description : un utilisateur ou un principal de service a effectué une opération de liste de secrets anormale suivie d’une ou de plusieurs opérations Secret Get. Ce modèle n’est normalement pas exécuté par l’utilisateur ou le principal de service spécifié, et il est généralement associé au dumping des secrets. Cela peut être une activité légitime, mais il peut s’agir d’une indication indiquant qu’un acteur de menace a obtenu l’accès au coffre de clés et tente de découvrir les secrets qui peuvent être utilisés pour se déplacer ultérieurement via votre réseau et/ou obtenir l’accès aux ressources sensibles. Nous vous recommandons de faire des investigations supplémentaires.

Tactiques MITRE : Accès aux informations d’identification

Gravité : moyenne

Accès inhabituel refusé - Utilisateur accédant à un volume élevé de coffres de clés refusé

(KV_AccountVolumeAccessDeniedAnomaly)

Description : un utilisateur ou un principal de service a tenté d’accéder à un volume anormalement élevé de coffres de clés au cours des 24 dernières heures. Ce modèle d’accès anormal peut être une activité légitime. Bien que cette tentative échoue, il peut s’agir d’une tentative possible d’accès au coffre de clés et aux secrets qu’il contient. Nous vous recommandons de faire des investigations supplémentaires.

Tactiques MITRE : Découverte

Gravité : faible

Accès inhabituel refusé - Accès inhabituel refusé à l’utilisateur accédant au coffre de clés

(KV_UserAccessDeniedAnomaly)

Description : un accès au coffre de clés a été tenté par un utilisateur qui n’y accède pas normalement, ce modèle d’accès anormal peut être une activité légitime. Bien que cette tentative échoue, il peut s’agir d’une tentative possible d’accès au coffre de clés et aux secrets qu’il contient.

Tactiques MITRE : Accès initial, Découverte

Gravité : faible

Une application inhabituelle a accédé à un coffre de clés

(KV_AppAnomaly)

Description : un coffre de clés a été accessible par un principal de service qui ne l’accède pas normalement. Ce modèle d’accès anormal peut être une activité légitime, mais il peut s’agir d’une indication qu’un acteur de menace a obtenu l’accès au coffre de clés dans une tentative d’accès aux secrets qu’il contient. Nous vous recommandons de faire des investigations supplémentaires.

Tactiques MITRE : Accès aux informations d’identification

Gravité : moyenne

Modèle d’opération inhabituelle dans un coffre de clés

(KV_OperationPatternAnomaly)

Description : Un modèle anormal d’opérations de coffre de clés a été effectué par un utilisateur, un principal de service et/ou un coffre de clés spécifique. Ce modèle d’activité anormale peut être légitime, mais il peut s’agir d’une indication qu’un acteur de menace a obtenu l’accès au coffre de clés et aux secrets qu’il contient. Nous vous recommandons de faire des investigations supplémentaires.

Tactiques MITRE : Accès aux informations d’identification

Gravité : moyenne

Un utilisateur inhabituel a accédé à un coffre de clés

(KV_UserAnomaly)

Description : un coffre de clés a été accédé par un utilisateur qui ne l’accède pas normalement. Ce modèle d’accès anormal peut être une activité légitime, mais il peut s’agir d’une indication qu’un acteur de menace a obtenu l’accès au coffre de clés dans une tentative d’accès aux secrets qu’il contient. Nous vous recommandons de faire des investigations supplémentaires.

Tactiques MITRE : Accès aux informations d’identification

Gravité : moyenne

Une paire utilisateur-application inhabituelle a accédé à un coffre de clés

(KV_UserAppAnomaly)

Description : un coffre de clés a été accédé par une paire de principals de service utilisateur qui ne l’accède pas normalement. Ce modèle d’accès anormal peut être une activité légitime, mais il peut s’agir d’une indication qu’un acteur de menace a obtenu l’accès au coffre de clés dans une tentative d’accès aux secrets qu’il contient. Nous vous recommandons de faire des investigations supplémentaires.

Tactiques MITRE : Accès aux informations d’identification

Gravité : moyenne

L’utilisateur a accédé à un grand nombre de coffres de clés

(KV_AccountVolumeAnomaly)

Description : un utilisateur ou un principal de service a accédé à un volume anormalement élevé de coffres de clés. Ce modèle d’accès anormal peut être une activité légitime, mais il peut s’agir d’une indication qu’un acteur de menace a obtenu l’accès à plusieurs coffres de clés dans une tentative d’accès aux secrets qu’il contient. Nous vous recommandons de faire des investigations supplémentaires.

Tactiques MITRE : Accès aux informations d’identification

Gravité : moyenne

Accès refusé depuis une adresse IP suspecte à un coffre de clés

(KV_SuspiciousIPAccessDenied)

Description : un accès au coffre de clés qui a échoué a été tenté par une adresse IP identifiée par Microsoft Threat Intelligence comme une adresse IP suspecte. Malgré l’échec de cette tentative, elle indique que votre infrastructure a peut-être été compromise. Nous vous recommandons de faire des investigations supplémentaires.

Tactiques MITRE : Accès aux informations d’identification

Gravité : faible

Accès inhabituel au coffre de clés à partir d’une adresse IP suspecte (non-Microsoft ou externe)

(KV_UnusualAccessSuspiciousIP)

Description : un utilisateur ou un principal de service a tenté d’accéder anormalement aux coffres de clés à partir d’une adresse IP non-Microsoft au cours des 24 dernières heures. Ce modèle d’accès anormal peut être une activité légitime. Il peut s’agir d’une tentative possible d’accès au coffre de clés et aux secrets qu’il contient. Nous vous recommandons de faire des investigations supplémentaires.

Tactiques MITRE : Accès aux informations d’identification

Gravité : moyenne

Remarque

Pour les alertes en préversion : Les Conditions supplémentaires pour les préversions Azure comprennent des conditions juridiques supplémentaires s’appliquant aux fonctionnalités Azure qui sont en version bêta, en préversion ou qui ne sont pas encore en disponibilité générale.

Étapes suivantes