Riasztások az Azure Cosmos DB-hez

Ez a cikk felsorolja azOkat a biztonsági riasztásokat, amelyek az Azure Cosmos DB-hez a Felhőhöz készült Microsoft Defender és az ön által engedélyezett Microsoft Defender-csomagokból származhatnak. A környezetben megjelenő riasztások a védeni kívánt erőforrásoktól és szolgáltatásoktól, valamint a testre szabott konfigurációtól függenek.

Feljegyzés

Előfordulhat, hogy a Microsoft Defender Intelligens veszélyforrás-felderítés és Végponthoz készült Microsoft Defender által nemrég hozzáadott riasztások némelyike visszavonva.

Megtudhatja, hogyan válaszolhat ezekre a riasztásokra.

Megtudhatja, hogyan exportálhat riasztásokat.

Feljegyzés

A különböző forrásokból származó riasztások megjelenése különböző időt vehet igénybe. A hálózati forgalom elemzését igénylő riasztások például tovább tarthatnak, mint a virtuális gépeken futó gyanús folyamatokkal kapcsolatos riasztások.

Azure Cosmos DB-riasztások

További részletek és megjegyzések

Hozzáférés tor kilépési csomópontról

(CosmosDB_TorAnomaly)

Leírás: Ezt az Azure Cosmos DB-fiókot sikeresen elérték egy ip-címről, amely a Tor aktív kilépési csomópontja, egy anonimizáló proxy. A Tor kilépési csomópontjáról való hitelesített hozzáférés valószínűleg azt jelzi, hogy egy fenyegetéselosztó megpróbálja elrejteni az identitását.

MITRE-taktikák: Kezdeti hozzáférés

Súlyosság: Magas/Közepes

Hozzáférés gyanús IP-címről

(CosmosDB_SuspiciousIp)

Leírás: Ezt az Azure Cosmos DB-fiókot egy olyan IP-címről sikerült elérni, amelyet a Microsoft Threat Intelligence fenyegetésként azonosított.

MITRE-taktikák: Kezdeti hozzáférés

Súlyosság: Közepes

Hozzáférés szokatlan helyről

(CosmosDB_GeoAnomaly)

Leírás: Ez az Azure Cosmos DB-fiók egy ismeretlennek tartott helyről lett elérve a szokásos hozzáférési minta alapján.

Vagy egy fenyegetést kezelő szereplő hozzáfért a fiókhoz, vagy egy megbízható felhasználó új vagy szokatlan földrajzi helyről csatlakozott

MITRE-taktikák: Kezdeti hozzáférés

Súlyosság: Alacsony

Szokatlan mennyiségű kinyert adat

(CosmosDB_DataExfiltrationAnomaly)

Leírás: Szokatlanul nagy mennyiségű adat lett kinyerve ebből az Azure Cosmos DB-fiókból. Ez azt jelezheti, hogy a fenyegetést okozó szereplő adatokat sikkasztott ki.

MITRE-taktikák: Exfiltration

Súlyosság: Közepes

Azure Cosmos DB-fiókkulcsok kinyerése potenciálisan rosszindulatú szkripttel

(CosmosDB_SuspiciousListKeys.MaliciousScript)

Leírás: Egy PowerShell-szkriptet futtattak az előfizetésben, és a kulcslistázási műveletek gyanús mintáját hajtották végre az Azure Cosmos DB-fiókok kulcsainak lekéréséhez az előfizetésben. A fenyegetést űzők automatizált szkriptek, például a Microburst használatával listázzák a kulcsokat, és megkeresik az általuk elérhető Azure Cosmos DB-fiókokat.

Ez a művelet azt jelezheti, hogy a szervezet egy identitását feltörték, és hogy a fenyegetést okozó szereplő rosszindulatú szándékok miatt próbálja feltörni az Azure Cosmos DB-fiókokat a környezetében.

Másik lehetőségként egy rosszindulatú bennfentes megpróbálhat hozzáférni a bizalmas adatokhoz, és oldalirányú mozgást végezni.

MITRE-taktikák: Gyűjtemény

Súlyosság: Közepes

Az Azure Cosmos DB-fiókkulcsok gyanús kinyerése (AzureCosmosDB_SuspiciousListKeys.SuspiciousPrincipal)

Leírás: Gyanús forrás kinyerte az Azure Cosmos DB-fiók hozzáférési kulcsait az előfizetéséből. Ha ez a forrás nem megbízható forrás, ez nagy hatással lehet a problémára. A kinyert hozzáférési kulcs teljes körű ellenőrzést biztosít a társított adatbázisok és a benne tárolt adatok felett. Az egyes riasztások részleteiből megtudhatja, hogy a forrás miért lett gyanúsként megjelölve.

MITRE-taktikák: Hitelesítő adatok elérése

Súlyosság: magas

SQL-injektálás: lehetséges adatkiszivárgás

(CosmosDB_SqlInjection.DataExfiltration)

Leírás: Gyanús SQL-utasítással kérdezték le a tárolót ebben az Azure Cosmos DB-fiókban.

Előfordulhat, hogy az injektált utasításnak sikerült kiszúrnia azokat az adatokat, amelyeket a fenyegetést okozó szereplő nem jogosult a hozzáférésre.

Az Azure Cosmos DB-lekérdezések struktúrája és képességei miatt az Azure Cosmos DB-fiókokra irányuló számos ismert SQL-injektálási támadás nem működik. A támadásban használt változat azonban működhet, és a fenyegetéskezelők kiszűkíthetik az adatokat.

MITRE-taktikák: Exfiltration

Súlyosság: Közepes

SQL-injektálás: elfuzzadási kísérlet

(CosmosDB_SqlInjection.FailedFuzzingAttempt)

Leírás: Gyanús SQL-utasítással kérdezték le a tárolót ebben az Azure Cosmos DB-fiókban.

Más jól ismert SQL-injektálási támadásokhoz hasonlóan ez a támadás sem fogja veszélyeztetni az Azure Cosmos DB-fiókot.

Ennek ellenére ez azt jelzi, hogy a fenyegetést okozó szereplő megpróbálja megtámadni a fiók erőforrásait, és az alkalmazás megsérülhet.

Egyes SQL-injektálási támadások sikeresek lehetnek, és adatok kiszivárgására használhatók. Ez azt jelenti, hogy ha a támadó továbbra is SQL-injektálási kísérleteket hajt végre, előfordulhat, hogy feltörik az Azure Cosmos DB-fiókot, és ki tudják szúrni az adatokat.

Ezt a fenyegetést paraméteres lekérdezésekkel megakadályozhatja.

MITRE-taktikák: Támadás előtti

Súlyosság: Alacsony

Feljegyzés

Előzetes verziójú riasztások esetén: Az Azure Előzetes verzió kiegészítő feltételei további jogi feltételeket tartalmaznak, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.

Következő lépések

• Biztonsági riasztások Felhőhöz készült Microsoft Defender
• Biztonsági riasztások kezelése és válaszadás a riasztásokra a Felhőhöz készült Microsoft Defenderben
• Adatok folyamatos exportálása Felhőhöz készült Defender