Riasztások az Azure Storage-hoz
Ez a cikk felsorolja azOkat a biztonsági riasztásokat, amelyek az Azure Storage-hoz Felhőhöz készült Microsoft Defender és az engedélyezett Microsoft Defender-csomagokból származhatnak. A környezetben megjelenő riasztások a védeni kívánt erőforrásoktól és szolgáltatásoktól, valamint a testre szabott konfigurációtól függenek.
Feljegyzés
Előfordulhat, hogy a Microsoft Defender Intelligens veszélyforrás-felderítés és Végponthoz készült Microsoft Defender által nemrég hozzáadott riasztások némelyike visszavonva.
Megtudhatja, hogyan válaszolhat ezekre a riasztásokra.
Megtudhatja, hogyan exportálhat riasztásokat.
Feljegyzés
A különböző forrásokból származó riasztások megjelenése különböző időt vehet igénybe. A hálózati forgalom elemzését igénylő riasztások például tovább tarthatnak, mint a virtuális gépeken futó gyanús folyamatokkal kapcsolatos riasztások.
Azure Storage-riasztások
További részletek és megjegyzések
Hozzáférés gyanús alkalmazásból
(Storage.Blob_SuspiciousApp)
Leírás: Azt jelzi, hogy egy gyanús alkalmazás sikeresen hozzáfért egy hitelesítéssel rendelkező tárfiók tárolójába. Ez azt jelezheti, hogy a támadó megszerezte a fiók eléréséhez szükséges hitelesítő adatokat, és kihasználja azt. Ez a szervezeten belül végzett behatolási tesztre is utalhat. A következőkre vonatkozik: Azure Blob Storage, Azure Data Lake Storage Gen2
MITRE-taktikák: Kezdeti hozzáférés
Súlyosság: Magas/Közepes
Hozzáférés gyanús IP-címről
(Storage.Blob_SuspiciousIp Storage.Files_SuspiciousIp)
Leírás: Azt jelzi, hogy ezt a tárfiókot egy gyanús IP-címről sikerült elérni. Ezt a riasztást a Microsoft Threat Intelligence működteti. További információ a Microsoft fenyegetésfelderítési képességeiről. A következőkre vonatkozik: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
MITRE-taktikák: Támadás előtti
Súlyosság: Magas/Közepes/Alacsony
Tárfiókban tárolt adathalász tartalom
(Storage.Blob_PhishingContent Storage.Files_PhishingContent)
Leírás: Az adathalász támadásokban használt URL-cím az Azure Storage-fiókra mutat. Ez az URL egy adathalász támadás része volt, amely a Microsoft 365 felhasználóit érintette. Az ilyen oldalakon tárolt tartalmak általában arra szolgálnak, hogy a látogatókat rávegyék arra, hogy a céges hitelesítő adataikat vagy pénzügyi adataikat egy megbízhatónak tűnő webes űrlapon adjanak meg. Ezt a riasztást a Microsoft Threat Intelligence működteti. További információ a Microsoft fenyegetésfelderítési képességeiről. A következőkre vonatkozik: Azure Blob Storage, Azure Files
MITRE-taktikák: Gyűjtemény
Súlyosság: Magas
A kártevők terjesztésének forrásaként azonosított tárfiók
(Storage.Files_WidespreadeAm)
Leírás: A kártevőirtó riasztások azt jelzik, hogy egy fertőzött fájl(ok) egy Azure-fájlmegosztásban tárolódnak, amely több virtuális géphez van csatlakoztatva. Ha a támadók hozzáférnek egy csatlakoztatott Azure-fájlmegosztással rendelkező virtuális géphez, azzal kártevőt terjeszthetnek más olyan virtuális gépekre, amelyek ugyanazt a megosztást csatlakoztatják. A következőkre vonatkozik: Azure Files
MITRE-taktikák: Végrehajtás
Súlyosság: Közepes
Egy potenciálisan bizalmas tároló blobtároló hozzáférési szintje módosult, hogy engedélyezve legyen a hitelesítés nélküli nyilvános hozzáférés
(Storage.Blob_OpenACL)
Leírás: A riasztás azt jelzi, hogy valaki módosította egy blobtároló hozzáférési szintjét a tárfiókban, amely bizalmas adatokat tartalmazhat, "Tároló" szintre, hogy engedélyezhesse a hitelesítés nélküli (névtelen) nyilvános hozzáférést. A módosítás az Azure Portalon történt. Statisztikai elemzés alapján a blobtárolót bizalmas adatokkal jelölik meg. Ez az elemzés arra utal, hogy a hasonló nevű blobtárolók vagy tárfiókok általában nem érhetők el nyilvános hozzáféréssel. A következőkre vonatkozik: Azure Blob (Standard általános célú v2, Azure Data Lake Storage Gen2 vagy prémium szintű blokkblobok) tárfiókok.
MITRE-taktikák: Gyűjtemény
Súlyosság: Közepes
Hitelesített hozzáférés a Tor kilépési csomópontjáról
(Storage.Blob_TorAnomaly Storage.Files_TorAnomaly)
Leírás: A tárfiók egy vagy több tárolótárolója/fájlmegosztása sikeresen el lett érve a Tor aktív kilépési csomópontjának (egy anonimizáló proxynak) nevezett IP-címről. A fenyegetéskezelők a Tor használatával megnehezítik a tevékenység visszakövetését. A Tor kilépési csomópontjáról való hitelesített hozzáférés valószínűleg azt jelzi, hogy egy fenyegetéselosztó megpróbálja elrejteni az identitását. A következőkre vonatkozik: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
MITRE-taktikák: Kezdeti hozzáférés / támadás előtti
Súlyosság: Magas/Közepes
Hozzáférés szokatlan helyről egy tárfiókhoz
(Storage.Blob_GeoAnomaly Storage.Files_GeoAnomaly)
Leírás: Azt jelzi, hogy változás történt egy Azure Storage-fiók hozzáférési mintájában. Valaki egy ismeretlennek tartott IP-címről fért hozzá ehhez a fiókhoz a legutóbbi tevékenységhez képest. A támadó vagy hozzáférést szerzett a fiókhoz, vagy egy megbízható felhasználó új vagy szokatlan földrajzi helyről csatlakozott. Az utóbbira példa az új alkalmazásból vagy fejlesztőtől származó távoli karbantartás. A következőkre vonatkozik: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
MITRE-taktikák: Kezdeti hozzáférés
Súlyosság: Magas/Közepes/Alacsony
Szokatlan, hitelesítés nélküli hozzáférés egy tárolóhoz
(Storage.Blob_AnonymousAccessAnomaly)
Leírás: Ez a tárfiók hitelesítés nélkül lett elérve, ami a gyakori hozzáférési minta módosítása. A tárolóhoz való olvasási hozzáférés általában hitelesítve van. Ez azt jelezheti, hogy a fenyegetést okozó szereplő képes volt kihasználni a tárfiók(ok) tárolóihoz való nyilvános olvasási hozzáférést. A következőkre vonatkozik: Azure Blob Storage
MITRE-taktikák: Kezdeti hozzáférés
Súlyosság: Magas/Alacsony
Tárfiókba feltöltött potenciális kártevők
(Storage.Blob_MalwareHashReputation Storage.Files_MalwareHashReputation)
Leírás: Azt jelzi, hogy egy potenciális kártevőt tartalmazó blob fel lett töltve egy blobtárolóba vagy egy tárfiók fájlmegosztására. Ez a riasztás a Microsoft fenyegetésintelligencia-képességeire támaszkodó kivonatolási hírnévelemzésen alapul, amely vírusokkal, trójaikkal, kémprogramokkal és zsarolóprogramokkal kapcsolatos kivonatokat is tartalmaz. A lehetséges okok közé tartozhat egy támadó által feltöltött szándékos kártevő, vagy egy potenciálisan rosszindulatú blob véletlen feltöltése egy megbízható felhasználó által. A következőkre vonatkozik: Azure Blob Storage, Azure Files (csak REST API-n keresztüli tranzakciókhoz) További információ a Microsoft fenyegetésfelderítési képességeiről.
MITRE taktika: Oldalirányú mozgás
Súlyosság: Magas
A nyilvánosan elérhető tárolók felderítve sikeresen felderítve
(Storage.Blob_OpenContainersScanning.SuccessfulDiscovery)
Leírás: A tárfiók nyilvánosan megnyitott tárolóinak sikeres felderítését az elmúlt órában egy ellenőrző szkript vagy eszköz hajtotta végre.
Ez általában felderítési támadást jelez, ahol a fenyegetést jelző szereplő tárolónevek kitalálásával próbál blobokat listázni, abban a reményben, hogy helytelenül konfigurált, bizalmas adatokat tartalmazó nyílt tárolókat talál bennük.
A veszélyforrás-szereplő használhatja a saját szkriptet, vagy használhatja az ismert ellenőrző eszközöket, például a Microburstot a nyilvánosan megnyitott tárolók kereséséhez.
✔ Azure Blob Storage ✖ Azure Files ✖ Azure Data Lake Storage Gen2
MITRE-taktikák: Gyűjtemény
Súlyosság: Magas/Közepes
A nyilvánosan elérhető tárolók vizsgálata sikertelen
(Storage.Blob_OpenContainersScanning.FailedAttempt)
Leírás: Az elmúlt órában sikertelen kísérleteket hajtottak végre a nyilvánosan megnyitott tárolók keresésére.
Ez általában felderítési támadást jelez, ahol a fenyegetést jelző szereplő tárolónevek kitalálásával próbál blobokat listázni, abban a reményben, hogy helytelenül konfigurált, bizalmas adatokat tartalmazó nyílt tárolókat talál bennük.
A veszélyforrás-szereplő használhatja a saját szkriptet, vagy használhatja az ismert ellenőrző eszközöket, például a Microburstot a nyilvánosan megnyitott tárolók kereséséhez.
✔ Azure Blob Storage ✖ Azure Files ✖ Azure Data Lake Storage Gen2
MITRE-taktikák: Gyűjtemény
Súlyosság: Magas/Alacsony
Szokatlan hozzáférés-ellenőrzés egy tárfiókban
(Storage.Blob_AccessInspectionAnomaly Storage.Files_AccessInspectionAnomaly)
Leírás: Azt jelzi, hogy a tárfiók hozzáférési engedélyeit szokatlan módon vizsgálták meg a fiók legutóbbi tevékenységeihez képest. A lehetséges ok az, hogy a támadó felderítést hajtott végre egy jövőbeli támadáshoz. A következőkre vonatkozik: Azure Blob Storage, Azure Files
MITRE-taktikák: Felderítés
Súlyosság: Magas/Közepes
Tárfiókból kinyert adatok szokatlan mennyisége
(Storage.Blob_DataExfiltration.AmountOfDataAnomaly Storage.Blob_DataExfiltration.NumberOfBlobsAnomaly Storage.Files_DataExfiltration.AmountOfDataAnomaly Storage.Files_DataExfiltration.NumberOfFilesAnomaly)
Leírás: Azt jelzi, hogy szokatlanul nagy mennyiségű adat lett kinyerve a tároló legutóbbi tevékenységeihez képest. Ennek egyik lehetséges oka, hogy a támadó nagy mennyiségű adatot kinyert egy blobtárolót tartalmazó tárolóból. A következőkre vonatkozik: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
MITRE-taktikák: Exfiltration
Súlyosság: Magas/Alacsony
Szokatlan alkalmazás fért hozzá egy tárfiókhoz
(Storage.Blob_ApplicationAnomaly Storage.Files_ApplicationAnomaly)
Leírás: Azt jelzi, hogy egy szokatlan alkalmazás hozzáfért ehhez a tárfiókhoz. Ennek egyik lehetséges oka, hogy a támadó egy új alkalmazással fért hozzá a tárfiókhoz. A következőkre vonatkozik: Azure Blob Storage, Azure Files
MITRE-taktikák: Végrehajtás
Súlyosság: Magas/Közepes
Szokatlan adatfeltárás tárfiókban
(Storage.Blob_DataExplorationAnomaly Storage.Files_DataExplorationAnomaly)
Leírás: Azt jelzi, hogy a tárfiókban lévő blobokat vagy tárolókat rendellenes módon sorolták fel a fiók legutóbbi tevékenységeihez képest. A lehetséges ok az, hogy a támadó felderítést hajtott végre egy jövőbeli támadáshoz. A következőkre vonatkozik: Azure Blob Storage, Azure Files
MITRE-taktikák: Végrehajtás
Súlyosság: Magas/Közepes
Szokatlan törlés egy tárfiókban
(Storage.Blob_DeletionAnomaly Storage.Files_DeletionAnomaly)
Leírás: Azt jelzi, hogy egy tárfiókban egy vagy több váratlan törlési művelet történt a fiók legutóbbi tevékenységeihez képest. Ennek egyik lehetséges oka, hogy a támadó törölte az adatokat a tárfiókból. A következőkre vonatkozik: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
MITRE-taktikák: Exfiltration
Súlyosság: Magas/Közepes
Szokatlan, nem hitelesített nyilvános hozzáférés egy bizalmas blobtárolóhoz (előzetes verzió)
Storage.Blob_AnonymousAccessAnomaly.Sensitive
Leírás: A riasztás azt jelzi, hogy valaki hitelesítés nélkül, külső (nyilvános) IP-címmel fért hozzá egy bizalmas adatokat tartalmazó blobtárolóhoz a tárfiókban. Ez a hozzáférés gyanús, mivel a blobtároló nyilvános hozzáférésre van nyitva, és általában csak belső hálózatokról (privát IP-címekről) származó hitelesítéssel érhető el. Ez a hozzáférés azt jelezheti, hogy a blobtároló hozzáférési szintje helytelenül van konfigurálva, és egy rosszindulatú szereplő kihasználhatta a nyilvános hozzáférést. A biztonsági riasztás tartalmazza a felderített bizalmas információkörnyezetet (vizsgálati idő, besorolási címke, információtípusok és fájltípusok). További információ a bizalmas adatfenyegetések észleléséről. A következőkre vonatkozik: Azure Blob (Standard általános célú v2, Azure Data Lake Storage Gen2 vagy prémium szintű blokkblobok) tárfiókok az új Defender for Storage csomaggal, amelyen engedélyezve van az adatérzékenységi fenyegetésészlelés funkció.
MITRE-taktikák: Kezdeti hozzáférés
Súlyosság: Magas
Szokatlan mennyiségű, bizalmas blobtárolóból kinyert adat (előzetes verzió)
Storage.Blob_DataExfiltration.AmountOfDataAnomaly.Sensitive
Leírás: A riasztás azt jelzi, hogy valaki szokatlanul nagy mennyiségű adatot kinyert egy olyan blobtárolóból, amely bizalmas adatokat tárol a tárfiókban. A következőkre vonatkozik: Azure Blob (Standard általános célú v2, Azure Data Lake Storage Gen2 vagy prémium szintű blokkblobok) tárfiókok az új Defender for Storage csomaggal, amelyen engedélyezve van az adatérzékenységi fenyegetésészlelés funkció.
MITRE-taktikák: Exfiltration
Súlyosság: Közepes
Egy bizalmas blobtárolóból kinyert blobok szokatlan száma (előzetes verzió)
Storage.Blob_DataExfiltration.NumberOfBlobsAnomaly.Sensitive
Leírás: A riasztás azt jelzi, hogy valaki szokatlanul nagy számú blobot vont ki egy olyan blobtárolóból, amely bizalmas adatokat tárol a tárfiókban. A következőkre vonatkozik: Azure Blob (Standard általános célú v2, Azure Data Lake Storage Gen2 vagy prémium szintű blokkblobok) tárfiókok az új Defender for Storage csomaggal, és engedélyezve van az adatérzékenységi fenyegetésészlelési funkció.
MITRE-taktikák: Exfiltration
Hozzáférés egy ismert gyanús alkalmazásból egy bizalmas blobtárolóhoz (előzetes verzió)
Storage.Blob_SuspiciousApp.Sensitive
Leírás: A riasztás azt jelzi, hogy egy ismert gyanús alkalmazással rendelkező személy hozzáfért egy blobtárolóhoz, amely bizalmas adatokat tárol a tárfiókban, és hitelesített műveleteket hajtott végre.
A hozzáférés azt jelezheti, hogy a fenyegetést okozó szereplő hitelesítő adatokat szerzett a tárfiókhoz való hozzáféréshez egy ismert gyanús alkalmazás használatával. A hozzáférés azonban a szervezetben végzett behatolási tesztet is jelezheti.
A következőkre vonatkozik: Azure Blob (Standard általános célú v2, Azure Data Lake Storage Gen2 vagy prémium szintű blokkblobok) tárfiókok az új Defender for Storage csomaggal, és engedélyezve van az adatérzékenységi fenyegetésészlelési funkció.
MITRE-taktikák: Kezdeti hozzáférés
Súlyosság: Magas
Hozzáférés egy ismert gyanús IP-címről egy bizalmas blobtárolóhoz (előzetes verzió)
Storage.Blob_SuspiciousIp.Sensitive
Leírás: A riasztás azt jelzi, hogy valaki bizalmas adatokat tartalmazó blobtárolóhoz fért hozzá a Tárfiókban a Microsoft Threat Intelligence által a fenyegetési adatokkal társított ismert gyanús IP-címről. Mivel a hozzáférés hitelesítése megtörtént, lehetséges, hogy a tárfiókhoz való hozzáférést lehetővé tevő hitelesítő adatok sérültek. További információ a Microsoft fenyegetésfelderítési képességeiről. A következőkre vonatkozik: Azure Blob (Standard általános célú v2, Azure Data Lake Storage Gen2 vagy prémium szintű blokkblobok) tárfiókok az új Defender for Storage csomaggal, amelyen engedélyezve van az adatérzékenységi fenyegetésészlelés funkció.
MITRE-taktikák: Támadás előtti
Súlyosság: Magas
Hozzáférés a Tor kilépési csomópontjáról egy bizalmas blobtárolóhoz (előzetes verzió)
Storage.Blob_TorAnomaly.Sensitive
Leírás: A riasztás azt jelzi, hogy a Tor kilépési csomópontként ismert IP-címmel rendelkező személy egy bizalmas adatokat tartalmazó blobtárolóhoz fért hozzá hitelesített hozzáféréssel a tárfiókban. A Tor kilépési csomópontjának hitelesített hozzáférése erősen azt jelzi, hogy a színész névtelen maradni próbál az esetleges rosszindulatú szándékok miatt. Mivel a hozzáférés hitelesítése megtörtént, lehetséges, hogy a tárfiókhoz való hozzáférést lehetővé tevő hitelesítő adatok sérültek. A következőkre vonatkozik: Azure Blob (Standard általános célú v2, Azure Data Lake Storage Gen2 vagy prémium szintű blokkblobok) tárfiókok az új Defender for Storage csomaggal, amelyen engedélyezve van az adatérzékenységi fenyegetésészlelés funkció.
MITRE-taktikák: Támadás előtti
Súlyosság: Magas
Hozzáférés szokatlan helyről egy bizalmas blobtárolóhoz (előzetes verzió)
Storage.Blob_GeoAnomaly.Sensitive
Leírás: A riasztás azt jelzi, hogy valaki szokatlan helyről származó hitelesítéssel fért hozzá a tárfiók bizalmas adataival rendelkező blobtárolóhoz. Mivel a hozzáférés hitelesítése megtörtént, lehetséges, hogy a tárfiókhoz való hozzáférést lehetővé tevő hitelesítő adatok sérültek. A következőkre vonatkozik: Azure Blob (Standard általános célú v2, Azure Data Lake Storage Gen2 vagy prémium szintű blokkblobok) tárfiókok az új Defender for Storage csomaggal, amelyen engedélyezve van az adatérzékenységi fenyegetésészlelés funkció.
MITRE-taktikák: Kezdeti hozzáférés
Súlyosság: Közepes
A bizalmas tároló blobtárolójának hozzáférési szintje módosult, hogy engedélyezve legyen a hitelesítés nélküli nyilvános hozzáférés
Storage.Blob_OpenACL.Sensitive
Leírás: A riasztás azt jelzi, hogy valaki módosította egy blobtároló hozzáférési szintjét a tárfiókban, amely bizalmas adatokat tartalmaz, "Tároló" szintre, amely lehetővé teszi a hitelesítés nélküli (névtelen) nyilvános hozzáférést. A módosítás az Azure Portalon történt. A hozzáférési szint módosítása veszélyeztetheti az adatok biztonságát. Javasoljuk, hogy azonnal tegyen lépéseket az adatok védelme és a jogosulatlan hozzáférés megakadályozása érdekében, ha a riasztás aktiválódik. A következőkre vonatkozik: Azure Blob (Standard általános célú v2, Azure Data Lake Storage Gen2 vagy prémium szintű blokkblobok) tárfiókok az új Defender for Storage csomaggal, amelyen engedélyezve van az adatérzékenységi fenyegetésészlelés funkció.
MITRE-taktikák: Gyűjtemény
Súlyosság: Magas
Gyanús külső hozzáférés egy Túl megengedő SAS-jogkivonattal rendelkező Azure Storage-fiókhoz (előzetes verzió)
Storage.Blob_AccountSas.InternalSasUsedExternally
Leírás: A riasztás azt jelzi, hogy egy külső (nyilvános) IP-címmel rendelkező személy egy túlzottan megengedő SAS-jogkivonattal, hosszú lejárati dátummal fért hozzá a tárfiókhoz. Az ilyen típusú hozzáférés gyanúsnak minősül, mivel az SAS-jogkivonatot általában csak belső hálózatokban használják (privát IP-címekről). A tevékenység azt jelezheti, hogy egy SAS-jogkivonatot rosszindulatú szereplő szivárgott ki, vagy véletlenül kiszivárogt egy megbízható forrásból. Még ha a hozzáférés jogszerű is, a nagy jogosultságú SAS-jogkivonat hosszú lejárati dátummal való használata ellentmond a biztonsági ajánlott eljárásoknak, és potenciális biztonsági kockázatot jelent. A következőkre vonatkozik: Azure Blob (Standard általános célú v2, Azure Data Lake Storage Gen2 vagy prémium szintű blokkblobok) tárfiókok az új Defender for Storage csomaggal.
MITRE-taktikák: Exfiltration / Resource Development / Impact
Súlyosság: Közepes
Gyanús külső művelet egy Túl megengedő SAS-jogkivonattal rendelkező Azure Storage-fiókon (előzetes verzió)
Storage.Blob_AccountSas.UnusualOperationFromExternalIp
Leírás: A riasztás azt jelzi, hogy egy külső (nyilvános) IP-címmel rendelkező személy egy túlzottan megengedő SAS-jogkivonattal, hosszú lejárati dátummal fért hozzá a tárfiókhoz. A hozzáférés gyanúsnak minősül, mert a hálózaton kívül (nem magánhálózati IP-címekről) ezzel az SAS-jogkivonattal meghívott műveleteket általában olvasási/írási/törlési műveletek meghatározott készletéhez használják, de más műveletek is történtek, ami gyanússá teszi ezt a hozzáférést. Ez a tevékenység azt jelezheti, hogy egy SAS-jogkivonatot egy rosszindulatú szereplő kiszivárogtatott, vagy véletlenül kiszivárogt egy megbízható forrásból. Még ha a hozzáférés jogszerű is, a nagy jogosultságú SAS-jogkivonat hosszú lejárati dátummal való használata ellentmond a biztonsági ajánlott eljárásoknak, és potenciális biztonsági kockázatot jelent. A következőkre vonatkozik: Azure Blob (Standard általános célú v2, Azure Data Lake Storage Gen2 vagy prémium szintű blokkblobok) tárfiókok az új Defender for Storage csomaggal.
MITRE-taktikák: Exfiltration / Resource Development / Impact
Súlyosság: Közepes
Szokatlan SAS-jogkivonattal fért hozzá egy Azure Storage-fiókhoz egy nyilvános IP-címről (előzetes verzió)
Storage.Blob_AccountSas.UnusualExternalAccess
Leírás: A riasztás azt jelzi, hogy egy külső (nyilvános) IP-címmel rendelkező személy egy fiók SAS-jogkivonatával fért hozzá a tárfiókhoz. A hozzáférés rendkívül szokatlan, és gyanúsnak tekinthető, mivel a tárfiókhoz való hozzáférés SAS-jogkivonatokkal általában csak belső (privát) IP-címekről származik. Lehetséges, hogy egy SAS-jogkivonatot kiszivárogtatott vagy létrehozott egy rosszindulatú szereplő a szervezeten belülről vagy külsőleg, hogy hozzáférjen ehhez a tárfiókhoz. A következőkre vonatkozik: Azure Blob (Standard általános célú v2, Azure Data Lake Storage Gen2 vagy prémium szintű blokkblobok) tárfiókok az új Defender for Storage csomaggal.
MITRE-taktikák: Exfiltration / Resource Development / Impact
Súlyosság: Alacsony
Tárfiókba feltöltött rosszindulatú fájl
Storage.Blob_AM. MalwareFound
Leírás: A riasztás azt jelzi, hogy egy rosszindulatú blobot töltöttek fel egy tárfiókba. Ezt a biztonsági riasztást a Defender for Storage kártevő-vizsgálat funkciója hozza létre. A lehetséges okok közé tartozhat például a kártevő szándékos feltöltése egy fenyegetéselkülönítő által, vagy egy rosszindulatú fájl véletlen feltöltése egy megbízható felhasználó által. A következőkre vonatkozik: Azure Blob (Standard általános célú v2, Azure Data Lake Storage Gen2 vagy prémium szintű blokkblobok) tárfiókok az új Defender for Storage csomaggal, amelyen engedélyezve van a kártevő-vizsgálat funkció.
MITRE taktika: Oldalirányú mozgás
Súlyosság: Magas
Rosszindulatú blob lett letöltve egy tárfiókból (előzetes verzió)
Storage.Blob_MalwareDownload
Leírás: A riasztás azt jelzi, hogy egy rosszindulatú blobot töltöttek le egy tárfiókból. A lehetséges okok közé tartozhatnak a tárfiókba feltöltött és nem eltávolított vagy karanténba helyezett kártevők, amelyek lehetővé teszik a fenyegetést okozók számára, hogy letöltsék azt, vagy hogy a kártevőt jogszerű felhasználók vagy alkalmazások véletlenül letöltsék. A következőkre vonatkozik: Azure Blob (Standard általános célú v2, Azure Data Lake Storage Gen2 vagy prémium szintű blokkblobok) tárfiókok az új Defender for Storage csomaggal, amelyen engedélyezve van a kártevő-vizsgálat funkció.
MITRE taktika: Oldalirányú mozgás
Súlyosság: Magas, ha Eicar - alacsony
Feljegyzés
Előzetes verziójú riasztások esetén: Az Azure Előzetes verzió kiegészítő feltételei további jogi feltételeket tartalmaznak, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.