Alertes pour le Stockage Azure
Cet article répertorie les alertes de sécurité que vous pouvez obtenir pour Stockage Azure à partir de Microsoft Defender pour le cloud et de tous les plans Microsoft Defender que vous avez activés. Les alertes présentées dans votre environnement dépendent des ressources et services que vous protégez et de votre configuration personnalisée.
Remarque
Certaines des alertes récemment ajoutées alimentées par Veille des menaces Microsoft Defender et Microsoft Defender pour point de terminaison peuvent être non documentées.
Découvrez comment répondre à ces alertes.
Découvrez comment exporter des alertes.
Notes
Les alertes provenant de différentes sources peuvent prendre différentes durées d’affichage. Par exemple, l’affichage des alertes qui nécessitent une analyse du trafic réseau peut prendre plus de temps que pour les alertes liées à des processus suspects s’exécutant sur des machines virtuelles.
alertes de Stockage Azure
Informations complémentaires et notes
Accès à partir d’une application suspecte
(Storage.Blob_SuspiciousApp)
Description : indique qu’une application suspecte a accédé à un conteneur d’un compte de stockage avec authentification. Cela peut indiquer qu’une personne malveillante a obtenu les informations d’identification nécessaires pour accéder au compte, et qu’elle l’exploite. Il peut également s’agir d’une indication d’un test de pénétration effectué dans votre organisation. S’applique à : Stockage Blob Azure, Azure Data Lake Storage Gen2
Tactiques MITRE : Accès initial
Gravité : haut/moyen
Accès à partir d’une adresse IP suspecte
(Storage.Blob_SuspiciousIp Storage.Files_SuspiciousIp)
Description : indique que ce compte de stockage a été correctement accessible à partir d’une adresse IP considérée comme suspecte. Cette alerte est générée par Microsoft Threat Intelligence. En savoir plus sur les capacités de renseignement sur les menaces de Microsoft. S’applique à : Stockage Blob Azure, Azure Files, Azure Data Lake Storage Gen2
Tactiques MITRE : Pré attaque
Gravité : haut/moyen/faible
Contenu d’hameçonnage hébergé sur un compte de stockage
(Storage.Blob_PhishingContent Storage.Files_PhishingContent)
Description : URL utilisée dans une attaque par hameçonnage pointe vers votre compte Stockage Azure. Cette URL faisait partie d’une attaque par hameçonnage qui affecte des utilisateurs de Microsoft 365. En règle générale, le contenu hébergé sur ces pages est conçu pour inciter les visiteurs à entrer leurs informations d’identification d’entreprise ou financières dans un formulaire web qui semble légitime. Cette alerte est générée par Microsoft Threat Intelligence. En savoir plus sur les capacités de renseignement sur les menaces de Microsoft. S’applique à : Stockage Blob Azure, Azure Files
Tactiques MITRE : Collection
Gravité : élevée
Compte de stockage identifié comme source de distribution de logiciels malveillants
(Storage.Files_WidespreadeAm)
Description : Les alertes anti-programme malveillant indiquent qu’un ou plusieurs fichiers infectés sont stockés dans un partage de fichiers Azure monté sur plusieurs machines virtuelles. Si des attaquants obtiennent l’accès à une machine virtuelle avec un partage de fichiers Azure monté, ils peuvent l’utiliser pour propager des logiciels malveillants sur d’autres machines virtuelles qui montent le même partage. S’applique à : Azure Files
Tactiques MITRE : Exécution
Gravité : moyenne
Le niveau d’accès d’un conteneur d’objets blob de stockage potentiellement sensible a été modifié pour autoriser l’accès public non authentifié
(Storage.Blob_OpenACL)
Description : l’alerte indique qu’une personne a modifié le niveau d’accès d’un conteneur d’objets blob dans le compte de stockage, qui peut contenir des données sensibles, au niveau « Conteneur », pour autoriser l’accès public non authentifié (anonyme). La modification a été apportée par le biais du portail Azure. D’après l’analyse statistique, le conteneur d’objets blob est marqué comme pouvant contenir des données sensibles. Cette analyse suggère que les conteneurs d’objets blob ou les comptes de stockage avec des noms similaires ne sont généralement pas exposés à l’accès public. S’applique aux comptes de stockage d’objets blob Azure (Standard à usage général v2, Azure Data Lake Storage Gen2 ou Premium).
Tactiques MITRE : Collection
Gravité : moyenne
Accès authentifié à partir d’un nœud de sortie Tor
(Storage.Blob_TorAnomaly Storage.Files_TorAnomaly)
Description : Un ou plusieurs conteneurs de stockage /partages de fichiers dans votre compte de stockage ont été correctement accessibles à partir d’une adresse IP connue pour être un nœud de sortie actif de Tor (un proxy anonymisé). Les acteurs de menaces utilisent Tor pour compliquer le suivi de l’activité pouvant mener jusqu’à eux. L’accès authentifié à partir d’un nœud de sortie Tor est une indication probable qu’un acteur de menace tente de masquer son identité. S’applique à : Stockage Blob Azure, Azure Files, Azure Data Lake Storage Gen2
Tactiques MITRE : Accès initial / Attaque préalable
Gravité : haut/moyen
Accès à partir d’un emplacement inhabituel dans un compte de stockage
(Storage.Blob_GeoAnomaly Storage.Files_GeoAnomaly)
Description : indique qu’il y a eu une modification du modèle d’accès à un compte Stockage Azure. Quelqu’un a accédé à ce compte à partir d’une adresse IP considérée comme peu familière par rapport à l’activité récente. Soit un attaquant a obtenu l’accès au compte, soit un utilisateur légitime s’est connecté à partir d’un emplacement géographique nouveau ou inhabituel. Dans le deuxième cas, il peut s’agir, par exemple, d’une opération de maintenance à distance effectuée par une nouvelle application ou un nouveau développeur. S’applique à : Stockage Blob Azure, Azure Files, Azure Data Lake Storage Gen2
Tactiques MITRE : Accès initial
Gravité : haut/moyen/faible
Accès non authentifié inhabituel à un conteneur de stockage
(Storage.Blob_AnonymousAccessAnomaly)
Description : ce compte de stockage a été accessible sans authentification, ce qui est une modification du modèle d’accès commun. L’accès en lecture à ce conteneur est généralement authentifié. Cela peut indiquer qu’un acteur de menace a pu exploiter un accès public en lecture aux conteneurs de stockage dans ces comptes de stockage. S’applique à : Stockage Blob Azure
Tactiques MITRE : Accès initial
Gravité : haut/bas
Programme potentiellement malveillant chargé vers un compte de stockage
(Storage.Blob_MalwareHashReputation Storage.Files_MalwareHashReputation)
Description : indique qu’un objet blob contenant des programmes malveillants potentiels a été chargé dans un conteneur d’objets blob ou un partage de fichiers dans un compte de stockage. Cette alerte est basée sur une analyse de réputation de code de hachage tirant parti de la puissance du renseignement sur les menaces Microsoft, qui inclut des codes de hachage pour des virus, Cheval de Troie, logiciels espions et autres rançongiciels. Les causes potentielles peuvent inclure un chargement intentionnel de programmes malveillants par un attaquant ou un chargement involontaire d’un objet blob potentiellement malveillant par un utilisateur légitime. S’applique à : Stockage Blob Azure, Azure Files (uniquement pour les transactions via l’API REST) En savoir plus sur les fonctionnalités de renseignement sur les menaces de Microsoft.
Tactiques MITRE : Mouvement latéral
Gravité : élevée
Des conteneurs de stockage accessibles publiquement ont été découverts
(Storage.Blob_OpenContainersScanning.SuccessfulDiscovery)
Description : une découverte réussie des conteneurs de stockage ouverts publiquement dans votre compte de stockage a été effectuée au cours de la dernière heure par un script ou un outil d’analyse.
Cela indique généralement une attaque de reconnaissance, où l’acteur de menace tente de lister des objets blob en devinant les noms des conteneurs, dans l’espoir de trouver des conteneurs de stockage ouverts mal configurés avec des données sensibles.
L’acteur de menace peut utiliser son propre script ou utiliser des outils d’analyse connus comme Microburst pour rechercher des conteneurs ouverts publiquement.
✔ Stockage Blob Azure ✖ Azure Files ✖ Azure Data Lake Storage Gen2
Tactiques MITRE : Collection
Gravité : haut/moyen
Échec de l’analyse des conteneurs de stockage accessibles publiquement
(Storage.Blob_OpenContainersScanning.FailedAttempt)
Description : Une série d’échecs de tentatives d’analyse des conteneurs de stockage ouverts publiquement ont été effectuées au cours de la dernière heure.
Cela indique généralement une attaque de reconnaissance, où l’acteur de menace tente de lister des objets blob en devinant les noms des conteneurs, dans l’espoir de trouver des conteneurs de stockage ouverts mal configurés avec des données sensibles.
L’acteur de menace peut utiliser son propre script ou utiliser des outils d’analyse connus comme Microburst pour rechercher des conteneurs ouverts publiquement.
✔ Stockage Blob Azure ✖ Azure Files ✖ Azure Data Lake Storage Gen2
Tactiques MITRE : Collection
Gravité : haut/bas
Inspection d’accès inhabituelle dans un compte de stockage
(Storage.Blob_AccessInspectionAnomaly Storage.Files_AccessInspectionAnomaly)
Description : Indique que les autorisations d’accès d’un compte de stockage ont été inspectées de manière inhabituelle, par rapport à l’activité récente sur ce compte. Il est possible qu'un attaquant ait effectué une reconnaissance en vue d’une attaque future. S’applique à : Stockage Blob Azure, Azure Files
Tactiques MITRE : Découverte
Gravité : haut/moyen
Quantité inhabituelle de données extraites d’un compte de stockage
(Storage.Blob_DataExfiltration.AmountOfDataAnomaly Storage.Blob_DataExfiltration.NumberOfBlobsAnomaly Storage.Files_DataExfiltration.AmountOfDataAnomaly Storage.Files_DataExfiltration.NumberOfFilesAnomaly)
Description : indique qu’une grande quantité de données a été extraite par rapport à l’activité récente sur ce conteneur de stockage. Un attaquant a peut-être extrait une grande quantité de données à partir d’un conteneur de stockage d’objets blob. S’applique à : Stockage Blob Azure, Azure Files, Azure Data Lake Storage Gen2
Tactiques MITRE : Exfiltration
Gravité : haut/bas
Une application inhabituelle a accédé à un compte de stockage
(Storage.Blob_ApplicationAnomaly Storage.Files_ApplicationAnomaly)
Description : indique qu’une application inhabituelle a accédé à ce compte de stockage. Un attaquant a peut-être accédé à votre compte de stockage à l’aide d’une nouvelle application. S’applique à : Stockage Blob Azure, Azure Files
Tactiques MITRE : Exécution
Gravité : haut/moyen
Exploration de données inhabituelle dans un compte de stockage
(Storage.Blob_DataExplorationAnomaly Storage.Files_DataExplorationAnomaly)
Description : indique que les objets blob ou les conteneurs d’un compte de stockage ont été énumérés de manière anormale, par rapport à l’activité récente sur ce compte. Il est possible qu'un attaquant ait effectué une reconnaissance en vue d’une attaque future. S’applique à : Stockage Blob Azure, Azure Files
Tactiques MITRE : Exécution
Gravité : haut/moyen
Suppression inhabituelle dans un compte de stockage
(Storage.Blob_DeletionAnomaly Storage.Files_DeletionAnomaly)
Description : indique qu’une ou plusieurs opérations de suppression inattendues se sont produites dans un compte de stockage, par rapport à l’activité récente sur ce compte. Il est possible qu'un attaquant ait supprimé des données à partir de votre compte de stockage. S’applique à : Stockage Blob Azure, Azure Files, Azure Data Lake Storage Gen2
Tactiques MITRE : Exfiltration
Gravité : haut/moyen
Accès public non authentifié inhabituel à un conteneur d’objets blob sensibles (préversion)
Storage.Blob_AnonymousAccessAnomaly.Sensitive
Description : l’alerte indique qu’une personne a accédé à un conteneur d’objets blob avec des données sensibles dans le compte de stockage sans authentification, à l’aide d’une adresse IP externe (publique). Cet accès est suspect, car le conteneur d’objets blob est ouvert à l’accès public et n’est généralement accessible qu’avec l’authentification à partir de réseaux internes (adresses IP privées). Cet accès peut indiquer que le niveau d’accès du conteneur d’objets blob est mal configuré et qu’un acteur malveillant peut avoir exploité l’accès public. L’alerte de sécurité inclut le contexte des informations sensibles découvertes (temps d’analyse, étiquette de classification, types d’informations et types de fichiers). En savoir plus sur la détection des menaces de données sensibles. S’applique à : comptes de stockage Blob Azure (standard v2, Azure Data Lake Storage Gen2 ou objets blob de blocs Premium) avec le nouveau plan Defender pour stockage avec la fonctionnalité de détection des menaces de confidentialité des données activée.
Tactiques MITRE : Accès initial
Gravité : élevée
Quantité inhabituelle de données extraites d’un conteneur d’objets blob sensibles (préversion)
Storage.Blob_DataExfiltration.AmountOfDataAnomaly.Sensitive
Description : l’alerte indique que quelqu’un a extrait une quantité inhabituellement importante de données d’un conteneur d’objets blob avec des données sensibles dans le compte de stockage. S’applique à : comptes de stockage Blob Azure (standard v2, Azure Data Lake Storage Gen2 ou objets blob de blocs Premium) avec le nouveau plan Defender pour stockage avec la fonctionnalité de détection des menaces de confidentialité des données activée.
Tactiques MITRE : Exfiltration
Gravité : moyenne
Nombre inhabituel d’objets blob extraits d’un conteneur d’objets blob sensibles (préversion)
Storage.Blob_DataExfiltration.NumberOfBlobsAnomaly.Sensitive
Description : L’alerte indique qu’une personne a extrait un nombre inhabituel d’objets blob à partir d’un conteneur d’objets blob avec des données sensibles dans le compte de stockage. S’applique aux comptes de stockage d’objets blob Azure (Standard à usage général v2, Azure Data Lake Storage Gen2 ou Premium) avec le nouveau plan Defender pour le stockage avec la fonctionnalité de détection des menaces de confidentialité des données activée.
Tactiques MITRE : Exfiltration
Accès à partir d’une application suspecte connue à un conteneur d’objets blob sensibles (préversion)
Storage.Blob_SuspiciousApp.Sensitive
Description : L’alerte indique qu’une personne disposant d’une application suspecte connue a accédé à un conteneur d’objets blob avec des données sensibles dans le compte de stockage et effectué des opérations authentifiées.
L’accès peut indiquer qu’un acteur de menace a obtenu des informations d’identification pour accéder au compte de stockage à l’aide d’une application suspecte connue. Toutefois, l’accès pourrait également indiquer un test d’intrusion effectué dans l’organisation.
S’applique aux comptes de stockage d’objets blob Azure (Standard à usage général v2, Azure Data Lake Storage Gen2 ou Premium) avec le nouveau plan Defender pour le stockage avec la fonctionnalité de détection des menaces de confidentialité des données activée.
Tactiques MITRE : Accès initial
Gravité : élevée
Accès à partir d’une adresse IP suspecte connue à un conteneur d’objets blob sensibles (préversion)
Storage.Blob_SuspiciousIp.Sensitive
Description : L’alerte indique qu’une personne a accédé à un conteneur d’objets blob avec des données sensibles dans le compte de stockage à partir d’une adresse IP suspecte connue associée à des informations sur les menaces intel par Microsoft Threat Intelligence. Étant donné que l’accès a été authentifié, il est possible que les informations d’identification autorisant l’accès à ce compte de stockage aient été compromises. En savoir plus sur les capacités de renseignement sur les menaces de Microsoft. S’applique à : comptes de stockage Blob Azure (standard v2, Azure Data Lake Storage Gen2 ou objets blob de blocs Premium) avec le nouveau plan Defender pour stockage avec la fonctionnalité de détection des menaces de confidentialité des données activée.
Tactiques MITRE : pré-attaque
Gravité : élevée
Accès à partir d’un nœud de sortie Tor à un conteneur d’objets blob sensibles (préversion)
Storage.Blob_TorAnomaly.Sensitive
Description : L’alerte indique qu’une personne ayant une adresse IP connue pour être un nœud de sortie Tor a accédé à un conteneur d’objets blob avec des données sensibles dans le compte de stockage avec un accès authentifié. L’accès authentifié à partir d’un nœud de sortie Tor indique fortement que l’acteur tente de rester anonyme en cas d’intention malveillante possible. Étant donné que l’accès a été authentifié, il est possible que les informations d’identification autorisant l’accès à ce compte de stockage aient été compromises. S’applique à : comptes de stockage Blob Azure (standard v2, Azure Data Lake Storage Gen2 ou objets blob de blocs Premium) avec le nouveau plan Defender pour stockage avec la fonctionnalité de détection des menaces de confidentialité des données activée.
Tactiques MITRE : pré-attaque
Gravité : élevée
Accès à partir d’un emplacement inhabituel à un conteneur d’objets blob sensibles (préversion)
Storage.Blob_GeoAnomaly.Sensitive
Description : L’alerte indique que quelqu’un a accédé au conteneur d’objets blob avec des données sensibles dans le compte de stockage avec authentification à partir d’un emplacement inhabituel. Étant donné que l’accès a été authentifié, il est possible que les informations d’identification autorisant l’accès à ce compte de stockage aient été compromises. S’applique à : comptes de stockage Blob Azure (standard v2, Azure Data Lake Storage Gen2 ou objets blob de blocs Premium) avec le nouveau plan Defender pour stockage avec la fonctionnalité de détection des menaces de confidentialité des données activée.
Tactiques MITRE : Accès initial
Gravité : moyenne
Le niveau d’accès d’un conteneur d’objets blob de stockage sensible a été modifié pour autoriser l’accès public non authentifié (préversion)
Storage.Blob_OpenACL.Sensitive
Description : l’alerte indique qu’une personne a modifié le niveau d’accès d’un conteneur d’objets blob dans le compte de stockage, qui contient des données sensibles, au niveau « Conteneur », ce qui autorise l’accès public non authentifié (anonyme). La modification a été apportée par le biais du portail Azure. La modification du niveau d’accès peut compromettre la sécurité des données. Nous vous recommandons de prendre des mesures immédiates pour sécuriser les données et empêcher tout accès non autorisé au cas où cette alerte était déclenchée. S’applique à : comptes de stockage Blob Azure (standard v2, Azure Data Lake Storage Gen2 ou objets blob de blocs Premium) avec le nouveau plan Defender pour stockage avec la fonctionnalité de détection des menaces de confidentialité des données activée.
Tactiques MITRE : Collection
Gravité : élevée
Accès externe suspect à un compte de stockage Azure avec un jeton SAP trop permissif (préversion)
Storage.Blob_AccountSas.InternalSasUsedExternally
Description : L’alerte indique que quelqu’un disposant d’une adresse IP externe (publique) a accédé au compte de stockage à l’aide d’un jeton SAS trop permissif avec une date d’expiration longue. Ce type d’accès est considéré comme suspect, car le jeton SAS est généralement utilisé uniquement dans les réseaux internes (à partir d’adresses IP privées). L’activité peut indiquer qu’un jeton SAS a été divulguée par un acteur malveillant ou qu’il a été accidentellement divulguée à partir d’une source légitime. Même si l’accès est légitime, l’utilisation d’un jeton SAP à autorisation élevée avec une longue date d’expiration va à l’encontre des meilleures pratiques de sécurité et pose un risque potentiel pour la sécurité. S’applique à : comptes de stockage Blob Azure (standard v2, Azure Data Lake Storage Gen2 ou objets blob de blocs Premium) avec le nouveau plan Defender pour stockage.
Tactiques MITRE : Exfiltration / Développement de ressources / Impact
Gravité : moyenne
Opération externe suspecte sur un compte de stockage Azure avec un jeton SAP trop permissif (préversion)
Storage.Blob_AccountSas.UnusualOperationFromExternalIp
Description : L’alerte indique que quelqu’un disposant d’une adresse IP externe (publique) a accédé au compte de stockage à l’aide d’un jeton SAS trop permissif avec une date d’expiration longue. L’accès est considéré comme suspect, car les opérations appelées en dehors de votre réseau (et non à partir d’adresses IP privées) avec ce jeton SAS sont généralement utilisées pour un ensemble spécifique d’opérations de lecture/écriture/suppression, mais d’autres opérations se sont produites, ce qui rend cet accès suspect. Cette activité peut indiquer qu’un jeton SAS a été divulguée par un acteur malveillant ou qu’il a été accidentellement divulguée à partir d’une source légitime. Même si l’accès est légitime, l’utilisation d’un jeton SAP à autorisation élevée avec une longue date d’expiration va à l’encontre des meilleures pratiques de sécurité et pose un risque potentiel pour la sécurité. S’applique à : comptes de stockage Blob Azure (standard v2, Azure Data Lake Storage Gen2 ou objets blob de blocs Premium) avec le nouveau plan Defender pour stockage.
Tactiques MITRE : Exfiltration / Développement de ressources / Impact
Gravité : moyenne
Un jeton SAS inhabituel a été utilisé pour accéder à un compte de stockage Azure à partir d’une adresse IP publique (préversion)
Storage.Blob_AccountSas.UnusualExternalAccess
Description : L’alerte indique qu’une personne disposant d’une adresse IP externe (publique) a accédé au compte de stockage à l’aide d’un jeton SAP de compte. L’accès est très inhabituel et considéré comme suspect, car l’accès au compte de stockage à l’aide de jetons SAP provient généralement uniquement d’adresses IP internes (privées). Il est possible qu’un jeton SAS ait été divulgué ou généré par un acteur malveillant à partir de votre organisation ou en externe pour accéder à ce compte de stockage. S’applique à : comptes de stockage Blob Azure (standard v2, Azure Data Lake Storage Gen2 ou objets blob de blocs Premium) avec le nouveau plan Defender pour stockage.
Tactiques MITRE : Exfiltration / Développement de ressources / Impact
Gravité : faible
Fichier malveillant chargé sur le compte de stockage
Storage.Blob_AM.MalwareFound
Description : l’alerte indique qu’un objet blob malveillant a été chargé sur un compte de stockage. Cette alerte de sécurité est générée par la fonctionnalité Analyse des programmes malveillants de Defender pour le stockage. Les causes potentielles peuvent inclure un chargement intentionnel de programmes malveillants par un acteur de menace ou un chargement involontaire d’un fichier malveillant par un utilisateur légitime. S’applique à : comptes de stockage Blob Azure (standard v2, Azure Data Lake Storage Gen2 ou objets blob de blocs Premium) avec le nouveau plan Defender pour stockage avec la fonctionnalité Analyse des programmes malveillants activée.
Tactiques MITRE : Mouvement latéral
Gravité : élevée
Un objet blob malveillant a été téléchargé depuis un compte de stockage (préversion)
Storage.Blob_MalwareDownload
Description : l’alerte indique qu’un objet blob malveillant a été téléchargé à partir d’un compte de stockage. Les causes potentielles peuvent inclure des programmes malveillants chargés sur le compte de stockage et non supprimés ou mis en quarantaine, ce qui permet à un acteur de menace de le télécharger, ou d’un téléchargement involontaire du programme malveillant par des utilisateurs ou applications légitimes. S’applique aux comptes de stockage Blob Azure (Standard v2 à usage général, Azure Data Lake Storage Gen2 ou Premium) avec le nouveau plan Defender pour le stockage avec la fonctionnalité Analyse des programmes malveillants activée.
Tactiques MITRE : Mouvement latéral
Gravité : Élevé, si Eicar - faible
Remarque
Pour les alertes en préversion : Les Conditions supplémentaires pour les préversions Azure comprennent des conditions juridiques supplémentaires s’appliquant aux fonctionnalités Azure qui sont en version bêta, en préversion ou qui ne sont pas encore en disponibilité générale.