peringatan untuk Azure Key Vault
Artikel ini mencantumkan pemberitahuan keamanan yang mungkin Anda dapatkan untuk Azure Key Vault dari Microsoft Defender untuk Cloud dan paket Pertahanan Microsoft apa pun yang Anda aktifkan. Peringatan yang ditampilkan pada lingkungan Anda tergantung pada sumber daya dan layanan yang dilindungi, serta konfigurasi yang disesuaikan.
Catatan
Beberapa pemberitahuan yang baru ditambahkan didukung oleh Inteligensi Ancaman Microsoft Defender dan Microsoft Defender untuk Titik Akhir mungkin tidak terdokumentasi.
Pelajari cara menanggapi pemberitahuan ini.
Pelajari cara mengekspor pemberitahuan.
Catatan
Pemberitahuan dari sumber yang berbeda mungkin membutuhkan waktu yang berbeda untuk muncul. Misalnya, pemberitahuan yang memerlukan analisis lalu lintas jaringan mungkin membutuhkan waktu lebih lama untuk muncul daripada pemberitahuan yang terkait dengan proses mencurigakan yang berjalan pada komputer virtual.
Pemberitahuan Azure Key Vault
Detail dan catatan lebih lanjut
Akses dari alamat IP yang mencurigakan ke key vault
(KV_SuspiciousIPAccess)
Deskripsi: Brankas kunci telah berhasil diakses oleh IP yang telah diidentifikasi oleh Inteligensi Ancaman Microsoft sebagai alamat IP yang mencurigakan. Ini mungkin menunjukkan bahwa infrastruktur Anda telah disusupi. Kami merekomendasikan investigasi lebih lanjut. Pelajari lebih lanjut tentang kemampuan intelijen ancaman Microsoft.
Taktik MITRE: Akses Kredensial
Tingkat keparahan: Sedang
Akses dari sebuah TOR exit node kepada sebuah key vault
(KV_TORAccess)
Deskripsi: Brankas kunci telah diakses dari node keluar TOR yang diketahui. Ini bisa menjadi indikasi bahwa aktor ancaman telah mengakses key vault dan menggunakan jaringan TOR untuk menyembunyikan lokasi sumbernya. Kami merekomendasikan investigasi lebih lanjut.
Taktik MITRE: Akses Kredensial
Tingkat keparahan: Sedang
Volume operasi yang tinggi di key vault
(KV_OperationVolumeAnomaly)
Deskripsi: Jumlah anomali operasi brankas kunci dilakukan oleh pengguna, perwakilan layanan, dan/atau brankas kunci tertentu. Pola aktivitas anomali ini mungkin sah, tetapi bisa menjadi indikasi bahwa pelaku ancaman telah mendapatkan akses ke brankas kunci dan rahasia yang terkandung di dalamnya. Kami merekomendasikan investigasi lebih lanjut.
Taktik MITRE: Akses Kredensial
Tingkat keparahan: Sedang
Perubahan kebijakan yang mencurigakan dan kueri rahasia di key vault
(KV_PutGetAnomaly)
Deskripsi: Pengguna atau perwakilan layanan telah melakukan operasi perubahan kebijakan Vault Put anomali diikuti oleh satu atau beberapa operasi Secret Get. Pola ini biasanya tidak dilakukan oleh pengguna atau perwakilan layanan tertentu. Ini mungkin aktivitas yang sah, tetapi bisa menjadi indikasi bahwa pelaku ancaman telah memperbarui kebijakan brankas kunci untuk mengakses rahasia yang sebelumnya tidak dapat diakses. Kami merekomendasikan investigasi lebih lanjut.
Taktik MITRE: Akses Kredensial
Tingkat keparahan: Sedang
Daftar dan kueri rahasia yang mencurigakan di key vault
(KV_ListGetAnomaly)
Deskripsi: Pengguna atau perwakilan layanan telah melakukan operasi Daftar Rahasia anomali diikuti oleh satu atau beberapa operasi Secret Get. Pola ini biasanya tidak dilakukan oleh pengguna atau perwakilan layanan tertentu dan biasanya dikaitkan dengan pembuangan rahasia. Ini mungkin aktivitas yang sah, tetapi bisa menjadi indikasi bahwa pelaku ancaman telah mendapatkan akses ke brankas kunci dan mencoba menemukan rahasia yang dapat digunakan untuk bergerak secara lateral melalui jaringan Anda dan/atau mendapatkan akses ke sumber daya sensitif. Kami merekomendasikan investigasi lebih lanjut.
Taktik MITRE: Akses Kredensial
Tingkat keparahan: Sedang
Akses yang tidak biasa ditolak - Pengguna yang mengakses volume tinggi brankas kunci ditolak
(KV_AccountVolumeAccessDeniedAnomaly)
Deskripsi: Pengguna atau perwakilan layanan telah mencoba akses ke volume brankas kunci yang sangat tinggi dalam 24 jam terakhir. Pola akses anomali ini mungkin merupakan aktivitas yang sah. Meskipun percobaan ini tidak berhasil, hal ini bisa mengindikasikan kemungkinan percobaan untuk mendapatkan akses brankas kunci dan rahasia di dalamnya. Kami merekomendasikan investigasi lebih lanjut.
Taktik MITRE: Penemuan
Tingkat keparahan: Rendah
Akses yang tidak biasa ditolak - Akses brankas kunci oleh pengguna yang tidak biasa ditolak
(KV_UserAccessDeniedAnomaly)
Deskripsi: Akses brankas kunci dicoba oleh pengguna yang biasanya tidak mengaksesnya, pola akses anomali ini mungkin merupakan aktivitas yang sah. Meskipun percobaan ini tidak berhasil, hal ini bisa mengindikasikan kemungkinan percobaan untuk mendapatkan akses brankas kunci dan rahasia di dalamnya.
Taktik MITRE: Akses Awal, Penemuan
Tingkat keparahan: Rendah
Aplikasi yang tidak biasa diakses oleh key vault
(KV_AppAnomaly)
Deskripsi: Brankas kunci telah diakses oleh perwakilan layanan yang biasanya tidak mengaksesnya. Pola akses anomali ini mungkin merupakan aktivitas yang sah, tetapi bisa menjadi indikasi bahwa pelaku ancaman telah mendapatkan akses ke brankas kunci dalam upaya untuk mengakses rahasia yang terkandung di dalamnya. Kami merekomendasikan investigasi lebih lanjut.
Taktik MITRE: Akses Kredensial
Tingkat keparahan: Sedang
Pola operasi yang tidak biasa di key vault
(KV_OperationPatternAnomaly)
Deskripsi: Pola anomali operasi brankas kunci dilakukan oleh pengguna, perwakilan layanan, dan/atau brankas kunci tertentu. Pola aktivitas anomali ini mungkin sah, tetapi bisa menjadi indikasi bahwa pelaku ancaman telah mendapatkan akses ke brankas kunci dan rahasia yang terkandung di dalamnya. Kami merekomendasikan investigasi lebih lanjut.
Taktik MITRE: Akses Kredensial
Tingkat keparahan: Sedang
Pengguna yang tidak biasa mengakses key vault
(KV_UserAnomaly)
Deskripsi: Brankas kunci telah diakses oleh pengguna yang biasanya tidak mengaksesnya. Pola akses anomali ini mungkin merupakan aktivitas yang sah, tetapi bisa menjadi indikasi bahwa pelaku ancaman telah mendapatkan akses ke brankas kunci dalam upaya untuk mengakses rahasia yang terkandung di dalamnya. Kami merekomendasikan investigasi lebih lanjut.
Taktik MITRE: Akses Kredensial
Tingkat keparahan: Sedang
Pasangan aplikasi pengguna yang tidak biasa,mengakses key vault
(KV_UserAppAnomaly)
Deskripsi: Brankas kunci telah diakses oleh pasangan perwakilan layanan pengguna yang biasanya tidak mengaksesnya. Pola akses anomali ini mungkin merupakan aktivitas yang sah, tetapi bisa menjadi indikasi bahwa pelaku ancaman telah mendapatkan akses ke brankas kunci dalam upaya untuk mengakses rahasia yang terkandung di dalamnya. Kami merekomendasikan investigasi lebih lanjut.
Taktik MITRE: Akses Kredensial
Tingkat keparahan: Sedang
Pengguna mengakses volume tinggi dari key vaults
(KV_AccountVolumeAnomaly)
Deskripsi: Pengguna atau perwakilan layanan telah mengakses volume brankas kunci yang sangat tinggi. Pola akses anomali ini mungkin merupakan aktivitas yang sah, tetapi bisa menjadi indikasi bahwa pelaku ancaman telah mendapatkan akses ke beberapa brankas kunci dalam upaya untuk mengakses rahasia yang terkandung di dalamnya. Kami merekomendasikan investigasi lebih lanjut.
Taktik MITRE: Akses Kredensial
Tingkat keparahan: Sedang
Akses ditolak dari IP yang mencurigakan ke brankas kunci
(KV_SuspiciousIPAccessDenied)
Deskripsi: Akses brankas kunci yang tidak berhasil telah dicoba oleh IP yang telah diidentifikasi oleh Inteligensi Ancaman Microsoft sebagai alamat IP yang mencurigakan. Meskipun upaya ini tidak berhasil, ini menunjukkan bahwa infrastruktur Anda mungkin telah disusupi. Kami merekomendasikan investigasi lebih lanjut.
Taktik MITRE: Akses Kredensial
Tingkat keparahan: Rendah
Akses yang tidak biasa ke brankas kunci dari IP yang mencurigakan (Non-Microsoft atau eksternal)
(KV_UnusualAccessSuspiciousIP)
Deskripsi: Pengguna atau perwakilan layanan telah mencoba akses anomali ke brankas kunci dari IP non-Microsoft dalam 24 jam terakhir. Pola akses anomali ini mungkin merupakan aktivitas yang sah. Ini bisa menjadi indikasi kemungkinan upaya untuk mendapatkan akses brankas kunci dan rahasia yang terkandung di dalamnya. Kami merekomendasikan investigasi lebih lanjut.
Taktik MITRE: Akses Kredensial
Tingkat keparahan: Sedang
Catatan
Untuk lansiran yang ada dalam pratinjau: Persyaratan Tambahan Pratinjau Azure mencakup persyaratan hukum tambahan yang berlaku untuk fitur Azure yang masih dalam versi beta, pratinjau, atau belum dirilis ke ketersediaan umum.