Peringatan untuk Azure Cosmos DB
Artikel ini mencantumkan pemberitahuan keamanan yang mungkin Anda dapatkan untuk Azure Cosmos DB dari Microsoft Defender untuk Cloud dan paket Pertahanan Microsoft apa pun yang Anda aktifkan. Peringatan yang ditampilkan pada lingkungan Anda tergantung pada sumber daya dan layanan yang dilindungi, serta konfigurasi yang disesuaikan.
Catatan
Beberapa pemberitahuan yang baru ditambahkan didukung oleh Inteligensi Ancaman Microsoft Defender dan Microsoft Defender untuk Titik Akhir mungkin tidak terdokumentasi.
Pelajari cara menanggapi pemberitahuan ini.
Pelajari cara mengekspor pemberitahuan.
Catatan
Pemberitahuan dari sumber yang berbeda mungkin membutuhkan waktu yang berbeda untuk muncul. Misalnya, pemberitahuan yang memerlukan analisis lalu lintas jaringan mungkin membutuhkan waktu lebih lama untuk muncul daripada pemberitahuan yang terkait dengan proses mencurigakan yang berjalan pada komputer virtual.
Peringatan Azure Cosmos DB
Detail dan catatan lebih lanjut
Akses dari simpul keluar Tor
(CosmosDB_TorAnomaly)
Deskripsi: Akun Azure Cosmos DB ini berhasil diakses dari alamat IP yang diketahui sebagai simpul keluar aktif Tor, proksi anonim. Akses yang diautentikasi dari node keluar Tor kemungkinan besar merupakan indikasi bahwa pelaku ancaman berusaha menyembunyikan identitas mereka.
Taktik MITRE: Akses Awal
Tingkat keparahan: Tinggi/Sedang
Akses dari IP yang mencurigakan
(CosmosDB_SuspiciousIp)
Deskripsi: Akun Azure Cosmos DB ini berhasil diakses dari alamat IP yang diidentifikasi sebagai ancaman oleh Inteligensi Ancaman Microsoft.
Taktik MITRE: Akses Awal
Tingkat keparahan: Sedang
Akses dari lokasi yang tidak biasa
(CosmosDB_GeoAnomaly)
Deskripsi: Akun Azure Cosmos DB ini diakses dari lokasi yang dianggap tidak dikenal, berdasarkan pola akses biasa.
Mungkin pelaku ancaman telah mendapatkan akses ke akun, atau pengguna yang sah telah terhubung dari lokasi geografis baru atau tidak biasa
Taktik MITRE: Akses Awal
Tingkat keparahan: Rendah
Volume data yang tidak biasa yang diekstraksi
(CosmosDB_DataExfiltrationAnomaly)
Deskripsi: Volume data yang luar biasa besar telah diekstrak dari akun Azure Cosmos DB ini. Ini mungkin menunjukkan bahwa aktor ancaman mengeluarkan data.
Taktik MITRE: Eksfiltrasi
Tingkat keparahan: Sedang
Ekstraksi kunci akun Azure Cosmos DB via skrip yang berpotensi berbahaya
(CosmosDB_SuspiciousListKeys.MaliciousScript)
Deskripsi: Skrip PowerShell dijalankan di langganan Anda dan melakukan pola operasi daftar kunci yang mencurigakan untuk mendapatkan kunci akun Azure Cosmos DB di langganan Anda. Aktor ancaman menggunakan skrip otomatis, seperti Microburst, guna mencantumkan kunci dan menemukan akun Azure Cosmos DB yang dapat mereka akses.
Operasi ini mungkin menunjukkan bahwa identitas di organisasi Anda dilanggar, dan bahwa aktor ancaman mencoba menyusupi akun Azure Cosmos DB di lingkungan Anda untuk niat jahat.
Atau, orang dalam yang berbahaya dapat mencoba mengakses data sensitif dan melakukan gerakan lateral.
Taktik MITRE: Koleksi
Tingkat keparahan: Sedang
Ekstraksi mencurigakan dari kunci akun Azure Cosmos DB (AzureCosmosDB_SuspiciousListKeys.SuspiciousPrincipal)
Deskripsi: Sumber mencurigakan mengekstrak kunci akses akun Azure Cosmos DB dari langganan Anda. Jika sumber ini bukan sumber yang sah, ini mungkin merupakan masalah berdampak tinggi. Kunci akses yang diekstrak memberikan kontrol penuh atas database terkait dan data yang disimpan di dalamnya. Lihat detail setiap pemberitahuan tertentu untuk memahami mengapa sumber ditandai sebagai mencurigakan.
Taktik MITRE: Akses Kredensial
Tingkat keparahan: tinggi
Injeksi SQL: potensi eksfiltrasi data
(CosmosDB_SqlInjection.DataExfiltration)
Deskripsi: Pernyataan SQL yang mencurigakan digunakan untuk mengkueri kontainer di akun Azure Cosmos DB ini.
Pernyataan yang disuntikkan mungkin telah berhasil menyelundupkan data yang tidak diizinkan untuk diakses oleh pelaku ancaman.
Karena struktur dan kemampuan kueri Azure Cosmos DB, banyak serangan injeksi SQL yang diketahui pada akun Azure Cosmos DB tidak dapat berfungsi. Namun, variasi yang digunakan dalam serangan ini mungkin berfungsi dan pelaku ancaman dapat menyelundupkan data.
Taktik MITRE: Eksfiltrasi
Tingkat keparahan: Sedang
Injeksi SQL: upaya fuzzing
(CosmosDB_SqlInjection.FailedFuzzingAttempt)
Deskripsi: Pernyataan SQL yang mencurigakan digunakan untuk mengkueri kontainer di akun Azure Cosmos DB ini.
Seperti serangan injeksi SQL terkenal lainnya, serangan ini tidak akan berhasil mengorbankan akun Azure Cosmos DB.
Namun demikian, ini adalah indikasi bahwa aktor ancaman mencoba menyerang sumber daya di akun ini, dan aplikasi Anda mungkin disusupi.
Beberapa SQL serangan injeksi dapat berhasil dan digunakan untuk mengeksfiltrasi data. Ini berarti bahwa jika penyerang terus melakukan upaya injeksi SQL, mereka mungkin dapat membahayakan akun Azure Cosmos DB Anda dan menyelundupkan data.
Anda dapat mencegah ancaman ini dengan menggunakan kueri parameter.
Taktik MITRE: Pra-serangan
Tingkat keparahan: Rendah
Catatan
Untuk lansiran yang ada dalam pratinjau: Persyaratan Tambahan Pratinjau Azure mencakup persyaratan hukum tambahan yang berlaku untuk fitur Azure yang masih dalam versi beta, pratinjau, atau belum dirilis ke ketersediaan umum.
Langkah berikutnya
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk