Riasztások az Azure Cosmos DB-hez
Ez a cikk felsorolja azOkat a biztonsági riasztásokat, amelyek az Azure Cosmos DB-hez a Felhőhöz készült Microsoft Defender és az ön által engedélyezett Microsoft Defender-csomagokból származhatnak. A környezetben megjelenő riasztások a védeni kívánt erőforrásoktól és szolgáltatásoktól, valamint a testre szabott konfigurációtól függenek.
Feljegyzés
Előfordulhat, hogy a Microsoft Defender Intelligens veszélyforrás-felderítés és Végponthoz készült Microsoft Defender által nemrég hozzáadott riasztások némelyike visszavonva.
Megtudhatja, hogyan válaszolhat ezekre a riasztásokra.
Megtudhatja, hogyan exportálhat riasztásokat.
Feljegyzés
A különböző forrásokból származó riasztások megjelenése különböző időt vehet igénybe. A hálózati forgalom elemzését igénylő riasztások például tovább tarthatnak, mint a virtuális gépeken futó gyanús folyamatokkal kapcsolatos riasztások.
Azure Cosmos DB-riasztások
További részletek és megjegyzések
Hozzáférés tor kilépési csomópontról
(CosmosDB_TorAnomaly)
Leírás: Ezt az Azure Cosmos DB-fiókot sikeresen elérték egy ip-címről, amely a Tor aktív kilépési csomópontja, egy anonimizáló proxy. A Tor kilépési csomópontjáról való hitelesített hozzáférés valószínűleg azt jelzi, hogy egy fenyegetéselosztó megpróbálja elrejteni az identitását.
MITRE-taktikák: Kezdeti hozzáférés
Súlyosság: Magas/Közepes
Hozzáférés gyanús IP-címről
(CosmosDB_SuspiciousIp)
Leírás: Ezt az Azure Cosmos DB-fiókot egy olyan IP-címről sikerült elérni, amelyet a Microsoft Threat Intelligence fenyegetésként azonosított.
MITRE-taktikák: Kezdeti hozzáférés
Súlyosság: Közepes
Hozzáférés szokatlan helyről
(CosmosDB_GeoAnomaly)
Leírás: Ez az Azure Cosmos DB-fiók egy ismeretlennek tartott helyről lett elérve a szokásos hozzáférési minta alapján.
Vagy egy fenyegetést kezelő szereplő hozzáfért a fiókhoz, vagy egy megbízható felhasználó új vagy szokatlan földrajzi helyről csatlakozott
MITRE-taktikák: Kezdeti hozzáférés
Súlyosság: Alacsony
Szokatlan mennyiségű kinyert adat
(CosmosDB_DataExfiltrationAnomaly)
Leírás: Szokatlanul nagy mennyiségű adat lett kinyerve ebből az Azure Cosmos DB-fiókból. Ez azt jelezheti, hogy a fenyegetést okozó szereplő adatokat sikkasztott ki.
MITRE-taktikák: Exfiltration
Súlyosság: Közepes
Azure Cosmos DB-fiókkulcsok kinyerése potenciálisan rosszindulatú szkripttel
(CosmosDB_SuspiciousListKeys.MaliciousScript)
Leírás: Egy PowerShell-szkriptet futtattak az előfizetésben, és a kulcslistázási műveletek gyanús mintáját hajtották végre az Azure Cosmos DB-fiókok kulcsainak lekéréséhez az előfizetésben. A fenyegetést űzők automatizált szkriptek, például a Microburst használatával listázzák a kulcsokat, és megkeresik az általuk elérhető Azure Cosmos DB-fiókokat.
Ez a művelet azt jelezheti, hogy a szervezet egy identitását feltörték, és hogy a fenyegetést okozó szereplő rosszindulatú szándékok miatt próbálja feltörni az Azure Cosmos DB-fiókokat a környezetében.
Másik lehetőségként egy rosszindulatú bennfentes megpróbálhat hozzáférni a bizalmas adatokhoz, és oldalirányú mozgást végezni.
MITRE-taktikák: Gyűjtemény
Súlyosság: Közepes
Az Azure Cosmos DB-fiókkulcsok gyanús kinyerése
(AzureCosmosDB_SuspiciousListKeys.SuspiciousPrincipal)
Leírás: Gyanús forrás kinyerte az Azure Cosmos DB-fiók hozzáférési kulcsait az előfizetéséből. Ha ez a forrás nem megbízható forrás, ez nagy hatással lehet a problémára. A kinyert hozzáférési kulcs teljes körű ellenőrzést biztosít a társított adatbázisok és a benne tárolt adatok felett. Az egyes riasztások részleteiből megtudhatja, hogy a forrás miért lett gyanúsként megjelölve.
MITRE-taktikák: Hitelesítő adatok elérése
Súlyosság: magas
SQL-injektálás: lehetséges adatkiszivárgás
(CosmosDB_SqlInjection.DataExfiltration)
Leírás: Gyanús SQL-utasítással kérdezték le a tárolót ebben az Azure Cosmos DB-fiókban.
Előfordulhat, hogy az injektált utasításnak sikerült kiszúrnia azokat az adatokat, amelyeket a fenyegetést okozó szereplő nem jogosult a hozzáférésre.
Az Azure Cosmos DB-lekérdezések struktúrája és képességei miatt az Azure Cosmos DB-fiókokra irányuló számos ismert SQL-injektálási támadás nem működik. A támadásban használt változat azonban működhet, és a fenyegetéskezelők kiszűkíthetik az adatokat.
MITRE-taktikák: Exfiltration
Súlyosság: Közepes
SQL-injektálás: elfuzzadási kísérlet
(CosmosDB_SqlInjection.FailedFuzzingAttempt)
Leírás: Gyanús SQL-utasítással kérdezték le a tárolót ebben az Azure Cosmos DB-fiókban.
Más jól ismert SQL-injektálási támadásokhoz hasonlóan ez a támadás sem fogja veszélyeztetni az Azure Cosmos DB-fiókot.
Ennek ellenére ez azt jelzi, hogy a fenyegetést okozó szereplő megpróbálja megtámadni a fiók erőforrásait, és az alkalmazás megsérülhet.
Egyes SQL-injektálási támadások sikeresek lehetnek, és adatok kiszivárgására használhatók. Ez azt jelenti, hogy ha a támadó továbbra is SQL-injektálási kísérleteket hajt végre, előfordulhat, hogy feltörik az Azure Cosmos DB-fiókot, és ki tudják szúrni az adatokat.
Ezt a fenyegetést paraméteres lekérdezésekkel megakadályozhatja.
MITRE-taktikák: Támadás előtti
Súlyosság: Alacsony
Feljegyzés
Előzetes verziójú riasztások esetén: Az Azure Előzetes verzió kiegészítő feltételei további jogi feltételeket tartalmaznak, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.