Alertes pour Azure Cosmos DB
Cet article répertorie les alertes de sécurité que vous pouvez obtenir pour Azure Cosmos DB à partir de Microsoft Defender pour le cloud et de tous les plans Microsoft Defender que vous avez activés. Les alertes présentées dans votre environnement dépendent des ressources et services que vous protégez et de votre configuration personnalisée.
Remarque
Certaines des alertes récemment ajoutées alimentées par Veille des menaces Microsoft Defender et Microsoft Defender pour point de terminaison peuvent être non documentées.
Découvrez comment répondre à ces alertes.
Découvrez comment exporter des alertes.
Notes
Les alertes provenant de différentes sources peuvent prendre différentes durées d’affichage. Par exemple, l’affichage des alertes qui nécessitent une analyse du trafic réseau peut prendre plus de temps que pour les alertes liées à des processus suspects s’exécutant sur des machines virtuelles.
Alertes Azure Cosmos DB
Informations complémentaires et notes
Accès à partir d’un nœud de sortie Tor
(CosmosDB_TorAnomaly)
Description : Ce compte Azure Cosmos DB a été correctement accessible à partir d’une adresse IP connue pour être un nœud de sortie actif de Tor, un proxy anonymisant. L’accès authentifié à partir d’un nœud de sortie Tor est une indication probable qu’un acteur de menace tente de masquer son identité.
Tactiques MITRE : Accès initial
Gravité : haut/moyen
Accès à partir d’une adresse IP suspecte
(CosmosDB_SuspiciousIp)
Description : Ce compte Azure Cosmos DB a été correctement accessible à partir d’une adresse IP identifiée comme une menace par Microsoft Threat Intelligence.
Tactiques MITRE : Accès initial
Gravité : moyenne
Accès à partir d’un emplacement inhabituel
(CosmosDB_GeoAnomaly)
Description : Ce compte Azure Cosmos DB a été accessible à partir d’un emplacement considéré comme inconnu, en fonction du modèle d’accès habituel.
Un acteur de menace a peut-être obtenu l’accès au compte, ou un utilisateur légitime s’est connecté à partir d’une localisation géographique nouvelle ou inhabituelle
Tactiques MITRE : Accès initial
Gravité : faible
Volume inhabituel de données extraites
(CosmosDB_DataExfiltrationAnomaly)
Description : Un volume inhabituel de données a été extrait de ce compte Azure Cosmos DB. Un acteur de menace a peut-être exfiltrer des données.
Tactiques MITRE : Exfiltration
Gravité : moyenne
Extraction de clés de comptes Azure Cosmos DB avec un script potentiellement malveillant
(CosmosDB_SuspiciousListKeys.MaliciousScript)
Description : un script PowerShell a été exécuté dans votre abonnement et a effectué un modèle suspect d’opérations de référencement de clés pour obtenir les clés des comptes Azure Cosmos DB dans votre abonnement. Les acteurs de menace utilisent des scripts automatisés, comme Microburst, pour lister des clés et rechercher les comptes Azure Cosmos DB auxquels ils peuvent accéder.
Cette opération peut indiquer qu’une identité de votre organisation a été usurpée et que l’acteur de menace tente de compromettre les comptes Azure Cosmos DB de votre environnement à des fins malveillantes.
Il se peut aussi qu’une personne malveillante au sein de l’organisation tente d’accéder aux données sensibles et d’effectuer un mouvement latéral.
Tactiques MITRE : Collection
Gravité : moyenne
Extraction suspecte des clés de compte Azure Cosmos DB (AzureCosmosDB_SuspiciousListKeys.SuspiciousPrincipal)
Description : une source suspecte extraite des clés d’accès du compte Azure Cosmos DB à partir de votre abonnement. Si cette source n’est pas une source légitime, il peut s’agir d’un problème d’impact élevé. La clé d’accès extraite fournit un contrôle total sur les bases de données associées et les données qui y sont stockées. Consultez les détails de chaque alerte pour comprendre pourquoi la source a été signalée comme suspecte.
Tactiques MITRE : Accès aux informations d’identification
Gravité : élevé
Injection de code SQL : exfiltration de données potentielle
(CosmosDB_SqlInjection.DataExfiltration)
Description : Une instruction SQL suspecte a été utilisée pour interroger un conteneur dans ce compte Azure Cosmos DB.
L’instruction injectée a peut-être réussi à exfiltrer des données que l’acteur de menace n’est pas autorisé à consulter.
En raison de la structure et des fonctionnalités des requêtes Azure Cosmos DB, un grand nombre d’attaques par injection de code SQL connues sur les comptes Azure Cosmos DB ne peuvent pas fonctionner. Toutefois, la variation utilisée dans cette attaque peut fonctionner et les acteurs de menace peuvent exfiltrer des données.
Tactiques MITRE : Exfiltration
Gravité : moyenne
Injection de code SQL : tentative de fuzzing
(CosmosDB_SqlInjection.FailedFuzzingAttempt)
Description : Une instruction SQL suspecte a été utilisée pour interroger un conteneur dans ce compte Azure Cosmos DB.
Comme les autres attaques bien connues par injection de code SQL, cette attaque ne peut pas compromettre le compte Azure Cosmos DB.
Néanmoins, il est indiqué qu’un acteur de menace tente d’attaquer les ressources dans ce compte et que votre application peut être compromise.
Certaines attaques par injection de code SQL peuvent réussir et être utilisées pour exfiltrer des données. Cela signifie que si l’attaquant continue d’effectuer des tentatives d’injection SQL, il peut être en mesure de compromettre votre compte Azure Cosmos DB et d’exfiltrer des données.
Vous pouvez empêcher cette menace en utilisant des requêtes paramétrables.
Tactiques MITRE : pré-attaque
Gravité : faible
Remarque
Pour les alertes en préversion : Les Conditions supplémentaires pour les préversions Azure comprennent des conditions juridiques supplémentaires s’appliquant aux fonctionnalités Azure qui sont en version bêta, en préversion ou qui ne sont pas encore en disponibilité générale.